● 防火墙技术分析讲义--一 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ykwch.bbs@bbs.cqupt.edu.cn (心蓝--雨下), 信区: Linux
标  题: 防火墙技术分析讲义--一
发信站: 幽幽黄桷兰 (Sat Apr  5 15:01:59 2003)
转信站: SZU!news.tiaozhan.com!news.happynet.org!CQUPT

----------------------------------------------------------------------------
----
防火墙技术分析讲义
                             防火墙技术分析讲义
                                        yawl@docshow.net
一基本概念
1.1 防火墙分类：
        包过滤
        代理（应用层网关）
1.2 代理:
        两个连接（browser与proxy之间,proxy与web server之间）。
        工作在应用层。
        直接发往服务器的包：
        GET / HTTP/1.1
        Accept:        */*
        Accept-Language: zh-cn
        Accept-Encoding: gzip, deflate
        User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
        Host: www.lisoleg.net
        Connection: Keep-Alive
        往代理发出的包：
        GET http://www.lisoleg.net/ HTTP/1.1
        Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, applica
tion/vnd.ms-powerpoint, application/msword, */*
        Accept-Language: zh-cn
        Accept-Encoding: gzip, deflate
        If-Modified-Since: Thu, 14 Dec 2000 07:24:52 GMT
        If-None-Match: "8026-185-3a3875c4"
        User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
        Host: www.lisoleg.net
        Proxy-Connection: Keep-Alive
        增强：
        cache
1.3 包过滤
        单IP包检测
        缺陷：无状态
1.4 增强1－状态检测（Stateful Inspection），又称动态包过滤(dynamic packet fi
ltering)
        1.4.1 规则表和动态状态表
        1.4.2 ftp的例子：
        A 4847->B 21 PORT 192,168,7,60,18,241
        B 21->A 4847 PORT command successful.
        B 20->A 4849 syn
        > A classic example is transferring files using FTP. The firewall re
members the details of the
        > incoming request to get a file from an FTP server. The firewall th
en tracks the back-channel
        > request (the FTP Port command) by the server for transferring info
rmation back to the client.
        > As long as the information agrees (same IP addresses, no changes i
n port numbers, and no
        > non-FTP requests), the firewall allows the traffic. After the tran
sfer is complete, the
        > firewall closes the ports involved.
        1.4.3 两种实现方法：
        1.4.3.1 checkpoint FW1，netfilter
        1.4.3.2 动态添加规则（ipchains patch）
        > I believe it does exactly what I want: Installing a temporary
               > "backward"-rule to let packets in as a response to an
               > outgoing request.
1.5 增强2－地址转换:
        1.5.1 静态NAT
        1.5.2 动态NAT
        1.5.3 地址伪装
1.6 增强3-VPN:
        位置的优越性

--
也许轮回里早已经注定
今生就该我还给你
一颗心在风雨里飘来飘去
只是为你
※ 来源:·幽幽黄桷兰 bbs.cqupt.edu.cn·[FROM: BlueCrystal]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店