数据包过滤
- 格式:ppt
- 大小:491.00 KB
- 文档页数:8
下载文档原格式
合集下载
华为网闸的工作原理
华为网闸的工作原理
华为网闸是一种网络安全设备,主要用于保护企业网络免受网络攻击和威胁。
它的工作原理主要包括以下几个方面:
1. 数据包过滤:华为网闸通过检查网络数据包的源IP地址、
目的IP地址、端口号等信息,对数据包进行过滤。
它可以根
据预先配置的规则,只允许符合规则的数据包通过,而拒绝不符合规则的数据包。
2. 网络地址转换(NAT):华为网闸可以实现网络地址转换,将
内部私有IP地址转换成外部公共IP地址,以方便内部网络与
外部网络的通信。
这可以增强企业网络的安全性,同时也可以解决IP地址不足的问题。
3. 虚拟专用网(VPN):华为网闸可以配置VPN功能,通过隧
道技术将企业的内部网络和外部网络连接起来,实现远程办公、跨地区办公等需求。
同时,它还可以通过加密技术保护数据的安全性,防止数据在传输过程中被窃取或篡改。
4. 流量控制:华为网闸可以对网络流量进行控制和管理。
它可以根据预先设置的策略,对网络流量进行限制、调度和优先级管理,确保网络资源的公平分配和高效利用。
5. 攻击防护:华为网闸内置了多种攻击检测和防护机制,包括入侵检测系统(IDS)、入侵防火墙(IPS)等。
它可以检测
和拦截针对企业网络的各种攻击,如DDoS攻击、SQL注入、XSS攻击等,保护企业网络的安全。
总之,华为网闸通过数据包过滤、网络地址转换、虚拟专用网、流量控制以及攻击防护等功能,实现对企业网络的安全管理和保护。
常见防火墙的类型
作为一个安全问题的解决方法,代理取决于对协议中哪些是安全操作的判断能力。每个应用层协议,都或多或少存在一些安全问题,对于一个代理服务器来说,要彻底避免这些安全隐患几乎是不可能的,除非关掉这些服务。
代理取决于在客户端和真实服务器之间插入代理服务器的能力,这要求两者之间交流的相对直接性。而且有些服务的代理是相当复杂的。
* 代理可以方便地与其它安全手段集成
目前的安全问题解决方案很多,如认证(Authentication)、授权(Authorization)、帐号(Accouting)、数据加密、安全协议(SSL)等。如果把代理与这些手段联合使用,将大大增加网络安全性。这也是近期网络安全的发展方向。
* 一些应用协议不适合于数据包过滤
即使是完美的数据包过滤实现,也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且,服务代理和HTTP的链接,大大削弱了基于源地址和源端口的过滤功能。
图3 代理的工作方式
代理防火墙(Proxy)
代理防火墙是一种较新型的防火墙技术,它分为应用层网关和电路层网关。
应用层网关
这种防火墙的工作方式和过滤数是基于软件的。
代理防火墙的原理
代理防火墙工作于应用层,且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层提供访问控制。而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。那么,代理防火墙是怎样工作的呢?如图3所示:
* 正常的数据包过滤路由器无法执行某些安全策略
数据包过滤路由器上的信息不能完全满足我们对安全策略的需求。例如,数据包说它们来自什么主机(这点还有隐患),而不是什么用户,因此,我们不能强行限制特殊的用户。同样地,数据包说它到什么端口,而不是到什么应用程序;当我们通过端口号对高级协议强行限制时,不希望在端口上有别的指定协议之外的协议,恶意的知情者能够很容易地破坏这种控制。
代理取决于在客户端和真实服务器之间插入代理服务器的能力,这要求两者之间交流的相对直接性。而且有些服务的代理是相当复杂的。
* 代理可以方便地与其它安全手段集成
目前的安全问题解决方案很多,如认证(Authentication)、授权(Authorization)、帐号(Accouting)、数据加密、安全协议(SSL)等。如果把代理与这些手段联合使用,将大大增加网络安全性。这也是近期网络安全的发展方向。
* 一些应用协议不适合于数据包过滤
