包过滤防火墙是什么

小白 QA 2020-05-06 09:12:56 阅读(...)

包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。

包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。

包过滤防火墙是什么

简介

在 Linux 系统下,包过滤功能是内建于核心的(作为一个核心模块,或者直接内建),同时还有一些可以运用于数据包之上的技巧,不过最常用的依然是查看包头以决定包的命运。  包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲,它针对每一个数据包的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。包过滤是在 IP 层实现的,包过滤根据数据包的源 IP 地址、目的 IP 地址、协议类型(TCP 包、UDP 包、ICMP 包)、源端口、目的端口等包头信息及数据包传输方向等信息来判断是否允许数据包通过。 包过滤也包括与服务相关的过滤,这是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定 TCP/UDP 端口,因此,为阻断所有进入特定服务的链接,防火墙只需将所有包含特定 TCP/UDP 目的端口的包丢弃即可。

工作层次

包过滤是一种内置于 Linux 内核路由功能之上的防火墙类型,其防火墙工作在网络层。

工作原理

使用过滤器

数据包过滤用在内部主机和外部主机之间, 过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。

数据包信息的过滤

数据包过滤是通过对数据包的 IP 头和 TCP 头或 UDP 头的检查来实现的,主要信息有:

* IP 源地址

* IP 目标地址

* 协议(TCP 包、UDP 包和 ICMP 包)

* TCP 或 UDP 包的源端口

* TCP 或 UDP 包的目标端口

* ICMP 消息类型

* TCP 包头中的 ACK 位

* 数据包到达的端口

* 数据包出去的端口

在 TCP/IP 中,存在着一些标准的服务端口号,例如,HTTP 的端口号为 80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接,例如,可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。

过滤策略

* 拒绝来自某主机或某网段的所有连接。

* 允许来自某主机或某网段的所有连接。

* 拒绝来自某主机或某网段的指定端口的连接。

* 允许来自某主机或某网段的指定端口的连接。

* 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。

* 允许本地主机或本地网络与其它主机或其它网络的所有连接。

* 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。

* 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。

基本过程

下面做个简单的叙述:

(1)包过滤规则必须被包过滤设备端口存储起来。

(2)当包到达端口时,对包报头进行语法分析。大多数包过滤设备只检查 IP、TCP、或 UDP 报头中的字段。

(3)包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。

(4)若一条规则阻止包传输或接收,则此包便不被允许。

(5)若一条规则允许包传输或接收,则此包便可以被继续处理。

(6)若包不满足任何一条规则,则此包便被阻塞。

技术优点

→对于一个小型的、不太复杂的站点,包过滤比较容易实现。

→因为过滤路由器工作在 IP 层和 TCP 层,所以处理包的速度比代理服务器快。

→过滤路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。因为过滤路由器工作在 IP 层和 TCP 层,而 IP 层和 TCP 层与应用层的问题毫不相关。所以,过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所被称为网关,是因为包过滤路由器和传统路由器不同,它涉及到了传输层。

→过滤路由器在价格上一般比代理服务器便宜。

收藏 0个人收藏
走进科技生活方式

评论交流

泪雪默认头像 请「登录」后参与评论
  1. 加载中..

相关推荐

  • 安全关联是什么

    安全关联是什么

    安全关联是指一组用来保护信息的策略和密钥。安全关联的概念是IPSec的基础。AH和ESP都使用了安全关联,所有AH和ESP的实现都必须支持安全关联。安全关联有两种类型:传输模式和隧道模式。传输模式安全关联是两台主机间的安全关联。
  • 透明代理 Transparent proxy

    透明代理是什么

    透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改变你的request fields(报文),并会传送真实IP,多用于路由器的NAT转发中。注意,加密的透明代理则是属于匿名代理,意思是不用设置使用代理。
  • 华为 huawei logo

    华为网络操作系统VRP是什么

    VRP即通用路由平台,是华为在通信领域多年的研究经验结晶,是华为所有基于IP/ATM构架的数据通信产品操作系统平台。运行VRP操作系统的华为产品包括路由器、局域网交换机、智能业务选择网关,以及专用硬件防火墙等
  • 防火墙 firewall

    硬件防火墙是什么

    硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少 CPU 的负担,使路由更稳定。硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络安全。
  • 信息安全

    安全组是什么

    安全组是一种虚拟防火墙,具备状态检测、包过滤功能,设置单台或多台云服务器的网络访问控制。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通,可以授权两个安全组之间互访。
  • winpcap是什么

    winpcap是什么

    winpcap是windows平台下一个免费,公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它用于windows系统下的直接的网络编程。