第4章 防火墙体系结构20100305
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
任意
1023
任意
192.168.3.3
任意
25
任意
通过
禁止
由上可以看出,197.168.0.0/24可以通过包过滤防火墙访问HTTP、SMTP 服务,而其他的不能访问,并且197.168.0.0/24只能具有以上规则允许的服 务,其他的访问内部子网是禁止的。
19
4.2.5 包过滤的优缺点
1.包过滤器的优点
10
4.2.3 包过滤的基本过程
● 包过滤规则必须被包过滤设备端 口存储起来。 ● 当包到达端口时,对包报头进行 语法分析。大多数包过滤设备只检 查IP,TCP或UDP报头中的字段。 ● 包过滤规则以特殊的方式存储。 应用于包的规则的顺序与包过滤器 规则存储顺序必须相同。 ● 若一条规则阻止包传输或接收, 则此包便不被允许。 ● 若一条规则允许包传输或接收, 则此包便可以被继续处理。 ● 若包不满足任何一条规则,则此 包便被阻塞。
26
4.4.2 电路级网关的缺点
大多数的电路级网关都是基于 TCP端口配置的,不是对每一个 数据包进行检测,所以会出现一 些漏洞。(为什么?) 配置了电路级网关技术后向内 的连接都是禁止的。所以,有时 访问资源的空间和范围是有限的。
该网关工作在会话 层,无法检查应用 层级的数据包。
7 6 5 4 3 2
21
4.3 应用级网关
应用级网关就是通常所说的“代理服 务器”。 它能够检查进出的数据包,通过网关 复制传递数据,防止在受信任服务器 和客户机与不受信任的主机间直接建 立联系。 应用级网关能够理解应用层上的协议每一种协议需要相应的代理软件, 使用时工作量大,效率不如网络级防 火墙。
对付源路由攻击(Source Rowing Attacks): 源站点指定了数据包在 Internet中的传递路线,以躲过 安全检查,使数据包循着一条不 可预料的路径到达目的地。对付 这类攻击,防火墙应丢弃所有包 含源路由选项的数据包。
16
3.包过滤防火墙的过滤规则
● 对付残片攻击(Tiny Fragment
4.4 电路级网关
用来监控受信任的客户或服务器
与不受信任的主机间的TCP握手信 息,在OSI模型中会话层上来过滤 数据包,比包过滤防火墙要高二层。 代理服务器(Proxy Server)功 能,成功实现防火墙内外计算机系 统的隔离。
代理服务器运行一个叫做“地址转换”的进程, 可将所有内部的IP地址映射到一个“安全”的IP地 址。 缺点。在会话层工作的,无法检查应用层级的数 据包。
防火墙技术标准教程
第4章 防火墙的体系结构
授课人: 张冲杰高级工程师
泉州信息职业技术学院 计算机科学与技术系
1
本章教学重点和难点
第4章 计划学时
防火墙体系结构
6课时课堂教学
目标
知识点 4.1 4.2 4.3 4.4
了解防火墙的体系结构,掌握包过滤器的工作原理及其规则库,熟 悉并掌握应用级网关、电路级网关和状态包检测(SPI)的工作原 理及过程。
11
4.2.3 包过滤的基本过程 续
●防火墙配置的规
则必须能对从一 个非信任端口流 向信任端口或是 从信任端口流向 非信任端口进行 控制处理,以此 来决定是否让信 息流通过,如图 4-5所示。
12
图4-5 包过滤防火墙拓扑结构
4.2.4 包过滤防火墙的规则库
1.创建一个规则库需要按照 以下标准: ● 协议类型。 ● 源地址。 ● 目的地址。 ● 源端口。 ● 目的端口。
Internet
屏蔽路由器
内部网络
8
2. 动态包过滤 Dynamic packet filter
比起静态包过滤技术先进,可根据实 际应用请求自动生成或删除相应包 过滤规则,而无需管理员人工干预。 只能对数据的IP地址信息进行过滤, 不能对用户身份的合法性进行鉴定。 包过滤防火墙通常工作在OSI的三层 及三层以下,可控的内容包括报文的 源地址、报文的目标地址、服务类 型,以及第二层数据链路层可控的 MAC地址等。
25
4.4.1 电路级网关的工作过程
