9.6-1 无状态分组过滤器慕课视频播放-网络技术与应用-MOOC慕课视频教程-柠檬大学

分组过滤是一种防火墙技术

在现实生活当中

防火墙就是一种防止危险从外部蔓延到内部的隔离设备

在网络当中

防火墙也是一种隔离设备

它可以阻止有害信息或者是没有授权进入内部网络的信息

从外部网络进入到内部网络

分组过滤分为有状态分组过滤和无状态分组过滤

下面就先来学习无状态分组过滤器的功能

首先来看一下过滤规则

然后学习依据安全策略构建过滤规则集的方法

然后学习两种过滤规则集的设置方法

分组过滤器从名字上就可以看出来

它是从一个网络进入另一个网络的全部IP分组当中

筛选出符合用户指定特征的一部分IP分组

然后对这部分IP分组的网络间传输过程实施控制

无状态指的是实施筛选和控制操作的时候

每一个IP分组都是独立的

不考虑IP分组之间的关联性

所以无状态分组过滤器就是通过一组规则

从一组相互独立的IP分组流中鉴别出一部分IP分组

然后对其实施相应的操作

比如正常转发或丢弃

规则是由一组属性值组成的

如果某一个IP分组携带的信息

和构成规则的一组属性值匹配

就意味着该IP分组和该规则匹配

我们来看一下规则是怎么构成的

构成规则的属性值字段由这么一些属性构成

一个是源IP地址

用于匹配IP首部的源IP地址字段值

还有一个是目的IP地址

用于匹配IP分组中IP首部中目的IP地址的字段值

还有源端口号和目的端口号

还有协议类型

协议类型是用于匹配IP分组首部中的协议字段值

比如有这样一个网络拓扑图

对这个网络拓扑图有这样一个安全功能的要求

比如要求阻止网络193.1.1.0/24中的终端

用Telnet访问网络193.1.2.0/24中的web服务器

Web服务器的IP地址是193.1.2.5

为了实施这样一个安全策略

分组过滤由路由器承担

那么应该在R1设置一个防火墙

那么怎么来设置规则呢

我们来分析一下

源IP地址是LAN1的网络地址 193.1.1.0/24

目的IP地址应该是193.1.2.5

也是Web服务器的IP地址

源端口号应该任意的

目的端口号是Telnet对应的端口号23

协议类型是TCP

下面把路由器R1端口1输入方向上的分组过滤器的规则

设置一下

这个过滤器的规则应该是这样

源IP地址是LAN1的网络地址

目的IP地址是Web服务器的IP地址193.1.2.5/32

目的端口号是23

协议类型是TCP

和规则匹配的IP分组采取的动作是丢弃

这是防火墙的规则

设置防火墙规则集的方法有两种

一个是黑名单方法

黑名单的方法是列出所有禁止通过的IP分组类型

没有明确禁止的IP分组类型都是允许通过的

黑名单方法主要用于较多类型IP分组允许通过

较少的IP分组是阻止通过的

还有一种是白名单的方法

白名单方法列出所有允许通过的IP分组类型

没有明确允许通过的IP分组类型都是禁止通过的

这种方法主要用于只允许少量类型IP分组通过

禁止其他类型IP分组通过的情况

刚才举的例子是黑名单的方法

下面来看一个白名单的例子

比如对于这样一个网络拓扑图当中

它的安全规则是允许终端A访问Web服务器

终端B访问FTP服务器

禁止其他一切通信过程的访问控制的过滤规格

要写出作用于路由器R1接口1输入方向

路由器R2接口2输入方向的规则

我们来看一下

先来看一下路由器R1接口1输入方向的过滤规则集

首先第一条是协议是TCP

源IP地址是192.1.1.1/32 也就是终端A

源端口号是任意的

目的IP地址是192.1.2.7/32

目的端口号是80

也就是终端A访问Web服务器的IP分组

符合这样一个规则的IP分组是正常转发

第二条协议是TCP 源IP地址是192.1.1.7/32

也就是FTP服务器的IP地址

源端口号是20 目的IP地址192.1.2.1/32

目的端口号是任意的

符合这样这样一个规则的IP分组也是正常转发

这是FTP服务器回送给终端B的IP分组

第三个规则是

协议等于TCP 源IP地址是192.1.1.7/32

源端口号是21

目的IP地址是是终端B的IP地址

目的端口号是任意的

符合这样规则的IP分组也是正常转发

这些IP分组也是FTP服务器回送给终端B的IP分组

第四条规则除了符合这三条协议的所有IP分组

是丢弃

这就是路由器R1接口1输入方向的过滤规则

再来看一下路由器R2接口2输入方向的过滤规则

规则的第一条的协议是TCP

源IP地址是终端B的IP地址

