文档介绍：防火墙技术包过滤防火墙
本讲稿第一页，共三十四页
TCP/IP与防火墙——协议
*
目的物理地址
源物理地址
类型
数据
数据链路层
网络层
传输层
本讲稿第二页，共三十四页
TCP/IP与防火墙——协议(80)
20 permitted udp (1833)  (161)
21 permitted tcp (3210)  (80)
*
22 permitted tcp (2003)  (445)
23 permitted tcp (6500)  (21)
24 permitted tcp (5328)  (445)
25 permitted tcp (4433)  (445)
26 permitted tcp (2433)  (80)
27 permitted tcp (2433)  (25)
28 permitted tcp (6783)  (80)
29 permitted tcp (2439)  (80)
30 permitted tcp (4139)  (80)
31 permitted tcp (5577)  (80)
32 permitted tcp (5432)  (80)
… …
TCP/IP与防火墙——防火墙日志
本讲稿第八页，共三十四页
第五讲：防火墙知识
*
TCP/IP与防火墙
防火墙的发展历程
简单包过滤防火墙
本讲稿第九页，共三十四页
2000
*
基于实现方式
基于技术手段
防火墙的发展历程
本讲稿第十页，共三十四页
*
由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第一代：基于路由器的防火墙
本讲稿第十一页，共三十四页
基于路由器的防火墙
特点：
利用路由器本身对数据包的解析，以访问控制表方式控制数据包的过滤；
过滤判决的依据可以是：IP地址、端口号、以及其它网络特征；
只有数据包过滤功能，配置简单。
*
本讲稿第十二页，共三十四页
基于路由器的防火墙
*
工作原理：
检查数据链路层
的物理地址
检查网络层
的IP地址


本讲稿第十三页，共三十四页
基于路由器的防火墙
*
缺点：
本身具有安全漏洞；
过滤规则的设置存在安全隐患；
最大的隐患是：攻击者可以“假冒”地址进行攻击；
本质性缺陷是：会大大降低路由器的性能。
代表产品：Cisco路由器
本讲稿第十四页，共三十四页
第二代：防火墙工具套件
*
用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。
针对用户需求，提供模块化的软件包，是纯软件产品。
本讲稿第十五页，共三十四页
防火墙工具套件
特点：
将过滤功能从路由器中独立出来，并加上审计和告警功能；
提供模块化的软件包；
用户可以自己动手构造防火墙（iptable）；
与第一代防火墙相比，安全性提高了，价格降低了。
*
本讲稿第十六页，共三十四页
防火墙工具套件
*
缺点：
配置和维护过程复杂、费时；
对用户的技术要求高；
全软件实现，安全性和处理速度均有限制。
代表产品：
iptable、TIS FWTK、AXNET Raptor、SecureZone
本讲稿第十七页，共三十四页
第三代：通用操作系统防火墙
*
建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。有以纯软件实现的，也有以硬件方式实现的。
本讲稿第十八页，共三十四页
通用操作系统防火墙
特点：
是批量生产的专用防火墙；
具备数据包过滤功能；
具备专用的代理系统；
安全性和速度大大提高。
*
本讲稿第十九页，共三十四页
通用操作系统防火墙
*
缺点：
由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；
该类防火墙既要防止外部网络的攻击，还要防止来自针对操作系统的攻击；
用户必须依赖防火墙厂商