1 内部网络 地址
2 外部网络 地址
3 所有
目的IP
外部网络 地址
内部网络 地址
所有
协 议 源端口 目的端口 标志位 操作
TCP 任意 80
任意 允许
TCP 80
>1023 ACK 允许
所有 所有 所有
所有 拒绝
--
7
访问控制列表的配置有两种方式 • 严策略。接受受信任的IP包，拒绝其他所有的IP包。 • 宽策略。拒绝不受信任的IP包，接受其他所有的IP包。
--
11
谢谢（*^^*)
--
12
包过滤设备配置有一系列数据过滤规则，定义了什 么包可以通过防火墙，什么包必须丢弃。这些规则被称 为数据包过滤访问控制列表（ACL）。
--
6
下表所示的过滤规则样表包含以下内容： • 源IP地址、目标IP地址、源端口、目的端口 • 协议类型 • TCP包头标志位 • 对数据包的操作 • 数据流向
序号 源IP
主讲人：郑棋元
论 文：刘航
PPT： 刘丹晨
--
1
• 包过滤原理 • 包过滤规则表 • 包过滤技术优缺点分析
--
2
什么是包过滤技术？
包过滤是最早应用到防火墙当中的技术之一。 它针对网络数据包由信息头和数据信息两部分组成
这一特点而设计。 包过滤防火墙工作在网络层和传输层。
--
3
包过滤技术是对通过防火墙的数据包的首部信息进 行解析，根据事先定义的访问控制列表（ACL）规则决 定包的前行或被舍弃，以达到对数据包进行过滤。ACL 的出现就是配合防火墙的设计而被定义出来的。所以包 过滤防火墙的精华之处就在于ACL。包过滤既可作用在 入方向也可作用在出方向。
• 路由器信息包的吞吐量随过滤器数量的增加而 减少。
• 不能彻底防止地址欺骗。伪造IP地址很容易、 普遍。
--
10
缺点：
• 一些应用协议不适合于数据包过滤。即使是完 美的数据包过滤，也会发现一些协议不很适合 于经由数据包过滤安全保护。
• 一些包过滤路由器不提供任何日志能力，直到 闯入发生后，危险的封包才可能检测出来。它 可以阻止非法用户进入内部网络，但也不会告 诉我们究竟都有谁来过，或者谁从内部进入了 外部网络。
• 包过滤路由器对终端用户和应用程序是透明的 。当数据包过滤路由器决定让数据包通过时， 它与普通路由器没什么区别，甚至用户没有认 识到它的存在，因此不需要专门的用户培训或 在每主机上设置特别的软件。
--
9
缺点：
• 定义包过滤器需要网管员需要详细地了解 Internet各种服务、包头格式和他们在希望每 个域查找的特定的值。是一项很复杂的工作。
在实际应用中一般采用严策略来设置防火墙规则。 一般地，包过滤防火墙还应该阻止以下几种IP包进入内部 网 源地址是内部地址的外来数据包 指定中转路由器的数据包 有效载荷很小的数据包
--
8
优点：
• 一个过滤路由器能协助保护整个网络。绝大多 数Internet防火墙系统只用一个包过滤路由器；
• 过滤路由器速度快、效率高。
--
4
包过滤技术应用的关键问题是如何检查数据包，以 及检查到何种程度才能既保障安全又不会对通信速度产 生明显负面影响。从理论上讲，包过滤防火墙可以被配 置为根据协议报头的任何数据域进行分析过滤，但大多 数只是针对性的分析数据包信息头查模块将所有通过的数据包中发送方 IP地址、接收方的IP地址、TCP端口、TCP标志位等信 息读出，按照预先设置的过滤规则过滤数据包。只有满 足过滤规则的数据包才被转发，其余数据包则被丢弃。