| 包过滤是在IP层实现的防火墙技术,包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中的数据区内容的智能型包过滤器。基于包过滤技术的防火墙,简称为包过滤型防火墙(Packet Filter),其工作机制如下图所示。
|
|
|
|
|
|
|
| 目前,包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能,并默认转发所有的包。ipf、ipfw、ipfwadm都是常用的自由过滤软件,可以运行在Linux操作系统平台上。包过滤的控制依据是规则集,典型的过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成,包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。下表是包过滤型防火墙的通用实例,该规则的作用在于只允许内、外网的邮件通信,其他的通信都禁止。
|
|
|
|
|
|
|
| 包过滤型防火墙对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。在实际网络安全管理中,包过滤技术经常用来进行网络访问控制。下面以Cisco IOS为例,说明包过滤器的作用。Cisco IOS有两种访问规则形式,即标准IP访问表和扩展IP访问表,它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行,标准IP访问控制规则的格式如下:
|
|
|
|
|
|
|
|
|
|
|
| . 标准IP访问控制规则的list-number规定为1~99,而扩展IP访问控制规则的list-number规定为100~199;
|
|
|
| . deny表示若经过Cisco IOS过滤器的包条件不匹配,则禁止该包通过;
|
|
|
| . permit表示若经过Cisco IOS过滤器的包条件匹配,则允许该包通过;
|
|
|
|
|
| . source-wildcard表示发送数据包的主机IP地址的通配符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任何来源的IP包;
|
|
|
|
|
| . destination-wildcard表示接收数据包的主机IP地址的通配符掩码;
|
|
|
| . protocol表示协议选项,如IP、ICMP、UDP、TCP等;
|
|
|
|
|
| 下面给出一个例子,用Cisco路由器防止DDoS攻击,配置信息如下。
|
|
|
|
|
| 简而言之,包过滤成为当前解决网络安全问题的重要技术之一,不仅可以用在网络边界,而且也可应用在单台主机上。例如,现在个人防火墙以及Windows 2000和Windows XP都提供了对TCP、UDP等协议的过滤支持,用户可以根据自己的安全需求,通过过滤规则的配置来限制外部对本机的访问。下图是利用Windows 2000系统自带的包过滤功能对139端口进行过滤,这样可以阻止基于RPC的漏洞攻击。
|
|
|
|
|
|
|
| 包过滤防火墙技术的优点是低负载、高通过率、对用户透明。但是包过滤技术的弱点是不能在用户级别进行过滤,如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以轻易通过包过滤器。
|
|
|
