学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

管理科学与工程类专业 职业规划问题探讨 报告人 : 李增兵 67D103 , FTP : // 管理科学与工程学院.
Edu.51cto.com. 讲师: 大侠唐在飞(小侠唐在飞) 唐志强 edu.51cto.com 姓名:唐志强 网名:小侠唐在飞、大侠唐在飞 年龄:差点成 80 后 地址:乌鲁木齐 (切糕、大盘鸡、干果什么的) 擅长领域:扛显示器、装机、装系统、杀病毒、重启电脑、部署服务器、做网线、做电话头、帮领导下片、看监控、
上海市党员党组织管理信息系统 培训讲义.
2008年上海市精品课程 2007年度上海建桥学院教改课程 计算机网络技术 理论 DNS服务的应用 项目负责人 张嗣萍/本环节主讲教师 阮鹏.
6.1 区域委派与域名转发 6.2 虚拟主机技术 6.3 架设FTP服务器 6.4 动态主机分配协议 6.5 架设Mail服务器
1 项目一 计算机网络概论 2 项目二 计算机网络协议与体系结构 3 项目三 物理层基础与应用 4 项目四 数据链路层基础与应用 5 项目五 网络层基础与应用 6 项目六 传输层的基础与应用 7 项目七 应用层的基础与应用 8 项目八 网络管理与网络安全.
计算机应用基础网考课 第六章 计算机网络基础.
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
第6章:计算机网络基础 网考小组.
《网络基础与Internet应用》.
半导体所网络概况 图书信息中心 张 棣.
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
第6章 计算机网络基础 1.
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
第6章 网络基础及Internet应用 6.1 计算机网络概述 6.2 计算机网络的组成 6.3 Internet基础
了 解 从 Internet IP 开 始.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
计算机网络安全培训 京承山希望小学 网络安全员:宋春辉.
电子商务网络技术 主讲:苑毅 电子商务教研室.
思考 问题十:大学生如何提高英语能力? (听说读写能力).
实训十四、IE浏览器的基本应用.
《计算机网络技术》 课程整体设计介绍.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
第7章 计算机网络与安全.
了 解 Internet 从 ip 开 始.
项目6.1:计算机网络基础 项目描述 能力目标 应用网络可以工作、学习,网络影响着我们的生活,了解网络知识、培养信息技术的水平和能力是工作和生活的需要。 通过对概念的理解,培养信息分析、辨别能力, 学会使用信息技术工作、学习。
网络实用技术基础 Internet技术及应用.
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
第2章 计算机网络体系结构 教学目标: 通过本章的学习,了解计算机网络体系结构和各个层次的相关协议,理解接口和服务等概念。掌握ISO/OSI模型和TCP/IP模型的各个层次及其所实现的功能。掌握IP地址的功能和划分,并对子网掩码和下一代互联网IPv6有相应的了解。
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
计算机系统安全 第10章 常用攻击手段.
企业网搭建及应用 重庆市永川职业教育中心
教学目的:通过本章的学习大家要掌握端口 教学重点:端口的分类的两大类,静态端口 教学难点:几种常见的端口.
基于WinSock的邮件系统 1 设计目标: 1.1 SMTP发送邮件服务器(c语言) 1.2 POP3接受邮件服务器(c语言)
第二期实验室工作人员培训讲座(三) 加强规范化建设 提高仪器设备管理水平 设备处 黄久龙 2017年9月13日 徐州师范大学设备处 黄久龙.
第7章 计算机网络基础.
網路概論.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
华南师范大学 防火墙 华南师范大学
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第 16 章 Internet架構.
TCP和UDP基本原理.
網路服務 家庭和小型企業網路 – 第六章.
计算机网络技术基础 任课老师: 田家华.
访问控制列表(ACL) Version 1.0.
第五讲 计算机网络应用 谢华成 副教授.
班級:四子二甲 姓名:孫培修 學號: 指導教授:謝欽旭老師
第 2 章 TCP / IP 簡介.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
第4章 OSI傳輸層.
OSI七層架構 OSI階層 負責的工作 應用層 表達層 會議層 傳輸層 網路層 資料鏈結層 實體層 將應用程式所送出的訊息轉成字元資料
网络故障诊断.
NetST®防火墙培训教程 清华得实® 保留所有权利.
E地通VPN设备部署.
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
Web前端开发 第23章:网站发布 阮晓龙 / 河南中医药大学管理科学与工程学科
计算机网络技术及应用 制作:重庆大学 郭松涛.
Network Application Programming(3rd Edition)
TCP/IP协议及其应用.
1.4 计算机网络体系结构与协议 引言 网络系统的体系结构 网络系统结构参考模型ISO/OSI
網路安全管理 期末報告 A 許之青 24/04/2019.
目 录: 一、网络存储系统的登录 二、网络存储系统的基本使用 三、学生提交作业功能的使用 四、教师开放资源功能的使用.
【VA虚拟应用管理平台】专题培训 接入防火墙 陕西益和信息技术开发有限责任公司 2011年2月.
第10讲 Web服务.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
Presentation transcript:

学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则 第4章 数据包过滤 学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则

包过滤器(packet filter)可以根据端口、IP地址和协议这些标准来阻止或者允许信息包的传输。

4.1 理解数据包和数据包过滤 数据包过滤器检查数据包报头,把它撕掉,并且再把它送到网络中的特定位置之前用一个新的报头来代替。下面是一些常见的数据包过滤规则: 1)停止所有入站连接:只允许在端口为80(HTTP)、25(SMTP)和21(FTP)上的出站连接。 2)取消所有去往Internet中不可用的端口的数据包,例如 NetBIOS,但允许与Internet相关的通信量通过,如:SMTP

3)过滤掉任何ICMP重定向或回显(ping)消息,这可能表明黑客正试图寻找开放端口或主机IP地址。 4)删除所有使用IP报头源路由选择功能的数据包,在IP源路由中,数据包的创建方可以有意地部分或者全部控制通过网络传输到目的地的路径。从安全角度讲,源路由选择基本都被认为是一个欺骗行为。

4.1.1 执行数据包过滤的装置 数据包过滤硬件与软件 1)路由器 2)操作系统 3)软件防火墙

4.1.2 数据包的分析 每个数据包由两部分组成:报头和数据,报头中包含着只供计算机读取的信息。所以正确理解数据包报头的组成十分重要,因为它可以帮助配置数据包过滤器来抵抗可能受到的攻击。

4.1.3 关于数据包过滤的快速指南 数据包过滤就是由路由器或者防火墙检查数据包报头后,决定是否让数据包通过的过程,数据包过滤设备评估报头的信息并且把它和已经设立的规则相比较,如果信息符合其中的一个“允许”规则,则允许数据包通过。另一方面,如果信息与一个“拒绝”规则相匹配,数据包被删除。 数据包过滤器只检查报头

4.1.4 规则的使用 软件个人防火墙程序在保护一台计算机时能起到一定的作用,但是他们会在网络工作中造成一些问题。它们经常阻塞网络计算机之间的通信,除非设立允许通信的规则。所以必须建立一个访问列表,它包括局域网中的所有计算机的名字和IP地址,以便它们可以相互通信。 例:Norton Internet security 2006

4.2 数据包过滤的方法 4.2.1 无状态数据包过滤 也称作静态数据包过滤,它在做出是否阻塞一个数据包的决定时不关心连接的状态,但在需要完全阻止从子网络或者其他网络过来的通信时是有用的。 1)按IP数据包报头标准过滤 无状态包过滤器独立的查看每个数据包的报头,它将报头数据与它的规则集相比较,然后只发送那些与规则匹配的数据包。

