《网络信息对抗》课程教学资源（PPT课件讲稿）第六章 网络防护（6.2）路由器

第6.2节路由器

第6.2节 路由器

主要内容 安全策略与安全网络设计 路由器 防火墙 虚拟专用网(VPN) ·蜜罐技术 入侵检测 snort系统介绍

主要内容 • 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网（VPN） • 蜜罐技术 • 入侵检测 • snort系统介绍

路由器 路由器的包过滤功能 ·路由器访问表原理与配置 安全路由器原理

路由器 • 路由器的包过滤功能 • 路由器访问表原理与配置 • 安全路由器原理

62路由器 般人认为,路由器主要任务是完成对网 络中分组传输的路由进行控制,其实不然, 现在网络中运行的路由器都具有报文过滤 功能,简称包过滤。如果能够合理和充分 地利用好路由器的这一功能,可以显著提 高计算机网络的安全。因此,路由器事实 上成为一个组织的网络边界最外层的防御 关口,其安全作用是十分明显的

6.2 路由器 • 一般人认为，路由器主要任务是完成对网 络中分组传输的路由进行控制，其实不然， 现在网络中运行的路由器都具有报文过滤 功能，简称包过滤。如果能够合理和充分 地利用好路由器的这一功能，可以显著提 高计算机网络的安全。因此，路由器事实 上成为一个组织的网络边界最外层的防御 关口，其安全作用是十分明显的

621路由器的包过滤功能 基于协议类型、某一特殊协议类型的源地 址和目的地址字段以及作为协议部分的控 制字段作为数据包取舍规则的路由器称为 过滤路由器( Screening router)。过滤路 由器可以控制在任何网络段的网络流量类 型和网络服务方式,对不符合网络安全规 则的那些数据包和服务则加以丢掉或被严 格限制

6.2.1 路由器的包过滤功能 • 基于协议类型、某一特殊协议类型的源地 址和目的地址字段以及作为协议部分的控 制字段作为数据包取舍规则的路由器称为 过滤路由器（Screening Router）。过滤路 由器可以控制在任何网络段的网络流量类 型和网络服务方式，对不符合网络安全规 则的那些数据包和服务则加以丢掉或被严 格限制

基于协议特定的标准,过滤路由器在其端口能够 区分包和限制包的能力称为包过滤( Packet Filtering),所以过滤路由器也称为包过滤路由 器( Packet filter router)。例如,基于TCP/P 协议的过滤路由器可以基于如下项进行包过滤: 源端口、目的端口和TCP标志(如SYN和ACK标 志) 过滤路由器主要工作在OSI模型的网络层和传输层, 它也能够工作在数据连路层和物理层,这是因为 大多数过滤系统都可以应用于接口类型和使用的 网络介质,甚至MAC地址本身

• 基于协议特定的标准，过滤路由器在其端口能够 区分包和限制包的能力称为包过滤（Packet Filtering），所以过滤路由器也称为包过滤路由 器（Packet Filter Router）。例如，基于TCP/IP 协议的过滤路由器可以基于如下项进行包过滤： 源端口、目的端口和TCP标志（如SYN和ACK标 志）。 • 过滤路由器主要工作在OSI模型的网络层和传输层， 它也能够工作在数据连路层和物理层，这是因为 大多数过滤系统都可以应用于接口类型和使用的 网络介质，甚至MAC地址本身

、包过滤路由器的操作方式与过滤规则 在实现包过滤时,大多数情况下要使用路 由器将两个网络连接在一起。路由器通常 由软件根据源或目的端口或者地址决定包 的取舍。实际实施过滤规则时,既可以对 发来包,也可以对发出的包或者两者都进 行过滤。所定义的一系列过滤规则存放在 个文件中,而路由器就是根据文件中的 这些规则决定数据包的取舍

一、 包过滤路由器的操作方式与过滤规则 • 在实现包过滤时，大多数情况下要使用路 由器将两个网络连接在一起。路由器通常 由软件根据源或目的端口或者地址决定包 的取舍。实际实施过滤规则时，既可以对 发来包，也可以对发出的包或者两者都进 行过滤。所定义的一系列过滤规则存放在 一个文件中，而路由器就是根据文件中的 这些规则决定数据包的取舍

1、包过滤路由器操作方式 包过滤路由器按如下的方式完成包过滤过程 (1)在包过滤设备端口设置包过滤标准,即包 过滤规则 (2)当数据包到达包过滤路由器的端口时,包 过滤路由器对其报头进行语法分析 ·(3)包过滤规则以特定方式存储。应用于数据 包的规则与包过滤器规则存储的顺序相同;

1、包过滤路由器操作方式 • 包过滤路由器按如下的方式完成包过滤过程： • (1) 在包过滤设备端口设置包过滤标准，即包 过滤规则； • (2) 当数据包到达包过滤路由器的端口时，包 过滤路由器对其报头进行语法分析； • (3) 包过滤规则以特定方式存储。应用于数据 包的规则与包过滤器规则存储的顺序相 同；

·(4)如果一条规则阻止数据包传输或接收,此 数据包便被禁止; (5)如果一条规则允许数据包传输或接收,该 数据包可以被继续处理; (6)如果一个数据包不满足任何一条规则,该 数据包被丢掉。 注意:将过滤规则以正确的顺序放置极为重 要!如果包过滤规则以错误的顺序放置,则 有效的服务可能被拒绝,而该拒绝的服务却 被允许了

• (4) 如果一条规则阻止数据包传输或接收，此 数据包便被禁止； • (5) 如果一条规则允许数据包传输或接收，该 数据包可以被继续处理； • (6) 如果一个数据包不满足任何一条规则，该 数据包被丢掉。 • 注意：将过滤规则以正确的顺序放置极为重 要！如果包过滤规则以错误的顺序放置，则 有效的服务可能被拒绝，而该拒绝的服务却 被允许了

2、包过滤规则 表5-1是包过滤规则的示例。在该例子中, 路由器根据第一条规则拒绝所有来自 bad. host主机的数据包;而根据第二条规则 允许 our host主机向外(任何目的主机)发 送电子邮件。这里会出现一个有趣的问题: 对于规则中没有描述的那些流量应该如何 处理呢?路由器是应该接收呢还是应该丢 弃呢?显然,最安全的是应丢弃所有那些 在规则中没有规定的数据包

2、包过滤规则 • 表5-1是包过滤规则的示例。在该例子中， 路由器根据第一条规则拒绝所有来自 bad.host主机的数据包；而根据第二条规则 允许our.host主机向外（任何目的主机）发 送电子邮件。这里会出现一个有趣的问题： 对于规则中没有描述的那些流量应该如何 处理呢？路由器是应该接收呢还是应该丢 弃呢？显然，最安全的是应丢弃所有那些 在规则中没有规定的数据包