统一资源定位符(URL,英语 Uniform / Universal Resource Locator 的缩写)也被称为网页 地址,是因特网上标准的资源 的地址(Address)。它最初是 由蒂姆· 伯纳斯-李发明用来作为 万维网的地址的。现在它已经 被万维网联盟编制为因特网标 ● 假定有一用户正在试图和目的URL进 准RFC1738了。 行连接。 ● 此时,该用户所使用的客户应用程序不 是为这个URL发出的DNS请求,而是将请 求发到地址已经被解析的电路级网关(如 代理服务器)的接口上。 ● 若有需要,电路级网关提示用户进行身 份认证。 ● 用户通过身份认证后,电路级网关为目 的URL发出一个DNS请求,然后用自己的 IP地址和目的IP地址建立一个连接。 ● 电路级网关然后把目的URL服务器的应 答转给用户。
18
表4-2:网络结构创建的规则库示例
规则 1 2 协议类型 TCP TCP 源地址 197.168.0.0/24 197.168.0.0/24 源端口 1023 1023 目的地址 192.168.3.1 192.168.3.2 目的端口 80 25 措施 通过 通过
3
4
UDP
任意
197.168.0.0/24
7
4.2.1 包过滤技术分类
1. 静态包过滤(Static packet filter) 传统包过滤技术,它根据流经该 设备的数据包地址信息决定是否允 许该数据包通过。判断的依据有 (只考虑IP包): ● 数据包协议类型:TCP,UDP, ICMP,IGMP等。 ● 源IP地址、目的IP地址。 ● 源端口、目的端口:FTP, HTTP,DNS等。
7 6 5 4 3 2
应用层 表示层 会话层 传输层 网络层 数据链路层
1
物理层
9
4.2.2 过滤器的工作原理
1. 使用过滤器 数据包过滤用在内部主机和 外部主机之间。过滤系统是一台 路由器或一台主机,根据过滤规 则决定是否让数据包通过。 2. 过滤器的实现 一般使用过滤路由器来实现, 过滤器会更加仔细地检查数据包, 决定是否有到达目标地址的路径、 是否应该发送数据包。
难点 重点 考点
防火墙的体系结构
包过滤器
应用级网关 电路级网关
4.5
4.6
状态包检测(SPI) 防火墙的实施方式
2
4.1 防火墙的体系结构
4.1.1 双重宿主主机体系结构 4.1.2 被屏蔽主机体系结构 4.1.3 被屏蔽子网体系结构
3
4.1.1 双重宿主主机体系结构
双重宿主主机至少 有两个网络接口, 一接内部网络,另 一接连接外部网络, (寄生于内外两个 网络之中)。 外部网络与内部网 络不能直接通信, 必须经过双重宿主 主机的过滤和控制, 如右图所示。
17
表4-1:包过滤举例
规则 1 2 3 4 5 协议类型 TCP TCP TCP UDP 任意 源地址 128.5.6.0/24 任意 任意 任意 任意 目的地址 129.1.5.155 129.1.5.154 129.1.5.150 129.1.5.153 任意 源端口 >1023 >1023 >1023 >1023 任意 目的端口 23 80 25 23 任意 措施 允许 允许 允许 允许 禁止
14
3.包过滤防火墙的过滤规则
● 对付源IP地址欺骗式攻击
(Source IP Address Spoofing Attacks): 对入侵者假冒内部主机,从外 部传输一个源IP地址为内部网络IP 地址的数据包的这类攻击,防火墙 只需把来自外部端口的使用内部源 地址的数据包统统丢弃掉。
15
3.包过滤防火墙的过滤规则
22
4.3.1 应用级网关的工作过程
当客户机需要使用服务器上的数据时,首先将数据请求发给代理 服务器; 由代理服务器根据这一请求向服务器请求数据; 再由代理服务器将返回的数据转给客户机。
23
4.3.2 应用级网关的优缺点
24
应用级网关的安全性高,其不足 是要为每种应用提供专门的代理 服务程序。 应用级网关有较好的访问控制, 是目前最安全的防火墙技术,但 实现困难。在实际使用中经常会 发现存在延迟并且必须进行多次 登录(Login)才能访问Internet 或Intranet。 应用级网关访问速度比较慢,因 为它不允许用户直接访问网络, 而且需要对每一个特定的 Internet服务安装相应的代理服 务软件。
