包過濾
① 動態包過濾型防火牆和靜態包過濾防火牆有什麼區別
靜態包過濾防火牆是根據定義好的過濾規則審查每個數據包,以便確定其是專否與某一條包過濾規則屬匹配。過濾規則基於數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標埠、ICMP消息類型等。包過濾類型的防火牆要遵循的一條基本原則是「最小特權原則」,即明確允許那些管理員希望通過的數據包,禁止其他的數據包。
動態包過濾防火牆是就是後來的包狀態監測(Stateful Inspection)技術,監控每一個連接,自動臨時增加適當的規則。
② 什麼叫包過濾技術
基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。其專技術原理在於屬加入IP過濾功能的路由器逐一審查包頭信息,並根據匹配和規則決定包的前行或被舍棄,以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點,同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。
③ 狀態防火牆和包過濾防火牆的區別是什麼啊
1、含義上的區別
狀態防火牆是一種能夠提供狀態封包檢查或狀態檢視功能的防火牆。
包過濾防火牆是用一個軟體查看所流經的數據包的包頭,由此決定整個包的命運。
2、作用上的區別
狀態防火牆能夠持續追蹤穿過這個防火牆的各種網路連接(例如TCP與UDP連接)的狀態。這種防火牆被設計來區分不同連接種類下的合法數據包。只有匹配主動連接的數據包才能夠被允許穿過防火牆,其他的數據包都會被拒絕。
包過濾防火牆除了決定是否有到達目標地址的路徑外,還要決定是否應該發送數據包;能為用戶提供了一種透明的服務,用戶不需要改變客戶端的任何應用程序,也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層,而IP層和TCP層與應用層的問題毫不相關。
3、工作原理上的區別
狀態防火牆會跟蹤網路連接的狀態(例如TCP流或UDP通信),狀態檢查隨著時間的推移監視傳入和傳出的數據包以及連接的狀態,並將數據存儲在動態狀態表中。在建立連接時執行大部分CPU密集型檢查,條目僅為滿足定義的安全策略的TCP連接或UDP流創建。
數據包過濾用在內部主機和外部主機之間, 過濾系統是一台路由器或是一台主機。過濾系統根據過濾規則來決定是否讓數據包通過。用於過濾數據包的路由器被稱為過濾路由器。數據包過濾是通過對數據包的IP頭和TCP頭或UDP頭的檢查來實現。
④ 包過濾技術的技術原理
包過濾技術(IP Filtering or packet filtering) 的原理在於利用路由器監視並過濾網路上流入流出的IP包,拒絕發送可疑的包。由於Internet 與Intranet 的連接多數都要使用路由器,所以Router成為內外通信的必經埠,Router的廠商在Router上加入IP 過濾 功能,過濾路由器也可以稱作包過濾路由器或篩選路由器(Packet FilterRouter)。防火牆常常就是這樣一個具備包過濾功能的簡單路由器,這種Firewall應該是足夠安全的,但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的,因而在安全要求較高的場合,通常還配合使用其它的技術來加強安全性。
包過濾技術是指網路設備(路由器或防火牆)根據包過濾規則檢查所接收的每個數據包,做出允許數據包通過或丟棄數據包的決定。包過濾規則主要基於IP包頭信息設置,包括如下內容:
1、TCP/UDP的源或目的埠號
2、協議類型:TCP、UDP、ICMP等
3、源或目的IP地址
4、數據包的入介面和出介面
數據包中的信息如果與某一條過濾規則相匹配並且該規則允許數據包通過,則該數據包會被轉發,如果與某一條過濾規則匹配但規則拒絕數據包通過,則該數據包會被丟棄。如果沒有可匹配的規則,預設規則會決定數據包是被轉發還是被丟棄。
舉例說明:如圖所示,如果我們需要允許IP地址為192.168.0.1的電腦瀏覽網頁(建立HTTP連接),允許IP地址為192.168.0.2的電腦與Internet建立FTP連接,不允許其他電腦與Internet通信,可以在路由器設置如下過濾規則:
1、允許源IP地址為192.168.0.1、目的埠號為80的數據包通過(HTTP的埠號為80)。
2、允許源IP地址為192.168.0.1、目的埠號為53的數據包通過(DNS的埠號為53,在瀏覽網頁時通常需要進行域名解析)。
