只能允许经过本地安全策略授权的通信信息 通过；
防火墙本身不能影响网络信息的流通。
2020/4/9
电子科技大学成都学院
4
防火墙的功能主要表现在如下四个方面：
（1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 （4）防止内部信息的外泄
由于防火墙所处的优越位置，在实际应用中往往加 入其他功能，如NAT（网络地址转换）、路由管理、 VPN等。
电子科技大学成都学院
10
包过滤设备(不管是路由器还是防火墙)配置有一系列的 数据包过滤规则，定义了什么包可以通过防火墙，什 么包必须丢弃，这些规则常称为数据包过滤访问扩展 列表(ACL)。
各个厂商的防火墙产品都有自己的语法用于创建规则。 一些常用的包过滤规则使用与厂商无关但可理解的定 义语言，如表5-1所示。
网络安全与病毒防范 第五章 防火墙技术
5.1 防火墙的基本概念 5.2 防火墙的主要技术 5.3 防火墙的体系结构 5.4 防火墙的局限性及发展
2020/4/9
电子科技大学成都学院
2
5.1 防火墙的基本概念
防火墙是一种高级访问控制设备，是在被保护 网和外网之间执行访问控制策略的一种或一系 列部件的组合，是不同网络安全域间通信流的 通道，能根据企业有关安全策略控制进出网络 的访问行为。
2020/4/9
电子科技大学成都学院
5
从总体上来看，防火墙应具有以下五个基本功 能：
过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击进行检测和告警。
2020/4/9
电子科技大学成都学院
6
5.2 防火墙技术
常见的防火墙技术有三种：
跟传统包过滤只有一张过滤规则表不同，状态包过滤 同时维护过滤规则表和状态表。过滤规则表是静态的， 而状态表中保留着当前活动的合法连接，它的内容是 动态变化的，随着数据包来回经过设备而实时更新。 当新的连接通过验证，在状态表中则添加该连接条目， 而当一条连接完成它的通信任务后，状态表中的该条 目将自动删除。
启动程序协议(Bootp) 动态主机配置协议(DHCP) 简易文件传输协议(TFTP) 微软网络基本输入输出系统(NetBIOS) 公共互联网文件系统(CIFS) 远程行式打印机(LPR) 网络文件系统(NFS)
2020/4/9
电子科技大学成都学院
13
优点
包过滤防火墙的优点在于处理效率上，安全性体现 在根据过滤规则对TCP、UDP数据包进行检测。
（3）有效载荷很小的数据包。这类数据包很可能是为 抵御过滤规则而设计的数据包，其目的是将TCP包首 部分封装成两个或多个IP包送出，比如将起始端口和 目标端口分别放在两个不同的TCP包中，使防火墙的 过滤规则对这类数据包失效，这种方法称为TCP碎片 攻击。
2020/4/9
电子科技大学成都学院
12
除了阻止从外部网送来的恶意数据包外，过滤规则还 应阻止某些类型的ቤተ መጻሕፍቲ ባይዱ部网数据包进入外部网，特别是 用于建立局域网和提供内部网通信服务的各种协议数 据包，包括:
2020/4/9
电子科技大学成都学院
9
控制策略
分组过滤原理
查找对应的 控制策略
根据策略决定如 何处理该数据包
拆开数据包
数据包 数据包
安全网域 Host C Host D
数 据 包 数据包
IP报头 TCP报头 分组过滤判断信息
数据
过滤依据主要是TCP/IP报头里面的 信息，不能对应用层数据进行处理
2020/4/9
2020/4/9
电子科技大学成都学院
11
一般地，应该阻止如下几种IP包进入内部网：
（1）源地址是内部地址的外来数据包。这类数据包很 可能是为实行IP地址诈骗攻击而设计的，其目的是装 扮成内部主机混过防火墙的检查进入内部网。
（2）指定中转路由器的数据包。这类数据包很可能是 为绕过防火墙而设计的数据包。
例1：包过滤防火墙不能很好的处理动态端口 连接的情况。不能根据每一连接的情况，开放 实际使用的端口。
例2：包过滤防火墙对于TCP ACK隐蔽扫描无 能为力。
2020/4/9
电子科技大学成都学院
15
2．状态包过滤技术
状态包过滤(Stateful Packet Filter)是一种基于连接的 状态检测机制，将属于同一连接的所有包作为一个整 体的数据流看待，对接收到的数据包进行分析，判断 其是否属于当前合法连接，从而进行动态的过滤。
1、包(分组)过滤技术 2、代理技术 3、状态检测技术
2020/4/9
电子科技大学成都学院
7
1．包(分组)过滤技术
包过滤技术指在网络中适当的位置对数据包 有选择的通过，选择的依据是系统内设置的 过滤规则，只有满足过滤规则的数据包才被 转发到相应的网络接口，其余数据包则从数 据流中删除。
包过滤防火墙一般位于内部网络和外部网络 的边界上，是内外网络通信的唯一出入点， 所有进出内部网络的流量首先都要经过包过 滤防火墙的审查。
2020/4/9
电子科技大学成都学院
8
包过滤防火墙作用在网络层和传输层，它根据通过防 火墙的每个数据包的首部信息确定是否允许数据包通 过。只有满足过滤逻辑的数据包才被转发到相应的目 的地出口端，其余数据包则被从数据流中丢弃。
过滤依据特性：
IP源地址 IP目标地址 协议类型（TCP包、UDP包和ICMP包） TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号、IP校验和等
缺点
制定包过滤路由器的安全规则非常复杂，且不易配 置和维护，有时为了允许正常情况下被阻塞的访问 服务而需要制定规则的例外情形，这使得过滤规则 复杂到难以管理的地步。
包过滤防火墙不能很好的处理动态端口连接的情况。不能 根据每一连接的情况，开放实际使用的端口。
2020/4/9
电子科技大学成都学院
14
防火墙是设置在可信网络(Trusted Network)和不 可信任的外界之间的一道屏障，可以实施比较 广泛的安全策略来控制信息流进入可信网络， 防止不可预料的潜在的入侵破坏；另一方面能 够限制可信网络中的用户对外部网络的非授权 访问。
2020/4/9
电子科技大学成都学院
3
防火墙都必须具有以下三种基本性质： 进出网络的双向通信信息必须通过防火墙；