即使是完美的数据包过滤实现,也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且,服务代理和HTTP的链接,大大削弱了基于源地址和源端口的过滤功能。
图3 代理的工作方式
代理防火墙(Proxy)
代理防火墙是一种较新型的防火墙技术,它分为应用层网关和电路层网关。
应用层网关
这种防火墙的工作方式和过滤数是基于软件的。
代理防火墙的原理
代理防火墙工作于应用层,且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层提供访问控制。而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。那么,代理防火墙是怎样工作的呢?如图3所示:
* 正常的数据包过滤路由器无法执行某些安全策略
数据包过滤路由器上的信息不能完全满足我们对安全策略的需求。例如,数据包说它们来自什么主机(这点还有隐患),而不是什么用户,因此,我们不能强行限制特殊的用户。同样地,数据包说它到什么端口,而不是到什么应用程序;当我们通过端口号对高级协议强行限制时,不希望在端口上有别的指定协议之外的协议,恶意的知情者能够很容易地破坏这种控制。
包过滤防火墙工作原理
包过滤防火墙工作原理包过滤防火墙的工作原理:1、使用过滤器:数据包过滤用在内部主机和外部主机之间,过滤系统是一套路由器或是一台主机。
过滤系统根据过滤规则来决定是否让数据包通过。
用于过滤数据包的路由器被称为过滤路由器。
2.数据包信息的过滤:数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的,主要信息有:* IP源地址* IP目标地址* 协议TCP包、UDP包和ICMP包* TCP或UDP包的源端口* TCP或UDP包的目标端口* ICMP消息类型* TCP 包头中的ACK位* 数据包到达的端口* 数据包出去的端口在TCP/IP中,存在着一些标准的服务端口号,例如,HTTP的端口号为80。
通过屏蔽特定的端口可以禁止特定的服务。
包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接,例如,可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。
3、过滤器的实现:数据包过滤一般使用过滤路由器来实现,这种路由器与普通的路由器有所不同。
普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径。
它处理数据包是以目标地址为基础的,存在着两种可能性:若路由器可以找到一个路径到达目标地址则发送出去;若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。
过滤路由器会更加仔细地检查数据包,除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包。
“应该与否”是由路由器的过滤策略决定并强行执行的。
以上,便是包过滤防火墙的工作原理。
感谢您的阅读,祝您生活愉快。
防火墙的分类
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。
1.数据包过滤型防火墙数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。
路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。
之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。
所根据的信息来源于IP、TCP或UDP包头。
包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。
因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
防火墙的基本工作原理
防火墙的基本工作原理防火墙是一种网络安全设备,用于保护计算机网络免受未经授权的访问和恶意攻击。
它通过筛选网络流量,根据预设的安全策略允许或者阻挠数据包的传输,从而控制网络通信。
