防火墙基本知识
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
优点: • 速度快,吞吐率高 (过滤规则较少时) • 对应用程序透明(无帐号口令等) 缺点: • 安全性低 • 不能过滤传输层以上的信息 • 不能监控链路状态信息
www.diputech.com
10
应用代理防火墙—图示 应用代理防火墙 图示
• 代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请 求被认可,代理服务器便代表客户接触真正的服务器并且转发从代理 客户到真正的服务器的请求以及真正的服务器到代理客户的响应。
现代防火墙基本为3种类型防火墙的综合体,即采用状态检测型包过滤技术, 现代防火墙基本为3种类型防火墙的综合体,即采用状态检测型包过滤技术,同时 提供透明应用代理功能。 提供透明应用代理功能。
www.diputech.com 7
包过滤防火墙
• 基本概念:数据包过滤是指在网络中的适当位置对数据包实 施有选择的通过。选择的依据就是系统内设置的过滤规则或 称访问控制表。 • 包过滤操作过程 :
www.diputech.com
23
安全区域( 安全区域(ZONE) )
非受信区域和受信区域之间 不能互访 防火墙 受信区域 Trust 非受信区域 Untrust
受信区域->DMZ区 受信区域->DMZ区,可以访问 POP3和SMTP服务 POP3和SMTP服务 DMZ- 受信区域, DMZ->受信区域,不可访问任 何服务
特点: • 安全性得到进一步提高。 • 可监测无连接状态的远程过程调用和用户数据报 之类的端口信息。
www.diputech.com
15
主要内容
防火墙基本知识 防火墙技术 防火墙种类 防火墙发展 防火墙主要技术 防火墙选择 防火墙部署
www.diputech.com
16
防火墙技术与产品发展回顾
• 防火墙产品的四个发展阶段(四代)
www.diputech.com 6
防火墙技术发展介绍
主要分为以下3种类型防火墙: 主要分为以下3种类型防火墙: 包 过 滤 防 火 墙 :根据一组规则允许/阻塞一些数据包。 应用代理型防火墙:作为应用层代理服务器,提供安全防护。 状态检测型防火墙:比包过滤防火墙具有更高的智能和安全性,会话成功建立连 接以后记录状态信息并时时更新,所有会话数据都要与状态表信息相匹配;否则 会话被阻断。 状态检测技术
– – – – 基于路由器的防火墙 用户化的防火墙工具套件 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙
www.diputech.com
17
第一代: 第一代:基于路由器的防火墙
• 称为包过滤防火墙 • 特征:
– 以访问控制表方式实现包过滤 – 过滤的依据是IP地址、端口号和其它网络特征 – 只有包过滤功能,且防火墙与路由器合为一体
• 防火墙就是阻断侦测、识破欺骗、阻断攻击,实现对网络 中安全威胁的防御。
www.diputech.com
26
虚拟专用网( 虚拟专用网(VPN) )
• 通过组合数据封装和加密技术,实现私有数据通过公共网络平 台进行安全传输,从而以经济、灵活的方式实现两个局域网络 通过公共网络平台进行衔接,或者提供移动用户安全的通过公 共网络平台接入内网。
13
基于状态的包过滤防火墙—图示 基于状态的包过滤防火墙 图示
状态检测包过滤防火墙
会话连接状态缓存表 符合 下一步 处理
IP 包
检测包头
符合 不符合
安全策略:过滤规则
检 查 项
IP 包的源、目的地址、端口 TCP 会话的连接状态 上下文信息
丢弃
www.diputech.com
14
基于状态的包过滤防火墙—技术评价 基于状态的包过滤防火墙 技术评价
www.diputech.com
8
包过滤防火墙—图示 包过滤防火墙 图示
检 查 项
IP 包的源地址 IP 包的目的地址 TCP/UDP 源端口
包过滤防火墙
IP 包 检测包头 符合 不符合 安全策略:过滤规则 路由表 检查路由
转发
丢弃
www.diputech.com 9
包过滤防火墙—技术评价 包过滤防火墙 技术评价
DPtech 防火墙
Internet
Untrust 不可信区域
对外服务器
外网,默认是不安全的
DMZ区 区 企业对外提供服务功来自百度文库 属于缓冲区
Trust 可信区域 企业内部需要保护的区域
www.diputech.com 3
防火墙基本知识—防火墙的作用 防火墙基本知识 防火墙的作用
• 防火墙可强迫所有进出信息都通过这个唯一狭窄的检查点,便于 集中实施安全策略。 • 防火墙可以实行强制的网络安全策略,如:禁止不安全的协议 • 防火墙可以对网络存取和访问进行监控审计。如:对P2P流量的 监管和限流。 • 使用内部防火墙还可以防止一个网段的问题传播到另一个网段。
逻辑通道 安全加密
合作伙伴 移动用户 接入点
VPN
中心站点
SOHO用户 SOHO用户 分支机构
www.diputech.com 27
网络地址转换技术( 网络地址转换技术(NAT) )
• NAT就是将一个IP地址用另一个IP地址代替。 • 应用领域:
– 网络管理员希望隐藏内部网络的IP地址。 – 合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址 规划(内网私有地址)
DMZ区 DMZ区 非受信区域->DMZ区 非受信区域->DMZ区,可 以访问POP3 SMTP服务 POP3和 以访问POP3和SMTP服务 DMZ- 非受信区域, DMZ->非受信区域,可以 访问任何服务
交换机
应用服务器
• 安全区域:安全管理基本单位,通过划分不同区域,为其定级不同安全 级别,从而执行相应的安全策略,主要是不同区域间的访问控制 • 将接口加入相应安全区域,即意味着与接口相连的网络接入本安全区域 • Trust、Untrust、DMZ为防火墙默认三个安全区域
www.diputech.com 24
攻击防范—当前主要攻击 攻击防范 当前主要攻击
• 攻击按照不同划分标准,有不同分类。一般分为畸形报文 (利用协议漏洞)、泛洪类(Flood,发起大量请求)、应 用层(操作系统和软件漏洞),下面是当前知名攻击
•Land攻击防范 •Smurf攻击防范 •Fraggle攻击防范 •WinNuke攻击防范 •Ping of Death攻击防范 •Tear Drop攻击防范 •IP Spoofing攻击防范 •SYN Flood攻击防范 •ICMP Flood攻击防范 •UDP Flood攻击防范 •ARP欺骗攻击防范 •ARP主动反向查询 •TCP报文标志位异常攻击防范 •超大ICMP报文攻击防范 •地址扫描的防范 •端口扫描的防范
www.diputech.com
21
主要内容
防火墙基本知识 防火墙技术 防火墙种类 防火墙发展 防火墙主要技术 防火墙选择 防火墙部署
www.diputech.com
22
防火墙关键技术汇总
• 安全区域:Zone,防火墙最基本功能,将网络按照不同防护需求划分 安全区域: 为隔离的区域 • 攻击防范:对各种攻击进行识别和阻断,保障网络内部用户的数据安全 攻击防范: • VPN Virtual Private Network,就是虚拟专用网,主要是保证在不可 VPN: 信的公网上建立用户的“专线”,通过加密实现逻辑上的专线建设,从 而实现远程安全通信 • NAT Network Address Translation,就是地址转换,主要用于保护 NAT: 内网组网架构和地址匮乏 • 状态检测:保障应用链接是有内网用户发起,并且是按照 标准状态进行; 状态检测: 对外部发起的任何访问都不响应 • 状态热备:
• 可以将被保护网络内部的结构屏蔽起来 • 可以实施较强的数据流监控、记录。 • 可提供应用层的安全(身份验证等) • 灵活性通用性较差,只支持有限的应用。 • 不透明(用户每次连接可能要受到“盘问”) • 代理服务的工作量较大,需要专门的硬件(工作站)来承担
缺点:
www.diputech.com
12
www.diputech.com
19
第三代: 第三代:建立在通用操作系统上的防火墙
