搜索
包过滤防火墙的工作原理1应用层TCP层IP层网络接口层TCP数据IP数据TCPTCP数据IPETH数据TCP数据IP应用层TCP层IP层网络接口层TCP数据IP数据TCPTCP数据IPETH数据只检查报头1010010010010100100000111001111011110110010010010100100000111001111011110111.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱包过滤防火墙的工作原理2包过滤防火墙的工作流程优点:保护整个网络;对用户透明;可用路由器,不需要其他设备。缺点:1.包过滤的一个重要的局限是它不能分辨好的和坏的用户,只能区分好的包和坏的包。2.包过滤规则难配置。3.新的协议的威胁。4.IP欺骗包过滤防火墙的特点应用实例要求:1.内网的用户可以访问所有的WEB服务器。2.外网的用户只可以访问内部的WEB服务器(202.3.5.6)。E0访问规则E0端口方向动作源地址源端口目的地址目的端口协议进站允许192.168.6.0/241023any80TCP进站拒绝anyany【问题】1.第一条中源地址是否可以改为any?为什么?2.第一条中源端口是否可以改为any?为什么?3.S0口需要什么样的规则?S0访问规则【问题】1.攻击者在内网安装了一个服务端的端口大于1023,客户端的端口是80的木马,是否可以通过这个防火墙?2.防火墙是否能够阻挡对服务器的SYN扫描?方向动作源地址源端口目的地址目的端口协议进站允许any1023202.3.5.680TCP进站允许any80192.168.6.0/241023TCP进站拒绝anyany判断数据包的标志位【问题】1.此时防火墙是否能够阻挡对服务器的SYN扫描?2.对于特殊构造了标志位的数据包?3.是否可以阻挡反弹端口的木马?方向动作源地址源端口目的地址目的端口协议标志位进站允许any1023202.3.5.680TCP进站允许anyanyTCPestablished进站拒绝anyany3.代理防火墙(ProxyServer)代理防火墙的工作过程:代理防火墙的工作原理代理服务器的类型HTTP代理:代理客户机的http访问,主要代理浏览器访问网页,它的端口一般为80、8080、3128等。FTP代理:代理客户机上的ftp软件访问ftp服务器,其端口一般为21、2121。POP3代理:代理客户机上的邮件软件用pop3方式收邮件,其端口一般为110。Telnet代理:能够代理通信机的telnet,用于远程控制,入侵时经常使用。其端口一般为23。Socks代理:是全能代理,支持多种协议,包括http、ftp请求及其它类型的请求,其标准端口为1080。……应用实例例1:不允许上。方法:1.使用包过滤防火墙把过滤掉。2.使用代理防火墙过滤域名,而不管IP地址怎么改变。clint服务器Client用SOCKS5client*SOCKS5代理服务器170.1.1.*【问题】图中的防火墙如果改为代理防火墙,是否可以过滤Client传过来的数据包?Client用“特殊”的HTTP代理【说明】client端发出HTTP请求时,不包含的信息,代理防火墙就检测不到字段,实现不了过滤。HTTP代理需要“特殊”定制,代理服务器知道这类client端发出的请求是要访问,它会帮助client端下载的内容。代理技术的优点1.代理易于配置。2.代理能生成各项记录。3.代理能灵活、完全地控制进出流量、内容。4.代理能过滤数据内容。5.代理能为用户提供透明的加密机制。6.代理可以方便地与其他安全手段集成。代理技术的缺点1.代理速度较路由器慢。2.代理对用户不透明。3.对于每项服务代理可能要求不同的服务器。4.代理服务不能保证免受所有协议弱点的限制。5.代理防火墙提供应用保护的协议范围是有限的。自适应代理防火墙检测应用层的头部信息,然后在网络层转发。