3、允許源IP地址為192.168.0.2、目的埠號為21的數據包通過(FTP的埠號為21)。
4、預設禁止所有的其他連接。
包過濾規則允許Router取捨以一個特殊服務為基礎的信息流,因為大多數服務檢測器駐留於眾所周知的TCP/UDP埠。例如,Telnet Service 為TCP port 23埠等待遠程連接,而SMTP Service為TCP Port 25埠等待輸入連接。如要封鎖輸入Telnet、SMTP的連接,則Router舍棄埠值為23、25的所有的數據包。
表9.1 一些常用網路服務和使用的埠 服務名稱 埠號 協議 說明 ftp-data 20 tcp FTP數據 ftp 21 tcp FTP控制 telnet 23 tcp 如BBS smtp 25 tcp 發email用 time 37 tcp timserver time 37 udp timserver domain 53 tcp DNS domain 53 udp DNS tftp 69 udp gopher 70 tcp gopher查詢 http 80 tcp www pop3 110 tcp 收email用 nntp 119 tcp 新聞組,usernet netbios-ns 137 tcp NETBIOS 名稱服務 netbios-ns 137 udp NETBIOS 名稱服務 netbios-dgm 138 udp NETBIOS 數據報服務 netbios-ssn 139 tcp NETBIOS Session服務 snmp 161 udp SNMP snmptrap 162 udp SNMP trap irc 194 tcp IRC網路聊天服務 ldap 389 tcp 輕型目錄服務協議 https 443 tcp SSL加密 https 443 udp 典型的過濾規則有以下幾種:允許特定名單內的內部主機進行Telnet輸入對話、只允許特定名單內的內部主機進行FTP輸入對話、只允許所有Telnet 輸出對話、只允許所有FTP 輸出對話、拒絕來自一些特定外部網路的所有輸入信息。
有些類型的攻擊很難用基本包頭信息加以鑒別,因為這些獨立於服務。一些Router可以用來防止這類攻擊,但過濾規則需要增加一些信息,而這些信息只有通過以下方式才能獲悉:研究Router選擇表、檢查特定的IP選項、校驗特殊的片段偏移等。這類攻擊有以下幾種:
源IP地址欺騙攻擊:入侵者從偽裝成源自一台內部主機的一個外部地點傳送一些信息包;這些信息包似乎像包含了一個內部系統的源IP地址。如果這些信息包到達Router的外部介面,則舍棄每個含有這個源IP地址的信息包,就可以挫敗這種源欺騙攻擊。
源路由攻擊:源站指定了一個信息包穿越Internet時應採取的路徑,這類攻擊企圖繞過安全措施,並使信息包沿一條意外(疏漏)的路徑到達目的地。可以通過舍棄所有包含這類源路由選項的信息包方式,來挫敗這類攻擊。
殘片攻擊:入侵者利用IP殘片特性生成一個極小的片斷並將TCP報頭信息肢解成一個分離的信息包片斷。舍棄所有協議類型為TCP、IP片斷偏移值等於1的信息包,即可挫敗殘片的攻擊。
從以上可看出定義一個完善的安全過濾規則是非常重要的。通常,過濾規則以表格的形式表示,其中包括以某種次序排列的條件和動作序列。每當收到一個包時,則按照從前至後的順序與表格中每行的條件比較,直到滿足某一行的條件,然後執行相應的動作(轉發或舍棄)。有些數據包過濾在實現時,「動作」這一項還詢問,若包被丟棄是否要通知發送者(通過發ICMP信息),並能以管理員指定的順序進行條件比較,直至找到滿足的條件。
對流進和流出網路的數據進行過濾可以提供一種高層的保護。建議過濾規則如下:
(1)任何進入內部網路的數據包不能把網路內部的地址作為源地址。
(2)任何進入內部網路的數據包必須把網路內部的地址作為目的地址。
(3)任何離開內部網路的數據包必須把網路內部的地址作為源地址。
(4)任何離開內部網路的數據包不能把網路內部的地址作為目的地址。
(5)任何進入或離開內部網路的數據包不能把一個私有地址(private address)或在RFC1918中 127.0.0.0/8.)的地址作為源或目的地址。
(6)阻塞任意源路由包或任何設置了IP選項的包。
(7)保留、DHCP自動配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。
⑤ 什麼是包過濾技術其特點是什麼
