防火墙系列连载之六—数据包过滤的技术

　　 

四、 包过滤处理内核

过滤路由器可以利用包 火墙产品来完成，或由基于 器都可以通过编程来执行过 供的路由器都可以通过编程

过滤作为手段来提高网络的安全 软件的产品，如Karlbrige基于P 滤功能。路由器制造商，如Cisc 来执行包过滤功能。

性。过滤功能也可以由许多商用防 C的过滤器来完成。许多商业路由 o、3Com 、Newbridge 、ACC等提

1. 包过滤和网络策略

包过滤可以用来实现大 和服务的类型、它们的重要

范围内的网络安全策略。网络安 程度和这些服务要保护的对象。

全策略必须清楚地说明被保护的源

一般来说，网络安全策 点是阻止外来用户的突然侵 。这种类型的网络安全策略 个好的网络安全策略还应该

略主要集中在阻截入侵者，而不 入和故意暴露敏感性数据，而不 决定了过滤路由器应该放在哪里 使内部用户难以危害网络的安全

是试图警戒内部用户。它的工作重 是阻止内部用户使用外部网络服务 和怎样通过编程来执行包过滤。一 。

网络安全策略的一个目标就是要提供 因为包过滤工作在OSI模型的网络层和传 方法更具透明性。记住防火墙是工作在OS 明的。

一个透明机制，以便这些策略不会对用户产生障碍。 输层，而不是在应用层，这种方法一般来说比防火墙 I模型的应用层的，在这一层的安全措施不应成为透

2.一个简单的包过滤模型

包过滤器通常置于一个或多个网段之 。外部网段把你的网络连接到外面的网络 网络资源。

间，如图3所示。网络段区分为外部网段或内部网段 如Internet上，内部网段用来连接公司的主机和其它

 

包过滤器设备的每一端 网络服务类型。如果连在包 很复杂。一般来说，应当避

口都可用来完成网络安全策略， 过滤设备上的网络段的数目很大 免对网络安全问题采取的过于复

该策略描述了通过此端口可访问的 ，那么包过滤所要完成的就会变得 杂的解决方案，理由如下：

（1） 它们难以维护。

（2） 配置包过滤时容易出错。

（3） 它们对所实施的设备的功能有副作用。

但是，从纯经济的角度来看，通常决 由器。具有几个端口的路由器的好处是它 原则通常适用于一个接口，那么，如果用 理的方案。

定买具有外部端口的一个路由器，而不买几个小的路 与CPU接口的广度和处理的容量。另外，由于包过滤 户的设计合适，一个多端口的路由器将是一个易于管

大多数情况下，如图4 该包过滤设备只连有两个网 限制那些它拒绝的服务的网 的，所以过滤路由器端口两 。

所示的一个简单的模型可以用于 段。典型的是，一个是外部网段 络流量。因为网络策略是应用于 面的过滤器必须以不同的方式工

完成网络安全策略。这个模型表明 ，另一个是内部网段。包过滤用来 那些与外部主机有联系的内部用户 作。换句话说，过滤器是非对称的

 

3. 包过滤器操作

几乎所有的包过滤设备（过滤路由器或包过滤网关）都按照如下方式工作：

（1） 包过滤标准必须为包过滤设备端口存储起来，这些包过滤标准叫包过滤规则；

（2） 当包到达端口时 UDP报头中的字段，不检查

，包的报头被进行语法分析，大 包体的内容；

多数包过滤设备只检查IP、TCP或

（3） 包过滤器规则以 序相同；

特殊的方式存储。应用于包的规

则的顺序与包过滤器规则存储的顺

（4） 如果一条规则阻止包传输或接收，此包便不被允许；

（5） 如果一条规则允许包传输或接收，该包可以继续处理；

（6） 如果一个包不满足任何一条规则，该包被阻塞。

 

从规则4和5可知，将规则以正确的顺 错误就是把规则的顺序放错了。如果包过 被拒绝了，而该拒绝的服务却允许了。

序存放是很重要的。要配置包过滤规则时一个常犯的 滤器规则以错误的顺序放置，那么有效的服务也可能

规则6依据如下原理：

在设计网络安全时，这是一条应该遵 个允许原理正好相反：未明确表示禁止的

循的自动防止故障的（fail?safe）原理。它与另一 便被允许。

后一条原理是用于包过 况来保证网络的安全性。并 配的情况，与其阻塞这些服

滤设计的。我们必须想到任何包 且，随着新的服务的增加，很有 务，倒不如让这些对网络安全没

过滤规则都没有想到一切的可能情 可能遇到与任何现有的原则都不匹 有太大威胁的服务通过。

4.包过滤设计

 

其中过滤路由器被用作在内部被保护网络和外部不信任网络之间的第一道防线。

原文转自：http://www.ltesting.net