防火墙系列连载之五—数据包过滤的技术

发表于:2007-06-21来源:作者:点击数: 标签:
数据包过滤是一个网络 主要讨论以下内容: 安全保护机制。它是用来控制流 出和流入网络的数据。因此,本文 (1) 数据包; (2) 数据包过滤是怎样工作的; (3) 数据包过滤的主要优点; (4) 包过滤路由器的选择与包过滤系统集成。 一、 数据包 为了理解

   

数据包过滤是一个网络
主要讨论以下内容:
安全保护机制。它是用来控制流

出和流入网络的数据。因此,本文

  (1) 数据包;                                                              
  (2) 数据包过滤是怎样工作的;                                              
  (3) 数据包过滤的主要优点;                                                
  (4) 包过滤路由器的选择与包过滤系统集成。                                  

  一、 数据包

  为了理解数据包过滤,

首先讨论一下数据包,以及它们

在每一个TCP/IP协议层的处理过程

  (1) 应用层(例如,FTP、Telnet和Http);                      
  (2) 传输层(TCP 或UDP);                                          
  (3) 因特网络层(IP);                                                  
  (4) 网络访问(以太网、FDDI、ATM等)。                              
  包的构造有点像洋葱一
两部分组成。在包头中存放
这些数据也包含了上层的全
体,然后依本层的协议在加
为封装。
样,它是由各层连接的协议组成
与这一层相关的协议信息,在包
部信息。在每一层上对包的处理
上包头。这种对包的层次性操作

的。在每一层,包都由包头与包体
体中存放包在这一层的数据信息。
是将从上层获取的全部信息作为包
(每一层均加上一个包头)一般称

  在应用层,包头含有需被传送的数据
TCP)或用户数据报协议(UDP)从应用层
再下一层(网间网层)的包时,IP协议将
上本层的包头。在构筑最后一层(网络接
包作为包体,再加上本层的包头。
。当构成下一层(传输层)的包时,传输控制协议(
将数据全部取来,然后在加装上本层的包头。当构筑
上层的包头与包体全部当做本层的包体,然后再加装
口层)的包时,以太网或其它网络协议将IP层的整个


  与图1封装过程相反,在网络连接的
获取数据就由下而上依次把包头剥离。
另一边(接收方)的工作是解包。即在另一边,为了

  在数据包过滤系统看来
种将被包过滤路由器检查的
,包的最重要信息是各层依次加
包的包头内容。
上的包头。在下文中将主要介绍各


  二、 数据包过滤是怎样工作的

  包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的根据:              
  (1)将包的目的地址作为判断依据;                                            
  (2)将包的源地址作为判断依据;                                              
  (3)将包的传送协议作为判断依据。                                            
  大多数包过滤系统判断是否传送包时
让我们进行类似以下情况的操作:
都不关心包的具体内容。作为防火墙包过滤系统只能

  (1)不允许任何用户从外部网用Telnet登录;                              
  (2)允许任何用户使用SMTP往内部网发电子邮件;                            
  (3)只允许某台机器通过NNTP往内部网发新闻。                              
  但包过滤不能允许我们进行如下操作:                                            
  (1)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作;    
  (2)允许用户传送一些文件而不允许用户传送其它文件。                          
  数据包过滤系统不能识
的文件信息。包过滤系统的
为例,假定不让客户使用Te
现有的条件下可以作到,但
其它用户就永远不在重新安
行设置,也就无所谓机器中
别数据包中的用户信息。同样数
主要特点是让用户在一台机器上
lnet而将网络中现有机器上的Te
是不能保证在网络中新增机器时
装Telnet服务。如果有了包过滤
的Telnet服务是否存在的问题了
据包过滤系统也不能识别数据包中
提供对整个网络的保护。以Telnet
lnet服务关闭,作为系统管理员在
,新机器的Telnet服务也被关闭或
系统,由于只要在包过滤中对此进

  路由器为所有用户进出
络中的特定位置的过滤路由
内部邮件的包——就是那种
常被作为地址伪装入侵的一
滤路由器来实现我们设计的
在这种位置上的包过滤路由
网还是来自于外部网。
网络的数据流提供了一个有用的
器来提供。比如,我们考虑这样
看起来好象来自于内部主机而其
部分。入侵者总是用这种包把他
安全规则,唯一的方法是通过参
器才能通过查看包的源地址,从

阻塞点。而对有关的保护只能由网
的安全规则,让网络拒绝任何含有
实是来自于外部网的包,这种包经
们伪装成来自于内部网。要用包过
数网络上的包过滤路由器。只有处
而辨认出这个包到底是来自于内部


  三、 包过滤的优缺点

  1.包过滤的优点                                                              
  包过滤方式有许多优点
就可保护整个网络。如果站
这台路由器上设定合适的包
,而其主要优点之一是仅用一个
点与因特网间只有一台路由器,
过滤,我们的站点就可以获得很
放置在战略要津上的包过滤路由器
那么不管站点规模有多大,只要在
好的网络安全保护。
  包过滤不需要用户软件的支撑,也不
培训。当包过滤路由器允许包通过时,
甚至感觉不到包过滤功能的存在,只有在
器的不同。包过滤工作对用户来讲是透明
下完成包过滤。
要求对客户机做特别的设置,也没有必要对用户做任
它看起来与普通的路由器没有任何区别。此时,用户
有些包在禁入和禁出时,用户才认识到它与普通路由
的。这种透明就是可在不要求用户作任何操作的前提

  包过滤产品比较容易获得。在市场上
从网上免费下载的都提供了包过滤功能。
。Drawbrige、KralBrige以及Screened也

有许多硬件和软件的路由器产品不管是商业产品还是
比如,Cisco公司的路由器产品就包含有包过滤功能
都具有包过滤功能,而且还能从Internet上免费下载

  2. 包过滤的缺点                                                            
  尽管包过滤系统有许多优点,但是它仍有缺点和局限性:                            
  1) 在机器中配置包过滤规则比较困难;                                        
  2) 对包过滤规则设置的测试也很麻烦;                                        
  3) 许多产品的包过滤

功能有这样或那样的局限性,要

找一个比较完整的包过滤产品很难

  包过滤系统本身就存有
系统的安全性的影响。因为
些平常应该拒绝的包也能进
某些缺陷,这些缺陷对系统的安
代理服务的缺陷仅仅会使数据无
出网络,这对系统的安全性是一
全性的影响要大大超过代理服务对
法传送,而包过滤的缺陷会使得一
个巨大的威胁。
  即使在系统中安装了比较完整的包过
太合适。比如,对Berkeley的“r"命令(
,用包过滤系统就不太合适。有些安全规
来自于哪台主机的信息而无来自于哪个用
滤系统,我们也会发现对有些协议使用包过滤方式不
rcp、rsh、rlogin)和类似于NFS和NIS/YS协议的RPC
则是难以用包过滤规则来实现的。比如,在包中只有
户的信息。因此,若要过滤用户就不能使用包过滤。

原文转自:http://www.ltesting.net