● 对于一个小型的、不太复杂的站 点,包过滤比较容易实现。 ● 因为工作在传输层(TCP或UDP) 或者在网络层(ICMP或IP),所 以处理包的速度比代理服务器快。 ● 价格便宜。 ● ● 对流量的管理比较出色。 ● 需要管理的开销很少,对屏蔽设 备的性能不会产生很大影响。
20
2.包过滤的缺点
没有用户身份认证机制。 在复杂环境中规则表会很大而且 复杂,难管理,漏洞也会增加。 依赖一个单一的部件来保护系统。 如果外部用户被允许访问内部主 机,则它就可以访问内部网上的 任何主机。 只能阻止外部主机伪装内部主机 的IP,不能阻止外部主机伪装外 部主机的IP欺骗却。
Attacks): 入侵者使用TCP/IP数据包的分段特 性,创建小分段并强行将TCP头信息 分成多个数据包,以绕过用户防火墙 的过滤规则。黑客期望防火墙只检查 第一个分段而允许其余的分段通过。 对付这类攻击,防火墙只需将TCP/IP 协议片断位移植(Fragment Offset) 为1的数据包全部丢弃即可。
28
4.5.1 SPI防火墙的工作过程
状态检测包的逻辑流程如
29
右图所示。 当数据包到达防火墙的接 口,防火墙判断数据是不是 已经在连接; 如果是在连接就对数据包 进行特征检测,并判断策略 是否让防火墙内容通过; 如果可以通过的话就转发 到目的端口并记录日志,否 则就丢掉数据包。
4.5.2 SPI的优缺点
应用层 表示层 会话层 传输层 网络层 数据链路层
1
物理层
27
4.5 全状态包检测(SPI)
全状态包检测(Statefull
规则检查防火墙
Packet Inspection,SPI) 结合了包过滤防火墙、电路级网 关和应用级网关的特点。
包过滤防火墙,检查IP地址和端口 号,过滤进出的数据包。在OSI网络层。 电路级网关,检查数据包标记和序列 数字是否逻辑有序。在会话层。 应用级网关,检查数据包的内容。在 应用层。
提供全状态包检测(SPI)的防 优点一:如果某个访问违反 火墙安全系统54M无线路由器 安全规定,就会拒绝该访问, SMC WBR14-G3 并做日志记录。 功能 支持64/128 bit WEP加密, 优点二:是它会监测无连接状 支持Wi-Fi保护访问(WPA) 态的远程过程调用(RPC)和 /WPA2 ; 用户数据报(UDP)之类的端 可关闭 SSID 广播和 MAC 地址 口信息,而包过滤和应用网关 过滤。 防火墙都不支持此类应用。这 提供全状态包检测(SPI)防火 种防火墙无疑是非常坚固的。 墙安全系统,可分析数据包,确保 缺点:降低网络的速度,配置 有授权的数据包才可以访问。还可 比较复杂。 以基于用户自定义的访问策略比如 时间,IP地址过滤和MAC 地址过 滤的方式实现访问控制.。
规则1:允许子网128.5.6.0/24中的源地址访问网内资源,并从一个随机的高 端口号上发出Telnet连接到目的地址的TCP23端口上。 规则2:用于典型的HTTP流量,它允许外界通过80端口访问内部网络。该域 WWW服务器的IP地址是129.1.5.154。由于不知道谁会访问该WWW服务器, 所以不对源IP地址作限制。
4
4.1.2 被屏蔽主机体系结构
使用路由器隔离开内外网络,如下图所示。 安全由数据包过滤提供。涉及到堡垒主机。
5
4.1.3 被屏蔽子网体系结构
最简单的形式为两个屏蔽路由器,都连接到周边网。 一个位于周边网与内部网络之间,另一个位于周边网 与外部网络之间。
6
4.2 包过滤器
包过滤又称“报文过滤”,它是防火墙最传统、最基 本的过滤技术。 包过滤器的工作是检查每个包的头部中的有关字段。 网络管理员可以配置包过滤器,指定要检测哪些字段 以及如何处理等。
13
2.包过滤的过滤策略
● 拒绝来自某主机网段的所有连接。
● 允许来自某主机网段的所有连接。 ● 拒绝来自某主机指定端口的连接。 ● 允许来自某网段指定端口的连接。 ● 拒绝本地主机或本地网络与其他 主机或其他网络的所有连接。 ● 允许本地主机或本地网络与其他 主机或其他网络的所有连接。 ● 拒绝本地主机或本地网络与其他 主机或其他网络的指定端口的连接。
