第六章 防火墙技术



            转转发表项上记录的下一跳信息进行转发处理。防火墙根据网络中各节点的安全
            规则策略，有选择地在不同网络间发送信息流，默认安全规则策略拒绝所有入站
            和出站的信息流，仅授权的管理员具有改变安全规则策略的权限。典型的包过滤
            策略由源地址、目的地址、传输层协议、源端口、目的端口、应用协议决定，并
            以数据包达到或者离开接口为基准。

                 以下通过 FTP 协议阐述动态包过滤防火墙的工作原理：
                 文件传输协议（File Transfer Protocol，简称 FTP）遵循客户端服务器端模式，
            用户通过支持 FTP 协议的客户端连接到远程服务器的 FTP 程序。FTP 协议的下

            层协议是 TCP 协议，在用户发送和请求 FTP 数据之前首先需要建立一个状态化
            的 TCP 连接，并以此 TCP 连接为通道来传输 FTP 数据。FTP 的模式分为两种，
            即主动模式和被动模式。这里通过阐述更为复杂的被动模式来说明动态包过滤防
            火墙的监控原理。
                 被动模式的 FTP 协议需要建立两次 TCP 连接，以进行业务数据的传输。首

            先是通过 TCP 协议建立命令通道。客户端通过发送大于 1024 的随机端口向服务
            器端的 21 端口试图建立 TCP 连接，通过 TCP 协议的三次握手，完成 TCP 协议建立。
            建立命令通道后，服务器端发送命令，协商传输数据时，用于建立 TCP 连接的

            目的端口。然后客户端通过发送大于 1024 的随机端口向服务器端的指定端口，
            即在命令通道中协商出的端口，建立 TCP 连接。TCP 连接建立完成后，即可传
            输 FTP 数据。
                 因为TCP数据通过所使用的目的端口是在命令通道中临时指定的特定端口，
            因此如果防火墙没有状态监控功能，是无法检测并放行相应的目的端口，客户端

            和服务器端是无法建立 TCP 会话。动态包过滤防火墙通过建立一个出站 TCP 连
            接目录来严格执行 TCP 流量的规则。当前每个已建立的连接都有一项与之对应，
            只有当数据包符合这个目录中的某项时，包过滤器才允许哪些到达的动态端口的

            入站流量通过。动态包过滤防火墙会记录 TCP 连接信息、跟踪 TCP 包的序号，
            以阻止基于序号的攻击。
                 （二）网络地址转换型（NAT）防火墙
                 网络地址转换是一种用于把 IP 地址转换成临时的、外部的、注册的 IP 地址
            标准。它允许具有私有 IP 地址的内部网络访问因特网。它还意味着用户不许要

            为其网络中每一台机器取得注册的 IP 地址。


                                                                                    175
                                                                                    175