文档介绍:• ,
♦:♦包过滤型防火墙(Package Filtering Firewall)
♦:♦双宿/多宿主机防火墙(Dual-Homed/Multi- Homed Host Firewall)
♦:♦屏蔽主机防火墙(Screened Host Firewall) ♦:♦屏蔽子网防火墙(Screened Subnet Firewall)
•:•其它防火墙结构
IT]
IU
li]
IB
131
•:•包过滤型防火墙,往往可以用一台过滤路由器 (Screened Router)来实现,对所接收的每个数据 包做允许/拒绝的决定
•:•包过滤型防火墙一般作用在网络层,故也称网络 层防火墙或IP过滤器
匕,
Source
Destinati on
Permit
Protocol
Host A
Host C
Pass
TCP
Host B
Host C
Discard
UDP
包过滤规则
查找对应的 控制策略
根据策略决定如 何处理该数据包
数据包
数据包
Host A
拆开数据包
IP报头
TCP报头
数据
L分组过滤判断信息.
—o
Host C
企业内部网
•:•路由器审查每个数据包,确定其是否与某 一条包过滤规则匹配
•:•过滤规则基于可以提供给IP转发过程的包 头信息,包头信息中包括:
+源ip地址、目标ip地址
+协议类型(TCP、UDP、ICMP等等)
+TCP/UDP源端口、目标端口
+ ICMP消息类型
+TCP包头中的ACK位等
♦对到达包过滤防火墙的数据包:
+规则允许该数据包通过,那么该数据包就会按 照路由表中的信息被转发
+规则拒绝该数据包,那么该数据包就会被丢弃
+如果没有匹配规则,根据系统的设计策略(缺省 禁止/缺省允许)决定是转发还是丢弃数据包
♦:♦举例:
+阻塞所有进入的Telnet连接
路由器只需简单地丢弃所有TCP端口号等于23 的数据包
+将进来的Telnet连接限制到内部的数台机器上 路由器必须拒绝所有
TCP端口号等于23并且目 标IP地址不等于允许主机的IP地址的数据包
♦:♦优点:
+处理数据包的速度比较快(与代理服务器相比) /在流量适中并定义较少过滤规则时,路由器的性能 几乎不受影响
+实现包过滤几乎不再需要费用
/标准的路由器软件包含数据包过滤功能
+包过滤路由器对用户和应用来讲是透明的
/不必对用户进行特殊的培训
/不必在每台主机上安装特定的软件
/用户不用改变客户端程序或改变自己的行为
♦:♦缺点:
+包过滤防火墙的维护比较困难
/定义数据包过滤器比较复杂,网络管理员需要对各种Internet 服务、包头格式、以及每个域的意义有非常深入的理解
+只能阻止一种类型的IP欺骗
/即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任 的外部主机的IP不能阻止
+任何直接经过路由器的数据包都有被用做数据驱动式 攻击的潜在危险
/数据驱动式攻击:表面上无害的数据被邮寄或拷贝到内部主机 上,但其中包含了一些隐藏的指令,一旦执行能够让主机修改 访问控制和与安全有关的文件,使得入侵者能够获得对系统的 访问权
•:•缺点:
+—些包过滤路由器不支持有效的用户认证
/因为ip地址是可以伪造的,因此如果没有基于用户
的认证,仅通过ip地址来判断是不安全的
+不能提供有用的日志,或根本不提供日志
+随着过滤器数目的增加,路由器的吞吐量会下 降
+ip包过滤器可能无法对网络上流动的信息提供 全面的控制
/包过滤路由器能够允许或拒绝特定的服务,但是不 能理解特定服务的上下文环境和数据