当前课程知识点:网络安全概述 > 第六章 防火墙及攻防系统 > 第二节 三种防火墙 > Video
那作为防火墙而言有几大类
一共有三种 三种防火墙
一种叫做无状态记录的数据包过滤
另外一种呢叫做
有状态记录的数据包过滤
还有最后一种防火墙的设置呢就是
基于应用的网关设置
首先我们来先看一下这个
无状态记录的过滤
这个无状态记录以前已经讲过了
无状态就是不对任何
这个连接的状态
进行记录或者进行更新
那无状态的这个记录和过滤呢
是怎么样一个概念呢
就是说我们内网通过路由器的防火墙
这个router的 firewall
就是在这个路由器上加这个防火墙
去连接外网
那这个路由器呢它会对数据包
一个个的进行筛选
那对每一个包它都看一眼
它基于以下的信息来决定
这个包我是不是要转发出去
这个是在路由器上的防火墙
它可以做这件事情
比如这个发出方的IP地址
接收方的IP地址
比如说举一个最简单的例子
就是关于这个 Ip spoofing
我们怎么样有效的
去防止Ip spoofing的发生
就是在第一道这个路由器的
这个网关上
让这个防火墙对IP地址进行了筛选
如果我的内网的这个子网的IP地址
比如说应该是一个200.1.2.3
slash 23这样一个子网的话
那突然有这个内网里面的一个用户
它呢在设置这个网络包的时候
它把自己的这个source
就是发出方的IP地址
它设的不是我子网空间用的地址
我子网空间再说一遍本来应该是200.1.2
Slash 23对吧
那但是呢这个机器它说
我的IP地址是163.100.55.1
这个时候在这个路由器上的
这个firewall这个防火墙就能看得到
就说明我的这个子网内的这个用户
它有可能在做IP spoofing
就它是在假冒自己
是另外一个子网中的一个用户
这个是不对的这个是应该被杜绝的
所以如果这种情况发生的话
那这个Firewall这个防火墙
就会把这样子的信息给筛选掉
这是一个很简单的例子
所以真的就是基于这种
无状态记录的过滤呢
那它可以基于的信息就是
发出方的IP地址啊
接收方的IP地址啊
还有有可能是这个UDP/TCP
这个发出和接收方的端口号
有些port number
已经是被屏蔽掉了
比如说这个FTP的port
现在有些子网就是它不再允许
我们使用或者是说
有一些类别的ICMP是不被使用的
那这个port number是有可能
也是用来做这个筛选的
还有像是ICMP的这个信息类别
就这个ICMP
因为ICMP这个协议
可以用来做很多坏事
虽然ICMP实际上
它是一个非常非常重要
并且是离它不行的
这样一个通讯协议
但是还是讲这ICMP
它有一些信息的这个类别
是有可能被用来做一些糟糕的事情的
那还有可能比如说这个TCP的SYN
和ACK的这个比特位的设置
那我们通过这些信息
这个无状态记录的过滤呢
都可以通过像刚刚讲到这些信息
来对这个网络包进行
一个包一个包的过滤
那无状态信息过滤了
再有一些具体的例子
第一个例子呢就是说
我对这个进来和出去的
这个数据包里面
在IP这个protocol里面的
有一个IP field
这个IP field=17的时候
要么就是发出方或者接收方的
这个port number=23的时候
这两位如果是这样的话
我就要把这个包给过滤掉
这个是什么意思呢
就是它所造成的结果就是说
对所有进出子网的UDP的数据包
和telnet这个Education的链接
都会被屏蔽掉
这个是刚刚这句话的大概的意思
那第二个例子呢就是说
对进入这个子网的TCP的数据包中
这个在ACK位等于0的这些包
我们要把它过滤掉不允许它们进来
那造成的结果是什么呢
就是说不允许子网外的用户
向子网内的用户
申请创建TCP链接
但是这个只限于
子网外的用户
向子网内的用户申请
这个创建TCP连接
这样子的过程它是不被允许的
但是呢这个并不会屏蔽掉
子网内的用户想要对子网外的用户
这个发出创建TCP链接的请求
这个是ok的
那下面我们来看一个概念
叫做这个权限控制列表
Access Control Lists 这个ACL
那一个权限控制的这个列表
它其实是列出了一系列的
权限控制的条件
这个条件每一个列表
它的这个格式呢
都是我前面有action
就是说我要采取什么样的举动
后面呢就是条件是condition
就是action和condition的这些pairs
在这个控制列表里面
我会列出来在哪些情况下
我要做什么样的动作
那比如说像当这个uorceIP
是222.22/16
这个是一个Class B的一个地址
那Destination IP address
是Anything outside
就是任何这个222.22/16以外的
这个IP空间
Protocol是TCP的时候
那 Source port number
是大于1023的时候
并且Destination port就是说这个
接收方的Destination port是80
80是http对吧
