当前课程知识点:网络技术与应用 > 第9讲 网络安全 > 9.6 防火墙 > 9.6-2 有状态分组过滤器
无状态分组过滤器是对每一个IP分组
进行独立地处理
不考虑前后IP分组之间的关系
但是有时候是需要根据前面IP分组的状态和属性
来决定后面IP分组是否进行过滤
这就是下面要学习的有状态分组过滤器的功能
下面来看一下有状态分组过滤器的作用
然后学习有状态分组过滤器的工作原理
首先来看一下这样一个网络拓扑图
这个网络拓扑图当中
有两个路由器R1和R2
对于R1来说 这是它的输入方向
这是它的输出方向
假定有这样一个安全策略要求
路由器R1接口1只允许输入和输出与
终端A访问WEB服务器有关的IP分组
其它一切类型的IP分组都禁止通过
下面来分析一下
对于这样一个安全策略要求
首先由终端A发起建立与WEB服务器之间的TCP连接
第二 必须要属于这个连接的TCP报文才能输入输出
根据这样一个安全策略要求 可以写出相应的过滤规则
路由器R1输入方向的过滤规则集可以这样表示
一条是协议是TCP
源IP地址是192.1.1.1/32 也就是终端A的IP地址
源端口号可以是任意的
目的IP地址是192.1.2.7/32 也就是WEB服务器的IP地址
目的端口号是80 因为是终端A访问WEB服务器
那么它的端口号是80
对于符合这个安全策略的IP分组正常转发
然后除这种类型以外的所有IP分组全部丢弃
也就是协议是任意的 源IP地址是任意的
目的IP地址也是任意的
不符合第一条的这种IP分组全部丢弃
在输出方向 也可以写出过滤规则
第一条 协议是TCP
源IP地址是192.1.2.7/32 也就是WEB服务器的IP地址
源端口号是80
目的IP地址是终端A的IP地址
目的端口号是任意的
符合这条规则的所有IP分组都正常转发
除此之外其他的IP分组全部丢弃
看一下输出方向的过滤规则集的两种情况
输出方向有两种IP分组
一种是由终端A和WEB服务器建立TCP连接以后
WEB服务器的响应消息
这种消息是符合安全策略的
还有一种是WEB服务器主动和终端A进行联系的
这些IP分组应该是不符合安全策略的
但是刚才设置的输出方向的过滤规则集
是无法辨认这两种IP分组的
因为安全策略要求前后两个IP分组之间是有关联的
但是无状态分组过滤器的规则是无法区分的
这是一个问题
第二个 输出方向的规则应该是根据输入方向的IP分组
相应的属性动态生成的
但是刚才的规则是被静态写死了
无法适应动态性
实际上 在TCP连接的过程当中
TCP连接是一个会话
而且TCP连接会话是用两端插口来唯一标识的
终端发送的请求报文和WEB服务器发送的响应报文之间
是有关联的
如终端A发送一个请求报文
这个请求报文的SYN位置成1
序号假设是X
WEB服务器发送的响应报文当中
SYN位也是置成1 确认需要是X+1
WEB服务器发送给终端数据的起始序号是Y
那么终端A反馈回来的确认序号应该是Y+1
这样的报文的属性的前后是有关联的
HTTP请求和HTTP响应报文之间也是有关联的
它们的关联性可以通过这个表格的两部分看出来
首先请求报文当中的源IP地址 目的IP地址
和源端口号 目的端口号与响应报文之间有关联的
响应报文当中的源IP地址就是请求报文当中的目的IP地址
源端口号就是请求报文当中的目的端口号
而响应报文当中的目的IP地址就是请求报文的源IP地址
端口号也是这样对应的
HTTP请求和HTTP响应源IP地址和目的IP地址
以及源端口号和目的端口号之间也有这样的对应关系
因此 有状态分组过滤器就是根据会话的属性和状态
对于属于同一个会话的IP分组进行传输过程控制的过滤器
会话就是两端之间数据交换的过程
比如刚才说的一个TCP连接就是一个会话
两个进程之间的UDP报文传输过程也是一个会话
一次ECHO请求和ECHO响应过程也是一个会话
下面看一下根据安全策略有状态分组过滤器
在设计过滤规则上有什么要求
这是前面讲的安全策略的要求
为了满足安全策略要求有状态分组过滤器必须做到
这样几点
一是只允许由终端A发起建立与WEB服务器之间
的TCP连接
