07状态检测防火墙原理专题培训课件

目标学完本课程后，您将能够:理解防火墙包过滤技术理解防火墙转发原理理解防火墙安全策略掌握防火墙安全策略配置目录包过滤技术基础防火墙转发原理防火墙安全策略及应用包过滤技术对需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处包过滤的基础是什么？TCP/IP数据包示意（图中IP所承载的上层协议为TCP/UDP）IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口MAC报头协议号源地址目的地址对于TCP/UDP来说，这5个元素组成了一个TCP/UDP连接，访问控制列表就是利用这些元素所定义的规则。定义安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制。规则的本质是包过滤。主要应用对跨防火墙的网络互访进行控制对设备本身的访问进行控制防火墙安全策略Trust区域Untrust区域规则1：允许192.168.1.1访问Internet规则2：不允许192.168.1.2访问Internet入数据流出数据流防火墙安全策略的原理

BBAABBBAAAA

AAAAAAPolicy0：允许A后续操作Policy1：拒绝B后续操作防火墙安全策略防火墙安全策略作用：根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。步骤1：入数据流经过防火墙步骤2：查找防火墙安全策略判断是否允许下一步操作步骤３：防火墙根据安全策略定义规则对数据包进行处理默认策略操作安全策略分类域间安全策略域内安全策略接口包过滤Trust区域Untrust区域G0/0/0G0/0/1OutbountInbountTrust区域G0/0/0InbountOutbount目录包过滤技术基础防火墙转发原理防火墙安全策略及应用防火墙域间转发防火墙Trust区域Untrust区域客户端服务器查路由表,基于接口所属域间及方向,查域间包过滤规则Policy0：permit源为192.168.168.0Policy1：deny源为192.168.100.0……缺省域间包过滤规则为禁止未命中会话表执行首包流程非首包，查找会话表命中会话表执行后续包流程查询和创建会话查询会话表匹配会话表安全性检查刷新会话表检查是否可以创建会话查看ServerMap表查找路由表包过滤规则NAT创建会话表转发报文是否状态检测机制状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。状态检测机制关闭状态下，即使首包没有经过设备，后续包只要通过设备也可以生成会话表项。Host10.0.0.1Server20.0.0.110.0.0.1TCPSYN20.0.0.110.0.0.1TCPACK’20.0.0.1会话表项源IP地址源端口目的IP地址目的端口协议192.168.1.1200001.1.1.123TCP源IP地址源端口目的IP地址目的端口协议1.1.1.123192.168.1.120000TCPServerClientServer1.1.1.1:23Host192.168.1.1:20000创建会话表命中会话表该报文通过Session:TCP192.168.1.1:200001.1.1.1:23ClientServer<USG>displayfirewallsessiontableverboseCurrenttotalsessions:1icmpVPN:public-->publicZone:trust-->untrustSlot:8CPU:0TTL:00:00:20Left:00:00:19Interface:GigabitEthernet6/0/0Nexthop:107.255.255.10<--packets:134bytes