包過濾技術(shù)-防火墻技術(shù)與應(yīng)用

包過濾技術(shù)

（Packetfilter）主講人：鄭棋元論文：劉航PPT：劉丹晨目錄包過濾原理包過濾規(guī)則表包過濾技術(shù)優(yōu)缺點分析包過濾原理什么是包過濾技術(shù)？包過濾是最早應(yīng)用到防火墻當中的技術(shù)之一。它針對網(wǎng)絡(luò)數(shù)據(jù)包由信息頭和數(shù)據(jù)信息兩部分組成這一特點而設(shè)計。包過濾防火墻工作在網(wǎng)絡(luò)層和傳輸層。包過濾原理包過濾技術(shù)是對通過防火墻的數(shù)據(jù)包的首部信息進行解析，根據(jù)事先定義的訪問控制列表（ACL）規(guī)則決定包的前行或被舍棄，以達到對數(shù)據(jù)包進行過濾。ACL的出現(xiàn)就是配合防火墻的設(shè)計而被定義出來的。所以包過濾防火墻的精華之處就在于ACL。包過濾既可作用在入方向也可作用在出方向。包過濾原理包過濾技術(shù)應(yīng)用的關(guān)鍵問題是如何檢查數(shù)據(jù)包，以及檢查到何種程度才能既保障安全又不會對通信速度產(chǎn)生明顯負面影響。從理論上講，包過濾防火墻可以被配置為根據(jù)協(xié)議報頭的任何數(shù)據(jù)域進行分析過濾，但大多數(shù)只是針對性的分析數(shù)據(jù)包信息頭的部分域。

防火墻中的檢查模塊將所有通過的數(shù)據(jù)包中發(fā)送方IP地址、接收方的IP地址、TCP端口、TCP標志位等信息讀出，按照預(yù)先設(shè)置的過濾規(guī)則過濾數(shù)據(jù)包。只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)，其余數(shù)據(jù)包則被丟棄。

包過濾設(shè)備配置有一系列數(shù)據(jù)過濾規(guī)則，定義了什么包可以通過防火墻，什么包必須丟棄。這些規(guī)則被稱為數(shù)據(jù)包過濾訪問控制列表（ACL）。包過濾規(guī)則表

下表所示的過濾規(guī)則樣表包含以下內(nèi)容：源IP地址、目標IP地址、源端口、目的端口協(xié)議類型TCP包頭標志位對數(shù)據(jù)包的操作數(shù)據(jù)流向包過濾規(guī)則表序號源IP目的IP協(xié)議源端口目的端口標志位操作1內(nèi)部網(wǎng)絡(luò)地址外部網(wǎng)絡(luò)地址TCP任意80任意允許2外部網(wǎng)絡(luò)地址內(nèi)部網(wǎng)絡(luò)地址TCP80>1023ACK允許3所有所有所有所有所有所有拒絕訪問控制列表的配置有兩種方式嚴策略。接受受信任的IP包，拒絕其他所有的IP包。寬策略。拒絕不受信任的IP包，接受其他所有的IP包。在實際應(yīng)用中一般采用嚴策略來設(shè)置防火墻規(guī)則。一般地，包過濾防火墻還應(yīng)該阻止以下幾種IP包進入內(nèi)部網(wǎng)源地址是內(nèi)部地址的外來數(shù)據(jù)包指定中轉(zhuǎn)路由器的數(shù)據(jù)包有效載荷很小的數(shù)據(jù)包包過濾規(guī)則表優(yōu)點：一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)。絕大多數(shù)Internet防火墻系統(tǒng)只用一個包過濾路由器；過濾路由器速度快、效率高。包過濾路由器對終端用戶和應(yīng)用程序是透明的。當數(shù)據(jù)包過濾路由器決定讓數(shù)據(jù)包通過時，它與普通路由器沒什么區(qū)別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓(xùn)或在每主機上設(shè)置特別的軟件。包過濾技術(shù)優(yōu)缺點分析缺點：定義包過濾器需要網(wǎng)管員需要詳細地了解Internet各種服務(wù)、包頭格式和他們在希望每個域查找的特定的值。是一項很復(fù)雜的工作。路由器信息包的吞吐量隨過濾器數(shù)量的增加而減少。不能徹底防止地址欺騙。偽造IP地址很容易、普遍。包過濾技術(shù)優(yōu)缺點分析缺點：一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。即使是完美的數(shù)據(jù)包過濾，也會發(fā)現(xiàn)一些協(xié)議不很適合于經(jīng)由數(shù)據(jù)包過濾安全保護。一些包過濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險的封包才可能檢測