包過濾技術(IP Filtering or packet filtering) 的原理在於監視並過濾網路上流入流出的IP包,拒絕發送可疑的包。基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。由於Internet 與Intranet 的連接多數都要使用路由器,所以Router成為內外通信的必經埠,Router的廠商在Router上加入IP 過濾 功能,過濾路由器也可以稱作包過濾路由器或篩選路由器(Packet FilterRouter)。
防火牆常常就是這樣一個具備包過濾功能的簡單路由器,這種Firewall應該是足夠安全的,但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的,因而在安全要求較高的場合,通常還配合使用其它的技術來加強安全性。 常用的優秀的個人防火牆有Norman Personal Firewall、天網防火牆等。
路由器逐一審查數據包以判定它是否與其它包過濾規則相匹配。每個包有兩個部分:數據部分和包頭。過濾規則以用於IP順行處理的包頭信息為基礎,不理會包內的正文信息內容。
包頭信息包括:IP 源地址、IP目的地址、封裝協議(TCP、UDP、或IP Tunnel)、TCP/UDP源埠、ICMP包類型、包輸入介面和包輸出介面。如果找到一個匹配,且規則允許這包,這一包則根據路由表中的信息前行。如果找到一個匹配,且規則拒絕此包,這一包則被舍棄。如果無匹配規則,一個用戶配置的預設參數將決定此包是前行還是被舍棄。
包過濾規則允許Router取捨以一個特殊服務為基礎的信息流,因為大多數服務檢測器駐留於眾所周知的TCP/UDP埠。例如,Telnet Service 為TCP port 23埠等待遠程連接,而SMTP Service為TCP Port 25埠等待輸入連接。如要封鎖輸入Telnet、SMTP的連接,則Router舍棄埠值為23、25的所有的數據包。
⑥ 靜態包過濾防火牆、動態(狀態檢測)包過濾防火牆、應用層(代理)防火牆這三類防火牆適用情況
//ok,我改
//包過濾的防火牆最簡單,你可以指定讓某個IP或某個埠或某個網段的數據包通過[或不通過],它不支持應用層的過濾,不支持數據包內容的過濾。
//狀態防火牆更復雜一點,按照TCP基於狀態的特點,在防火牆上記錄各個連接的狀態,這可以彌補包過濾防火牆的缺點,比如你允許了ip為1.1.1.1的數據包通過防火牆,但是惡意的人偽造ip的話,沒有通過tcp的三次握手也可以闖過包過濾防火牆。
//應用代理網關防火牆徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火牆對外網的訪問,然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發,訪問者任何時候都不能與伺服器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵,對數據包的檢測能力比較強。
//
一、當前防火牆技術分類
防火牆技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。
1.1 包過濾技術
包過濾防火牆工作在網路層,對數據包的源及目地 IP 具有識別和控製作用,對於傳輸層,也只能識別數據包是 TCP 還是 UDP 及所用的埠信息,如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。
由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析,包過濾防火牆的處理速度較快,並且易於配置。
包過濾防火牆具有根本的缺陷:
1 .不能防範黑客攻擊。包過濾防火牆的工作基於一個前提,就是網管知道哪些 IP 是可信網路,哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現,網管不可能區分出可信網路與不可信網路的界限,對於黑客來說,只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆,進入內網,而任何一個初級水平的黑客都能進行 IP 地址欺騙。
2 .不支持應用層協議。假如內網用戶提出這樣一個需求,只允許內網員工訪問外網的網頁(使用 HTTP 協議),不允許去外網下載電影(一般使用 FTP 協議)。包過濾防火牆無能為力,因為它不認識數據包中的應用層協議,訪問控制粒度太粗糙。
3 .不能處理新的安全威脅。它不能跟蹤 TCP 狀態,所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時,一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。
