Video在线视频

那作为防火墙而言有几大类

一共有三种 三种防火墙

一种叫做无状态记录的数据包过滤

另外一种呢叫做

有状态记录的数据包过滤

还有最后一种防火墙的设置呢就是

基于应用的网关设置

首先我们来先看一下这个

无状态记录的过滤

这个无状态记录以前已经讲过了

无状态就是不对任何

这个连接的状态

进行记录或者进行更新

那无状态的这个记录和过滤呢

是怎么样一个概念呢

就是说我们内网通过路由器的防火墙

这个router的 firewall

就是在这个路由器上加这个防火墙

去连接外网

那这个路由器呢它会对数据包

一个个的进行筛选

那对每一个包它都看一眼

它基于以下的信息来决定

这个包我是不是要转发出去

这个是在路由器上的防火墙

它可以做这件事情

比如这个发出方的IP地址

接收方的IP地址

比如说举一个最简单的例子

就是关于这个 Ip spoofing

我们怎么样有效的

去防止Ip spoofing的发生

就是在第一道这个路由器的

这个网关上

让这个防火墙对IP地址进行了筛选

如果我的内网的这个子网的IP地址

比如说应该是一个200.1.2.3

slash 23这样一个子网的话

那突然有这个内网里面的一个用户

它呢在设置这个网络包的时候

它把自己的这个source

就是发出方的IP地址

它设的不是我子网空间用的地址

我子网空间再说一遍本来应该是200.1.2

Slash 23对吧

那但是呢这个机器它说

我的IP地址是163.100.55.1

这个时候在这个路由器上的

这个firewall这个防火墙就能看得到

就说明我的这个子网内的这个用户

它有可能在做IP spoofing

就它是在假冒自己

是另外一个子网中的一个用户

这个是不对的这个是应该被杜绝的

所以如果这种情况发生的话

那这个Firewall这个防火墙

就会把这样子的信息给筛选掉

这是一个很简单的例子

所以真的就是基于这种

无状态记录的过滤呢

那它可以基于的信息就是

发出方的IP地址啊

接收方的IP地址啊

还有有可能是这个UDP/TCP

这个发出和接收方的端口号

有些port number

已经是被屏蔽掉了

比如说这个FTP的port

现在有些子网就是它不再允许

我们使用或者是说

有一些类别的ICMP是不被使用的

那这个port number是有可能

也是用来做这个筛选的

还有像是ICMP的这个信息类别

就这个ICMP

因为ICMP这个协议

可以用来做很多坏事

虽然ICMP实际上

它是一个非常非常重要

并且是离它不行的

这样一个通讯协议

但是还是讲这ICMP

它有一些信息的这个类别

是有可能被用来做一些糟糕的事情的

那还有可能比如说这个TCP的SYN

和ACK的这个比特位的设置

那我们通过这些信息

这个无状态记录的过滤呢

都可以通过像刚刚讲到这些信息

来对这个网络包进行

一个包一个包的过滤

那无状态信息过滤了

再有一些具体的例子

第一个例子呢就是说

我对这个进来和出去的

这个数据包里面

在IP这个protocol里面的

有一个IP field

这个IP field=17的时候

要么就是发出方或者接收方的

这个port number=23的时候

这两位如果是这样的话

我就要把这个包给过滤掉

这个是什么意思呢

就是它所造成的结果就是说

对所有进出子网的UDP的数据包

和telnet这个Education的链接

都会被屏蔽掉

这个是刚刚这句话的大概的意思

那第二个例子呢就是说

对进入这个子网的TCP的数据包中

这个在ACK位等于0的这些包

我们要把它过滤掉不允许它们进来

那造成的结果是什么呢

就是说不允许子网外的用户

向子网内的用户

申请创建TCP链接

但是这个只限于

子网外的用户

向子网内的用户申请

这个创建TCP连接

这样子的过程它是不被允许的

但是呢这个并不会屏蔽掉

子网内的用户想要对子网外的用户

这个发出创建TCP链接的请求

这个是ok的

那下面我们来看一个概念

叫做这个权限控制列表

Access Control Lists 这个ACL

那一个权限控制的这个列表

它其实是列出了一系列的

权限控制的条件

这个条件每一个列表

它的这个格式呢

都是我前面有action

就是说我要采取什么样的举动

后面呢就是条件是condition

