计算机网络安全
防火墙
一、无状态分组过滤器
一个过滤器可以由多个规则构成，IP分组只 有和当前规则不匹配时，才继续和后续规则进行 匹配操作，如果和过滤器中的所有规则都不匹配， 对IP分组进行默认操作。一旦和某个规则匹配， 则对其进行规则指定的操作，不再和其他规则进 行匹配操作。
计算机网络安全
应用层网关
无状态分 组过滤器
有状态分 组过滤器
无状态分 组过滤器
有状态分 组过滤器
防火墙分类
计算机网络安全
防火墙
三、防火墙分类
1．个人防火墙 个人防火墙只保护单台计算机，用于对进出计算机的信 息流实施控制，因此，个人防火墙通常是分组过滤器； 分组过滤器分为有状态分组过滤器和无状态分组过滤器 两种类型，无状态分组过滤器只根据单个IP分组携带的 信息确定是否过滤掉该IP分组。而有状态分组过滤器不 仅根据IP分组携带的信息，而且还根据IP分组所属的会 话的状态确定是否过滤掉该IP分组。
计算机网络安全
防火墙
三、防火墙分类
2．网络防火墙 （1）分组过滤器 网络防火墙中的分组过滤器同样分为有状态分组过 滤器和无状态分组过滤器两种类型。网络防火墙中的分 组过滤器能够根据用户制定的安全策略对内网和外网间 传输的信息流实施控制，它对信息流的发送端和接收端 是透明的，因此，分组过滤器的存在不需要改变终端访 问网络的方式。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R2接口2输入方向的过滤规则集如下。 ①协议类型＝TCP，源IP地址＝192.1.2.1/32，源端口号＝*， 目的IP地址＝192.1.1.7/32，目的端口号＝21；正常转发。 ②协议类型＝TCP，源IP地址＝192.1.2.1/32，源端口号＝*， 目的IP地址＝192.1.1.7/32，目的端口号＝20；正常转发。 ③协议类型＝TCP，源IP地址＝192.1.2.7/32，源端口号＝80， 目的IP地址＝192.1.1.1/32，目的端口号＝*；正常转发。 ④协议类型＝*，源IP地址＝any，目的IP地址＝any；丢弃。
规则由一组属性值和操作组成，如果某个IP分组携带的信息和 构成规则的一组属性值匹配，意味着该IP分组和该规则匹配，对该 IP分组实施规则指定的操作。 构成规则的属性值通常由下述字段组成： 源IP地址，用于匹配IP分组IP首部中的源IP地址字段值。 目的IP地址，用于匹配IP分组IP首部中的目的IP地址字段值。 源和目的端口号，用于匹配作为IP分组净荷的传输层报文首部中源 和目的端口号字段值。 协议类型，用于匹配IP分组首部中的协议字段值。
计算机网络安全
防火墙
二、有状态分组过滤器
匹配路由器R1接口1输出方向过滤规则①的IP分组未必就 是封装Web服务器用于响应终端A访问请求的响应报文的IP分 组。原因是，响应报文不是固定的，而是根据请求报文动态 变化的。
计算机网络安全
防火墙
二、有状态分组过滤器
为了实现路由器R1接口1只允许输入输出与终端A发起访问 web服务器的操作有关的IP分组，禁止输入输出其他一切类 型的IP分组的安全策略，必须做到： ①只允许由终端A发起建立与Web服务器之间的TCP连接。 ②只允许属于由终端A发起建立的与Web服务器之间的TCP连接的 TCP报文沿着Web服务器至终端A方向传输。 ③必须在路由器R1接口1输入终端A发送给Web服务器的请求报文 后，才允许路由器R1接口1输出Web服务器返回给终端A的响 应报文。
计算机网络安全
防火墙
一、无状态分组过滤器
3．两种过滤规则集设置方法
（1）黑名单 黑名单方法是列出所有禁止传输的IP分组类型，没有明 确禁止的IP分组类型都是允许传输的。 （2）白名单 白名单方法与黑名单方法相反，列出所有允许传输的IP 分组类型，没有明确允许传输的IP分组类型都是禁止传输的。
计算机网络安全
分组过滤器，顾名思义就是从一个网络进入 另一个网络的全部IP分组中筛选出符合用户指定 特征的一部分IP分组，并对这一部分IP分组的网 络间传输过程实施控制。无状态是指实施筛选和 控制操作时，每一个IP分组都是独立的，不考虑 IP分组之间的关联性。
计算机网络安全
防火墙
一、无状态分组过滤器
１．过滤规则