例:如果过滤器已经设立了一个固定的规则,即所有来自外部网络的连接都被阻断,只接收一个外部主机的请求,它将舍弃与那个请求有关的数据包。 例:如果包过滤器设立一个让所有进来的HTTP通信都必须路由到IP地址是192.168.100.2的公共Web服务器上的规则,那么它会把任何一个HTTP数据包送往192.168.100.2。

2)按照TCP或者UDP端口号过滤 按照TCP或者UDP端口号过滤的方式,经常被称作端口过滤或者协议过滤。 例如:仅允许web的TCP80端口、电子邮件的TCP25端口和FTP的TCP21端口上的通信。 3)按照ICMP消息类型过滤 ICMP为TCP/IP发挥着家务管理协议的作用,它帮助网络处理各种各样的通信问题。ICMP可以被黑客用来攻击网络中的计算机,因为ICMP没有验证方法来确认一个数据包的接收者,黑客可以尝试中间人攻击,在攻击中它们模仿预期的接收者。

4)按段标记过滤 理论无害处,从安全角度看,保持段的安全有困难,因为TCP和UDP端口号仅仅提供到数据包的开始处,端口号出现在段0处,段1或者以后的段很容易通过过滤器,因为它们不包括任何端口信息。黑客可以更改一个数据包的IP报头,使其从段1或者更高的段号开始,这样所有的段都会通过过滤器并且可以访问内部资源。 设置防火墙/数据包过滤器阻止所有的分段数据包或者仅仅允许完整的数据包通过。

5)按ACK标记过滤 TCP包中的ACK位这部分信息表明数据包是否正请求连接或者一个连接是否已经建立。数据包请求连接时把ACK位设置为0,已经连接的请求将ACK位设置为1。黑客可以在一个数据包中插入一个为1的虚假ACK位,试图欺骗主机,让主机认为一个连接正在进行 设置防火墙仅仅允许ACK位为1的数据包访问指定的端口。

6)可疑的入站数据包的过滤 (1)阻断所有源IP地址处于内部网络范围之内的入站数据包 (2)阻断所有把回送地址127.0.0.1作为源IP地址的入站通信 (3)阻断具有一个没有分配任何网络源IP地址的通信,例如:0.X.X.X、1.X.X.X或者2.X.X.X

4.2.2 有状态数据包过滤 可以维护连接状态的记录。通过“记忆”那些数据包是活动连接的一部分,那些不是,有状态过滤器可以做出“智能”的决定,允许正确回应已确定连接的通信,拒绝那些包括虚假信息的“仿制”数据包的通信。

4.3 设立专用的数据包过滤规则 4.3.1 适应多种变化的数据包过滤规则 设立包过滤规则的诀窍是考虑用于某种通信的所有可能端口或某个特殊协议的所有变化。 4.3.2 适用于ICMP的数据包过滤规则 4.3.3 阻断ping包的数据包过滤规则 规则 协议 传输协议 源IP地址 目标IP地址 ICMP消息 动作 1 入站ICMP ICMP 任意 源抑制 允许

4.3.4 启用Web访问的数据包过滤规则 4.3.5启用DNS访问的数据包过滤规则 12 入站HTTP TCP 任意 协议 传输协议 源IP地址 源端口号 目标IP地址 目标端口号 动作 12 入站HTTP TCP 任意 192.168.2.32 80 允许 规则 协议 传输协议 源IP地址 源端口号 目标IP地址 目标端口号 动作 16 出站DNS TCP 192.168.2.31 任意 53 允许

4.3.6启用FTP访问的数据包过滤规则 4.3.7 使用电子邮件的数据包过滤规则 规则 协议 传输协议 源IP地址 源端口号 目标IP地址 目标端口号 动作 20 控制入站FTP TCP 任意 192.168.1.25 21 允许 规则 协议 传输协议 源IP地址 源端口号 目标IP地址 目标端口号 动作 25 出站POP3 TCP 192.168.2.1/24 任意 110 允许