数据包过滤防火墙的预备知识

最新推荐文章于 2024-05-08 11:18:42 发布
最新推荐文章于 2024-05-08 11:18:42 发布
阅读量99 收藏
点赞数
文章标签: 网络 操作系统
原文链接:http://www.cnblogs.com/inmeditation/p/10486233.html
版权

大纲

OSI网络模型
IP协议
传输层协议
地址解析协议
主机名和IP地址
路由
服务端口
小结

用到的英文

OSI - Open System Interconnection
MAC - Media Access Control

防火墙的目的是为了执行管理员定义的安全策略
拥有防火墙并不意味着就拥有了全面的防护,安全是一个过程

1OSI网络模型

开放系统互联(Open System Interconnection,OSI)模型代表了基于层次的网络框架,OSI模型中的每一层都提供了不同的功能,共包含了7层

应用层
表示层
会话层
传输层
网络层
数据链路层
物理层

这些层有时候是以编号来标识的,物理层是第一层 .如果你听别人说过"三层交换机",就是工作在网络层

OSI模型中的每一层都很重要,那些每天都在使用的协议,例如,IP,TCP,ARP等都是分布在OSI模型的不同层,每一层在通信过程都扮演着不同的角色

OSI模型中的物理层被传输介质占据,例如电缆规格和相关的信号协议.换言之,他们传输比特. 多数情况下,除了保护设备和布线,网络入侵检测人员通常不会关心物理层的

在物理层的上层是数据链路层,数据链路层在给定的物理介质上传输数据,并负责传输过程中的错误检测和恢复 物理硬件地址的定义也在这一层,例如以太网卡的介质访问控制(Media Access Control,MAC)地址

在数据链路层之上的便是网络层了,负责逻辑寻址与数据路由. IP协议是网络层的协议,这意味着IP地址和子网掩码由网络层使用.路由器和一些交换机工作在第三层,它们在逻辑上或物理上分隔的网络之间传递数据

第四层,传输层,是能够建立可靠性的重要一层.传输层的协议包括TCP和UDP.

第五层,会话层,在该层上,会话在两个端点之间建立

第六层,表示层,负责与其上的应用层进行通信,还定义了使用的加密方式等

第七层,应用层,负责向用户或应用程序显示数据

封装和解封

当数据从应用程序沿着OSI模型的各层向下传递的时,下一层的协议会在数据上添加一些它们的额外信息,这些数据通常包括一个由上一层添加到数据的头部,有时还会添加尾部.这个过程称为封装(encapsulation)

封装的过程会一直持续直到数据在物理介质上传输.对以太网来说,数据在传输时称为帧.
当以太网到达了它的目的地后,数据帧会开始沿OSI模型的各层向上传递,每一层都会读取发送方相应各层的头部(有可能尾部)信息,这个过程称为解封(demultiplexing)

面向连接和无连接的协议

面向连接:TCP,可以参考QQ发送文件,需要对面确认才可以建立连接
无连接协议:UDP,IP.QQ离线发送文件,不需要对面确认即可发送

2IP协议

IP协议是互联网运行的基础,Ip协议和其它层的协议一起为不计其数的应用提供通信.
IP是无连接的协议,提供第三层的路由功能

IP编址和子网划分

IPv4的IP地址由4个8比特的数字组成,它们用点进行分割,即"点分十进制"记法.
而IPv6的IP地址有128比特,通常以8组由冒号分割的十六进制数表示

IPV4地址被分为了不同的类型,而不是作为一整个地址空间来使用.如下:

A - 0.0.0.0~127.255.255.255
B - 128.0.0.0~191.255.255.255
C - 192.0.0.0~223.255.255.255
D - 224.0.0.0~239.255.255.255
E和未分配 - 240.0.0.0~255.255.255