防火墙的基本工作原理包括数据包过滤、网络地址转换和应用层代理。
1. 数据包过滤防火墙通过检查数据包的源IP地址、目标IP地址、端口号和协议类型等信息来决定是否允许数据包通过。
它根据预设的规则集,将数据包与规则进行匹配,如果匹配成功,则根据规则的要求决定是否允许数据包通过。
例如,防火墙可以设置规则,只允许特定IP地址的计算机通过特定端口访问内部服务器,而阻挠其他IP地址的访问。
这样可以限制来自外部网络的未经授权访问。
2. 网络地址转换防火墙可以使用网络地址转换(NAT)技术来隐藏内部网络的真实IP地址,使外部网络无法直接访问内部网络中的计算机。
防火墙将内部网络的IP地址转换为公共IP地址,使外部网络只能看到公共IP地址。
这种方式可以增加内部网络的安全性,同时减少了攻击者对内部网络的直接攻击面。
它还可以解决IP地址不足的问题,允许多个计算机共享一个公共IP地址。
3. 应用层代理防火墙可以作为应用层代理,代表内部计算机与外部网络进行通信。
它可以检查应用层协议(如HTTP、FTP)的数据内容,并根据预设的规则进行过滤和修改。
例如,防火墙可以检查HTTP请求中的URL,并根据规则阻挠访问特定的网站或者限制上传或者下载的文件类型。
这样可以有效地防止恶意软件的传播和敏感数据的泄露。
防火墙的工作原理基于这些基本原则,通过筛选和控制网络流量,保护内部网络的安全。
它可以阻挠未经授权的访问、限制网络攻击、防止数据泄露和恶意软件的传播。
然而,防火墙并不能彻底保证网络的安全,因此还需要配合其他安全措施,如入侵检测系统和加密技术,来提高网络的整体安全性。
防火墙的四种基本技术
防火墙的四种基本技术
1. 访问控制技术:访问控制技术是一种以安全性为基础的技术,可以控制网络中网络访问权限,控制用户可以访问哪些网络服务,以及哪些用户可以访问当前的网络。
访问控制的原理是认证和授权,基于主机的网络访问控制安全技术是在网络边界对主机进行识别和控制,以确保访问网络服务时不被恶意攻击性服务损害,而且可以根接受特定用户的访问。
2. 数据包过滤技术:数据包过滤技术是指根据来源和目的地的地址,端口,协议,以及数据类型等标准,在防火墙上对数据包进行过滤和处理。
过滤可以针对特定的协议和端口限制数据的流量,从而防止某些特殊的攻击。
数据包过滤技术可以按照特定的规则过滤外部流量,有效地防止一些未经授权的网络服务攻击。
3. 端口转发技术:端口转发技术是把外部网络上来的请求,转发到内部网络上的一种技术。
端口转发可以把外部客户访问的内部系统的请求转发到内部的安全出口,从而保证内部的网络安全性。
当内部客户请求服务器处理时,可以使用端口转发技术,将请求转发到内部服务器,并以正确的方式返回外部客户。
4. 虚拟专用网络技术:虚拟专用网络技术是一种利用公共网络资源,构建一组连接,使不同网络中的两个或多个用户设备像连接到同一私
有网络中一样进行通信的技术。
通过虚拟网络通道,可以实现专用网络的性能和安全性,保护数据不被外部未经授权的访问,有效地保护内部网络安全性,有效地保护内部网络数据安全。
网闸工作原理
网闸工作原理网闸是一种网络安全设备,用于保护计算机网络免受未经授权的访问和恶意攻击。
它通过监测和过滤网络流量来确保网络的安全性。
下面将详细介绍网闸的工作原理。
1. 数据包过滤网闸通过对进出网络的数据包进行过滤来保护网络安全。
它会检查数据包的源地址、目标地址、协议类型以及其他相关信息,根据预先设定的规则来决定是否允许该数据包通过。
这些规则可以根据管理员的需求进行配置,以满足特定的安全策略。
2. 访问控制网闸可以实现访问控制,限制特定用户或者IP地址的访问。
通过配置访问控制列表(ACL),管理员可以定义允许或者禁止特定用户或者IP地址访问网络资源。
这种访问控制可以匡助防止未经授权的用户访问网络,并增加网络的安全性。
3. 防火墙功能网闸通常具有防火墙功能,可以通过检查数据包的内容来阻挠潜在的威胁。
它可以检测和阻挠恶意软件、病毒、木马和其他恶意代码的传播。
网闸还可以对网络流量进行深度包检测(DPI),以便更好地识别和阻挠潜在的网络攻击。
4. 负载均衡网闸还可以实现负载均衡,将网络流量分配到多个服务器上,以提高网络性能和可靠性。
通过动态调整流量分配,网闸可以确保每一个服务器都能够充分利用,并避免单点故障。