就是action和condition的这些pairs

在这个控制列表里面

我会列出来在哪些情况下

我要做什么样的动作

那比如说像当这个uorceIP

是222.22/16

这个是一个Class B的一个地址

那Destination IP address

是Anything outside

就是任何这个222.22/16以外的

这个IP空间

Protocol是TCP的时候

那 Source port number

是大于1023的时候

并且Destination port就是说这个

接收方的Destination port是80

80是http对吧

是这个web的协议http的协议

它的port number

那flag bit呢是any

那这个时候呢我们是允许

这样子的这个请求去通过的

这是ok的

以此类推我们可以看到

就是类似这样一个权限控制列表

那后面呢我们列出了

其他的一些可能

那这个还是讲第一个第一列

它讲的是什么情况下允许通过

什么情况下不允许通过

这个什么是deny什么是allow

这个目前为止我们讲的都是说

这个无状态记录过滤

是什么样的一个这个内容

那下面我来看一看

有状态记录过滤是怎么样的

有状态记录过滤呢

基本上它的意思是说

对每一个这个TCP的链接

就像我们对每个TCP的链接

都跟踪它的状态一个道理对吧

我们实际上再进行

无状态记录的这个过滤的时候

有一些本来是不需要的这种链接

就是说凡是应该被过滤掉的一些信息

结果我们没有过滤掉

那如果我们放到

这个有状态记录的这样过滤的

这种系统里面的话

有可能我们对相应的这种情况

会控制的更好

比如说我们有可能实时监测

建立TCP的这个SYN Message

有多少这样子用户

来监测包括这个FIN Message

就是说关闭TCP协议

这种closing的这种message

那是不是对一个connection

它已经这种FIN Message已经发过了

如果你发过的话

那这个状态记录就可以记录下来

这样的话呢那我们就知道

之后如果在这个链接上

还有包来进行转发的话

那也是有问题的

这个就是有状态记录的过滤

这页Slide上面我们看到是

经过完善的ACL

就是Access Control Lists这个记录表

它呢其中包含了一些状态信息在里面

比如说在这个表上的最后一列

我们就记录了一个状态叫check conxion

就是看它这个conxion是否还是Active的

就说是否还是真正还在用的还是存在的

这样子的话呢我们就记录一个状态信息

那我们做过滤的时候

就可以采取一定的相应的措施

这个刚刚讲的是有状态和无状态

记录了这两种过滤方法

第三种防火墙呢就是应用网关的防火墙

比如说啊我们这个在应用网关里面呢

是可以不光根据TVP IP和UDP的信息

而且呢我们还可以

根据应用层的信息

进行网络这个数据包的筛查

比如说我们可以允许

有选择的一些内部用户

通过telnet连接外网

那这个时候呢我们就要求所有用户

要通过应用网关

建立这个telnet连接到外网去

并且呢我们要对有权限的用户

将这个网关

为其向目标终端建立telnet连接

实际上这个网关

就相当于一个桥梁的这样一个作用

那但是呢要求是说这个用户们

如果你想要跟外界建立

telnet这个连接的话

你必须要通过这个网关

来进行转发

因为这个网关可以在安全性上

做一定的控制

这就是我们防火墙的目的

那之后呢就是说

通过这个网关建立好

telnet连接以后呢

那这些有权限的用户

从此以后就可以

直接通过这个网关进行转发就好了

那路由器呢在这个时候呢

将会拦截所有非网关转发的telnet连接

所以就是说在这个路由器之前

我先设一个应用网关

用这种方法来做这个防火墙

那其实防火墙和这个网关呢

都是有它一定的局限性的

比如说这个IP spoofing对吧

这个路由器无法判断

一组数据包是否真的来自于

一个自称的这个发出方

这是有可能很难判断的

那还有就是说

如果有多个应用需要过滤处理的话

那么对每一个应用

都做一个应用网关的话

这个资源它的损耗也是比较可观的

那用户端的应用软件需要知道

如何连接这个网关

之后呢就是说

网关它怎么样进行转发

总之呢这个资源的分配和运用

有可能是比较浪费的