包過(guò)濾技術(shù)——防火墻技術(shù)與應(yīng)用_第1頁(yè)
包過(guò)濾技術(shù)——防火墻技術(shù)與應(yīng)用_第2頁(yè)
包過(guò)濾技術(shù)——防火墻技術(shù)與應(yīng)用_第3頁(yè)
包過(guò)濾技術(shù)——防火墻技術(shù)與應(yīng)用_第4頁(yè)
包過(guò)濾技術(shù)——防火墻技術(shù)與應(yīng)用_第5頁(yè)
已閱讀5頁(yè),還剩7頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、主講人:鄭棋元論 文:劉航PPT: 劉丹晨包過(guò)濾原理包過(guò)濾規(guī)則表包過(guò)濾技術(shù)優(yōu)缺點(diǎn)分析什么是包過(guò)濾技術(shù)?u包過(guò)濾是最早應(yīng)用到防火墻當(dāng)中的技術(shù)之一。u它針對(duì)網(wǎng)絡(luò)數(shù)據(jù)包由信息頭和數(shù)據(jù)信息兩部分組成這一特點(diǎn)而設(shè)計(jì)。u包過(guò)濾防火墻工作在網(wǎng)絡(luò)層和傳輸層。 包過(guò)濾技術(shù)是對(duì)通過(guò)防火墻的數(shù)據(jù)包的首部信息進(jìn)行解析,根據(jù)事先定義的訪問(wèn)控制列表(ACL)規(guī)則決定包的前行或被舍棄,以達(dá)到對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。ACL的出現(xiàn)就是配合防火墻的設(shè)計(jì)而被定義出來(lái)的。所以包過(guò)濾防火墻的精華之處就在于ACL。包過(guò)濾既可作用在入方向也可作用在出方向。 包過(guò)濾技術(shù)應(yīng)用的關(guān)鍵問(wèn)題是如何檢查數(shù)據(jù)包,以及檢查到何種程度才能既保障安全又不會(huì)對(duì)通信速

2、度產(chǎn)生明顯負(fù)面影響。從理論上講,包過(guò)濾防火墻可以被配置為根據(jù)協(xié)議報(bào)頭的任何數(shù)據(jù)域進(jìn)行分析過(guò)濾,但大多數(shù)只是針對(duì)性的分析數(shù)據(jù)包信息頭的部分域。 防火墻中的檢查模塊將所有通過(guò)的數(shù)據(jù)包中發(fā)送方IP地址、接收方的IP地址、TCP端口、TCP標(biāo)志位等信息讀出,按照預(yù)先設(shè)置的過(guò)濾規(guī)則過(guò)濾數(shù)據(jù)包。只有滿足過(guò)濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā),其余數(shù)據(jù)包則被丟棄。 包過(guò)濾設(shè)備配置有一系列數(shù)據(jù)過(guò)濾規(guī)則,定義了什么包可以通過(guò)防火墻,什么包必須丟棄。這些規(guī)則被稱為數(shù)據(jù)包過(guò)濾訪問(wèn)控制列表(ACL)。 下表所示的過(guò)濾規(guī)則樣表包含以下內(nèi)容: 源IP地址、目標(biāo)IP地址、源端口、目的端口 協(xié)議類型 TCP包頭標(biāo)志位 對(duì)數(shù)據(jù)包的操作 數(shù)據(jù)

3、流向序號(hào)序號(hào)源源IP目的目的IP協(xié)協(xié) 議議源端口源端口目的端口目的端口標(biāo)志位標(biāo)志位操作操作 1內(nèi)部網(wǎng)絡(luò)地址外部網(wǎng)絡(luò)地址TCP任意80任意允許 2外部網(wǎng)絡(luò)地址內(nèi)部網(wǎng)絡(luò)地址TCP801023ACK允許 3所有所有所有所有所有所有拒絕訪問(wèn)控制列表的配置有兩種方式 嚴(yán)策略。接受受信任的IP包,拒絕其他所有的IP包。 寬策略。拒絕不受信任的IP包,接受其他所有的IP包。在實(shí)際應(yīng)用中一般采用嚴(yán)策略來(lái)設(shè)置防火墻規(guī)則。一般地,包過(guò)濾防火墻還應(yīng)該阻止以下幾種IP包進(jìn)入內(nèi)部網(wǎng)l 源地址是內(nèi)部地址的外來(lái)數(shù)據(jù)包l 指定中轉(zhuǎn)路由器的數(shù)據(jù)包l 有效載荷很小的數(shù)據(jù)包優(yōu)點(diǎn): 一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)。絕大多數(shù)Inte

4、rnet防火墻系統(tǒng)只用一個(gè)包過(guò)濾路由器; 過(guò)濾路由器速度快、效率高。 包過(guò)濾路由器對(duì)終端用戶和應(yīng)用程序是透明的。當(dāng)數(shù)據(jù)包過(guò)濾路由器決定讓數(shù)據(jù)包通過(guò)時(shí),它與普通路由器沒(méi)什么區(qū)別,甚至用戶沒(méi)有認(rèn)識(shí)到它的存在,因此不需要專門的用戶培訓(xùn)或在每主機(jī)上設(shè)置特別的軟件。缺點(diǎn): 定義包過(guò)濾器需要網(wǎng)管員需要詳細(xì)地了解Internet各種服務(wù)、包頭格式和他們?cè)谙M總€(gè)域查找的特定的值。是一項(xiàng)很復(fù)雜的工作。 路由器信息包的吞吐量隨過(guò)濾器數(shù)量的增加而減少。 不能徹底防止地址欺騙。偽造IP地址很容易、普遍。缺點(diǎn): 一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾。即使是完美的數(shù)據(jù)包過(guò)濾,也會(huì)發(fā)現(xiàn)一些協(xié)議不很適合于經(jīng)由數(shù)據(jù)包過(guò)濾安全保護(hù)。 一些包過(guò)濾路由器不提供任何日志能力,直到闖入發(fā)生后,危險(xiǎn)的封包才可能檢測(cè)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論