[工学]第九章防火墙.pptVIP

* 上级向下级传达命令 * 上级向下级传达命令 * PSH：推标志 * * * * * * * * * * * * * * * * * * * * * 上级向下级传达命令 * 上级向下级传达命令 * 上级向下级传达命令 * 上级向下级传达命令 * 上级向下级传达命令 * 上级向下级传达命令 * 上级向下级传达命令 * 上级向下级传达命令 * 上级向下级传达命令 * 上级向下级传达命令 * 上级向下级传达命令 * 两种类型的DMZ 在有些用户网络中，可能需要两类DMZ：外部DMZ和内部DMZ。 外部DMZ为用户内部网络和Internet共同可以访问的系统和资源 内部DMZ为内部各安全隔离部门所共享的系统和资源 * 两种类型的DMZ * * * * * * * * * * * 与屏蔽路由器相比，双宿主主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出，一旦攻击者侵入堡垒主机并使其只具有路由功能，任何网上用户均可以随便访问内部网。此外，双宿主主机结构的安全性也受到堡垒主机本身的安全性的限制，因为它与数据通讯共用同一个计算机系统。堡垒主机本身的任何安全缺陷，都直接影响到防火墙的安全性。保卫路由器比保卫主机较易实现 * * * * * * * * * * * * * * * * * * * * TCP头部 源端口 Source Port (16bit) 宿端口 Destination Port (16bit) 序列号 Sequence Number (32bit) 确认号 Acknowledgment Number (32bit) Data Offset (4bit) Reserved (6bit) U R G A C K P S H R S T S Y N F I N 窗口大小 Window size (16bit) 校验和 Checksum (16bit) 紧急指针 Urgent Pointer (16bit) 选项 Options (0 或多个 32 bit 字 ) 数据 Data ( 可选 ) * UDP头部 UDP源端口 UDP宿端口 UDP长度 UDP校验和 16bit 16bit 最小值为8 全“0”：不选； 全“1”：校验和为0。 * 从属服务的过滤 包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。 例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。 如要封锁输入Telnet、SMTP的连接，则Router舍弃端口值为23、25的所有的数据包。 典型的过滤规则有以下几种：允许特定名单内的内部主机进行Telnet输入对话、只允许特定名单内的内部主机进行FTP输入对话、只允许所有Telnet 输出对话、只允许所有FTP 输出对话、拒绝来自一些特定外部网络的所有输入信息。 * 独立于服务的过滤 有些类型的攻击因为独立于服务很难用基本包头信息加以鉴别，为防止这类攻击，过滤规则需要增加一些信息，如 研究Router选择表、 检查特定的IP选项、 校验特殊的片段偏移等。 这类攻击有以下几种： * 独立于服务的过滤 源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。 * 独立于服务的过滤 源路由攻击 源站指定了一个信息包穿越Internet时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。 * 建议过滤规则 任何进入内部网络的数据包不能把网络内部的地址作为源地址。 任何进入内部网络的数据包必须把网络内部的地址作为目的地址。 任何离开内部网络的数据包必须把网络内部的地址作为源地址。 任何离开内部网络的数据包不能把网络内部的地址作为目的地址。 * 建议过滤规则 任何进入或离开内部网络的数据包不能把一个私有地址（private address）或在RFC1918中 /8.）的地址作为源或目的地址。 阻塞任意源路由包或任何设置了IP选项的包。 保留、DHCP自动配置和多播地址也需要被阻塞。/8 、/16 、/24 、/4 、/4。 * 包过滤路由器的优点 （1）一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器； （2）过滤路由器速度快、效率高。 （3）包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定