实际上,A,B,C类地址才真正被互联网所使用,D类地址常用于组播,E类地址是实验性的未分配的地址范围

特殊的IP地址
网络地址0,作为A类地址的一部分,网络地址0并不会作为IPv4可路由地址去使用.
在作为原地址使用时,唯一合法的使用时机就是在初始化期间,当主机尝试获得一个由服务器动态分配的IP地址的时候.
而作为目的地址时候,只有0.0.0.0才有意义,它只存在于本地计算机并代表它自己,或按照惯例代表默认路由
回环网络地址127,作为A类地址的一部分,网络地址127并不会被用作可路由地址的一部分,
回环地址指向由操作系统提供支持的一个私有的网络接口.这个接口被用于本地基于网络的服务的寻址.回环网络指向本地主机
广播地址,
广播地址是应用于网络中所有主机的特殊网络地址,主要有两种,受限广播地址和直接广播地址
受限广播不会被路由,但是会被传递到同一物理网段中连接的所有主机, IP地址的网络部分和主机部分中的所有位都被置为1,即255.255.255.255,

直接广播地址则会被路由,他将会传递到指定网络的所有主机.其IP地址中的网络部分指定一个网络,而主机部分通常被设置为全是1,例如192.168.10.255. 类似的您可能会看到指定为网络地址的地址,如192.168.10.0

