课程
14
防火墙原理
目
录
13习 题 .............................................................
13小 结 .............................................................
121.6 一些常见的网络攻击方法 ...........................................
111.5 访问列表的生效 ..................................................
71.4.2 扩展访问列表 ...............................................
51.4.1 标准访问列表 ...............................................
51.4 访问列表介绍 ....................................................
41.3 包过滤介绍 ......................................................
31.2 防火墙的分类 ....................................................
21.1 什么是防火墙 ....................................................
2第一节 防火墙工作原理 ...................................................
3相关资料 ...........................................................
3课程目标 ...........................................................
3课程介绍 ...........................................................
2课程说明 ..............................................................
1目 录 .................................................................
防火墙原理
课程
14
i
课程说明
课程介绍
本教材对应的产品版本为 VRP1.0
本课程介绍Quidway系列路由器的防火墙模块的工作原理及其配置
课程目标
完成本课程学习 学员能够掌握
ü 防火墙的工作原理
ü Quidway系列路由器防火墙的配置
相关资料
Quidway系列路由器用户手册 配置指导分册
Quidway系列路由器用户手册 命令参考分册
防火墙原理
课程
14
3 页脚
第一节
防火墙工作原理
1.1 什么是防火墙
在大厦构造中 防火墙被设计用来防止火从大厦的一部分传播到另一部分
网络的的防火墙服务于类似目的 防止因特网的危险传播到你的内部网络
实际上 因特网防火墙不像一座现代化大厦中的防火墙 它更像中世纪城堡
的护城河
图1-1 中世纪城堡的护城河
防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问 另
一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等 防火墙
也可以作为一个访问因特网的权限控制关口 如允许组织内的特定的人可以
访问因特网 现在的许多防火墙同时还具有一些其他特点 如进行身份鉴别
对信息进行安全 加密 处理等等
2
Ethernet
Internet
PC PC PC PC
Server
Firewall
图3-. 防火墙使内部网络和因特网隔离
防火墙不单用于对因特网的连接 也可以用来在组织网络内部保护大型机和
重要的资源 如数据 对受保护数据的访问都必须经过防火墙的过滤 即
使该访问是来自组织内部
当外部网络的用户访问网内资源时 要经过防火墙 而内部网络的用户访问
网外资源时 也会经过防火墙 这样 防火墙就起到了一个 警卫 的作用
可以将需要禁止的数据包在这里给丢掉
1.2 防火墙的分类
一般把防火墙分为两类 网络层防火墙 应用层防火墙 网络层的防火墙主
要获取数据包的包头信息 如协议号 源地址 目的地址和目的端口等或者
直接获取包头的一段数据 而应用层的防火墙则对整个信息流进行分析
常见的防火墙有以下几种
应用网关 application gateway 检验通过此网关的所有数据包中的应用层
的数据 如FTP应用网关 对于连接的client端来说是一个FTP server 对于
server端来说是一个FTP client 连接中传输的所有ftp数据包都必须经过此
FTP应用网关
电路级网关 circuit-level gateway 此电路指虚电路 在TCP或UDP发起
open 一个连接或电路之前 验证该会话的可靠性 只有在握手被验证为
合法且握手完成之后 才允许数据包的传输 一个会话建立后 此会话的信
息被写入防火墙维护的有效连接表中 数据包只有在它所含的会话信息符合
该有效连接表中的某一入口 entry 时 才被允许通过 会话结束时 该会
3