More Related Content
Similar to 防火牆原理架構和種類介紹 (20)
防火牆原理架構和種類介紹
- 7. 防火牆類型
• 封包過濾防火牆 (Packet-filtering Firewall)
• 狀態檢視防火牆 (stateful Inspection Firewall)
• 代理防火牆 (Proxy)
– 電路閘道器(Circuit Level gateway)
– 應用程式閘道器 (application-level gateway)
• 混合型防火牆(Hybrid Firewall)
- 11. 封包過濾的原理
• 封包過濾防火牆會
依據封包標頭的下
面欄位檢查:
– 來源地的 IP 位址
拒絕
允許
來源端
目的端
通訊
協定
– 目的地的 IP 位址
位址
埠號
位址
埠號
動作
方式
TCP
10.0.0.x
High
Any
80
允許
– 協定(TCP, UDP,… )
TCP
Any
80
10.0.0.x
High
允許
– TCP或UDP的來源埠
– TCP或UDP的目的埠
– ICMP 的訊息種類
目的端位址
來源端位址
目的端埠號
來源端埠號
資料
TCP/UDP封包
IP封包
- 12. 封包過濾防火牆優缺點
• 優點:
– 建置簡單便宜
– 效率佳。
– 具透通性,用戶端機器無需作任何設定。
• 缺點:
– 難以設計出一組長期有效又正確的無誤過濾規則。
– 無法處理應用層協定,所以對於封包資料段或特定
應用服務弱點的攻擊方式無能為力。
– 缺乏驗證能力。
– 安全性較差。
- 17. 狀態檢視防火牆
(3)
(1)
(2)
TCP SYN 封包
來源:102.1.1.2:6431
目的:210.2.2.1:80
建立連線
TCP SYN 封包
來源:102.1.1.2:6431
目的:210.2.2.1:80
(6)
TCP SYN/ACK 封包
來源:210.2.2.1:80
目的:102.1.1.2:6431
內部機器
10.1.1.2
(4)
TCP SYN/ACK 封包
來源:210..2.2.1:80
目的:102.1.1.2:6431
(5)
檢查連線 OK
網際網路
伺服器
(7) ACK
(8) 資料傳輸 (允許)
狀
態
表
通訊協定
來源端
目的端
狀態
位址
埠號
位址
埠號
TCP
102.1.1.2
6431
210.2.2.1
80
OK
… .
… ..
… .
… .
… .
… .
- 32. 混合型防火牆
• 混合型防火牆 (hybrid firewall)
• 許多防火牆均可同時提供封包過濾、狀態檢視
和代理閘道器的功能稱之。
• 利用混合型防火牆以循序性的方式套用多種過
濾篩選方式,將可加強安全性。
1. 封包過濾
1. 封包過濾
2. 狀態檢視
2. 狀態檢視
3. 代理
3. 代理