• 实现方式:软件、硬件、软硬结合。 • 问题: – 作为基础的操作系统及其内核的安全性无从保证。 – 通用操作系统厂商不会对防火墙的安全性负责; – 第三代防火墙既要防止来自外部网络的攻击,还要防 止来自操作系统漏洞的攻击。 – 用户必须依赖两方面的安全支持:防火墙厂商和操作 系统厂商。 上述问题在基于Windows /Linux开发的防火墙产品中表现 得十分明显。
被转发的 请求 代理服务器 安全策略 访问控制 代理客户机 应答
Server
请求
Client
被转发的 应答
应用代理防火墙
双向通信必须经过应用代理,禁止IP直接转发; 只允许本地安全策略允许的通信信息通过;
www.diputech.com 11
应用代理防火墙—技术评价 应用代理防火墙 技术评价
优点:
www.diputech.com
20
第四代: 第四代:具有安全操作系统的防火墙
特点: • 防火墙厂商具有操作系统的源代码,并可实现安全内核; 这是一个安全厂商技术实力的体现 • 对安全内核实现加固处理:即去掉不必要的系统特性,强 化安全保护,从而可以提供更高的处理性能 • 在功能上包括了分组过滤、代理服务,且具有加密与鉴别 功能; • 具有独立硬件技术的厂商,安全可靠性更高 主流安全厂商属于第四代技术。
防火墙基础知识
09年04月 年 月
主要内容
防火墙基本知识 防火墙技术 防火墙选择 防火墙部署
www.diputech.com
2
防火墙基本知识—概念 防火墙基本知识 概念
• 防火墙的定义:是在两个网络之间执行访问控制策略的一组硬件和软件 系统,其目的是保护本地网络的通信安全。 • 防火墙的保护功能:防火墙对内部网络的保护是双向的。从入的方向上, 它阻止外面网络对本地网络的非法访问和入侵;从出的方向上,它控制 本地网络对外部不良网络进行访问或者是未经允许的数据输出,防止内 部信息的泄露。
防火墙主要是让网络“断”,默认所有数据都丢弃, 只有合法的数据才能通过。
www.diputech.com
4
防火墙基本知识—防护模型 防火墙基本知识 防护模型
防火墙主要管理范围
• 防火墙主要是针对4层报文进行安全过滤,对7层应用层分析较少。
www.diputech.com 5
主要内容
防火墙基本知识 防火墙技术 防火墙种类 防火墙发展 防火墙主要技术 防火墙选择 防火墙部署 典型配置案例
• 缺点:
– – – – 路由协议本身具有安全漏洞 路由器上的包过滤规则的设置和配置复杂 攻击者可假冒地址 本质缺陷:防火墙的设置会大大降低路由器的性能(一对矛盾 )
www.diputech.com
18
第二代:用户化的防火墙工具套件 第二代 用户化的防火墙工具套件
• 特征: – 将过滤功能从路由器中独立出来,并加上审计和告警 功能; – 针对用户需求提供模块化的软件包; – 纯软件产品。 – 安全性提高,价格降低; • 缺点: – 配置和维护过程复杂费时; – 对用户技术要求高; – 全软件实现,安全性和处理速度均有局限;
www.diputech.com
25
攻击防范
各种网络攻击可以归结为:
• 侦测技术 :攻击前奏,通过扫描和探测来摸清目标的网络架构、 漏洞、操作系统等,为下一步攻击作准备。 • 欺骗技术 欺骗技术:包括IP欺骗和ARP欺骗,用来隐蔽攻击行为 • DOS/DDOS(拒绝服务/分布式拒绝服务攻击) :主流攻击模式 ,利用系统异常和大量虚假报文,让目标无法继续提供正常服务 ,从而达到攻击目的 • 蠕虫、木马等病毒攻击 :应用层攻击,不仅仅是破坏目标应用, 蠕虫、 更是以获利为主要目的。
基于状态的包过滤防火墙
• 状态检测技术对于新建立的连接,首先检查预先设置的安 全规则,允许符合规则的连接通过,并记录下该连接的相 关信息,生成状态表。对该连接的后续数据包,只要是符 合状态表的,就可以通过。
可对各层的通信进行主动、实时的监控 重组会话,对应用进行细粒度检测
www.diputech.com
① 包过滤规则必须被存储在包过滤设备的端口; ② 当数据包在端口到达时,包头被提取,同时包过滤设备检查IP、 TCP、UDP等包头中的信息; ③ 包过滤规则以特定的次序被存储,每一规则按照被存储的次序作 用于包; ④ 如果一条规则允许传输,包就被通过;如果一条规则阻止传输, 包就被弃掉或进入下一条规则。
