文档介绍:防火墙技术包过滤防火墙
本讲稿第一页,共三十四页
TCP/IP与防火墙——协议
*
目的物理地址
源物理地址
类型
数据
数据链路层
网络层
传输层
本讲稿第二页,共三十四页
TCP/IP与防火墙——协议(80)
20 permitted udp (1833) (161)
21 permitted tcp (3210) (80)
*
22 permitted tcp (2003) (445)
23 permitted tcp (6500) (21)
24 permitted tcp (5328) (445)
25 permitted tcp (4433) (445)
26 permitted tcp (2433) (80)
27 permitted tcp (2433) (25)
28 permitted tcp (6783) (80)
29 permitted tcp (2439) (80)
30 permitted tcp (4139) (80)
31 permitted tcp (5577) (80)
32 permitted tcp (5432) (80)
… …
TCP/IP与防火墙——防火墙日志
本讲稿第八页,共三十四页
第五讲:防火墙知识
*
TCP/IP与防火墙
防火墙的发展历程
简单包过滤防火墙
本讲稿第九页,共三十四页
2000
*
基于实现方式
基于技术手段
防火墙的发展历程
本讲稿第十页,共三十四页
*
由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第一代:基于路由器的防火墙
本讲稿第十一页,共三十四页
基于路由器的防火墙
特点:
利用路由器本身对数据包的解析,以访问控制表方式控制数据包的过滤;
过滤判决的依据可以是:IP地址、端口号、以及其它网络特征;
只有数据包过滤功能,配置简单。
*
本讲稿第十二页,共三十四页
基于路由器的防火墙
*
工作原理:
检查数据链路层
的物理地址
检查网络层
的IP地址
本讲稿第十三页,共三十四页
基于路由器的防火墙
*
缺点:
本身具有安全漏洞;
过滤规则的设置存在安全隐患;
最大的隐患是:攻击者可以“假冒”地址进行攻击;
本质性缺陷是:会大大降低路由器的性能。
代表产品:Cisco路由器
本讲稿第十四页,共三十四页
第二代:防火墙工具套件
*
用户化的防火墙,将过滤功能从路由器中独立出来,并加上审计和告警功能。
针对用户需求,提供模块化的软件包,是纯软件产品。
本讲稿第十五页,共三十四页
防火墙工具套件
特点:
将过滤功能从路由器中独立出来,并加上审计和告警功能;
提供模块化的软件包;
用户可以自己动手构造防火墙(iptable);
与第一代防火墙相比,安全性提高了,价格降低了。
*
本讲稿第十六页,共三十四页
防火墙工具套件
*
缺点:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,安全性和处理速度均有限制。
代表产品:
iptable、TIS FWTK、AXNET Raptor、SecureZone
本讲稿第十七页,共三十四页
第三代:通用操作系统防火墙
*
建立在通用操作系统上的防火墙,近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。有以纯软件实现的,也有以硬件方式实现的。
本讲稿第十八页,共三十四页
通用操作系统防火墙
特点:
是批量生产的专用防火墙;
具备数据包过滤功能;
具备专用的代理系统;
安全性和速度大大提高。
*
本讲稿第十九页,共三十四页
通用操作系统防火墙
*
缺点:
由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;
该类防火墙既要防止外部网络的攻击,还要防止来自针对操作系统的攻击;
用户必须依赖防火墙厂商