1023
任意
192.168.3.3
任意
25
任意
通过
禁止
由上可以看出,197.168.0.0/24可以通过包过滤防火墙访问HTTP、SMTP 服务,而其他的不能访问,并且197.168.0.0/24只能具有以上规则允许的服 务,其他的访问内部子网是禁止的。
19
4.2.5 包过滤的优缺点
1.包过滤器的优点
10
4.2.3 包过滤的基本过程
● 包过滤规则必须被包过滤设备端 口存储起来。 ● 当包到达端口时,对包报头进行 语法分析。大多数包过滤设备只检 查IP,TCP或UDP报头中的字段。 ● 包过滤规则以特殊的方式存储。 应用于包的规则的顺序与包过滤器 规则存储顺序必须相同。 ● 若一条规则阻止包传输或接收, 则此包便不被允许。 ● 若一条规则允许包传输或接收, 则此包便可以被继续处理。 ● 若包不满足任何一条规则,则此 包便被阻塞。
26
4.4.2 电路级网关的缺点
大多数的电路级网关都是基于 TCP端口配置的,不是对每一个 数据包进行检测,所以会出现一 些漏洞。(为什么?) 配置了电路级网关技术后向内 的连接都是禁止的。所以,有时 访问资源的空间和范围是有限的。
该网关工作在会话 层,无法检查应用 层级的数据包。
7 6 5 4 3 2
21
4.3 应用级网关
应用级网关就是通常所说的“代理服 务器”。 它能够检查进出的数据包,通过网关 复制传递数据,防止在受信任服务器 和客户机与不受信任的主机间直接建 立联系。 应用级网关能够理解应用层上的协议每一种协议需要相应的代理软件, 使用时工作量大,效率不如网络级防 火墙。
对付源路由攻击(Source Rowing Attacks): 源站点指定了数据包在 Internet中的传递路线,以躲过 安全检查,使数据包循着一条不 可预料的路径到达目的地。对付 这类攻击,防火墙应丢弃所有包 含源路由选项的数据包。
16
3.包过滤防火墙的过滤规则
● 对付残片攻击(Tiny Fragment
4.4 电路级网关
用来监控受信任的客户或服务器
与不受信任的主机间的TCP握手信 息,在OSI模型中会话层上来过滤 数据包,比包过滤防火墙要高二层。 代理服务器(Proxy Server)功 能,成功实现防火墙内外计算机系 统的隔离。
代理服务器运行一个叫做“地址转换”的进程, 可将所有内部的IP地址映射到一个“安全”的IP地 址。 缺点。在会话层工作的,无法检查应用层级的数 据包。
防火墙技术标准教程
第4章 防火墙的体系结构
授课人: 张冲杰高级工程师
泉州信息职业技术学院 计算机科学与技术系
1
本章教学重点和难点
第4章 计划学时
防火墙体系结构
6课时课堂教学
目标
知识点 4.1 4.2 4.3 4.4
了解防火墙的体系结构,掌握包过滤器的工作原理及其规则库,熟 悉并掌握应用级网关、电路级网关和状态包检测(SPI)的工作原 理及过程。
11
4.2.3 包过滤的基本过程 续
●防火墙配置的规
则必须能对从一 个非信任端口流 向信任端口或是 从信任端口流向 非信任端口进行 控制处理,以此 来决定是否让信 息流通过,如图 4-5所示。
12
图4-5 包过滤防火墙拓扑结构
4.2.4 包过滤防火墙的规则库
1.创建一个规则库需要按照 以下标准: ● 协议类型。 ● 源地址。 ● 目的地址。 ● 源端口。 ● 目的端口。
Internet
屏蔽路由器
内部网络
8
2. 动态包过滤 Dynamic packet filter
比起静态包过滤技术先进,可根据实 际应用请求自动生成或删除相应包 过滤规则,而无需管理员人工干预。 只能对数据的IP地址信息进行过滤, 不能对用户身份的合法性进行鉴定。 包过滤防火墙通常工作在OSI的三层 及三层以下,可控的内容包括报文的 源地址、报文的目标地址、服务类 型,以及第二层数据链路层可控的 MAC地址等。
25
4.4.1 电路级网关的工作过程