www.diputech.com
10
应用代理防火墙—图示 应用代理防火墙 图示
• 代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请 求被认可,代理服务器便代表客户接触真正的服务器并且转发从代理 客户到真正的服务器的请求以及真正的服务器到代理客户的响应。
现代防火墙基本为3种类型防火墙的综合体,即采用状态检测型包过滤技术, 现代防火墙基本为3种类型防火墙的综合体,即采用状态检测型包过滤技术,同时 提供透明应用代理功能。 提供透明应用代理功能。
www.diputech.com 7
包过滤防火墙
• 基本概念:数据包过滤是指在网络中的适当位置对数据包实 施有选择的通过。选择的依据就是系统内设置的过滤规则或 称访问控制表。 • 包过滤操作过程 :
www.diputech.com
23
安全区域( 安全区域(ZONE) )
非受信区域和受信区域之间 不能互访 防火墙 受信区域 Trust 非受信区域 Untrust
受信区域->DMZ区 受信区域->DMZ区,可以访问 POP3和SMTP服务 POP3和SMTP服务 DMZ- 受信区域, DMZ->受信区域,不可访问任 何服务
特点: • 安全性得到进一步提高。 • 可监测无连接状态的远程过程调用和用户数据报 之类的端口信息。
www.diputech.com
15
主要内容
防火墙基本知识 防火墙技术 防火墙种类 防火墙发展 防火墙主要技术 防火墙选择 防火墙部署
www.diputech.com
16
防火墙技术与产品发展回顾
• 防火墙产品的四个发展阶段(四代)
www.diputech.com 6
防火墙技术发展介绍
主要分为以下3种类型防火墙: 主要分为以下3种类型防火墙: 包 过 滤 防 火 墙 :根据一组规则允许/阻塞一些数据包。 应用代理型防火墙:作为应用层代理服务器,提供安全防护。 状态检测型防火墙:比包过滤防火墙具有更高的智能和安全性,会话成功建立连 接以后记录状态信息并时时更新,所有会话数据都要与状态表信息相匹配;否则 会话被阻断。 状态检测技术
– – – – 基于路由器的防火墙 用户化的防火墙工具套件 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙
www.diputech.com
17
第一代: 第一代:基于路由器的防火墙
• 称为包过滤防火墙 • 特征:
– 以访问控制表方式实现包过滤 – 过滤的依据是IP地址、端口号和其它网络特征 – 只有包过滤功能,且防火墙与路由器合为一体
• 防火墙就是阻断侦测、识破欺骗、阻断攻击,实现对网络 中安全威胁的防御。
www.diputech.com
26
虚拟专用网( 虚拟专用网(VPN) )
• 通过组合数据封装和加密技术,实现私有数据通过公共网络平 台进行安全传输,从而以经济、灵活的方式实现两个局域网络 通过公共网络平台进行衔接,或者提供移动用户安全的通过公 共网络平台接入内网。
13
基于状态的包过滤防火墙—图示 基于状态的包过滤防火墙 图示
状态检测包过滤防火墙
会话连接状态缓存表 符合 下一步 处理
IP 包
检测包头
符合 不符合
安全策略:过滤规则
检 查 项
IP 包的源、目的地址、端口 TCP 会话的连接状态 上下文信息
丢弃
www.diputech.com
14
基于状态的包过滤防火墙—技术评价 基于状态的包过滤防火墙 技术评价
www.diputech.com
8
包过滤防火墙—图示 包过滤防火墙 图示
检 查 项
IP 包的源地址 IP 包的目的地址 TCP/UDP 源端口
包过滤防火墙
IP 包 检测包头 符合 不符合 安全策略:过滤规则 路由表 检查路由
转发
丢弃
www.diputech.com 9
包过滤防火墙—技术评价 包过滤防火墙 技术评价
DPtech 防火墙
Internet
Untrust 不可信区域
对外服务器
