包过滤防火墙介绍

2020年4月27日 评论 126

Internet采用TCP/IP协议,设置在不同网络层次上的电子屏障构成了不同类型的防火墙;一般分为两大类,包过滤型与代理服务器.

安全策略是防火墙的灵魂和基础.在建立防火墙之前要在安全现状,风险评估和商业需求的基础上提出一个完备的总体安全策略,这是配制防火墙的关键,安全策略可以按如下两个逻辑来制定;

准许访问除明确拒绝以外的全部访问-所有未被禁止的都允许访问;

拒绝访问除明确准许的全部访问-所有未被允许的都禁止访问;

包过滤防火墙利用数据包的头信息判定与过滤规则相匹配与否来决定会聚,建立这类防火墙所需要的步骤如下;

1.建立安全策略-写出所允许和禁止的任务;

2.将安全策略转化为数据包分组字段的逻辑表达式;

3.用供货商提供的句法重写逻辑表达式并设置;

包过滤防火墙主要是防止外来攻击,其过滤规则大体有,

>对付源IP地址欺骗式攻击,入侵者假冒内部主机,从外部传输一个IP地址为内部网络地址的数据包,对于这类攻击,防火墙只需要把来自外部商品的使用内部源地址的数据包统统丢弃掉即可.

>对付源路由攻击,源站点指定了数据包在Internet中的传递路线,使数据包遵循着一条不可预料的路径到达目的的,对付这类攻击,防火墙应丢弃所有包含源路径选项的数据包.

>对付残片攻击,入侵者使用TCP数据包的分段我,创建极小的分段并强行将TCP头信息分成多个数据包,以绕过用户防火墙的过滤规则,黑客期望防火墙只检查第一个分段而允许其余的分段通过,对付这类攻击,防火墙只需要将TCP/IP协议片断位移值为1的数据包全部丢弃即可.

包过滤防火墙的优点是简单,透明,其缺点是;

1.这个防火墙需要从建立安全策略和过滤规则集入手,需要花费大量的时间和人力,还要不断根据新情况不断更新过滤规则集,同时由于规则集的复杂性,又没有测试工具来检验其正确性,难免仍会出现漏洞,给黑客以可乘之机.

2.对于采用动态分配端口的服务,如很多RPC服务相关联的服务器在系统自动时随机分配端口的,就很难进行有效地过滤,

3.包过滤防火墙只按规则丢弃数据包而不作记录和报告,没有日志功能,没有审计性,同时它不能识别相同IP地址的不同用户,不具备用户身份认证等功能.

  • 本文由 发表于 2020年4月27日
  • 转载请注意本文链接:http://www.wf-seo.com/wzjs/13603.html
计算机并行程序设计的多种模型 网站建设

计算机并行程序设计的多种模型

并行程序设计具有多种模型,它为程序员提供了一幅透明的计算机硬件/软件系统视图.1).共享变量模型,共享变量模型用限定作用范围和访问权限的办法,对进程寻址空间实行共享或限制,利用共享变量实现并行进程间通...
大规模并行处理计算机系统的发展趋势 网站建设

大规模并行处理计算机系统的发展趋势

1)系统性能,在20世纪90年代曾经提出要3T并行系统,所谓3T指三个指标达到万亿,即万亿每秒浮点去运算速度,万亿字节存储容量,万亿位每秒传输带宽.随着微电子工艺的发展和微处理器的新体系结构的进展,目...
PDA的概况及定义 网站建设

PDA的概况及定义

PDA,即个人数字助理,是Personal Digital Assistant的缩写,顾名思义就是辅助个人工作的数字工具.PDA开始主要是提供词,通信录,名牌资质及行程安排等功能,随着时间推移和技术的...
PDA产品的功能特点 网站建设

PDA产品的功能特点

我们可以归纳出PDA是一种面向大众消费市场的,高便携性的,易于使用的,集计算和通信功能于一体的设备,说简单点,就是一种掌上型多功能PC,这就决定了PDA的一些基本特点.1)价格低廉.既然要面向大众市场...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: