陕西师范大学：《计算机系统安全》课程教学资源（PPT讲稿）第八部分 防火墙

第六讲防火墙

第六讲 防火墙

内容 1基本概念 2包过滤型防火墙 ■3代理型防火墙 ■4防火墙连接模式 5防火墙产品的发展 ■6防火墙的局限性

内容 ◼ 1 基本概念 ◼ 2 包过滤型防火墙 ◼ 3 代理型防火墙 ◼ 4 防火墙连接模式 ◼ 5 防火墙产品的发展 ◼ 6 防火墙的局限性

1.基本概念 ■防火墙是一种保护网络安全的方法 ■防火墙是在两个网络间实现访问控制的 个或一组软件或硬件系统 ■防火墙的主要功能就是依照所定义的访 问控制策略对数据通讯进行屏蔽和允许 通信

1. 基本概念 ◼ 防火墙是一种保护网络安全的方法 ◼ 防火墙是在两个网络间实现访问控制的 一个或一组软件或硬件系统。 ◼ 防火墙的主要功能就是依照所定义的访 问控制策略对数据通讯进行屏蔽和允许 通信

防火墙的功能 网络通信过滤( Packet filter 访问控制:过滤未经授权的网络通信 网络内容过滤( Application Filter 网络地址转换(NAT 解决|地址不足 保护内部网络地址 隐藏提供网络服务的真实地址

防火墙的功能 ◼ 网络通信过滤(Packet Filter) – 访问控制：过滤未经授权的网络通信 ◼ 网络内容过滤(Application Filter) ◼ 网络地址转换(NAT) – 解决IP地址不足 – 保护内部网络地址 – 隐藏提供网络服务的真实地址

防火墙的基本规则 配置防火墙有两种基本规则:N○规则、Yes规则 切未被允许的就是禁止的(NO规则) 在该规则下,防火墙封锁所有的信息流,只允许符合开放规 则的信息进出。这种方法可以形成一种比较安全的网络环境, 但这是以牺牲用户使用的方便性为代价的 切未被禁止的就是允许的(Yes规则) 在该规则下,防火墙只禁止符合屏蔽规则的信息进出,而转 发所有其他信息流。这种方法提供了一种更为灵活的应用环 境,但很难提供可靠的安全防护。 具体选择哪种规则,要根据实际情况决定,如果出于安全考虑 就选择第一条准则,如果出于应用的便捷性考虑就选用第二条 准则

防火墙的基本规则 配置防火墙有两种基本规则： NO规则、 Yes 规则 ◼ 一切未被允许的就是禁止的（NO规则） – 在该规则下，防火墙封锁所有的信息流，只允许符合开放规 则的信息进出。这种方法可以形成一种比较安全的网络环境， 但这是以牺牲用户使用的方便性为代价的 ◼ 一切未被禁止的就是允许的（Yes 规则） – 在该规则下，防火墙只禁止符合屏蔽规则的信息进出，而转 发所有其他信息流。这种方法提供了一种更为灵活的应用环 境，但很难提供可靠的安全防护。 ◼ 具体选择哪种规则，要根据实际情况决定，如果出于安全考虑 就选择第一条准则，如果出于应用的便捷性考虑就选用第二条 准则

1P包 1P包 防火墙规则表 防火墙规则表 Y 匹配规则1 匹配规则1 N N Y 匹配规则2 匹配规则2 N N Y Y 匹配规则3 匹配规则3 N N 拒绝 接受 接受 拒绝 (a)NO规则 (b)YES规则

Y N N 匹配规则3 匹配规则2 匹配规则1 IP包 防火墙规则表 拒绝 接受 N Y Y （a）NO规则 Y N N 匹配规则3 匹配规则2 匹配规则1 IP包 防火墙规则表 接受 拒绝 N Y Y （b）YES规则

防火墙的类型 ■包过滤防火墙 静态包过滤防火墙 基于状态检测的包过滤防火墙 ■应用代理(网关)防火墙

防火墙的类型 ◼包过滤防火墙 –静态包过滤防火墙 –基于状态检测的包过滤防火墙 ◼应用代理（网关）防火墙

包过滤型防火墙 般工作在TCPP协议的层 ■根据系统设置的过滤规则,通过检査数据包的报头信息,根据数 据包的源地址、目的地址、服务类型、二层数据链路层可控的 MAC地址和以上的其他信息相组合,按照过滤规则来决定是否允 许数据包通过 ■常见设备:路由器,可以通过访问控制列表(ACL)来对路由器 端口的数据包进行过滤控制。 包括:静态包过滤防火墙、状态监测防火墙

包过滤型防火墙 ◼ 一般工作在TCP/IP协议的IP层 ◼ 根据系统设置的过滤规则，通过检查数据包的报头信息，根据数 据包的源地址、目的地址、服务类型、二层数据链路层可控的 MAC地址和以上的其他信息相组合，按照过滤规则来决定是否允 许数据包通过。 ◼ 常见设备：路由器，可以通过访问控制列表（ACL）来对路由器 端口的数据包进行过滤控制。 ◼ 包括：静态包过滤防火墙、状态监测防火墙

包过滤型防火墙 目的IP地址目的端口 源IP地址源端口 数据 TCP/UDP包

包过滤型防火墙 IP包 目的IP地址 源IP地址 目的端口 源端口 数据 TCP/UDP包

静态包过滤防火墙 静态包过滤防火墙工作在TCPP协议的旧P层, 依据系统事先设定好的过滤规则,检查数据流中 的每个数据包 根据数据包的源地址、目的地址、所用端口号、 数据的对话协议类型及数据包头中的各种标志位 或组合等因素来确定是否允许该数据包通过。具 体过滤要素如下:

静态包过滤防火墙 静态包过滤防火墙工作在TCP/IP 协议的IP 层， 依据系统事先设定好的过滤规则，检查数据流中 的每个数据包。 根据数据包的源地址、目的地址、所用端口号、 数据的对话协议类型及数据包头中的各种标志位 或组合等因素来确定是否允许该数据包通过。具 体过滤要素如下：