外网,默认是不安全的
DMZ区 区 企业对外提供服务功来自百度文库 属于缓冲区
Trust 可信区域 企业内部需要保护的区域
www.diputech.com 3
防火墙基本知识—防火墙的作用 防火墙基本知识 防火墙的作用
• 防火墙可强迫所有进出信息都通过这个唯一狭窄的检查点,便于 集中实施安全策略。 • 防火墙可以实行强制的网络安全策略,如:禁止不安全的协议 • 防火墙可以对网络存取和访问进行监控审计。如:对P2P流量的 监管和限流。 • 使用内部防火墙还可以防止一个网段的问题传播到另一个网段。
逻辑通道 安全加密
合作伙伴 移动用户 接入点
VPN
中心站点
SOHO用户 SOHO用户 分支机构
www.diputech.com 27
网络地址转换技术( 网络地址转换技术(NAT) )
• NAT就是将一个IP地址用另一个IP地址代替。 • 应用领域:
– 网络管理员希望隐藏内部网络的IP地址。 – 合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址 规划(内网私有地址)
DMZ区 DMZ区 非受信区域->DMZ区 非受信区域->DMZ区,可 以访问POP3 SMTP服务 POP3和 以访问POP3和SMTP服务 DMZ- 非受信区域, DMZ->非受信区域,可以 访问任何服务
交换机
应用服务器
• 安全区域:安全管理基本单位,通过划分不同区域,为其定级不同安全 级别,从而执行相应的安全策略,主要是不同区域间的访问控制 • 将接口加入相应安全区域,即意味着与接口相连的网络接入本安全区域 • Trust、Untrust、DMZ为防火墙默认三个安全区域
www.diputech.com 24
攻击防范—当前主要攻击 攻击防范 当前主要攻击
• 攻击按照不同划分标准,有不同分类。一般分为畸形报文 (利用协议漏洞)、泛洪类(Flood,发起大量请求)、应 用层(操作系统和软件漏洞),下面是当前知名攻击
•Land攻击防范 •Smurf攻击防范 •Fraggle攻击防范 •WinNuke攻击防范 •Ping of Death攻击防范 •Tear Drop攻击防范 •IP Spoofing攻击防范 •SYN Flood攻击防范 •ICMP Flood攻击防范 •UDP Flood攻击防范 •ARP欺骗攻击防范 •ARP主动反向查询 •TCP报文标志位异常攻击防范 •超大ICMP报文攻击防范 •地址扫描的防范 •端口扫描的防范
www.diputech.com
21
主要内容
防火墙基本知识 防火墙技术 防火墙种类 防火墙发展 防火墙主要技术 防火墙选择 防火墙部署
www.diputech.com
22
防火墙关键技术汇总
• 安全区域:Zone,防火墙最基本功能,将网络按照不同防护需求划分 安全区域: 为隔离的区域 • 攻击防范:对各种攻击进行识别和阻断,保障网络内部用户的数据安全 攻击防范: • VPN Virtual Private Network,就是虚拟专用网,主要是保证在不可 VPN: 信的公网上建立用户的“专线”,通过加密实现逻辑上的专线建设,从 而实现远程安全通信 • NAT Network Address Translation,就是地址转换,主要用于保护 NAT: 内网组网架构和地址匮乏 • 状态检测:保障应用链接是有内网用户发起,并且是按照 标准状态进行; 状态检测: 对外部发起的任何访问都不响应 • 状态热备:
• 可以将被保护网络内部的结构屏蔽起来 • 可以实施较强的数据流监控、记录。 • 可提供应用层的安全(身份验证等) • 灵活性通用性较差,只支持有限的应用。 • 不透明(用户每次连接可能要受到“盘问”) • 代理服务的工作量较大,需要专门的硬件(工作站)来承担
缺点:
www.diputech.com
12
www.diputech.com
19
第三代: 第三代:建立在通用操作系统上的防火墙
