防火墙技术-几种防护墙概念介绍VIP免费

第七讲：几种防火墙介绍11.简单包过滤/分组过滤防火墙2.状态检测包过滤防火墙3.应用代理防火墙4.电路中继防火墙传输层网络层数据链路层物理层应用层数据链路层物理层应用层传输层网络层一、状态检测防火墙对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。状态检测防火墙保留状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。2过滤规则实例3顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80permitOut2TCP192.168.1.5any202.106.185.23623permitOut4TCP*.*.*.*any*.*.*.*anydenyOut5UDP*.*.*.*any202.106.185.236161permitOut6UDP*.*.*.*any*.*.*.*anydenyOut过滤规则配置的两种方式（一）限制策略：接受信任的数据包，拒绝其它所有数据包4顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80permitOut2TCP192.168.1.5any192.168.2..23623permitOut3UDP*.*.*.*any192.168.2..236161permitOut4**.*.*.*any*.*.*.*anydeny*过滤规则配置的两种方式（二）宽松策略：拒绝不受信任的数据包，接受其它所有数据包5顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80denyOut2TCP192.168.1.*any*.*.*.*21denyOut3TCP*.*.*.*any192.168.1.*445denyIn5UDP*.*.*.*any192.168.2.39000denyOut6**.*.*.*any*.*.*.*anypermit*针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址对策：在外部接口上禁止内部地址小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中对策：丢弃分片太小的分片利用规则设置漏洞对策：采用状态检测防火墙1192.168.1.9anyanyanypermit2192.168.1.9anyany80deny源路由攻击，即由源指定路由对策：禁止这样的选项6源路由攻击71,B,permit2,C,denyB,DataC,DataB,DataR3,R1B,R3,R1,Data作业1：根据条件编写防火墙规则内网所有设备之间都能相互访问内网所有设备，除了61.2.2.4以外，都能访问外网的Web服务只有61.2.2.5能访问外网的应用A，其它设备都不能访问应用A内网Web服务和邮件服务能被外网所有设备访问内网文件服务能被外网的78.10.2.3访问，其它网外设备不能访问其它访问被禁止8内网外网作业1：要求11月6日前通过邮件递交(jliao@fudan.edu.cn)Word文件，文件名：学号-作业1.doc按以下格式编写规则：9顺序方向In/out/*协议TCP/UDP/*源地址源端口目的地址目的端口动作Permit/deny12345第七讲：几种防火墙介绍101.简单包过滤/分组过滤防火墙2.状态检测包过滤防火墙3.应用代理防火墙4.电路中继防火墙传输层网络层数据链路层物理层应用层数据链路层物理层应用层传输层网络层二、应用代理防火墙也称为应用层网关特点所有的内外网之间的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视数据包的应用层内容可以实现基于用户的认证，防止IP欺骗所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大11应用代理防火墙技术介绍优点：安全性高提供应用层的安全12缺点：性能差伸缩性差只支持有限的应用不透明应用代理防火墙13应用代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部/外部网络特定用户应用程序的通信，然后建立与外部/内部网络主机单独的连接。网络内部/外部的用户不直接与外部/内部的服务器通信，所以内部/外部主机不能直接访问外部/内部网络的任何一部分。DD应用代理防火墙工作原理14Telnet应用代理15远程登录Telnet应用代理的过程：1.用户首先Telnet到应用代理主机，并输入内部目标主机的名字（域名、IP地址）2.应用代理检查用户的源IP地址等，并根据事先设定的访问规则来决定是否转发或拒绝数据3.然后进行用户验证4.应用代理服务器为用户建立在网关与内部...