数据包过滤原理
数据包过滤技术
数据包过滤原理
数据包过滤技术是防火墙最常用的技术。对于一个充满危险的网络,过滤路由器提供了一种方法,用这种方法可以阻塞某些主机和网络连入内部网络,也可以用它来限制内部人员对一些危险和色情站点的访问。
数据包过滤技术,顾名思义是在网络中适当的位置对数据包实施有选择的通过,选择依据,即为系统内设置的过滤规则(通常称为访问控制表——access ccntrol list),只有满足过滤规则的数据包才被转发至相应的网络接口,其余数据包则被从数据流中删除。
数据包过滤可以控制站点与站点、站点与网络和网络与网络之间的相互访问,但不能控制传输的数据内容,因为内容是应用层数据,不是包过滤系统所能辨认的,数据包过滤允许你在单个地方为整个网络提供特别的保护。
包过滤检查模块深入到系统的网络层和数据链路层之间。因为数据链路层是事实上的网卡(nic),网络层是第一层协议堆栈,所以防火墙位于软件层次的最底层,如下图所示。
图 包过滤模型
通过检查模块,防火墙能拦截和检查所有出站的数据。防火墙检查模块首先验证这个包是否符合过滤规则,不管是否符合过滤规则,防火墙一般要记录数据包情况,不符合规则的包要进行报警或通知管理员。对丢弃的数据包,防火墙可以给发方一个消息,也可以不给,这要取决于包过滤策略。包检查模块能检查包中的所有信息,一般是网络层的ip头和传输层的头。包过滤一般要检查下面几项:
ip源地址;
ip目标地址;
协议类型(tcp包、udp包和icmp包);
tcp或udp的源端口;
tcp或udp的目标端口;
icmp消息类型;
tcp报头中的ack位。
包过滤在本地端接收数据包时,一般不保留上下文,只根据目前数据包的内容做决定。根据不同的防火墙的类型,包过滤可能在进入、输出时或这两个时刻都进行。可以拟定一个要接受的设备和服务的清单,一个不接受的设备和服务的清单,组成访问控制表。
1 . 设置步骤
配置包过滤有三步:
(1)必须知道什么是应该和不应该被允许的,即必须制定一个安全策略。
(2)必须正式规定允许的包类型、包字段的逻辑表达。
(3)必须用防火墙支持的语法重写表达式。
2. 按地址过滤
下面是一个最简单的数据包过滤方式,它按照源地址进行过滤。比如说,认为网络202.110.8.0是一个危险的网络,那么就可以用源地址过滤禁止内部主机和该网络进行通信。下表是根据上面的政策所制定的规则。
表: 过滤规则示例
规则方向源地址目标地址动作
a出内部网络202.110.8.0拒绝
b入202.110.8.0内部网络拒绝
很容易看出这种方式没有利用全部信息,所以是不科学的,下面将要讲一种更为先进的过滤方式——按服务过滤。
3. 按服务过滤
假设安全策略是禁止外部主机访问内部的e-mail服务器(smtp,端口25),允许内部主机访问外部主机,实现这种的过滤的访问控制规则类似下表。
规则按从前到后的顺序匹配,字段中的“*”代表任意值,没有被过滤器规则明确允许的包将被拒绝。就是说,每一条规则集都跟随一条含蓄的规则,就像下表中的规则c。这与一般原则是一致的:没有明确允许的就被禁止。
规则方向动作源地址源端口目的地址目的端口注释
a进拒绝m*e-mail25不信任
b出允许****允许联接
c双向拒绝****缺省状态
任何一种协议都是建立在双方的基础上的,信息流也是双向的。规则总是成对出现的,而且在讲解规则时也是成对讲解的原因。
4.包过滤实例
无疑按服务过滤的安全性要比单纯按地址过滤高。
下面,将通过一个例子来讲解这种过滤方式。第一,假设处于一个类网络116.111.4.0,认为站点202.208.5.6上有黄色的bbs,所以希望阻止网络中的用户访问该点的bbs;再假设这个站点的bbs服务是通过telnet方式提供的,那么需要阻止到那个站点的出站telnet服务,对于internet的其他站点,允许内部的网用户通过telnet方式访问,但不允许其他站点以telnet方式访问网络。第二,为了由发电子邮件,允许smtp出站入站服务,邮件服务器是ip地址为116.111.4.1。第三,对于www服务,允许内部网用户访问internet上任何网络和站点,但只允许一个公司的网络访问内部www服务器,内部www服务器的ip地址为116.111.4.5,因为你们是合作伙伴关系,那个公司的网络为98.120.7.0。
关于PVC热缩管与PET热缩管之间的对比分析
LED照明行业迎来了“招工难”和“涨价潮”
三路输出±5%稳压高效POE(以太网供电)电源
5G基站为什么需要使用不一样的电源模块
世界十大骨传导耳机品牌,推荐其中最好用的五款骨传导耳机
数据包过滤原理
三元锂和磷酸铁锂是未来储能市场的发展主流
中国技能竞赛“创想杯”3D打印大赛竞赛规程
华为mate10什么时候上市?华为mate10最新消息:直击三星note8和对抗iPhone8,华为mate10即将上市
单片机电子时钟的设计
助力行业发展 炫飞无人机应势而生
如何引入TD-LTE网络
继电器的安装与保护
工业机器人市场竞争激烈 掌握核心技术成发展关键
电视盒子音画不同步的几种原因分析和解决方法
尔必达破产事件三大结局猜想:宣告破产价格飙升?
