第6.2节路由器
第6.2节 路由器
主要内容 安全策略与安全网络设计 路由器 防火墙 虚拟专用网(VPN) ·蜜罐技术 入侵检测 snort系统介绍
主要内容 • 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
路由器 路由器的包过滤功能 ·路由器访问表原理与配置 安全路由器原理
路由器 • 路由器的包过滤功能 • 路由器访问表原理与配置 • 安全路由器原理
62路由器 般人认为,路由器主要任务是完成对网 络中分组传输的路由进行控制,其实不然, 现在网络中运行的路由器都具有报文过滤 功能,简称包过滤。如果能够合理和充分 地利用好路由器的这一功能,可以显著提 高计算机网络的安全。因此,路由器事实 上成为一个组织的网络边界最外层的防御 关口,其安全作用是十分明显的
6.2 路由器 • 一般人认为,路由器主要任务是完成对网 络中分组传输的路由进行控制,其实不然, 现在网络中运行的路由器都具有报文过滤 功能,简称包过滤。如果能够合理和充分 地利用好路由器的这一功能,可以显著提 高计算机网络的安全。因此,路由器事实 上成为一个组织的网络边界最外层的防御 关口,其安全作用是十分明显的
621路由器的包过滤功能 基于协议类型、某一特殊协议类型的源地 址和目的地址字段以及作为协议部分的控 制字段作为数据包取舍规则的路由器称为 过滤路由器( Screening router)。过滤路 由器可以控制在任何网络段的网络流量类 型和网络服务方式,对不符合网络安全规 则的那些数据包和服务则加以丢掉或被严 格限制
6.2.1 路由器的包过滤功能 • 基于协议类型、某一特殊协议类型的源地 址和目的地址字段以及作为协议部分的控 制字段作为数据包取舍规则的路由器称为 过滤路由器(Screening Router)。过滤路 由器可以控制在任何网络段的网络流量类 型和网络服务方式,对不符合网络安全规 则的那些数据包和服务则加以丢掉或被严 格限制
基于协议特定的标准,过滤路由器在其端口能够 区分包和限制包的能力称为包过滤( Packet Filtering),所以过滤路由器也称为包过滤路由 器( Packet filter router)。例如,基于TCP/P 协议的过滤路由器可以基于如下项进行包过滤: 源端口、目的端口和TCP标志(如SYN和ACK标 志) 过滤路由器主要工作在OSI模型的网络层和传输层, 它也能够工作在数据连路层和物理层,这是因为 大多数过滤系统都可以应用于接口类型和使用的 网络介质,甚至MAC地址本身
• 基于协议特定的标准,过滤路由器在其端口能够 区分包和限制包的能力称为包过滤(Packet Filtering),所以过滤路由器也称为包过滤路由 器(Packet Filter Router)。例如,基于TCP/IP 协议的过滤路由器可以基于如下项进行包过滤: 源端口、目的端口和TCP标志(如SYN和ACK标 志)。 • 过滤路由器主要工作在OSI模型的网络层和传输层, 它也能够工作在数据连路层和物理层,这是因为 大多数过滤系统都可以应用于接口类型和使用的 网络介质,甚至MAC地址本身
、包过滤路由器的操作方式与过滤规则 在实现包过滤时,大多数情况下要使用路 由器将两个网络连接在一起。路由器通常 由软件根据源或目的端口或者地址决定包 的取舍。实际实施过滤规则时,既可以对 发来包,也可以对发出的包或者两者都进 行过滤。所定义的一系列过滤规则存放在 个文件中,而路由器就是根据文件中的 这些规则决定数据包的取舍
一、 包过滤路由器的操作方式与过滤规则 • 在实现包过滤时,大多数情况下要使用路 由器将两个网络连接在一起。路由器通常 由软件根据源或目的端口或者地址决定包 的取舍。实际实施过滤规则时,既可以对 发来包,也可以对发出的包或者两者都进 行过滤。所定义的一系列过滤规则存放在 一个文件中,而路由器就是根据文件中的 这些规则决定数据包的取舍
1、包过滤路由器操作方式 包过滤路由器按如下的方式完成包过滤过程 (1)在包过滤设备端口设置包过滤标准,即包 过滤规则 (2)当数据包到达包过滤路由器的端口时,包 过滤路由器对其报头进行语法分析 ·(3)包过滤规则以特定方式存储。应用于数据 包的规则与包过滤器规则存储的顺序相同;
1、包过滤路由器操作方式 • 包过滤路由器按如下的方式完成包过滤过程: • (1) 在包过滤设备端口设置包过滤标准,即包 过滤规则; • (2) 当数据包到达包过滤路由器的端口时,包 过滤路由器对其报头进行语法分析; • (3) 包过滤规则以特定方式存储。应用于数据 包的规则与包过滤器规则存储的顺序相 同;
·(4)如果一条规则阻止数据包传输或接收,此 数据包便被禁止; (5)如果一条规则允许数据包传输或接收,该 数据包可以被继续处理; (6)如果一个数据包不满足任何一条规则,该 数据包被丢掉。 注意:将过滤规则以正确的顺序放置极为重 要!如果包过滤规则以错误的顺序放置,则 有效的服务可能被拒绝,而该拒绝的服务却 被允许了
• (4) 如果一条规则阻止数据包传输或接收,此 数据包便被禁止; • (5) 如果一条规则允许数据包传输或接收,该 数据包可以被继续处理; • (6) 如果一个数据包不满足任何一条规则,该 数据包被丢掉。 • 注意:将过滤规则以正确的顺序放置极为重 要!如果包过滤规则以错误的顺序放置,则 有效的服务可能被拒绝,而该拒绝的服务却 被允许了
2、包过滤规则 表5-1是包过滤规则的示例。在该例子中, 路由器根据第一条规则拒绝所有来自 bad. host主机的数据包;而根据第二条规则 允许 our host主机向外(任何目的主机)发 送电子邮件。这里会出现一个有趣的问题: 对于规则中没有描述的那些流量应该如何 处理呢?路由器是应该接收呢还是应该丢 弃呢?显然,最安全的是应丢弃所有那些 在规则中没有规定的数据包
2、包过滤规则 • 表5-1是包过滤规则的示例。在该例子中, 路由器根据第一条规则拒绝所有来自 bad.host主机的数据包;而根据第二条规则 允许our.host主机向外(任何目的主机)发 送电子邮件。这里会出现一个有趣的问题: 对于规则中没有描述的那些流量应该如何 处理呢?路由器是应该接收呢还是应该丢 弃呢?显然,最安全的是应丢弃所有那些 在规则中没有规定的数据包