统一资源定位符(URL,英语 Uniform / Universal Resource Locator 的缩写)也被称为网页 地址,是因特网上标准的资源 的地址(Address)。它最初是 由蒂姆· 伯纳斯-李发明用来作为 万维网的地址的。现在它已经 被万维网联盟编制为因特网标 ● 假定有一用户正在试图和目的URL进 准RFC1738了。 行连接。 ● 此时,该用户所使用的客户应用程序不 是为这个URL发出的DNS请求,而是将请 求发到地址已经被解析的电路级网关(如 代理服务器)的接口上。 ● 若有需要,电路级网关提示用户进行身 份认证。 ● 用户通过身份认证后,电路级网关为目 的URL发出一个DNS请求,然后用自己的 IP地址和目的IP地址建立一个连接。 ● 电路级网关然后把目的URL服务器的应 答转给用户。
18
表4-2:网络结构创建的规则库示例
规则 1 2 协议类型 TCP TCP 源地址 197.168.0.0/24 197.168.0.0/24 源端口 1023 1023 目的地址 192.168.3.1 192.168.3.2 目的端口 80 25 措施 通过 通过
3
4
UDP
任意
197.168.0.0/24
7
4.2.1 包过滤技术分类
1. 静态包过滤(Static packet filter) 传统包过滤技术,它根据流经该 设备的数据包地址信息决定是否允 许该数据包通过。判断的依据有 (只考虑IP包): ● 数据包协议类型:TCP,UDP, ICMP,IGMP等。 ● 源IP地址、目的IP地址。 ● 源端口、目的端口:FTP, HTTP,DNS等。
7 6 5 4 3 2
应用层 表示层 会话层 传输层 网络层 数据链路层
1
物理层
9
4.2.2 过滤器的工作原理
1. 使用过滤器 数据包过滤用在内部主机和 外部主机之间。过滤系统是一台 路由器或一台主机,根据过滤规 则决定是否让数据包通过。 2. 过滤器的实现 一般使用过滤路由器来实现, 过滤器会更加仔细地检查数据包, 决定是否有到达目标地址的路径、 是否应该发送数据包。
难点 重点 考点
防火墙的体系结构
包过滤器
应用级网关 电路级网关
4.5
4.6
状态包检测(SPI) 防火墙的实施方式
2
4.1 防火墙的体系结构
4.1.1 双重宿主主机体系结构 4.1.2 被屏蔽主机体系结构 4.1.3 被屏蔽子网体系结构
3
4.1.1 双重宿主主机体系结构
双重宿主主机至少 有两个网络接口, 一接内部网络,另 一接连接外部网络, (寄生于内外两个 网络之中)。 外部网络与内部网 络不能直接通信, 必须经过双重宿主 主机的过滤和控制, 如右图所示。
17
表4-1:包过滤举例
规则 1 2 3 4 5 协议类型 TCP TCP TCP UDP 任意 源地址 128.5.6.0/24 任意 任意 任意 任意 目的地址 129.1.5.155 129.1.5.154 129.1.5.150 129.1.5.153 任意 源端口 >1023 >1023 >1023 >1023 任意 目的端口 23 80 25 23 任意 措施 允许 允许 允许 允许 禁止
14
3.包过滤防火墙的过滤规则
● 对付源IP地址欺骗式攻击
(Source IP Address Spoofing Attacks): 对入侵者假冒内部主机,从外 部传输一个源IP地址为内部网络IP 地址的数据包的这类攻击,防火墙 只需把来自外部端口的使用内部源 地址的数据包统统丢弃掉。
15
3.包过滤防火墙的过滤规则
22
4.3.1 应用级网关的工作过程
当客户机需要使用服务器上的数据时,首先将数据请求发给代理 服务器; 由代理服务器根据这一请求向服务器请求数据; 再由代理服务器将返回的数据转给客户机。
23
4.3.2 应用级网关的优缺点
24
应用级网关的安全性高,其不足 是要为每种应用提供专门的代理 服务程序。 应用级网关有较好的访问控制, 是目前最安全的防火墙技术,但 实现困难。在实际使用中经常会 发现存在延迟并且必须进行多次 登录(Login)才能访问Internet 或Intranet。 应用级网关访问速度比较慢,因 为它不允许用户直接访问网络, 而且需要对每一个特定的 Internet服务安装相应的代理服 务软件。