IPv6并不使用广播地址,使用组播(Multicast)来实现面向一组主机的通信

转载于:https://www.cnblogs.com/inmeditation/p/10486233.html

weixin_30920853
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《Linux防火墙(第4版)》——第1章 数据包过滤防火墙预备知识 1.1OSI网络模型...
weixin_33748818的博客
05-02 378
本节书摘来自异步社区《Linux防火墙(第4版)》一书中的第1章,第1.1节,作者:【美】Steve Suehring(史蒂夫 苏哈林)著,更多章节内容可以访问云栖社区“异步社区”公众号查看 第1部分 数据包过滤以及基本安全措施 第1章 数据包过滤防火墙预备知识 一个小型站点可能会通过多种方式连接到互联网,如T1专线、电缆调制解调器、DSL、无线、PP...
常用防火墙数据包过滤自定义规则 未完成
Xmiangui的第一个博客(囧)荒地未耕田
12-04 940
这篇是写给自己备忘的。 所以: 1、诸如“为什么没有封锁‘高危’端口啊”,这类新手问题我就不特别说明了。 2、我个人很反对直接照别人设的规则无脑使用。 3、迅雷和其他吸血下载、QQ除了IM的所有软件、网络游戏除了万恶的WOW,等等,我都没用过,所以不会有规则。 被动防止MAC地址欺骗 Direction: Inbo...
防火墙技术基础篇:什么是包过滤技术
最新发布
qq_39241682的博客
05-08 1819
当数据在网络中传输时,它们被分割成小的单元,称为数据包防火墙的包过滤是一种基本的网络安全技术,用于检查这些数据包并根据预定义的规则决定是否允许它们通过防火墙防火墙过滤是一种关键的网络安全技术,它工作在网络层,用于控制进出一个网络数据包。通过检查每个数据包的头部信息(比如源IP地址、目的IP地址、端口号以及协议类型等),包过滤防火墙能够决定哪些数据包被允许通过,哪些被阻止或丢弃。
iptable
weixin_33768481的博客
04-23 638
http://qiliuping.blog.163.com/blog/static/1023829320105245337799/ netfilter/iptables全攻略 LINUX 2010-06-24 17:03:37 阅读353 评论0 字号:大中小订阅 内容简介 防火墙的概述 iptables简介 iptables基础 iptables...
过滤防火墙
超越方程的博客
12-27 6130
过滤防火墙过滤( Packet Filter )是在网络层中根据事先设置的安全访问策略(过滤规则) ,检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等) , 确定是否允许该数据包通过 防火墙一般会配置成双向过滤过滤器设置成一些基于IP或TCP字头域匹配的规则 当没有匹配的规则,防火墙执行默认策略 默认=丢弃 默认=传递 缺点 由于包过滤防火墙不检查更高层数据,因此这种防火墙不能阻止利用了特定应用的漏洞或功能所进行的攻击 包过滤防火墙对利用 T
Linux平台下数据包过滤防火墙的研究与实践.pdf
09-06
Linux平台下数据包过滤防火墙的研究与实践.pdf
基于数据包过滤防火墙设计与实现
06-02
而包过滤防火墙防火墙技术的一种。很 多高级的防火墙都是包过滤防火墙的功能增强或扩展。包过滤防火墙主要通过对ip数据 包的源地址,目的地址,源端口,目的端口和TCP标志的信息和过滤规则进行比较来 实现数据包的...
过滤防火墙
06-27
VC++做的简单包过滤防火墙,可以通过IP地址、协议(TCP、UDP、ICMP)对包进行过滤,包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会...
静态数据包过滤深入简析
10-01
数据包过滤有时也称为静态数据包过滤,它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问,需要了解的朋友可以参考下
vcc源代码.rar_vc 防火墙_包过滤防火墙_数据包_网络 过滤_防火墙
09-21
防火墙的一个源代码,用Vc++开发.实现了对本机的监控和对网络数据包过滤.
使用iptables进行TCP数据包过滤
智识帮的博客
01-17 4896
在Linux系统内核空间中,有面向网络防火墙实现。这个防火墙是由软件实现的,是逻辑上的防火墙。用户可以设置某些的“安全设定”,配置到这个网络防火墙的“安全框架”中。这个“安全框架”就是netfilter。 netfilter是处于内核态的,netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能: 1. 网络地址转换(Network Address...
防火墙数据包拦截方式
weixin_30498921的博客
04-10 1614
  最近看了许多关于防火墙的包拦截方式,有比较全的,但依然不是很清楚,现将各个网络上的资源整理下。   网络防火墙都是基于数据包的拦截技术之上的。在 Windows 下,数据包的拦截方式有很多种,其原理和实现方式也千差万别。总的来说,可分为“用户级”和“内核级”数据包拦截两大类。 用户级下的数据包拦截方式有: Winsock Layered Service Provider (LSP) ...
防火墙安全策略
热门推荐
曹世宏的博客
05-17 8万+
过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。 传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协...
网络安全:包过滤防火墙和代理防火墙(应用网关防火墙
azsx02的博客
04-02 3万+
防火墙过滤防火墙 代理防火墙 应用网关防火墙 HTTP代理 SOCKS协议
过滤防火墙和代理防火墙各自的优缺点
网工小小威
07-02 1万+
过滤防火墙 优点 ①利用路由器本身的包过滤功能,以ACL方式实现 ②处理速度较快 ③对于安全要求低的网络采用路由器自带防火墙功能时,不需要其他设备 ④对于用户来说是透明的,用户的应用层不受影响 缺点 ①无法阻止ip欺骗 ②路由器的过滤规则的设置和配置十分复杂 ③不支持应用层协议,无法发现基于应用层的攻击 ④实施的是静态的、固定的控制,不能跟踪TCP状态 ⑤不支持用户认证 ...
Iptables—包过滤网络层)防火墙
weixin_34129145的博客
08-06 410
Iptables—包过滤网络层)防火墙一:Linux 防火墙基础:Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(也称网络防火墙);Linux防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,因此被广泛的应用。1.Netfilter和iptables的区别:Netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或...
iptables包过滤防火墙
Dream wedding
05-12 4474
         iptables是管理netfilter的唯一工具;(netfilter是网络过滤器,或者网页内容过滤器),netfiletr直接嵌套在linux的内核上面。netfilter在内核中过滤,没有守护进程。它的过滤速度非常快,因为只读取数据包头,不会给信息流量增加负担,也无需进行验证。        netfiletr提供一系列的表(tables),每个表有若干个链组成,每条链可以...
Netfilter框架下的数据包过滤与入侵检测:Linux防火墙实现
首先,文章概述了网络安全的基本概念和TCP/IP协议的基础知识,强调了包过滤防火墙的重要性,它作为一种通用安全策略,不依赖于特定的服务,适用于各种网络环境。包过滤防火墙的核心原理是对IP数据包的源地址、目的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值