状态检测防火墙.ppt

该【状态检测防火墙 】是由【fanluqian】上传分享，文档一共【16】页，该文档可以免费在线阅读，需要了解更多关于【状态检测防火墙 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。第三章 防火墙安全策略
汇报人姓名
汇报日期
单击此处添加副标题
学完本课程后，您将能够:
单击此处添加标题内容，文字是您思想的提炼，请尽量言简意赅的阐述观点
目标
2
单击此处添加标题内容，文字是您思想的提炼，请尽量言简意赅的阐述观点
1
包过滤技术基础
2
防火墙转发原理
3
防火墙安全策略及应用
目录
对需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。
实现包过滤的核心技术是访问控制列表。
Internet
公司总部
内部网络
未授权用户
办事处
包过滤技术
包过滤的基础是什么？
协议号
源地址
目的地址
MAC报头
协议号
源地址
目的地址
IP报头
源端口
目的端口
TCP/UDP报头
TCP/IP数据包示意（图中IP所承载的上层协议为TCP/UDP）
数据
对于TCP/UDP来说，这5个元素组成了一个TCP/UDP连接，访问控制列表就是利用这些元素所定义的规则。
防火墙安全策略
Trust区域
Untrust区域
规则1： 访问Internet
规则2： 访问Internet
定义
安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制。
规则的本质是包过滤。
主要应用
对跨防火墙的网络互访进行控制
对设备本身的访问进行控制
入数据流
出数据流
BBAABBBAAAA
AA AAAA
Policy 0：允许A后续操作
Policy 1：拒绝B后续操作
防火墙安全策略
防火墙安全策略作用：
根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。
步骤1：
入数据流经过防火墙
步骤2：
查找防火墙安全策略
判断是否允许下一步操作
步骤３：
防火墙根据安全策略定义规则对数据包进行处理
默认策略操作
防火墙安全策略的原理
域间安全策略
域内安全策略
接口包过滤
Trust区域
Untrust区域
G0/0/0
G0/0/1
Outbount
Inbount
Trust区域
G0/0/0
Inbount
Outbount
安全策略分类
目录
包过滤技术基础
1
防火墙转发原理
2
防火墙安全策略及应用
3
防火墙
Trust区域
Untrust区域
客户端
服务器
查路由表,基于接口所属域间及方向,查域间包过滤规则
Policy0：permit源为
Policy1：deny源为
……
缺省域间包过滤规则为禁止
未命中会话表
执行首包流程
非首包，查找会话表
命中会话表
执行后续包流程
防火墙域间转发