返回
防火墙的类型.ppt

防火墙的类型.ppt

ID:56438661

大小:495.00 KB

页数:41页

时间:2020-06-18

防火墙的类型.ppt_第1页
防火墙的类型.ppt_第2页
防火墙的类型.ppt_第3页
防火墙的类型.ppt_第4页
防火墙的类型.ppt_第5页
资源描述:

《防火墙的类型.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、6.2防火墙的类型包过滤型防火墙1应用级网关型防火墙2代理服务型防火墙3状态监测防火墙4防火墙技术可根据防火墙防范的方式和工作的侧重点不同而分为很多种类型,但总体来讲可分为:包过滤防火墙应用代理防火墙电路级网关防火墙状态监测防火墙数据包过滤技术——在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。此外,还有一种可以分析包中数据区

2、内容的智能型包过滤器。基于包过滤技术的防火墙,简称包过滤型防火墙。6.2.1包过滤防火墙基于包过滤技术的防火墙,简称包过滤型防火墙,其工作机制如图所示。包过滤技术是防火墙的基本功能,它依赖于数据传输的一般结构,而数据结构所使用的数据包头部包含有IP地址信息和协议所使用的端口信息,根据这些信息,可以决定是否将数据转发给目的地。包过滤技术取决于管理员设定的规则库,规则库的制定包含以下信息:1、发出数据包的源地址和目的地址;2、接收数据包的源地址和目的地址;3、所涉及的网络协议(TCP、UDP等);4、所使用的端口

3、,如HTTP使用的80端口第一代:静态包过滤这类防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于包头信息进行制定。第二代:动态包过滤这类防火墙采用动态设置报过滤规则的方法,避免了静态包过滤所有的问题,后来发展为包状态监测技术。采用这种技术的防火墙对通过其建立的每一个连接都进行追踪,并且根据需要可动态的在过滤规则中增加或更新条目。一个包过滤防火墙必须具备两个端口,一个端口连接非信任网络(如因特网),另一个端口连接可信网络(如内部网络。防火墙配置的规则必须能对一个非信任

4、端口流向信任端口,或信任端口流向非信任端口进行控制处理,以此来决定是否让信息流通过,如图所示。2、包过滤技术的过程HTTPDNSSMTP由图可见,一个典型的网络结构,包括HTTP、DNS、SMTP内部网络通过包过滤防火墙将其分为服务器区域和子网络区域。创建规则库。规则库包含了最常见的网络服务的安全规则,包括现有的网络情况自定义的安全规则。创建一个规则库需要按照以下标准:协议类型、源地址、目的地址、源端口、目的端口、当数据包和规则库匹配时应采用的措施。目前,由于包过滤是防火墙的基本功能之一。多数现代的IP路由软

5、件或设备都支持包过滤功能,并默认转发所有的包。ipf、ipfw、ipfwadm是有名的自由过滤软件,可以运行在Linux操作系统平台上。包过滤的控制依据是规则集,典型的过滤规则表示格式由规则号、匹配条件、匹配操作三部分组成,包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP,TCP,ICMP)、通信方向及规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计等三种。表1是包过滤型防火墙过滤规则表,这些规则的作用

6、在于只允许内、外网的邮件通信,其他的通信都禁止。表1防火墙过滤规则表需要特别指出的是:包过滤型防火墙对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。在实际网络安全管理中,包过滤技术经常用来进行网络访问控制。下面以CiscoIOS为例,说明包过滤器的作用。CiscoIOS有两种访问规则形式,即标准IP访问表和扩展IP访问表,它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行。标准IP访问控制规则的格式如下:assess-listlist-mumber{deny

7、p

8、ernit}source[source-wildcard][log]而扩展IP访问规则的格式是:assess-listlist-mumber{deny

9、pernit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log

10、log-input]其中:*标准IP访问控制规则的list-number规定为1~99,而扩展IP访问规则的list-number规定为10

11、0~199;*deny表示若经过CiscoIOS过滤器的包条件匹配,则禁止该包通过;*permit表示若经过CiscoIOS过滤器的包条件匹配,则允许该包通过;*source表示来源的IP地址;*source-wildcard表示发送数据包的主机IP地址的通配符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任何来源的IP包;*destination表示目的IP地址;*destination

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。