防火墙精品PPT课件

往外包的特性(用户操作信息)
• IP源是内部地址 • 目标地址为 server • TCP协议，目标端口23 • 源端口>1023 • 连接的第一个包 ACK=0， 其他包ACK=1
往内包的特性(显示信息) • IP 源是 server • 目标地址为内部地址 • TCP协议，源端口23 • 目标端口>1023 • 所有往内的包都是 ACK=1
TCP 头信息
• 源端口号和目的端口号：源和目的主机的IP地址加上端口号构成一个 TCP连接
• 序号和确认号：序号为该 TCP 数据段的第一个数据字在所发送的数 据流中的偏移量；确认号为希望接收的下一个数据字的序号
• 首部长度，以4个字节为单位，基本长度为20个字节标志位
• URG：如果使用了紧急指针，URG置1，紧急指针为当前序号到紧急数据位 置的偏移量
防火墙规则匹配条件
• 防火墙产品大都是以 TCP/IP 协议 簇为基础而设计
• TCP/IP 协议簇具有明显的层次特性， 防火墙产品在不同层次上实现信息 过滤与控制所采用的策略也不相同
防火墙规则
• 一切未被允许的就是禁止的 • “默认拒绝”原则：规则库主要由处理手段为 ACCEPT的规则构成，通过防火墙的信息流进行 规则匹配，只要与其中任何一条匹配，则允许通过， 否则不能通过防火墙
包过滤路由器
• 工作在网络层，也称分组过滤路由器、网络级防火墙
包过滤技术
包过滤路由器
• 根据包地址（源或目的）或特定传输协议类型来控制包访 问内部网络
• 对所接收的每个数据包进行检查，根据过滤规则，然后决定转发 或者丢弃该包
• 往往配置成双向的
• 如何过滤
• 过滤规则基于 IP 包头信息。 IP 源地址、目的地址、 TCP/UDP 端口、 ICMP 消息类型、 TCP 头中的 ACK 位。
• 访问控制列表主要由各种规则组成，数据包过滤的规则 主要采用网络层与传输层匹配条件，一旦数据包与规则 的匹配条件相匹配，就会采用对应规则的处理方式。
包过滤技术
• 原理：监视并过滤网络上流入流出的包，拒绝 发送可疑的包 • 简单过滤技术（又称静态包过滤技术） • 状态检测技术（又称动态包过滤技术）
• 用户控制 • 根据用户来控制对服务的访问
• 行为控制 • 控制一个特定的服务的行为
防火墙规则
• 防火墙的基本原理是对内部网络与外部网络之间的信息流 传递进行控制，控制的功能是通过在防火墙中预先设定一 定的安全规则（也称为安全策略）实现的 • ACCEPT： 允许数据包或信息通过； • REJECT： 拒绝数据包或信息通过，并且通知信 息源该信息被禁止； • DROP： 直接将数据包或信息丢弃，并且不通知信 息源。
防火墙－经典安全模型
• 将网络中的主机、应用进程、用户等抽象为主体与对象；
• 数据包传递抽象为访问；
• 过滤规则抽象为授权数据库；防火墙进程抽象为参考监 视器；用户认证抽象为识别与验证；过滤日志、性能日 志等抽象为审计的结果。
防火墙
• 防火墙是位于两个或多个网络之间，执行访问控制策略的一个或 一组系统，是一类防范措施的总称
• 防火墙应满足的条件：
① 内部和外部之间的所有网络数据流必须经过防火 墙
② 只有符合安全政策的数据流才能通过防火墙 ③ 防火墙自身应对渗透(PENERATION)免疫
防火墙的访问控制能力
• 服务控制 • 确定哪些服务可以被访问
• 方向控制 • 对于特定的服务，可以确定允许哪个方向能够 通过防火墙
时SYN=1，ACK=1 • FIN： 用于释放连接，表示发送方已经没有供发送的数据
• 窗口大小：表示在确认字节后还可以发送字节数，用于 流量控制
• 校验和：覆盖了整个数据包，包括对数据包的首部和数 据
• 选项： 常见的选项是 MSS(MAXIMUM SEGMENT SIZE)
包过滤防火墙的设置
从内往外的 TELNET 服务
• ACK：为1表示确认号有效，为0表示该 TCP 数据包不包含确认信息
• PSH： 表示是带有 PUSH 标志的数据，接收到数据后不必等缓冲区满再发送
TCP 头信息
• RST：用于连接复位，也可用于拒绝非法的数据或拒绝连接请求 • SYN：用于建立连接，连接请求时SYN＝1，ACK=0；响应连接请求
防火墙
主要内容
• 防火墙的基本概念 • 防火墙的类型 • 防火墙的体系结构 • 防火墙的发展和产品
1.防火墙
• 防火墙是受保护的（或“内部”）网与不太可信的（或 “外部 网”）之间对所有通信量进行过滤的设备。防火墙技术属于 典型的静态安全技术，逻辑隔离内部网络与外部网络，通过 数据包过滤与应用层代理等方法实现内外网络之间信息的受 控传递，从而达到保护内部网络的目的
• 一切未被禁止的就是允许的 • “默认允许”原则：规则主要由处理手段为REJECT 或DROP的规则组成，通过防火墙的信息进行规则 匹配，一旦匹配则被防火墙丢弃或禁止，否则可以 通过防火墙
防火墙规则
• 用户帐号策略 • 用户权限策略 • 信任关系策略 • 包过滤策略 • 认证策略 • 签名策略 • 数据加密策略 • 密钥分配策略 • 审计策略
2.防火墙的类型
• 从防范领域分 • 个人防火墙：用于保护个人主机系统 • 网络防火墙：防火墙的主流产品，主要用于隔离外 部网络与内部网络
防火墙的类型
• 根据实现的技术 • 数据包过滤 • 应用级代理 • 电路级网关
防火墙的类型
• 数据包过滤
• 根据经典安全模型，在系统进行 IP 数据包转发时设置访 问控制列表，对 IP 数据包进行访问控制。
• 过滤器往往建立一组规则，根据 IP 包是否匹配规则中指定的条件 来作出决定。
• 如果有匹配按规则执行，没有匹配，则按缺省策略
包过滤路由器
包过滤的实例（假设使用Fra Baidu bibliotek认丢弃规则）
包过滤技术——简单包过滤
• 根据流经该设备的数据包地址信息决定是否允许该数据 包通过
• 判断依据（只考虑 IP 包） • 数据包协议类型 TCP、UDP、ICMP 等 • 源/目的 IP 地址 • 源/目的端口 • IP 选项：源路由等 • TCP 选项： SYN、ACK、FIN 等 • 其他协议选项 • 数据包流经网络接口ETH0、ETH1 • 数据包流向