包过滤技术防火墙技术与应用.pptx
- 文档编号:1414472
- 上传时间:2022-10-22
- 格式:PPTX
- 页数:12
- 大小:4.69MB
包过滤技术防火墙技术与应用.pptx
《包过滤技术防火墙技术与应用.pptx》由会员分享,可在线阅读,更多相关《包过滤技术防火墙技术与应用.pptx(12页珍藏版)》请在冰豆网上搜索。
包过滤技术(Packetfilter),主讲人:
郑棋元论文:
刘航PPT:
刘丹晨,目录,包过滤原理包过滤规则表包过滤技术优缺点分析,包过滤原理,什么是包过滤技术?
包过滤是最早应用到防火墙当中的技术之一。
它针对网络数据包由信息头和数据信息两部分组成这一特点而设计。
包过滤防火墙工作在网络层和传输层。
包过滤原理,包过滤技术是对通过防火墙的数据包的首部信息进行解析,根据事先定义的访问控制列表(ACL)规则决定包的前行或被舍弃,以达到对数据包进行过滤。
ACL的出现就是配合防火墙的设计而被定义出来的。
所以包过滤防火墙的精华之处就在于ACL。
包过滤既可作用在入方向也可作用在出方向。
包过滤原理,包过滤技术应用的关键问题是如何检查数据包,以及检查到何种程度才能既保障安全又不会对通信速度产生明显负面影响。
从理论上讲,包过滤防火墙可以被配置为根据协议报头的任何数据域进行分析过滤,但大多数只是针对性的分析数据包信息头的部分域。
防火墙中的检查模块将所有通过的数据包中发送方IP地址、接收方的IP地址、TCP端口、TCP标志位等信息读出,按照预先设置的过滤规则过滤数据包。
只有满足过滤规则的数据包才被转发,其余数据包则被丢弃。
包过滤设备配置有一系列数据过滤规则,定义了什么包可以通过防火墙,什么包必须丢弃。
这些规则被称为数据包过滤访问控制列表(ACL)。
包过滤规则表,下表所示的过滤规则样表包含以下内容:
源IP地址、目标IP地址、源端口、目的端口协议类型TCP包头标志位对数据包的操作数据流向,包过滤规则表,访问控制列表的配置有两种方式严策略。
接受受信任的IP包,拒绝其他所有的IP包。
宽策略。
拒绝不受信任的IP包,接受其他所有的IP包。
在实际应用中一般采用严策略来设置防火墙规则。
一般地,包过滤防火墙还应该阻止以下几种IP包进入内部网源地址是内部地址的外来数据包指定中转路由器的数据包有效载荷很小的数据包,包过滤规则表,优点:
一个过滤路由器能协助保护整个网络。
绝大多数Internet防火墙系统只用一个包过滤路由器;过滤路由器速度快、效率高。
包过滤路由器对终端用户和应用程序是透明的。
当数据包过滤路由器决定让数据包通过时,它与普通路由器没什么区别,甚至用户没有认识到它的存在,因此不需要专门的用户培训或在每主机上设置特别的软件。
包过滤技术优缺点分析,缺点:
定义包过滤器需要网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。
是一项很复杂的工作。
路由器信息包的吞吐量随过滤器数量的增加而减少。
不能彻底防止地址欺骗。
伪造IP地址很容易、普遍。
包过滤技术优缺点分析,缺点:
一些应用协议不适合于数据包过滤。
即使是完美的数据包过滤,也会发现一些协议不很适合于经由数据包过滤安全保护。
一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来。
它可以阻止非法用户进入内部网络,但也不会告诉我们究竟都有谁来过,或者谁从内部进入了外部网络。
包过滤技术优缺点分析,谢谢(*-*),
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 过滤 技术 防火墙 应用