源端口号是任意的

目的IP地址是FTP服务器的IP地址

目的端口号是20

负责这个规则的IP分组正常转发

第二条的协议是TCP

源IP地址也是终端B的IP地址

源端口号是任意

目的IP地址还是FTP服务器的IP地址

但它的端口号是21

这样的IP分组也是正常转发

这个IP分组也是终端B发送给FTP服务器的IP分组

第三条规则的协议是TCP

源IP地址是192.1.2.7/32

也就是Web服务器的IP地址

源端口号是80

目的IP地址是终端A的IP地址

端口号是任意的

符合这条规则的IP分组也是正常转发

只要不符合这三条规则的所有IP分组全部丢弃

最后对刚才的内容进行下简答的小结

无状态分组过滤器对每一个IP分组独立地进行处理

对IP分组分类的标准是过滤规则

过滤规则是按照顺序逐项匹配的

常见的规则集设置方法有两种

一种是黑名单方法

还有一种是白名单方法

网络技术与应用课程列表：

先导语

-课程先导语

--先导语

第1讲概论

-1.1 网络内涵

--网络内涵

-1.2 互联网发展过程

--互联网发展过程

-1.2 互联网发展过程--作业

-1.3 交换方式

--html

-1.3 交换方式--作业

-1.4 计算机网络体系结构和协议

-1.4 计算机网络体系结构和协议--作业

-第一讲内容的启示

--html

-例题分析

--例题分析

-测验--作业

第2讲数据通信基础

-本讲内容简介

--2.0 数据通信基础

-2.1 数据传输系统

--2.1 数据传输系统

-2.1 数据传输系统--作业

-2.2 信号

--2.2 信号

-2.2 信号--作业

-2.3 编码和调制

--2.3-1 编码

--2.3-2 调制

-2.3 编码和调制--作业

-2.4 差错控制

--2.4-1 差错控制—检错码

--2.4-2 差错控制—确认和重传

-2.4 差错控制--作业

-2.5 传输媒体

--2.5 传输媒体

-2.5 传输媒体--作业

-2.6 Packet Tracer6.2使用说明

--2.6 Packet Tracer6.2使用说明

-第二讲内容的启示

--html

-例题分析

--例题分析

-测验--作业

第3讲以太网

-以太网发展过程与内容简介

--3.1 以太网发展过程和本讲内容简介

-以太网发展过程与内容简介--作业

-3.1 总线形以太网

-3.1 总线形以太网--作业

-3.2 网桥与冲突域分割

--3.2-1 网桥与冲突域分割

--3.2-2 网桥工作过程演示

-3.2 网桥与冲突域分割--作业

-3.3 交换式以太网与VLAN

--3.3-1 VLAN与广播域分割

--3.3-2 单交换机VLAN划分过程

--3.3-3 跨交换机VLAN划分

--3.3-4 跨交换机VLAN划分配置过程演示

-3.3 交换式以太网与VLAN--作业

-3.4 以太网标准

--3.4 以太网标准

-3.4 以太网标准--作业

-第三讲内容的启示

--html

-例题分析

--例题分析

-案例设计

--案例设计

-测验--作业

第4讲无线局域网

-本讲内容简介

--无线局域网

-4.1 无线局域网概述

--4.1-1 无线数据传输

--4.1-2 无线局域网体系结构

-4.1 无线局域网概述--作业

-4.2 无线局域网应用方式

--4.2 无线局域网组网方式

-4.2 无线局域网应用方式--作业

-4.3 无线局域网MAC层

--4.3-1 无线局域网的MAC帧

--4.3-2 DCF和CSMA/CA

-4.3 无线局域网MAC层--作业

-4.4 终端接入无线局域网过程

--4.4 终端接入无线局域网过程

-4.4 终端接入无线局域网过程--作业

-4.5 无线局域网设计和分析

--4.5-1 无线局域网设计

--4.5-2 无线局域网设计演示实验

-第四讲内容的启示

--html

-例题分析

--例题分析

-测验--作业

第5讲 IP和网络互连

-本讲内容简介

-- IP与网络互连

-5.1 网络互连机制

--5.1 网络互连机制

-5.1 网络互连机制--作业

-5.2 网际协议

--5.2-1 IP-分类编址

--5.2-2 IP-无分类编址

--5.2-3 IP-分组格式

-5.2 网际协议--作业

-5.3 IP分组传输过程

--5.3 IP分组传输过程