是这个web的协议http的协议
它的port number
那flag bit呢是any
那这个时候呢我们是允许
这样子的这个请求去通过的
这是ok的
以此类推我们可以看到
就是类似这样一个权限控制列表
那后面呢我们列出了
其他的一些可能
那这个还是讲第一个第一列
它讲的是什么情况下允许通过
什么情况下不允许通过
这个什么是deny什么是allow
这个目前为止我们讲的都是说
这个无状态记录过滤
是什么样的一个这个内容
那下面我来看一看
有状态记录过滤是怎么样的
有状态记录过滤呢
基本上它的意思是说
对每一个这个TCP的链接
就像我们对每个TCP的链接
都跟踪它的状态一个道理对吧
我们实际上再进行
无状态记录的这个过滤的时候
有一些本来是不需要的这种链接
就是说凡是应该被过滤掉的一些信息
结果我们没有过滤掉
那如果我们放到
这个有状态记录的这样过滤的
这种系统里面的话
有可能我们对相应的这种情况
会控制的更好
比如说我们有可能实时监测
建立TCP的这个SYN Message
有多少这样子用户
来监测包括这个FIN Message
就是说关闭TCP协议
这种closing的这种message
那是不是对一个connection
它已经这种FIN Message已经发过了
如果你发过的话
那这个状态记录就可以记录下来
这样的话呢那我们就知道
之后如果在这个链接上
还有包来进行转发的话
那也是有问题的
这个就是有状态记录的过滤
这页Slide上面我们看到是
经过完善的ACL
就是Access Control Lists这个记录表
它呢其中包含了一些状态信息在里面
比如说在这个表上的最后一列
我们就记录了一个状态叫check conxion
就是看它这个conxion是否还是Active的
就说是否还是真正还在用的还是存在的
这样子的话呢我们就记录一个状态信息
那我们做过滤的时候
就可以采取一定的相应的措施
这个刚刚讲的是有状态和无状态
记录了这两种过滤方法
第三种防火墙呢就是应用网关的防火墙
比如说啊我们这个在应用网关里面呢
是可以不光根据TVP IP和UDP的信息
而且呢我们还可以
根据应用层的信息
进行网络这个数据包的筛查
比如说我们可以允许
有选择的一些内部用户
通过telnet连接外网
那这个时候呢我们就要求所有用户
要通过应用网关
建立这个telnet连接到外网去
并且呢我们要对有权限的用户
将这个网关
为其向目标终端建立telnet连接
实际上这个网关
就相当于一个桥梁的这样一个作用
那但是呢要求是说这个用户们
如果你想要跟外界建立
telnet这个连接的话
你必须要通过这个网关
来进行转发
因为这个网关可以在安全性上
做一定的控制
这就是我们防火墙的目的
那之后呢就是说
通过这个网关建立好
telnet连接以后呢
那这些有权限的用户
从此以后就可以
直接通过这个网关进行转发就好了
那路由器呢在这个时候呢
将会拦截所有非网关转发的telnet连接
所以就是说在这个路由器之前
我先设一个应用网关
用这种方法来做这个防火墙
那其实防火墙和这个网关呢
都是有它一定的局限性的
比如说这个IP spoofing对吧
这个路由器无法判断
一组数据包是否真的来自于
一个自称的这个发出方
这是有可能很难判断的
那还有就是说
如果有多个应用需要过滤处理的话
那么对每一个应用
都做一个应用网关的话
这个资源它的损耗也是比较可观的
那用户端的应用软件需要知道
如何连接这个网关
之后呢就是说
网关它怎么样进行转发
总之呢这个资源的分配和运用
有可能是比较浪费的
-第一节 电子邮件e-mail的安全
--Video
-第二节 计算机网络的服务
--Video
-第三节 网络协议的分层结构
--Video
-第四节 网络数据包的传输过程
--Video
-第五节 实例演绎计算机网络通讯工程
--Video
-第一节 计算机网络为什么不安全
--Video
-第二节 网络安全技术需要提供的服务
--Video
-第三节 网络安全讨论的情景设置
--Video
-第四节 黑客有可能有哪些攻击网络安全的手段
--Video
-第五节 网络中的恶意软件
--Video
-第一节 编码解码学的基本概念
--Video
-第二节 攻击编码解码技术的方法
--Video
-第三节 共享密钥加密法
--Video
-第四节 公共密钥加密法
--Video
-第五节 鉴别认证
--Video
-第六节 信息完整性
--Video
-第一节 电子邮件E-mail的安全
--Video
-第二节 传输协议(TCP)的安全:隐秘套接字协议(SSL)
--Video
-第三节 网络层安全:IPSec
--Video
-第一节 WEP的设计和问题
--Video
-第二节 802.11i改进机制
--Video
-第一节 防火墙概念及目的
--Video
-第二节 三种防火墙
--Video
-第三节 IDS(Intrusion Detection Systems)介绍
--Video