**四、 包过滤处理内核
**
过滤路由器可以利用包
火墙产品来完成,或由基于
器都可以通过编程来执行过
供的路由器都可以通过编程
| 过滤作为手段来提高网络的安全
软件的产品,如Karlbrige基于P
滤功能。路由器制造商,如Cisc
来执行包过滤功能。
| 性。过滤功能也可以由许多商用防
C的过滤器来完成。许多商业路由
o、3Com 、Newbridge 、ACC等提
---|---|---
1. 包过滤和网络策略
包过滤可以用来实现大
和服务的类型、它们的重要
| 范围内的网络安全策略。网络安
程度和这些服务要保护的对象。
| 全策略必须清楚地说明被保护的源
---|---|---
一般来说,网络安全策
点是阻止外来用户的突然侵
。这种类型的网络安全策略
个好的网络安全策略还应该
| 略主要集中在阻截入侵者,而不
入和故意暴露敏感性数据,而不
决定了过滤路由器应该放在哪里
使内部用户难以危害网络的安全
| 是试图警戒内部用户。它的工作重
是阻止内部用户使用外部网络服务
和怎样通过编程来执行包过滤。一
。
---|---|---
网络安全策略的一个目标就是要提供
因为包过滤工作在OSI模型的网络层和传
方法更具透明性。记住防火墙是工作在OS
明的。
| 一个透明机制,以便这些策略不会对用户产生障碍。
输层,而不是在应用层,这种方法一般来说比防火墙
I模型的应用层的,在这一层的安全措施不应成为透
---|---
2.一个简单的包过滤模型
包过滤器通常置于一个或多个网段之
。外部网段把你的网络连接到外面的网络
网络资源。
| 间,如图3所示。网络段区分为外部网段或内部网段
如Internet上,内部网段用来连接公司的主机和其它
---|---
包过滤器设备的每一端
网络服务类型。如果连在包
很复杂。一般来说,应当避
| 口都可用来完成网络安全策略,
过滤设备上的网络段的数目很大
免对网络安全问题采取的过于复
| 该策略描述了通过此端口可访问的
,那么包过滤所要完成的就会变得
杂的解决方案,理由如下:
---|---|---
(1) 它们难以维护。
(2) 配置包过滤时容易出错。
(3) 它们对所实施的设备的功能有副作用。
但是,从纯经济的角度来看,通常决
由器。具有几个端口的路由器的好处是它
原则通常适用于一个接口,那么,如果用
理的方案。
| 定买具有外部端口的一个路由器,而不买几个小的路
与CPU接口的广度和处理的容量。另外,由于包过滤
户的设计合适,一个多端口的路由器将是一个易于管
---|---
大多数情况下,如图4
该包过滤设备只连有两个网
限制那些它拒绝的服务的网
的,所以过滤路由器端口两
。
| 所示的一个简单的模型可以用于
段。典型的是,一个是外部网段
络流量。因为网络策略是应用于
面的过滤器必须以不同的方式工
| 完成网络安全策略。这个模型表明
,另一个是内部网段。包过滤用来
那些与外部主机有联系的内部用户
作。换句话说,过滤器是非对称的
---|---|---
3. 包过滤器操作
几乎所有的包过滤设备(过滤路由器或包过滤网关)都按照如下方式工作:
(1) 包过滤标准必须为包过滤设备端口存储起来,这些包过滤标准叫包过滤规则;
(2) 当包到达端口时
UDP报头中的字段,不检查
| ,包的报头被进行语法分析,大
包体的内容;
| 多数包过滤设备只检查IP、TCP或
---|---|---
(3) 包过滤器规则以
序相同;
| 特殊的方式存储。应用于包的规
| 则的顺序与包过滤器规则存储的顺
---|---|---
(4) 如果一条规则阻止包传输或接收,此包便不被允许;
(5) 如果一条规则允许包传输或接收,该包可以继续处理;
(6) 如果一个包不满足任何一条规则,该包被阻塞。
从规则4和5可知,将规则以正确的顺
错误就是把规则的顺序放错了。如果包过
被拒绝了,而该拒绝的服务却允许了。
| 序存放是很重要的。要配置包过滤规则时一个常犯的
滤器规则以错误的顺序放置,那么有效的服务也可能
---|---
规则6依据如下原理:
在设计网络安全时,这是一条应该遵
个允许原理正好相反:未明确表示禁止的
| 循的自动防止故障的(fail |
|---|