-5.3 IP分组传输过程--作业

-5.4 路由表建立过程

--5.4-1 人工配置静态路由项

--5.4-2 路由协议与动态路由项

-5.4 路由表建立过程--作业

-5.5 IP over以太网

--5.5 IP Over以太网

-5.5 IP over以太网--作业

-5.6 三层交换机与VLAN间通信过程

--5.6-1 多端口路由器实现VLAN间通信过程

--5.6-2单臂路由器实现VLAN间通信过程

--5.6-3 三层交换机实现Vlan间通信过程

--5.6-4 三层交换机实现VLAN间通信过程演示实验

--5.6-5 互联设备之间的区别

-5.7 Internet控制报文协议

--5.7 Internet控制报文协议

-5.7 Internet控制报文协议--作业

-第五讲内容启示

--html

-案例设计

-例题分析

-测验--作业

第6讲 Internet接入技术

-本讲内容简介

--本讲内容简介

-6.1 Internet接入控制机制

--6.1 Internet接入控制机制

-6.1 Internet接入控制机制--作业

-6.2 以太网和ADSL接入技术

--6.2-1 通过以太网接入Internet过程

--6.2-2 通过ADSL接入Internet过程

-6.2 以太网和ADSL接入技术--作业

-6.3 家庭局域网接入方式与无线路由器

--6.3-1 家庭局域网接入方式

--6.3-2 家庭无线路由器的配置

-6.3 家庭局域网接入方式与无线路由器--作业

-6.4 接入综合演示实验

--6.4 接入综合演示实验

-6.4 接入综合演示实验--作业

-第六讲内容的启示

--html

-例题分析

--第六讲例题分析

-测验--作业

第7讲传输层

-本讲内容简介

--传输层

-7.1 传输层服务特性

--传输层服务特性

-7.1 传输层服务特性--作业

-7.2 端口号

--端口号

-7.3 用户数据报协议UDP

--用户数据报协议UDP

-7.3 用户数据报协议UDP--作业

-7.4 传输控制协议TCP

-7.4 传输控制协议TCP--作业

-第七讲内容启示

--html

-例题分析

--例题分析

-测验--作业

第8讲应用层

-本讲内容简介

-- 应用层

-8.1 应用结构

--应用结构

-8.1 应用结构--作业

-8.2 域名解析

--8.2-1 域名结构与资源记录

--8.2-2 域名解析过程

--8.2-3 DNS演示实验

-8.2 域名解析--作业

-8.3 动态主机配置协议

--8.3-1 动态主机配置协议

--8.3-2 DHCP无中继演示实验

--8.3-3 DHCP中继演示实验

-8.3 动态主机配置协议--作业

-8.4 万维网

-- 万维网

-8.4 万维网--作业

-8.5 电子邮件

--html

-8.6 文件传输协议

--html

-例题分析

--例题分析

-案例设计

--CH8 案例设计

-应用层启示

--html

-测验--作业

第9讲网络安全

-本讲内容简介

-9.1 网络安全概述

-9.1 网络安全概述--作业

-9.2 网络安全基础

--9.2-1 数据加密

--9.2-2 报文摘要和数字签名

-9.2 网络安全基础--作业

-9.3 病毒检测与防御技术

--9.3 病毒检测与防御技术

-9.3 病毒检测与防御技术--作业

-9.4 以太网安全技术

--9.4-1 以太网安全技术

--9.4-2 防DHCP欺骗演示实验

-9.4 以太网安全技术--作业

-9.5 无线局域网安全技术

--9.5 无线局域网安全技术

--9.5-2 无线局域网安全演示实验

-9.5 无线局域网安全技术--作业

-9.6 防火墙

--9.6-1 无状态分组过滤器

--9.6-2 有状态分组过滤器

-9.6 防火墙--作业

-9.7 安全协议

--9.7 安全协议

-9.7 安全协议--作业

-例题分析

--例题分析

-防火墙演示实验

-- 防火墙演示实验

-案例设计

--案例设计

-网络安全的启示

--html

-测验--作业

附录

-附录1：综合应用分析

--综合应用分析

-附录2：Cisco实际设备网络构建与配置

--Cisco实际设备网络构建与配置

期末考试

-期末考试--考试试题

9.6-1 无状态分组过滤器在线视频