防火墙系列(二)—–防火墙的主要技术
必备知识:TCP/IP基础
包过滤技术
工作对象–>数据包
防火墙要在数据包进入系统之前处理它
实现包过滤技术的防火墙模块要在操作系统协议栈的网络层的位置。
过滤对象
针对IP的过滤
查看每个IP数据包的包头,将包头数据与规则集相比较,转发规则集允许的数据包,拒绝规则集不允许的数据包
针对ICMP的过滤
- 最常用的ping指令使用ICMP查询报文,攻击者而可以利用这样的的报文或程序探测用户网络主机和设备的可达性,进而勾勒出用户网络的拓补结构;因此要阻止类型8回送请求ICMP报文进出用户网络;
- 与类型8相对应的类型0回送应答报文也很值得关注,攻击者通过向目的主机发送多个类型8的报文是的服务器响应信息过多瘫痪,从而实现攻击的目的
- 类型5路由重定向报文,攻击者可以通过中间人攻击的方法,伪装成预期的接受者截获或者篡改正常的数据包,也可以将数据包导向至受其控制的位置网络。
- 还有类型3目的不可达报文。
针对TCP过滤
有两种
1.针对源端口或者目的端口的过滤,例如HTTP的80端口,对这些端口号进行过滤规则的设置,可以实现禁止内部用户访问指定网站。
2.对标志位过滤
两个标志位 SYN:建立连接 ACK:响应;
下面