1、包包过滤过滤技技术术(Packet filterPacket filter)主讲人:郑棋元论 文:刘航PPT:刘丹晨1-目目录录包过滤原理包过滤规则表包过滤技术优缺点分析2-包包过滤过滤原理原理什么是包过滤技术?u包过滤是最早应用到防火墙当中的技术之一。u它针对网络数据包由信息头和数据信息两部分组成这一特点而设计。u包过滤防火墙工作在网络层和传输层。3-包包过滤过滤原理原理 包过滤技术是对通过防火墙的数据包的首部信息进行解析,根据事先定义的访问控制列表(ACL)规则决定包的前行或被舍弃,以达到对数据包进行过滤。ACL的出现就是配合防火墙的设计而被定义出来的。所以包过滤防火墙的精华之处就在于AC
2、L。包过滤既可作用在入方向也可作用在出方向。4-包包过滤过滤原理原理 包过滤技术应用的关键问题是如何检查数据包,以及检查到何种程度才能既保障安全又不会对通信速度产生明显负面影响。从理论上讲,包过滤防火墙可以被配置为根据协议报头的任何数据域进行分析过滤,但大多数只是针对性的分析数据包信息头的部分域。5-防火墙中的检查模块将所有通过的数据包中发送方IP地址、接收方的IP地址、TCP端口、TCP标志位等信息读出,按照预先设置的过滤规则过滤数据包。只有满足过滤规则的数据包才被转发,其余数据包则被丢弃。包过滤设备配置有一系列数据过滤规则,定义了什么包可以通过防火墙,什么包必须丢弃。这些规则被称为数据包过
3、滤访问控制列表(ACL)。包包过滤规则过滤规则表表6-下表所示的过滤规则样表包含以下内容:源IP地址、目标IP地址、源端口、目的端口协议类型TCP包头标志位对数据包的操作数据流向 包包过滤规则过滤规则表表序号序号源源IP目的目的IP协 议源端口源端口目的端口目的端口标志位志位操作操作 1内部网络地址外部网络地址TCP任意80任意允许 2外部网络地址内部网络地址TCP801023ACK允许 3所有所有所有所有所有所有拒绝7-访问控制列表的配置有两种方式严策略。接受受信任的IP包,拒绝其他所有的IP包。宽策略。拒绝不受信任的IP包,接受其他所有的IP包。在实际应用中一般采用严策略来设置防火墙规则。
4、一般地,包过滤防火墙还应该阻止以下几种IP包进入内部网l源地址是内部地址的外来数据包l指定中转路由器的数据包l有效载荷很小的数据包 包包过滤规则过滤规则表表8-优点:一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器;过滤路由器速度快、效率高。包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时,它与普通路由器没什么区别,甚至用户没有认识到它的存在,因此不需要专门的用户培训或在每主机上设置特别的软件。包包过滤过滤技技术优术优缺点分析缺点分析9-缺点:定义包过滤器需要网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。是一项很复杂的工作。路由器信息包的吞吐量随过滤器数量的增加而减少。不能彻底防止地址欺骗。伪造IP地址很容易、普遍。包包过滤过滤技技术优术优缺点分析缺点分析10-缺点:一些应用协议不适合于数据包过滤。即使是完美的数据包过滤,也会发现一些协议不很适合于经由数据包过滤安全保护。一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来。它可以阻止非法用户进入内部网络,但也不会告诉我们究竟都有谁来过,或者谁从内部进入了外部网络。包包过滤过滤技技术优术优缺点分析缺点分析11-谢谢(*-*)*-*)12-