綜上可見,包過濾防火牆技術面太過初級,就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他(她)進入一樣,難以履行保護內網安全的職責。
1.2 應用代理網關技術
應用代理網關防火牆徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火牆對外網的訪問,然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發,訪問者任何時候都不能與伺服器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵,對數據包的檢測能力比較強。
缺點也非常突出,主要有:
· 難於配置。由於每個應用都要求單獨的代理進程,這就要求網管能理解每項應用協議的弱點,並能合理的配置安全策略,由於配置繁瑣,難於理解,容易出現配置失誤,最終影響內網的安全防範能力。
· 處理速度非常慢。斷掉所有的連接,由防火牆重新建立連接,理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中並不可行,因為對於內網的每個 Web 訪問請求,應用代理都需要開一個單獨的代理進程,它要保護內網的 Web 伺服器、資料庫伺服器、文件伺服器、郵件伺服器,及業務程序等,就需要建立一個個的服務代理,以處理客戶端的訪問請求。這樣,應用代理的處理延遲會很大,內網用戶的正常 Web 訪問不能及時得到響應。
總之,應用代理防火牆不能支持大規模的並發連接,在對速度敏感的行業使用這類防火牆時簡直是災難。另外,防火牆核心要求預先內置一些已知應用程序的代理,使得一些新出現的應用在代理防火牆內被無情地阻斷,不能很好地支持新應用。
在 IT 領域中,新應用、新技術、新協議層出不窮,代理防火牆很難適應這種局面。因此,在一些重要的領域和行業的核心業務應用中,代理防火牆正被逐漸疏遠。
但是,自適應代理技術的出現讓應用代理防火牆技術出現了新的轉機,它結合了代理防火牆的安全性和包過濾防火牆的高速度等優點,在不損失安全性的基礎上將代理防火牆的性能提高了 10 倍。
1.3 狀態檢測技術
我們知道, Internet 上傳輸的數據都必須遵循 TCP/IP 協議,根據 TCP 協議,每個可靠連接的建立需要經過 「 客戶端同步請求 」 、 「 伺服器應答 」 、 「 客戶端再應答 」 三個階段,我們最常用到的 Web 瀏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包並不是獨立的,而是前後之間有著密切的狀態聯系,基於這種狀態變化,引出了狀態檢測技術。
狀態檢測防火牆摒棄了包過濾防火牆僅考查數據包的 IP 地址等幾個參數,而不關心數據包連接狀態變化的缺點,在防火牆的核心部分建立狀態連接表,並將進出網路的數據當成一個個的會話,利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態,因此提供了完整的對傳輸層的控制能力。
網關防火牆的一個挑戰就是能處理的流量,狀態檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀態監測技術採用了一系列優化技術,使防火牆性能大幅度提升,能應用在各類網路環境中,尤其是在一些規則復雜的大型網路上。
任何一款高性能的防火牆,都會採用狀態檢測技術。
從 2000 年開始,國內的著名防火牆公司,如北京天融信等公司,都開始採用這一最新的體系架構,並在此基礎上,天融信 NGFW4000 創新推出了核檢測技術,在操作系統內核模擬出典型的應用層協議,在內核實現對應用層協議的過濾,在實現安全目標的同時可以得到極高的性能。目前支持的協議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應用協議。
二、防火牆發展的新技術趨勢
2.1 新需求引發的技術走向
防火牆技術的發展離不開社會需求的變化,著眼未來,我們注意到以下幾個新的需求。
· 遠程辦公的增長。這次全國主要城市先後受到 SARS 病毒的侵襲,直接促成大量的企事業在家辦公,這就要求防火牆既能抵抗外部攻擊,又能允許合法的遠程訪問,做到更細粒度的訪問控制。現在一些廠商推出的 VPN (虛擬專用網)技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火牆,這樣可以確保信息的保密性,又能成為識別入侵行為的手段。