5. 虚拟专用网络(VPN)支持网闸通常支持VPN功能,可以建立安全的远程连接。
通过使用加密技术,VPN可以在公共网络上创建一个安全的通信通道,使远程用户可以安全地访问企业内部网络资源。
网闸可以管理和控制VPN连接,确保数据的安全传输。
6. 日志记录和报告网闸通常具有日志记录和报告功能,可以记录网络流量、事件和警报。
管理员可以通过查看日志和报告来监控网络的活动,并及时发现异常情况。
这些日志和报告还可以用于网络故障排除和安全审计。
总结:网闸是一种保护计算机网络安全的重要设备,它通过数据包过滤、访问控制、防火墙功能、负载均衡、VPN支持以及日志记录和报告等功能来确保网络的安全性。
它可以匡助组织防止未经授权的访问和恶意攻击,并提高网络的性能和可靠性。
网闸工作原理
网闸工作原理网闸是一种网络安全设备,用于保护网络免受恶意攻击和未经授权的访问。
它通过控制和监控网络流量,对入侵行为进行检测和阻挠,从而维护网络的安全性和可靠性。
一、网闸的基本原理1. 数据包过滤:网闸通过检查传入和传出网络的数据包,根据预先设定的规则进行过滤和阻挠。
这些规则可以包括源和目标IP地址、端口号、协议类型等。
当数据包与规则匹配时,网闸可以选择丢弃、放行或者重定向数据包。
2. 访问控制:网闸可以通过访问控制列表(ACL)来限制特定用户或者IP地址的访问权限。
ACL可以根据需要设置不同的安全级别,例如允许某些用户访问特定的资源,而拒绝其他用户的访问。
3. 网络地址转换(NAT):网闸可以实现网络地址转换,将内部私有IP地址转换为公共IP地址,从而隐藏内部网络的真实拓扑结构和IP地址。
这有助于提高网络的安全性,同时也解决了IP地址不足的问题。
二、网闸的工作流程1. 数据包检测:网闸首先会对传入和传出的数据包进行检测和分析。
它会检查数据包的源IP地址、目标IP地址、端口号、协议类型等信息,并与预先设定的规则进行匹配。
2. 规则匹配:当数据包与规则匹配时,网闸会根据规则所定义的操作来处理数据包。
例如,如果规则要求丢弃该数据包,则网闸会直接丢弃该数据包;如果规则要求放行该数据包,则网闸会将数据包继续传递到目标设备。
3. 安全检测:网闸可以进行多种安全检测,以识别和阻挠潜在的恶意攻击。
例如,它可以检测到网络中的入侵行为、病毒传播、DDoS攻击等,并采取相应的措施来应对这些威胁。
4. 访问控制:网闸可以根据ACL来控制用户或者IP地址的访问权限。
它可以根据需要允许或者拒绝特定用户或者IP地址的访问,并可以设置不同的安全级别。
5. 网络地址转换:网闸可以实现网络地址转换,将内部私有IP地址转换为公共IP地址。
这通过修改数据包的源IP地址和目标IP地址来实现,从而隐藏内部网络的真实拓扑结构和IP地址。
三、网闸的应用场景1. 企业网络安全:网闸可以用于保护企业内部网络免受恶意攻击和未经授权的访问。
防火墙的技术原理
防火墙的技术原理
防火墙是一种网络安全设备,其技术原理主要涉及以下几个方面:
1. 数据包过滤:这是防火墙最基本的技术原理。
防火墙通过读取数据包的头部信息,如源地址、目的地址、端口号等,来判断数据包是否应该被允许通过。
如果数据包不符合预设的规则,防火墙就会将其过滤掉。
2. 地址转换:为了保护内部网络地址的隐私,防火墙可以实现地址转换(NAT)功能。
通过将内部网络地址转换为外部网络地址,可以隐藏内部网络结构,增加网络安全性。
3. 协议分析:防火墙可以对网络层以上的协议进行分析和识别,从而判断数据包是否符合预设的规则。
通过对协议的分析,防火墙可以更好地理解数据包的内容,提高安全检测的准确度。
4. 内容过滤:基于内容过滤的防火墙可以对数据包的内容进行检测,判断其中是否包含敏感信息或恶意代码。
通过内容过滤,可以进一步增强网络的安全性。
5. 流量控制:防火墙可以对网络流量进行控制和管理,限制不同类型的数据包的流量和速率。
这样可以防止网络拥堵和拒绝服务攻击(DDoS)等安全问题。
6. 日志记录:防火墙可以记录所有经过的数据包和访问记录,以便进行安全审计和监控。
通过对日志的分析,可以发现潜在的安全威胁和异常行为。
综上所述,防火墙的技术原理主要涉及数据包过滤、地址转换、协议分析、内容过滤、流量控制和日志记录等方面。