计算机网络安全
防火墙
二、有状态分组过滤器
路由器R1接口1输入方向的过滤规则集如下。 ①协议类型＝TCP，源IP地址＝192.1.1.1/32，源端口号＝*， 目的IP地址＝192.1.2.7/32，目的端口号＝80；正常转发。 ②协议类型＝*，源IP地址＝any，目的IP地址＝any；丢弃。 路由器R1接口1输出方向的过滤规则集如下。 ①协议类型＝TCP，源IP地址＝192.1.2.7/32，源端口号＝80， 目的IP地址＝192.1.1.1/32，目的端口号＝*；正常转发。 ②协议类型＝*，源IP地址＝any，目的IP地址＝any；丢弃。
计算机网络安全
防火墙
二、有状态分组过滤器
为实现上述控制过程，路由器R1接口1输入输出方向的过 滤器必须具备以下功能。 ①终端A至Web服务器传输方向上的过滤规则允许传输与终端A发 起访问Web服务器的操作有关的TCP报文。 ②初始状态下，Web服务器至终端A传输方向上的过滤规则拒绝 一切IP分组传输。 ③只有当终端A至Web服务器传输方向上传输了与终端A发起访问 Web服务器的操作有关的TCP报文后，Web服务器至终端A传输 方向才允许传输作为对应的响应报文的TCP报文。
计算机网络安全
防火墙
三、防火墙分类
服务器 客户
建立控制 TCP 连接 服务器就绪 用户名 用户名正确 口令 口令正确， 成功登录 定位到文件所在目录 目录改变成功 下载文件 建立数据 TCP 连接 传输文件内容 文件传输完成 释放数据 TCP 连接 释放控制 TCP 连接
2．网络防火墙 （3）应用层网关 对相互交换的FTP消息，必须根 据FTP规范检测其合理性，包括请求 和响应消息中的各个字段值是否正确？ 请求消息和响应消息是否匹配？文件 内容是否包含禁止传播的非法内容或 病毒等。应用层网关必须支持FTP， 才能中继FTP消息，因此，应用层网 关是应用层相关的。
计算机网络安全
防火墙
三、防火墙分类
SYN SYN，ACK ACK 用户名、口令 终端
先认证用户身份，确定是授权用户 发起的TCP连接时，再与服务器建 立TCP连接。
电路层 网关
SYN SYN，ACK ACK 服务器
2．网络防火墙 （2）电路层代理 终端先和电路层代理建立TCP连接，电路层代理在完 成对终端用户的身份鉴别后，和服务器建立TCP连接，并 将这两个TCP连接绑定在一起。
计算机网络安全
防火墙
四、防火墙功能




服务控制 不同网络间只允许传输与特定服务相关的信息流。 方向控制 不同网络间只允许传输与由特定网络中终端发起的会话 相关的信息流。 用户控制 不同网络间只允许传输与授权用户合法访问网络资源相 关的信息流。 行为控制 不同网络间只允许传输与行为合理的网络资源访问过程 相关的信息流。
计算机网络安全
防火墙
二、有状态分组过滤器
192.1.1.0/24 1 FTP 服务器 192.1.1.7/24 终端 A 192.1.1.1/24 R1 2 1 R2 2 Web 服务器 192.1.2.7/24 终端 B 192.1.2.1/24 192.1.2.0/24
路由器R1接口1只允许输入输出与终端A访问Web服务器的 操作有关的IP分组，禁止输入输出其他一切类型的IP分组。
如果只是需要过滤掉所有与LAN 1中的终端用 Telnet访问LAN 2中的服务器的操作相关的IP分组， 允许其他IP分组继续传输，则完整的过滤器如下： 协议类型=TCP，源IP地址=193.1.1.0/24，目的IP 地址=193.1.2.5/32，目的端口号=23；丢弃。 协议类型=* ，源IP地址=any，目的IP地址=any； 正常转发。
网络安全
第十一章
© 2006工程兵工程学院 计算机教研室
防火墙
第11章 防火墙
本章主要内容 防火墙概述； 分组过滤器； 电路层代理； 应用层网关； 三种防火墙的特点。
计算机网络安全
防火墙
11.1 防火墙概述
本讲主要内容 引出防火墙的原因； 防火墙定义和工作机制； 防火墙分类； 防火墙功能； 防火墙的局限性。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R1接口1输入方向上的分组过滤器的规则是：

协议类型=TCP ； 源IP地址=193.1.1.0/24； 目的IP地址=193.1.2.5/32 ； 目的端口号=23； 对和规则匹配的IP分组采取的动作是：丢弃。
计算机网络安全
防火墙
一、无状态分组过滤器
计算机网络安全
防火墙
二、防火墙定义和工作机制
防火墙 Internet 路由器 防火墙 内部网络 黑客终端
用户终端
网络中的防火墙是一种位于网络之间，或者用户终端与 网络之间，对网络之间，或者网络与用户终端之间传输的信 息流实施控制的设备。
计算机网络安全
防火墙
二、防火墙定义和工作机制
FTP 服务器 防火墙 网络 1 Web 服务器 IP B 终端 A IP A 网络 2 IP C
计算机网络安全
防火墙
一、引出防火墙的原因
数据交换过程 Internet 路由器 数据交 换过程 用户终端 黑客终端
内部网络
安全的网络系统既要能够保障正常的数据交换过程，又 要能够阻止用于实施攻击的数据交换过程。 防火墙一是能够检测出用于实施攻击的信息流，并阻断 这样的信息流。二是能够允许正常信息流通过。
防火墙的作用是控制网络1与网络2之间传输的信息流， 所谓控制是指允许网络1与网络2之间传输某种类型的信息流， 阻断另一种类型的信息流网络1与网络2之间的传输过程。允 许和阻断操作的依据是为防火墙配置的安全策略。