数据包过滤是一个网络 主要讨论以下内容: |
安全保护机制。它是用来控制流 |
出和流入网络的数据。因此,本文 |
(1) 数据包; |
(2) 数据包过滤是怎样工作的; |
(3) 数据包过滤的主要优点; |
(4) 包过滤路由器的选择与包过滤系统集成。 |
一、 数据包 |
为了理解数据包过滤, : |
首先讨论一下数据包,以及它们 |
在每一个TCP/IP协议层的处理过程 |
(1) 应用层(例如,FTP、Telnet和Http); |
(2) 传输层(TCP 或UDP); |
(3) 因特网络层(IP); |
(4) 网络访问(以太网、FDDI、ATM等)。 |
包的构造有点像洋葱一 两部分组成。在包头中存放 这些数据也包含了上层的全 体,然后依本层的协议在加 为封装。 |
样,它是由各层连接的协议组成 与这一层相关的协议信息,在包 部信息。在每一层上对包的处理 上包头。这种对包的层次性操作 |
的。在每一层,包都由包头与包体 体中存放包在这一层的数据信息。 是将从上层获取的全部信息作为包 (每一层均加上一个包头)一般称 |
在应用层,包头含有需被传送的数据 TCP)或用户数据报协议(UDP)从应用层 再下一层(网间网层)的包时,IP协议将 上本层的包头。在构筑最后一层(网络接 包作为包体,再加上本层的包头。 |
。当构成下一层(传输层)的包时,传输控制协议( 将数据全部取来,然后在加装上本层的包头。当构筑 上层的包头与包体全部当做本层的包体,然后再加装 口层)的包时,以太网或其它网络协议将IP层的整个 |
与图1封装过程相反,在网络连接的 获取数据就由下而上依次把包头剥离。 |
另一边(接收方)的工作是解包。即在另一边,为了 |
在数据包过滤系统看来 种将被包过滤路由器检查的 |
,包的最重要信息是各层依次加 包的包头内容。 |
上的包头。在下文中将主要介绍各 |
二、 数据包过滤是怎样工作的 |
包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的根据: |
(1)将包的目的地址作为判断依据; |
(2)将包的源地址作为判断依据; |
(3)将包的传送协议作为判断依据。 |
大多数包过滤系统判断是否传送包时 让我们进行类似以下情况的操作: |
都不关心包的具体内容。作为防火墙包过滤系统只能 |
(1)不允许任何用户从外部网用Telnet登录; |
(2)允许任何用户使用SMTP往内部网发电子邮件; |
(3)只允许某台机器通过NNTP往内部网发新闻。 |
但包过滤不能允许我们进行如下操作: |
(1)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作; |
(2)允许用户传送一些文件而不允许用户传送其它文件。 |
数据包过滤系统不能识 的文件信息。包过滤系统的 为例,假定不让客户使用Te 现有的条件下可以作到,但 其它用户就永远不在重新安 行设置,也就无所谓机器中 |
别数据包中的用户信息。同样数 主要特点是让用户在一台机器上 lnet而将网络中现有机器上的Te 是不能保证在网络中新增机器时 装Telnet服务。如果有了包过滤 的Telnet服务是否存在的问题了 |
据包过滤系统也不能识别数据包中 提供对整个网络的保护。以Telnet lnet服务关闭,作为系统管理员在 ,新机器的Telnet服务也被关闭或 系统,由于只要在包过滤中对此进 。 |
路由器为所有用户进出 络中的特定位置的过滤路由 内部邮件的包——就是那种 常被作为地址伪装入侵的一 滤路由器来实现我们设计的 在这种位置上的包过滤路由 网还是来自于外部网。 |
网络的数据流提供了一个有用的 器来提供。比如,我们考虑这样 看起来好象来自于内部主机而其 部分。入侵者总是用这种包把他 安全规则,唯一的方法是通过参 器才能通过查看包的源地址,从 |
阻塞点。而对有关的保护只能由网 的安全规则,让网络拒绝任何含有 实是来自于外部网的包,这种包经 们伪装成来自于内部网。要用包过 数网络上的包过滤路由器。只有处 而辨认出这个包到底是来自于内部 |
三、 包过滤的优缺点 |
1.包过滤的优点 |
包过滤方式有许多优点 就可保护整个网络。如果站 这台路由器上设定合适的包 |
,而其主要优点之一是仅用一个 点与因特网间只有一台路由器, 过滤,我们的站点就可以获得很 |
放置在战略要津上的包过滤路由器 那么不管站点规模有多大,只要在 好的网络安全保护。 |
包过滤不需要用户软件的支撑,也不 何培训。当包过滤路由器允许包通过时, 甚至感觉不到包过滤功能的存在,只有在 器的不同。包过滤工作对用户来讲是透明 下完成包过滤。 |
要求对客户机做特别的设置,也没有必要对用户做任 它看起来与普通的路由器没有任何区别。此时,用户 有些包在禁入和禁出时,用户才认识到它与普通路由 的。这种透明就是可在不要求用户作任何操作的前提 |
包过滤产品比较容易获得。在市场上 从网上免费下载的都提供了包过滤功能。 。Drawbrige、KralBrige以及Screened也 。 |
有许多硬件和软件的路由器产品不管是商业产品还是 比如,Cisco公司的路由器产品就包含有包过滤功能 都具有包过滤功能,而且还能从Internet上免费下载 |
2. 包过滤的缺点 |
尽管包过滤系统有许多优点,但是它仍有缺点和局限性: |
1) 在机器中配置包过滤规则比较困难; |
2) 对包过滤规则设置的测试也很麻烦; |
3) 许多产品的包过滤 。 |
功能有这样或那样的局限性,要 |
找一个比较完整的包过滤产品很难 |
包过滤系统本身就存有 系统的安全性的影响。因为 些平常应该拒绝的包也能进 |
某些缺陷,这些缺陷对系统的安 代理服务的缺陷仅仅会使数据无 出网络,这对系统的安全性是一 |
全性的影响要大大超过代理服务对 法传送,而包过滤的缺陷会使得一 个巨大的威胁。 |
即使在系统中安装了比较完整的包过 太合适。比如,对Berkeley的“r"命令( ,用包过滤系统就不太合适。有些安全规 来自于哪台主机的信息而无来自于哪个用 |
滤系统,我们也会发现对有些协议使用包过滤方式不 rcp、rsh、rlogin)和类似于NFS和NIS/YS协议的RPC 则是难以用包过滤规则来实现的。比如,在包中只有 户的信息。因此,若要过滤用户就不能使用包过滤。 |