数据包过滤是一个网络主要讨论以下内容: 安全保护机制。它是用来控制流 出和流入网络的数据。因此,本文 (1) 数据包; (2) 数据包过滤是怎样工作的; (3) 数据包过滤的主要优点; (4) 包过滤路由器的选择与包过滤系统集成。 一、 数据包 为了理解数据包过滤,: 首先讨论一下数据包,以及它们 在每一个TCP/IP协议层的处理过程 (1) 应用层(例如,FTP、Telnet和Http); (2) 传输层(TCP 或UDP); (3) 因特网络层(IP); (4) 网络访问(以太网、FDDI、ATM等)。 包的构造有点像洋葱一两部分组成。在包头中存放这些数据也包含了上层的全体,然后依本层的协议在加为封装。 样,它是由各层连接的协议组成与这一层相关的协议信息,在包部信息。在每一层上对包的处理上包头。这种对包的层次性操作 的。在每一层,包都由包头与包体体中存放包在这一层的数据信息。是将从上层获取的全部信息作为包(每一层均加上一个包头)一般称 在应用层,包头含有需被传送的数据TCP)或用户数据报协议(UDP)从应用层再下一层(网间网层)的包时,IP协议将上本层的包头。在构筑最后一层(网络接包作为包体,再加上本层的包头。 。当构成下一层(传输层)的包时,传输控制协议(将数据全部取来,然后在加装上本层的包头。当构筑上层的包头与包体全部当做本层的包体,然后再加装口层)的包时,以太网或其它网络协议将IP层的整个 与图1封装过程相反,在网络连接的获取数据就由下而上依次把包头剥离。 另一边(接收方)的工作是解包。即在另一边,为了 在数据包过滤系统看来种将被包过滤路由器检查的 ,包的最重要信息是各层依次加包的包头内容。 上的包头。在下文中将主要介绍各 二、 数据包过滤是怎样工作的 包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的根据: (1)将包的目的地址作为判断依据; (2)将包的源地址作为判断依据; (3)将包的传送协议作为判断依据。 大多数包过滤系统判断是否传送包时让我们进行类似以下情况的操作: 都不关心包的具体内容。作为防火墙包过滤系统只能 (1)不允许任何用户从外部网用Telnet登录; (2)允许任何用户使用SMTP往内部网发电子邮件; (3)只允许某台机器通过NNTP往内部网发新闻。 但包过滤不能允许我们进行如下操作: (1)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作; (2)允许用户传送一些文件而不允许用户传送其它文件。 数据包过滤系统不能识的文件信息。包过滤系统的为例,假定不让客户使用Te现有的条件下可以作到,但其它用户就永远不在重新安行设置,也就无所谓机器中 别数据包中的用户信息。同样数主要特点是让用户在一台机器上lnet而将网络中现有机器上的Te是不能保证在网络中新增机器时装Telnet服务。如果有了包过滤的Telnet服务是否存在的问题了 据包过滤系统也不能识别数据包中提供对整个网络的保护。以Telnetlnet服务关闭,作为系统管理员在,新机器的Telnet服务也被关闭或系统,由于只要在包过滤中对此进。 路由器为所有用户进出络中的特定位置的过滤路由内部邮件的包——就是那种常被作为地址伪装入侵的一滤路由器来实现我们设计的在这种位置上的包过滤路由网还是来自于外部网。 网络的数据流提供了一个有用的器来提供。比如,我们考虑这样看起来好象来自于内部主机而其部分。入侵者总是用这种包把他安全规则,唯一的方法是通过参器才能通过查看包的源地址,从 阻塞点。而对有关的保护只能由网的安全规则,让网络拒绝任何含有实是来自于外部网的包,这种包经们伪装成来自于内部网。要用包过数网络上的包过滤路由器。只有处而辨认出这个包到底是来自于内部 三、 包过滤的优缺点 1.包过滤的优点 包过滤方式有许多优点就可保护整个网络。如果站这台路由器上设定合适的包 ,而其主要优点之一是仅用一个点与因特网间只有一台路由器,过滤,我们的站点就可以获得很 放置在战略要津上的包过滤路由器那么不管站点规模有多大,只要在好的网络安全保护。 包过滤不需要用户软件的支撑,也不何培训。当包过滤路由器允许包通过时,甚至感觉不到包过滤功能的存在,只有在器的不同。包过滤工作对用户来讲是透明下完成包过滤。 要求对客户机做特别的设置,也没有必要对用户做任它看起来与普通的路由器没有任何区别。此时,用户有些包在禁入和禁出时,用户才认识到它与普通路由的。这种透明就是可在不要求用户作任何操作的前提 包过滤产品比较容易获得。在市场上从网上免费下载的都提供了包过滤功能。。Drawbrige、KralBrige以及Screened也。 有许多硬件和软件的路由器产品不管是商业产品还是比如,Cisco公司的路由器产品就包含有包过滤功能都具有包过滤功能,而且还能从Internet上免费下载 2. 包过滤的缺点 尽管包过滤系统有许多优点,但是它仍有缺点和局限性: 1) 在机器中配置包过滤规则比较困难; 2) 对包过滤规则设置的测试也很麻烦; 3) 许多产品的包过滤。 功能有这样或那样的局限性,要 找一个比较完整的包过滤产品很难 包过滤系统本身就存有系统的安全性的影响。因为些平常应该拒绝的包也能进 某些缺陷,这些缺陷对系统的安代理服务的缺陷仅仅会使数据无出网络,这对系统的安全性是一 全性的影响要大大超过代理服务对法传送,而包过滤的缺陷会使得一个巨大的威胁。 即使在系统中安装了比较完整的包过太合适。比如,对Berkeley的“r"命令(,用包过滤系统就不太合适。有些安全规来自于哪台主机的信息而无来自于哪个用 滤系统,我们也会发现对有些协议使用包过滤方式不rcp、rsh、rlogin)和类似于NFS和NIS/YS协议的RPC则是难以用包过滤规则来实现的。比如,在包中只有户的信息。因此,若要过滤用户就不能使用包过滤。