|
數(shù)據(jù)包過濾技術(shù)
數(shù)據(jù)包過濾原理
數(shù)據(jù)包過濾技術(shù)是防火墻最常用的技術(shù)。對于一個充滿危險的網(wǎng)絡(luò)���,過濾路由器提供了一種方法���,用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò),也可以用它來限制內(nèi)部人員對一些危險和色情站點(diǎn)的訪問����。
數(shù)據(jù)包過濾技術(shù),顧名思義是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?shù)據(jù)包實施有選擇的通過����,選擇依據(jù)���,即為系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則(通常稱為訪問控制表——Access Ccntrol List)�,只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口��,其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除�����。
數(shù)據(jù)包過濾可以控制站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)和網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問��,但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容�����,因為內(nèi)容是應(yīng)用層數(shù)據(jù)����,不是包過濾系統(tǒng)所能辨認(rèn)的,數(shù)據(jù)包過濾允許你在單個地方為整個網(wǎng)絡(luò)提供特別的保護(hù)���。
包過濾檢查模塊深入到系統(tǒng)的網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間���。因為數(shù)據(jù)鏈路層是事實上的網(wǎng)卡(NIC),網(wǎng)絡(luò)層是第一層協(xié)議堆棧���,所以防火墻位于軟件層次的最底層���,如下圖所示。
圖 包過濾模型
通過檢查模塊��,防火墻能攔截和檢查所有出站的數(shù)據(jù)。防火墻檢查模塊首先驗證這個包是否符合過濾規(guī)則���,不管是否符合過濾規(guī)則����,防火墻一般要記錄數(shù)據(jù)包情況���,不符合規(guī)則的包要進(jìn)行報警或通知管理員����。對丟棄的數(shù)據(jù)包����,防火墻可以給發(fā)方一個消息,也可以不給���,這要取決于包過濾策略�。包檢查模塊能檢查包中的所有信息�,一般是網(wǎng)絡(luò)層的IP頭和傳輸層的頭��。包過濾一般要檢查下面幾項:
IP源地址�;
IP目標(biāo)地址�;
協(xié)議類型(TCP包��、UDP包和ICMP包)����;
TCP或UDP的源端口;
TCP或UDP的目標(biāo)端口��;
ICMP消息類型���;
TCP報頭中的ACK位���。
包過濾在本地端接收數(shù)據(jù)包時,一般不保留上下文�,只根據(jù)目前數(shù)據(jù)包的內(nèi)容做決定。根據(jù)不同的防火墻的類型����,包過濾可能在進(jìn)入、輸出時或這兩個時刻都進(jìn)行�。可以擬定一個要接受的設(shè)備和服務(wù)的清單�����,一個不接受的設(shè)備和服務(wù)的清單,組成訪問控制表�����。
1 . 設(shè)置步驟
配置包過濾有三步:
(1)必須知道什么是應(yīng)該和不應(yīng)該被允許的����,即必須制定一個安全策略。
(2)必須正式規(guī)定允許的包類型����、包字段的邏輯表達(dá)。
(3)必須用防火墻支持的語法重寫表達(dá)式��。
2. 按地址過濾
下面是一個最簡單的數(shù)據(jù)包過濾方式��,它按照源地址進(jìn)行過濾����。比如說,認(rèn)為網(wǎng)絡(luò)202.110.8.0是一個危險的網(wǎng)絡(luò)��,那么就可以用源地址過濾禁止內(nèi)部主機(jī)和該網(wǎng)絡(luò)進(jìn)行通信���。下表是根據(jù)上面的政策所制定的規(guī)則�。
表: 過濾規(guī)則示例
規(guī)則 方向 源地址 目標(biāo)地址 動作
A 出 內(nèi)部網(wǎng)絡(luò) 202.110.8.0 拒絕
B 入 202.110.8.0 內(nèi)部網(wǎng)絡(luò) 拒絕
很容易看出這種方式?jīng)]有利用全部信息���,所以是不科學(xué)的����,下面將要講一種更為先進(jìn)的過濾方式——按服務(wù)過濾��。
3. 按服務(wù)過濾
假設(shè)安全策略是禁止外部主機(jī)訪問內(nèi)部的E-mail服務(wù)器(SMTP�,端口25)�����,允許內(nèi)部主機(jī)訪問外部主機(jī),實現(xiàn)這種的過濾的訪問控制規(guī)則類似下表����。
規(guī)則按從前到后的順序匹配,字段中的“*”代表任意值��,沒有被過濾器規(guī)則明確允許的包將被拒絕��。就是說���,每一條規(guī)則集都跟隨一條含蓄的規(guī)則����,就像下表中的規(guī)則C。這與一般原則是一致的:沒有明確允許的就被禁止�����。
規(guī)則 方向 動作 源地址 源端口 目的地址 目的端口 注釋
A 進(jìn) 拒絕 M * E-mail 25 不信任
B 出 允許 * * * * 允許聯(lián)接
C 雙向 拒絕 * * * * 缺省狀態(tài)
任何一種協(xié)議都是建立在雙方的基礎(chǔ)上的���,信息流也是雙向的���。規(guī)則總是成對出現(xiàn)的,而且在講解規(guī)則時也是成對講解的原因����。
4.包過濾實例
無疑按服務(wù)過濾的安全性要比單純按地址過濾高。
下面�����,將通過一個例子來講解這種過濾方式�。第一,假設(shè)處于一個類網(wǎng)絡(luò)116.111.4.0�,認(rèn)為站點(diǎn)202.208.5.6上有黃色的BBS,所以希望阻止網(wǎng)絡(luò)中的用戶訪問該點(diǎn)的BBS;再假設(shè)這個站點(diǎn)的BBS服務(wù)是通過Telnet方式提供的����,那么需要阻止到那個站點(diǎn)的出站Telnet服務(wù),對于Internet的其他站點(diǎn)���,允許內(nèi)部的網(wǎng)用戶通過Telnet方式訪問,但不允許其他站點(diǎn)以Telnet方式訪問網(wǎng)絡(luò)���。第二����,為了由發(fā)電子郵件���,允許SMTP出站入站服務(wù)�,郵件服務(wù)器是IP地址為116.111.4.1����。第三,對于WWW服務(wù)�����,允許內(nèi)部網(wǎng)用戶訪問Internet上任何網(wǎng)絡(luò)和站點(diǎn),但只允許一個公司的網(wǎng)絡(luò)訪問內(nèi)部WWW服務(wù)器�,內(nèi)部WWW服務(wù)器的IP地址為116.111.4.5,因為你們是合作伙伴關(guān)系�����,那個公司的網(wǎng)絡(luò)為98.120.7.0�����。
|
