防火墙技术详解

防火墙术详解北技天和科瑞京询咨有公限 司京邮北大学移动电互联与网息信实化室 验2011年月

6火墙技防术详1.解 1火墙简防介1. 防火2的墙能要求功1.3 火防墙安的全置配.1 防4火墙的安全理管

简介—防—火是墙什？么过！过滤滤过！!滤forwrda 实现 一公个司的全安略 策创建一阻个塞点 录记INTRNETE动 活Input uoptt

u限制网暴络露uoputtf orwardI pnu

t

介简——防墙的放火在哪？

部子内1

网Intenetr路由防火器墙防火墙

部内子网2业企内部网

防墙类火型 包过滤防火墙状 态测检防墙火 代理防火 墙 混合防墙 火人个火墙防

防火墙型—类—包滤(过)1 任务 就:作是“为信通警”察指，包和截住 那些有危害的引。包 包 过防滤火墙查检一每个过的通络包，网或 丢者，弃或放者行，决于所建取的立套规一则 ； 本质上 包过滤，火墙防是址多，的表明有两它 或个个两上以网络适器或接配口例如，作为 。防墙的火备设可有能块两网，一卡连块到部内网络 ，块连到公一共In的teret。n

火墙防类型——包过滤(2)包滤防过墙的工火原理：作 防墙可以火提内部供信息说以所通过的明接 状连态一些和数流据内的，容判把的断息同规信则 表进行比，较在则规表定义中了各种则规来 明是表否同或拒绝包的通意过。过包防火墙 滤查每检条一规直则发现至包的中息与信某则规 相符。果如没一条有则规符合能，防墙就会 使火用默规则认，般情一下，默认况则规是要 就防火墙求弃该包。丢其，通次定义基于过TC或P UD数据P的包口号，防火墙端能够断是判否许允建立特定的 接连，如eTnlt、FTPe连接

。火墙防类—型包过滤(3)—建立包过滤火防规则的墙例如子：下

在公 网络，只允共许目的地址为80端的口通包过 。这规则只条允许传入的连为We接b连。接这规则条 也许允Web与连使接用相同口端的接连，以所它并不是 分安十全。 丢从弃共公络传网，但源入址为内部地网络地 址包，的从减而IP欺少骗的攻击。性 丢弃包含 路由信息的源，以减包少路由源击。 要记住攻，在路源攻击中，由入传包包的路由信 息，它覆盖含了包通网过应络取采正常路得，可

由防

墙火型类——包滤(过)4使用过滤包火墙防优点的包括： 防墙火每条对入和传传网络的包实行出水低平制；控 每 个IP包的字段被检查，例都如源址、地目的址地协议、端口、,等防火墙将 基这于些息应用过信滤则； 规 火防可以识别墙和丢带欺弃性源骗P地I的包址 ； 包 过防滤火是两墙网个络之访问的唯一来间源因，为所的通信必须有通过防 火墙绕过是困，

难的； 包过滤通 常包含被在由路数器据包中所以，必额外不系统来处的理这 特个征；使用包滤防火过墙缺的包括点 :配 臵困难：因包过为防火墙滤复杂，人们经常会忽略建立很些一要必 的规，则者或误配错了臵已有的则，规在火墙上防留下漏；洞 特定服务开放的端为口在着存危，可险会被用能其于传他输； 可能还 其有他方法绕过防火进墙入络，网例拨入连接，如这但并个不

火墙类防型—状—检测态(1) 态状检测又动称态包过，是滤传统在包滤过的上功能 扩，展包滤防火墙中引过了入状态检测，表最 由check早opnt提出。

i

防墙火类型——态检测(状2)作原理工: TPC:包建当起立一T个CP连时接，过的通一个第 包标被包有SYN标志的通常情况下，。防火丢墙 所有外弃部的连企图接除，非已经建立某起条 定特则来规理它们。处对部的连内接试连到图部外 主机，防火注墙连明包接允许，应随后在响个 系统之间传两的包，输到直连结接为束止。这种在方式 下传入的包，只在它有是响一应个建立已的连接 时才会，允被通过许。

防火墙型类——状态检测()工3作理原： UD P:UD包P比TC包包简P,因为单它们包含任不何连接序 或信列。息们它包只含源址地目、地的址校验、携带和数的 据。这信息的缺种乏使得火墙确定防包的法性很合难， 因为没困打开有的连接利可用以，试测入传包是的应被允 许否通过可是，。如防果墙跟火踪包的状态就可，确以定。 对传入包，的若它使所用的地和址UDP包带的协议携与传 出的连请接求匹配该包，就允被许过。通T和CP包一，没有样 入传UD的包P被允会许通，除非过是它应响传出请的或已 经求建立指定的规了则处理它来对。他种类的包其情况， 和UD包P类似防。墙火细地仔跟传出踪请求的，录记所下用使的地 址、议协包的和类型，后对照然保存过的息信对核 传的包，入确以这些包保被是请的。求

防火墙类——型状态检(测4状态)/动态检测防墙火的优点有： 具 有查检I包P的个每段字的能，并力从基遵包于信息的中过规滤则 ; 别识带有骗性源欺I地址包的能P力； 具 有于基应用程信序息验证个一包的状的能态， 例力如基于一个已 建经立F的PT接，连允许返回的TPF通过包；允许一先前认证过个 连的接继续与被授的予服通务；信 具有记录 有关过的每个包的通细详信的息力。能基本，上火防墙 来用确包定状的态所信有都息以可记被录包括，用程应对序包的请， 求接连持续时间的内，部外和部统系所做的接请求等； 连状态动/态测检防墙火的缺点： 所有这些 录记、试和测分析工作能会可成网络造接连某的种滞迟 ，别是特在时有许多同连激接活的候，或时是有者量大过的滤络通 网信的规则在时存。是可，件速度越快硬，这问题个越就易不觉， 察而防火且的墙制造一商直力于致高他们产提的速度品。

防墙类火—型—理代防火墙1( ) 应级防用墙主火工作在要用层应。应级防火墙往用 往称为应又用网级。 关 应 用序代程防火墙理际上并不允许实它在接连的网 之间络直通信接。反相，是接它受来自内部网特络用定户 用应序程的通，信然建后对立共网公服务络单独 器的连接。网内络的用户部直接不外与部的服器务通， 所信服务以不能直接器访问部网的内任一部分。何

另 外，如不为特定果的应用序程安装代程序代码理 这种，服是不会被支持的务，不建立任何能接。这连 种立方式拒绝任何没建明有配确的连臵接从而提供了，额外 的全安性控和制。性防火

墙型类—代理防—墙火()2支的常见持用应序：程 HTP TTTPS/HSSL STPM PO 3 PIAP M N NPT TLENE TFTP应用程代理序火防可墙以配 臵允成来自内许部网络的 任连接何它也可以，臵成配要求 户认用证后才建立接连。 要求认的方证由只为已知 的式用户立连建接这种限制，的 安为全性供了额外提保的证 。果如络网到危害受，这个特征 使从得内部发动击攻的可 性大大能少。

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新外语学习防火墙技术详解全文阅读和word下载服务。