电子式变压器电路图-原理图
电池充电器原理
如何从总噪声测量结果中分离出DM/CM噪声
薄膜太阳能电池原理及应用技术
数据包过滤原理
数据包过滤技术是防火墙最常用的技术。对于一个充满危险的网络,过滤路由器提供了一种方法,用这种方法可以阻塞某些主机和网络连入内部网络,也可以用它来限制内部人员对一些危险和色情站点的访问。
数据包过滤技术,顾名思义是在网络中适当的位置对数据包实施有选择的通过,选择依据,即为系统内设置的过滤规则(通常称为访问控制表——access ccntrol list),只有满足过滤规则的数据包才被转发至相应的网络接口,其余数据包则被从数据流中删除。
数据包过滤可以控制站点与站点、站点与网络和网络与网络之间的相互访问,但不能控制传输的数据内容,因为内容是应用层数据,不是包过滤系统所能辨认的,数据包过滤允许你在单个地方为整个网络提供特别的保护。
包过滤检查模块深入到系统的网络层和数据链路层之间。因为数据链路层是事实上的网卡(nic),网络层是第一层协议堆栈,所以防火墙位于软件层次的最底层,如下图所示。
图 包过滤模型
通过检查模块,防火墙能拦截和检查所有出站的数据。防火墙检查模块首先验证这个包是否符合过滤规则,不管是否符合过滤规则,防火墙一般要记录数据包情况,不符合规则的包要进行报警或通知管理员。对丢弃的数据包,防火墙可以给发方一个消息,也可以不给,这要取决于包过滤策略。包检查模块能检查包中的所有信息,一般是网络层的ip头和传输层的头。包过滤一般要检查下面几项:
ip源地址;
ip目标地址;
协议类型(tcp包、udp包和icmp包);
tcp或udp的源端口;
tcp或udp的目标端口;
icmp消息类型;
tcp报头中的ack位。
包过滤在本地端接收数据包时,一般不保留上下文,只根据目前数据包的内容做决定。根据不同的防火墙的类型,包过滤可能在进入、输出时或这两个时刻都进行。可以拟定一个要接受的设备和服务的清单,一个不接受的设备和服务的清单,组成访问控制表。
1 . 设置步骤
配置包过滤有三步:
(1)必须知道什么是应该和不应该被允许的,即必须制定一个安全策略。
(2)必须正式规定允许的包类型、包字段的逻辑表达。
(3)必须用防火墙支持的语法重写表达式。
2. 按地址过滤
下面是一个最简单的数据包过滤方式,它按照源地址进行过滤。比如说,认为网络202.110.8.0是一个危险的网络,那么就可以用源地址过滤禁止内部主机和该网络进行通信。下表是根据上面的政策所制定的规则。
表: 过滤规则示例
规则方向源地址目标地址动作
a出内部网络202.110.8.0拒绝
b入202.110.8.0内部网络拒绝
很容易看出这种方式没有利用全部信息,所以是不科学的,下面将要讲一种更为先进的过滤方式——按服务过滤。
3. 按服务过滤
假设安全策略是禁止外部主机访问内部的e-mail服务器(smtp,端口25),允许内部主机访问外部主机,实现这种的过滤的访问控制规则类似下表。
规则按从前到后的顺序匹配,字段中的“*”代表任意值,没有被过滤器规则明确允许的包将被拒绝。就是说,每一条规则集都跟随一条含蓄的规则,就像下表中的规则c。这与一般原则是一致的:没有明确允许的就被禁止。
规则方向动作源地址源端口目的地址目的端口注释
a进拒绝m*e-mail25不信任
b出允许****允许联接
c双向拒绝****缺省状态
任何一种协议都是建立在双方的基础上的,信息流也是双向的。规则总是成对出现的,而且在讲解规则时也是成对讲解的原因。
4.包过滤实例
无疑按服务过滤的安全性要比单纯按地址过滤高。
下面,将通过一个例子来讲解这种过滤方式。第一,假设处于一个类网络116.111.4.0,认为站点202.208.5.6上有黄色的bbs,所以希望阻止网络中的用户访问该点的bbs;再假设这个站点的bbs服务是通过telnet方式提供的,那么需要阻止到那个站点的出站telnet服务,对于internet的其他站点,允许内部的网用户通过telnet方式访问,但不允许其他站点以telnet方式访问网络。第二,为了由发电子邮件,允许smtp出站入站服务,邮件服务器是ip地址为116.111.4.1。第三,对于www服务,允许内部网用户访问internet上任何网络和站点,但只允许一个公司的网络访问内部www服务器,内部www服务器的ip地址为116.111.4.5,因为你们是合作伙伴关系,那个公司的网络为98.120.7.0。
关于PVC热缩管与PET热缩管之间的对比分析
LED照明行业迎来了“招工难”和“涨价潮”
三路输出±5%稳压高效POE(以太网供电)电源
5G基站为什么需要使用不一样的电源模块
世界十大骨传导耳机品牌,推荐其中最好用的五款骨传导耳机
数据包过滤原理
三元锂和磷酸铁锂是未来储能市场的发展主流
中国技能竞赛“创想杯”3D打印大赛竞赛规程
华为mate10什么时候上市?华为mate10最新消息:直击三星note8和对抗iPhone8,华为mate10即将上市
单片机电子时钟的设计
助力行业发展 炫飞无人机应势而生
如何引入TD-LTE网络
继电器的安装与保护
工业机器人市场竞争激烈 掌握核心技术成发展关键
电视盒子音画不同步的几种原因分析和解决方法
尔必达破产事件三大结局猜想:宣告破产价格飙升?
电子式变压器电路图-原理图
电池充电器原理
如何从总噪声测量结果中分离出DM/CM噪声
薄膜太阳能电池原理及应用技术