包过滤技术——防火墙技术与应用.pptx

《包过滤技术——防火墙技术与应用.pptx》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、包过滤技术（Packetfilter）主讲人：郑棋元论文：刘航PPT：刘丹晨目录包过滤原理包过滤规则表包过滤技术优缺点分析包过滤原理什么是包过滤技术？包过滤是最早应用到防火墙当中的技术之一。它针对网络数据包由信息头和数据信息两部分组成这一特点而设计。包过滤防火墙工作在网络层和传输层。包过滤原理包过滤技术是对通过防火墙的数据包的首部信息进行解析，根据事先定义的访问控制列表（ACL）规则决定包的前行或被舍弃，以达到对数据包进行过滤。ACL的出现就是配合防火墙的设计而被定义出来的。所以包过滤防火墙的精华之处就在于ACL。包过滤既可作用在

2、入方向也可作用在出方向。包过滤原理包过滤技术应用的关键问题是如何检查数据包，以及检查到何种程度才能既保障安全又不会对通信速度产生明显负面影响。从理论上讲，包过滤防火墙可以被配置为根据协议报头的任何数据域进行分析过滤，但大多数只是针对性的分析数据包信息头的部分域。防火墙中的检查模块将所有通过的数据包中发送方IP地址、接收方的IP地址、TCP端口、TCP标志位等信息读出，按照预先设置的过滤规则过滤数据包。只有满足过滤规则的数据包才被转发，其余数据包则被丢弃。包过滤设备配置有一系列数据过滤规则，定义了什么包可以通过防火墙，什么包必须丢弃

3、。这些规则被称为数据包过滤访问控制列表（ACL）。包过滤规则表下表所示的过滤规则样表包含以下内容：源IP地址、目标IP地址、源端口、目的端口协议类型TCP包头标志位对数据包的操作数据流向包过滤规则表序号源IP目的IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP80>1023ACK允许3所有所有所有所有所有所有拒绝访问控制列表的配置有两种方式严策略。接受受信任的IP包，拒绝其他所有的IP包。宽策略。拒绝不受信任的IP包，接受其他所有的IP包。在实际应用中一般采用严策略来

4、设置防火墙规则。一般地，包过滤防火墙还应该阻止以下几种IP包进入内部网源地址是内部地址的外来数据包指定中转路由器的数据包有效载荷很小的数据包包过滤规则表优点：一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器；过滤路由器速度快、效率高。包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有认识到它的存在，因此不需要专门的用户培训或在每主机上设置特别的软件。包过滤技术优缺点分析缺点：定义包过滤器需要网管员需要详细地了解Interne

5、t各种服务、包头格式和他们在希望每个域查找的特定的值。是一项很复杂的工作。路由器信息包的吞吐量随过滤器数量的增加而减少。不能彻底防止地址欺骗。伪造IP地址很容易、普遍。包过滤技术优缺点分析缺点：一些应用协议不适合于数据包过滤。即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤安全保护。一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。包过滤技术优缺点分析谢谢（^-^)