· 內部網路 「 包廂化 」 ( compartmentalizing )。人們通常認為處在防火牆保護下的內網是可信的,只有 Internet 是不可信的。由於黑客攻擊技術和工具在 Internet 上隨手可及,使得內部網路的潛在威脅大大增加,這種威脅既可以是外網的人員,也可能是內網用戶,不再存在一個可信網路環境。
由於無線網路的快速應用以及傳統撥號方式的繼續存在,內網受到了前所未有的威脅。企業之前的合作將合作夥伴納入了企業網路里,全國各地的分支機構共享一個論壇,都使可信網路的概念變得模糊起來。應對的辦法就是將內部網細分成一間間的 「 包廂 」 ,對每個 「 包廂 」 實施獨立的安全策略。
2.2 黑客攻擊引發的技術走向
防火牆作為內網的貼身保鏢,黑客攻擊的特點也決定了防火牆的技術走向。
80 埠的關閉。從受攻擊的協議和埠來看,排在第一位的就是 HTTP 協議( 80 埠)。
根據 SANS 的調查顯示,提供 HTTP 服務的 IIS 和 Apache 是最易受到攻擊,這說明 80 埠所引發的威脅最多。
因此,無論是未來的防火牆技術還是現在應用的防火牆產品,都應盡可能將 80 埠關閉。
· 數據包的深度檢測。 IT 業界權威機構 Gartner 認為代理不是阻止未來黑客攻擊的關鍵,但是防火牆應能分辨並阻止數據包的惡意行為,包檢測的技術方案需要增加簽名檢測 (signature inspection) 等新的功能,以查找已經的攻擊,並分辨出哪些是正常的數據流,哪些是異常數據流。
· 協同性。從黑客攻擊事件分析,對外提供 Web 等應用的伺服器是防護的重點。單單依靠防火牆難以防範所有的攻擊行為,這就需要將防火牆技術、入侵檢測技術、病毒檢測技術有效協同,共同完成保護網路安全的任務。早在 2000 年,北京天融信公司就已經認識到了協同的必要性和緊迫性,推出了 TOPSEC 協議,與 IDS 等其他安全設備聯動,與其他安全設備配合組成一個有機的可擴展的安全體系平台。目前主要支持和 IDS 的聯動和認證伺服器進行聯動。如支持國內十幾家知名的 IDS 、安全管理系統、安全審計、其他認證系統等等組成完整的 TOPSEC 解決方案。 2002 年 9 月,北電、思科和 Check Point 一道宣布共同推出安全產品,也體現了廠商之間優勢互補、互通有無的趨勢。
⑦ 包過濾防火牆的特點是
復包過濾防火牆是制用一個軟體查看所流經的數據包的包頭(header),由此決定整個包的命運。它可能會決定丟棄(DROP)這個包,可能會接受(ACCEPT)這個包(讓這個包通過),也可能執行其它更復雜的動作。
特點如下:
1對於一個小型的、不太復雜的站點,包過濾比較容易實現。
2因為過濾路由器工作在IP層和TCP層,所以處理包的速度比代理伺服器快。
3過濾路由器為用戶提供了一種透明的服務,用戶不需要改變客戶端的任何應用程序,也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層,而IP層和TCP層與應用層的問題毫不相關。所以,過濾路由器有時也被稱為「包過濾網關」或「透明網關」,之所被稱為網關,是因為包過濾路由器和傳統路由器不同,它涉及到了傳輸層。
4過濾路由器在價格上一般比代理伺服器便宜。
⑧ 包過濾防火牆的基本過程
下面做個簡單的敘述:
(1)包過濾規則必須被包過濾設備埠存儲起來內。
(2)當包到達埠時,對包報頭容進行語法分析。大多數包過濾設備只檢查IP、TCP、或UDP報頭中的欄位。
(3)包過濾規則以特殊的方式存儲。應用於包的規則的順序與包過濾器規則存儲順序必須相同。
(4)若一條規則阻止包傳輸或接收,則此包便不被允許。
(5)若一條規則允許包傳輸或接收,則此包便可以被繼續處理。
(6)若包不滿足任何一條規則,則此包便被阻塞。
⑨ 包過濾的基本特點和工作原理是什麼
包過濾
防火牆的一類。傳統的包過濾功能在路由器上常可看到,而專門的回防火牆系統一般在答此之上加了功能的擴展,如狀態檢測等。它通過檢查單個包的地址,協議,埠等信息來決定是否允許此數據包通過。
包過濾防火牆是最簡單的一種防火牆,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。包過濾防火牆一般作用在網路層(IP層),故也稱網路層防火牆(Network Lev Firewall)或IP過濾器(IP filters)。數據包過濾(Packet Filtering)是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。