二是只允许属于由终端A发起建立与WEB服务器之间
TCP连接的TCP报文
才能沿着WEB服务器到终端A方向传输
三是必须由终端A发出访问WEB服务器资源的请求报文后
才能允许由WEB服务器返回对应的响应报文
为了实现这样一个要求
路由器R1接口1的输入输出方向上
过滤器必须要满足这样一些功能
一是终端A到Web服务器传输方向上的过滤规则
允许传输由终端A发起访问Web服务器的操作
有关的TCP报文
这是终端A到Web服务器传输方向的
在初始状态下
Web服务器到终端A的传输方向上
过滤规则设置成拒绝一切IP分组传输
但是有一部分IP分组是需要通过的
哪些IP分组需要通过呢
只有在终端A到Web服务器传输方向上
传输了符合规则1的报文以后
Web服务器才能给终端A传输TCP报文
而且这个TCP报文必须是对终端A发送报文的响应消息
不能是其它的TCP报文
因此要求有状态分组过滤器
对终端A发送的TCP报文的属性进行检查并记录
下面就根据这个要求
看一下怎么样设置输入和输出方向的过滤规则
首先看一下路由器R1的接口1输入方向的过滤规则
首先要设置这样一条规则
协议是TCP 源IP地址是192.1.1.1/32
源端口号是任意
目的IP地址是192.1.2.7/32
目的端口号是80
符合这个规则的报文就正常转发
第二条就是除第一条以外的所有IP分组全部丢弃
这是前面给出的输入方向的规则集
然后要设置一个请求报文状态检查器
这个报文状态检查器就是对输入方向的报文进行检查
输出方向设置这样一个规则
所有的IP分组全部丢弃
规则集就这么设置
下面就看一下IP分组传输过程当中
有状态分组过滤器怎么工作
首先设置请求报文状态检查器在输入方向设置好了
输入方向就要对报文的状态属性进行检查并记录
输出方向自动生成符合安全策略的过滤规则
怎么自动生成规则呢
比如接口1输入方向的过滤规则是这样两条
在输入方向还要设置一个检查规则集
这个检查规则集里面存放的是TCP协议 UDP协议等内容
输出方向要根据输入方向传输的报文自动生成相应的过滤规则
比如输入方向接收到这样一个IP分组
这个IP分组当中的源端口号 目的端口号
和源IP地址 目的IP地址都已经给出了
这个IP分组对输入方向的规则的第一条是符合的
并且在检查规则集里面
TCP协议也是在里面能够找到的
因此是符合输入方向的过滤规则
并且检查规则集当中也能找到相应的协议
因此这个IP分组在输入方向是可以传输的
这个时候就根据IP分组自动生成输出方向的过滤规则
怎么生成呢
把IP分组当中的源端口号作为过滤规则的目的端口号
然后目的IP地址作为源IP地址
目的端口号作为源端口号
源IP地址作为目的IP地址
这样就根据输入方向收到的IP分组
自动生成输出方向的过滤规则
这就是有状态分组过滤器
根据前后IP分组的关联性 属性进行过滤的工作过程
最后对刚才的内容进行一下简单的小结
数据交换过程可以用一次会话来表示
精确的数据交换过程控制必须基于会话
有状态分组过滤器是一种基于会话
实现数据交换过程控制的分组过滤器
-课程先导语
--先导语
-1.1 网络内涵
--网络内涵
-1.2 互联网发展过程
--互联网发展过程
-1.2 互联网发展过程--作业
-1.3 交换方式
--电路交换
-- 虚电路交换
--数据报交换
--三种交换方式比较
--html
-1.3 交换方式--作业
-1.4 计算机网络体系结构和协议
--分层结构
--OSI体系结构
-1.4 计算机网络体系结构和协议--作业
-第一讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-2.1 数据传输系统
-2.1 数据传输系统--作业
-2.2 信号
--2.2 信号
-2.2 信号--作业
-2.3 编码和调制
--2.3-1 编码
--2.3-2 调制
-2.3 编码和调制--作业
-2.4 差错控制
-2.4 差错控制--作业
-2.5 传输媒体
--2.5 传输媒体
-2.5 传输媒体--作业
-2.6 Packet Tracer6.2使用说明
