四、 包过滤处理内核
过滤路由器可以利用包火墙产品来完成,或由基于器都可以通过编程来执行过供的路由器都可以通过编程 过滤作为手段来提高网络的安全软件的产品,如Karlbrige基于P滤功能。路由器制造商,如Cisc来执行包过滤功能。 性。过滤功能也可以由许多商用防C的过滤器来完成。许多商业路由o、3Com 、Newbridge 、ACC等提 1. 包过滤和网络策略 包过滤可以用来实现大和服务的类型、它们的重要 范围内的网络安全策略。网络安程度和这些服务要保护的对象。 全策略必须清楚地说明被保护的源 一般来说,网络安全策点是阻止外来用户的突然侵。这种类型的网络安全策略个好的网络安全策略还应该 略主要集中在阻截入侵者,而不入和故意暴露敏感性数据,而不决定了过滤路由器应该放在哪里使内部用户难以危害网络的安全 是试图警戒内部用户。它的工作重是阻止内部用户使用外部网络服务和怎样通过编程来执行包过滤。一。 网络安全策略的一个目标就是要提供因为包过滤工作在OSI模型的网络层和传方法更具透明性。记住防火墙是工作在OS明的。 一个透明机制,以便这些策略不会对用户产生障碍。输层,而不是在应用层,这种方法一般来说比防火墙I模型的应用层的,在这一层的安全措施不应成为透 2.一个简单的包过滤模型 包过滤器通常置于一个或多个网段之。外部网段把你的网络连接到外面的网络网络资源。 间,如图3所示。网络段区分为外部网段或内部网段如Internet上,内部网段用来连接公司的主机和其它包过滤器设备的每一端网络服务类型。如果连在包很复杂。一般来说,应当避 口都可用来完成网络安全策略,过滤设备上的网络段的数目很大免对网络安全问题采取的过于复 该策略描述了通过此端口可访问的,那么包过滤所要完成的就会变得杂的解决方案,理由如下: (1) 它们难以维护。 (2) 配置包过滤时容易出错。 (3) 它们对所实施的设备的功能有副作用。 但是,从纯经济的角度来看,通常决由器。具有几个端口的路由器的好处是它原则通常适用于一个接口,那么,如果用理的方案。 定买具有外部端口的一个路由器,而不买几个小的路与CPU接口的广度和处理的容量。另外,由于包过滤户的设计合适,一个多端口的路由器将是一个易于管 大多数情况下,如图4该包过滤设备只连有两个网限制那些它拒绝的服务的网的,所以过滤路由器端口两。 所示的一个简单的模型可以用于段。典型的是,一个是外部网段络流量。因为网络策略是应用于面的过滤器必须以不同的方式工 完成网络安全策略。这个模型表明,另一个是内部网段。包过滤用来那些与外部主机有联系的内部用户作。换句话说,过滤器是非对称的
3. 包过滤器操作 几乎所有的包过滤设备(过滤路由器或包过滤网关)都按照如下方式工作: (1) 包过滤标准必须为包过滤设备端口存储起来,这些包过滤标准叫包过滤规则; (2) 当包到达端口时UDP报头中的字段,不检查 ,包的报头被进行语法分析,大包体的内容; 多数包过滤设备只检查IP、TCP或 (3) 包过滤器规则以序相同; 特殊的方式存储。应用于包的规 则的顺序与包过滤器规则存储的顺 (4) 如果一条规则阻止包传输或接收,此包便不被允许; (5) 如果一条规则允许包传输或接收,该包可以继续处理; (6) 如果一个包不满足任何一条规则,该包被阻塞。
从规则4和5可知,将规则以正确的顺错误就是把规则的顺序放错了。如果包过被拒绝了,而该拒绝的服务却允许了。 序存放是很重要的。要配置包过滤规则时一个常犯的滤器规则以错误的顺序放置,那么有效的服务也可能 规则6依据如下原理: 在设计网络安全时,这是一条应该遵个允许原理正好相反:未明确表示禁止的 循的自动防止故障的(fail