● 对于一个小型的、不太复杂的站 点,包过滤比较容易实现。 ● 因为工作在传输层(TCP或UDP) 或者在网络层(ICMP或IP),所 以处理包的速度比代理服务器快。 ● 价格便宜。 ● ● 对流量的管理比较出色。 ● 需要管理的开销很少,对屏蔽设 备的性能不会产生很大影响。
20
2.包过滤的缺点
没有用户身份认证机制。 在复杂环境中规则表会很大而且 复杂,难管理,漏洞也会增加。 依赖一个单一的部件来保护系统。 如果外部用户被允许访问内部主 机,则它就可以访问内部网上的 任何主机。 只能阻止外部主机伪装内部主机 的IP,不能阻止外部主机伪装外 部主机的IP欺骗却。
Attacks): 入侵者使用TCP/IP数据包的分段特 性,创建小分段并强行将TCP头信息 分成多个数据包,以绕过用户防火墙 的过滤规则。黑客期望防火墙只检查 第一个分段而允许其余的分段通过。 对付这类攻击,防火墙只需将TCP/IP 协议片断位移植(Fragment Offset) 为1的数据包全部丢弃即可。
28
4.5.1 SPI防火墙的工作过程
状态检测包的逻辑流程如
29
右图所示。 当数据包到达防火墙的接 口,防火墙判断数据是不是 已经在连接; 如果是在连接就对数据包 进行特征检测,并判断策略 是否让防火墙内容通过; 如果可以通过的话就转发 到目的端口并记录日志,否 则就丢掉数据包。
4.5.2 SPI的优缺点
应用层 表示层 会话层 传输层 网络层 数据链路层
1
物理层
27
4.5 全状态包检测(SPI)
全状态包检测(Statefull
规则检查防火墙
Packet Inspection,SPI) 结合了包过滤防火墙、电路级网 关和应用级网关的特点。
包过滤防火墙,检查IP地址和端口 号,过滤进出的数据包。在OSI网络层。 电路级网关,检查数据包标记和序列 数字是否逻辑有序。在会话层。 应用级网关,检查数据包的内容。在 应用层。
提供全状态包检测(SPI)的防 优点一:如果某个访问违反 火墙安全系统54M无线路由器 安全规定,就会拒绝该访问, SMC WBR14-G3 并做日志记录。 功能 支持64/128 bit WEP加密, 优点二:是它会监测无连接状 支持Wi-Fi保护访问(WPA) 态的远程过程调用(RPC)和 /WPA2 ; 用户数据报(UDP)之类的端 可关闭 SSID 广播和 MAC 地址 口信息,而包过滤和应用网关 过滤。 防火墙都不支持此类应用。这 提供全状态包检测(SPI)防火 种防火墙无疑是非常坚固的。 墙安全系统,可分析数据包,确保 缺点:降低网络的速度,配置 有授权的数据包才可以访问。还可 比较复杂。 以基于用户自定义的访问策略比如 时间,IP地址过滤和MAC 地址过 滤的方式实现访问控制.。
规则1:允许子网128.5.6.0/24中的源地址访问网内资源,并从一个随机的高 端口号上发出Telnet连接到目的地址的TCP23端口上。 规则2:用于典型的HTTP流量,它允许外界通过80端口访问内部网络。该域 WWW服务器的IP地址是129.1.5.154。由于不知道谁会访问该WWW服务器, 所以不对源IP地址作限制。
4
4.1.2 被屏蔽主机体系结构
使用路由器隔离开内外网络,如下图所示。 安全由数据包过滤提供。涉及到堡垒主机。
5
4.1.3 被屏蔽子网体系结构
最简单的形式为两个屏蔽路由器,都连接到周边网。 一个位于周边网与内部网络之间,另一个位于周边网 与外部网络之间。
6
4.2 包过滤器
包过滤又称“报文过滤”,它是防火墙最传统、最基 本的过滤技术。 包过滤器的工作是检查每个包的头部中的有关字段。 网络管理员可以配置包过滤器,指定要检测哪些字段 以及如何处理等。
13
2.包过滤的过滤策略
● 拒绝来自某主机网段的所有连接。
● 允许来自某主机网段的所有连接。 ● 拒绝来自某主机指定端口的连接。 ● 允许来自某网段指定端口的连接。 ● 拒绝本地主机或本地网络与其他 主机或其他网络的所有连接。 ● 允许本地主机或本地网络与其他 主机或其他网络的所有连接。 ● 拒绝本地主机或本地网络与其他 主机或其他网络的指定端口的连接。