-第二讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-以太网发展过程与内容简介
-以太网发展过程与内容简介--作业
-3.1 总线形以太网
-3.1 总线形以太网--作业
-3.2 网桥与冲突域分割
-3.2 网桥与冲突域分割--作业
-3.3 交换式以太网与VLAN
-3.3 交换式以太网与VLAN--作业
-3.4 以太网标准
-3.4 以太网标准--作业
-第三讲内容的启示
--html
-例题分析
--例题分析
-案例设计
--案例设计
-测验--作业
-本讲内容简介
--无线局域网
-4.1 无线局域网概述
-4.1 无线局域网概述--作业
-4.2 无线局域网应用方式
-4.2 无线局域网应用方式--作业
-4.3 无线局域网MAC层
-4.3 无线局域网MAC层--作业
-4.4 终端接入无线局域网过程
-4.4 终端接入无线局域网过程--作业
-4.5 无线局域网设计和分析
-第四讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- IP与网络互连
-5.1 网络互连机制
-5.1 网络互连机制--作业
-5.2 网际协议
-5.2 网际协议--作业
-5.3 IP分组传输过程
-5.3 IP分组传输过程--作业
-5.4 路由表建立过程
-5.4 路由表建立过程--作业
-5.5 IP over以太网
-5.5 IP over以太网--作业
-5.6 三层交换机与VLAN间通信过程
-5.7 Internet控制报文协议
-5.7 Internet控制报文协议--作业
-第五讲内容启示
--html
-案例设计
--案例设计
-例题分析
-测验--作业
-本讲内容简介
--本讲内容简介
-6.1 Internet接入控制机制
-6.1 Internet接入控制机制--作业
-6.2 以太网和ADSL接入技术
-6.2 以太网和ADSL接入技术--作业
-6.3 家庭局域网接入方式与无线路由器
-6.3 家庭局域网接入方式与无线路由器--作业
-6.4 接入综合演示实验
-6.4 接入综合演示实验--作业
-第六讲内容的启示
--html
-例题分析
--第六讲 例题分析
-测验--作业
-本讲内容简介
--传输层
-7.1 传输层服务特性
--传输层服务特性
-7.1 传输层服务特性--作业
-7.2 端口号
--端口号
-7.3 用户数据报协议UDP
-7.3 用户数据报协议UDP--作业
-7.4 传输控制协议TCP
--TCP特点和格式
-- TCP的几点说明
-7.4 传输控制协议TCP--作业
-第七讲内容启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- 应用层
-8.1 应用结构
--应用结构
-8.1 应用结构--作业
-8.2 域名解析
-8.2 域名解析--作业
-8.3 动态主机配置协议
-8.3 动态主机配置协议--作业
-8.4 万维网
-- 万维网
-8.4 万维网--作业
-8.5 电子邮件
--html
-8.6 文件传输协议
--html
-例题分析
--例题分析
-案例设计
--CH8 案例设计
-应用层启示
--html
-测验--作业
-本讲内容简介
-9.1 网络安全概述
-9.1 网络安全概述--作业
-9.2 网络安全基础
-9.2 网络安全基础--作业
-9.3 病毒检测与防御技术
-9.3 病毒检测与防御技术--作业
-9.4 以太网安全技术
-9.4 以太网安全技术--作业
-9.5 无线局域网安全技术
-9.5 无线局域网安全技术--作业
-9.6 防火墙
-9.6 防火墙--作业
-9.7 安全协议
--9.7 安全协议
-9.7 安全协议--作业
-例题分析
--例题分析
-防火墙演示实验
-- 防火墙演示实验
-案例设计
--案例设计
-网络安全的启示
--html
-测验--作业
-附录1:综合应用分析
--综合应用分析
-附录2:Cisco实际设备网络构建与配置
-期末考试--考试试题