• 实现方式:软件、硬件、软硬结合。 • 问题: – 作为基础的操作系统及其内核的安全性无从保证。 – 通用操作系统厂商不会对防火墙的安全性负责; – 第三代防火墙既要防止来自外部网络的攻击,还要防 止来自操作系统漏洞的攻击。 – 用户必须依赖两方面的安全支持:防火墙厂商和操作 系统厂商。 上述问题在基于Windows /Linux开发的防火墙产品中表现 得十分明显。
被转发的 请求 代理服务器 安全策略 访问控制 代理客户机 应答
Server
请求
Client
被转发的 应答
应用代理防火墙
双向通信必须经过应用代理,禁止IP直接转发; 只允许本地安全策略允许的通信信息通过;
www.diputech.com 11
应用代理防火墙—技术评价 应用代理防火墙 技术评价
优点:
www.diputech.com
20
第四代: 第四代:具有安全操作系统的防火墙
特点: • 防火墙厂商具有操作系统的源代码,并可实现安全内核; 这是一个安全厂商技术实力的体现 • 对安全内核实现加固处理:即去掉不必要的系统特性,强 化安全保护,从而可以提供更高的处理性能 • 在功能上包括了分组过滤、代理服务,且具有加密与鉴别 功能; • 具有独立硬件技术的厂商,安全可靠性更高 主流安全厂商属于第四代技术。
防火墙基础知识
09年04月 年 月
主要内容
防火墙基本知识 防火墙技术 防火墙选择 防火墙部署
www.diputech.com
2
防火墙基本知识—概念 防火墙基本知识 概念
• 防火墙的定义:是在两个网络之间执行访问控制策略的一组硬件和软件 系统,其目的是保护本地网络的通信安全。 • 防火墙的保护功能:防火墙对内部网络的保护是双向的。从入的方向上, 它阻止外面网络对本地网络的非法访问和入侵;从出的方向上,它控制 本地网络对外部不良网络进行访问或者是未经允许的数据输出,防止内 部信息的泄露。
防火墙主要是让网络“断”,默认所有数据都丢弃, 只有合法的数据才能通过。
www.diputech.com
4
防火墙基本知识—防护模型 防火墙基本知识 防护模型
防火墙主要管理范围
• 防火墙主要是针对4层报文进行安全过滤,对7层应用层分析较少。
www.diputech.com 5
主要内容
防火墙基本知识 防火墙技术 防火墙种类 防火墙发展 防火墙主要技术 防火墙选择 防火墙部署 典型配置案例
• 缺点:
– – – – 路由协议本身具有安全漏洞 路由器上的包过滤规则的设置和配置复杂 攻击者可假冒地址 本质缺陷:防火墙的设置会大大降低路由器的性能(一对矛盾 )
www.diputech.com
18
第二代:用户化的防火墙工具套件 第二代 用户化的防火墙工具套件
• 特征: – 将过滤功能从路由器中独立出来,并加上审计和告警 功能; – 针对用户需求提供模块化的软件包; – 纯软件产品。 – 安全性提高,价格降低; • 缺点: – 配置和维护过程复杂费时; – 对用户技术要求高; – 全软件实现,安全性和处理速度均有局限;
www.diputech.com
25
攻击防范
各种网络攻击可以归结为:
• 侦测技术 :攻击前奏,通过扫描和探测来摸清目标的网络架构、 漏洞、操作系统等,为下一步攻击作准备。 • 欺骗技术 欺骗技术:包括IP欺骗和ARP欺骗,用来隐蔽攻击行为 • DOS/DDOS(拒绝服务/分布式拒绝服务攻击) :主流攻击模式 ,利用系统异常和大量虚假报文,让目标无法继续提供正常服务 ,从而达到攻击目的 • 蠕虫、木马等病毒攻击 :应用层攻击,不仅仅是破坏目标应用, 蠕虫、 更是以获利为主要目的。
基于状态的包过滤防火墙
• 状态检测技术对于新建立的连接,首先检查预先设置的安 全规则,允许符合规则的连接通过,并记录下该连接的相 关信息,生成状态表。对该连接的后续数据包,只要是符 合状态表的,就可以通过。
可对各层的通信进行主动、实时的监控 重组会话,对应用进行细粒度检测
www.diputech.com
① 包过滤规则必须被存储在包过滤设备的端口; ② 当数据包在端口到达时,包头被提取,同时包过滤设备检查IP、 TCP、UDP等包头中的信息; ③ 包过滤规则以特定的次序被存储,每一规则按照被存储的次序作 用于包; ④ 如果一条规则允许传输,包就被通过;如果一条规则阻止传输, 包就被弃掉或进入下一条规则。