通过这些技术手段,防火墙可以有效地保护网络安全,防止未经授权的访问和恶意攻击。
防火墙的基本工作原理
防火墙的基本工作原理防火墙是计算机网络中常用的安全设备,用于保护网络免受未经授权的访问和恶意攻击。
它通过检查和过滤网络数据流量,根据预定义的规则集来允许或阻止数据包的传输。
防火墙的基本工作原理可以分为数据包过滤、网络地址转换和应用层代理三个方面。
1. 数据包过滤(Packet Filtering)数据包过滤是防火墙最基本的功能之一。
它根据预设的规则,对进出网络的数据包进行检查和过滤。
这些规则可以基于源IP地址、目标IP地址、协议类型、端口号等信息进行设置。
当数据包到达防火墙时,防火墙会根据规则集决定是否允许数据包通过。
如果数据包符合规则,则被允许通过;如果不符合规则,则被阻止。
2. 网络地址转换(Network Address Translation,NAT)网络地址转换是一种常见的防火墙功能,用于隐藏内部网络的真实IP地址,同时允许内部网络中的主机通过防火墙与外部网络通信。
防火墙在内部网络和外部网络之间充当中继站点,将内部网络的IP地址转换为公共IP地址,以保护内部网络的安全性。
NAT还可以实现端口映射,将外部网络的请求转发到内部网络的特定主机和端口上。
3. 应用层代理(Application Layer Proxy)应用层代理是一种高级的防火墙技术,它在网络层和传输层之上工作,通过代理服务器与内外部网络进行通信。
当内部网络中的主机要访问外部网络时,它们首先将请求发送到防火墙上的代理服务器,代理服务器再代表内部主机与外部网络进行通信。
这种方式可以有效保护内部主机的真实身份和IP地址,同时提供更精细的访问控制和安全审计功能。
除了以上三个基本工作原理,现代防火墙还可以结合其他技术和功能来提供更全面的网络安全保护,如入侵检测和防御系统(Intrusion Detection and Prevention System,IDPS)、虚拟专用网络(Virtual Private Network,VPN)等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
规则 20
协议
控制入 站FTP
传输协 议
TCP
源IP地址 源端口 号
任意
任意
目标IP地 目标端
址
口号
192.168. 21 1.25
4.2 数据包过滤的方法
4.2.1 无状态数据包过滤 也称作静态数据包过滤,它在做出是否阻塞一
个数据包的决定时不关心连接的状态,但在 需要完全阻止从子网络或者其他网络过来的 通信时是有用的。 1)按IP数据包报头标准过滤 无状态包过滤器独立的查看每个数据包的报头, 它将报头数据与它的规则集相比较,然后只 发送那些与规则匹配的数据包。
4)按段标记过滤
理论无害处,从安全角度看,保持段的安全有 困难,因为TCP和UDP端口号仅仅提供到数据 包的开始处,端口号出现在段0处,段1或者 以后的段很容易通过过滤器,因为它们不包 括任何端口信息。黑客可以更改一个数据包 的IP报头,使其从段1或者更高的段号开始, 这样所有的段都会通过过滤器并且可以访问 内部资源。
可能端口或某个特殊协议的所有变化。
4.3.2 适用于ICMP的数据包过滤规则 4.3.3 阻断ping包的数据包过滤规则
规则 1
协议 传输 源IP 协议 地址
入站 ICMP 任意 ICMP
目标 IP地 址
任意
ICMP 动作 消息
源抑 允许 制
4.3.4 启用Web访问的数据包过滤规则
规则
协议
传输 源IP地 源端口 目标IP地 目标端口号 动作
设置防火墙仅仅允许ACK位为1的数据包访问指 定的端口。
6)可疑的入站数据包的过滤
(1)阻断所有源IP地址处于内部网络范围之内 的入站数据包
(2)阻断所有把回送地址127.0.0.1作为源IP 地址的入站通信
(3)阻断具有一个没有分配任何网络源IP地址 的通信,例如:0.X.X.X、1.X.X.X或者2.X.X.X
2)取消所有去往Internet中不可用的端口的数据包, 例如 NetBIOS,但允许与Internet相关的通信量通 过,如:SMTP
3)过滤掉任何ICMP重定向或回显(ping)消 息,这可能表明黑客正试图寻找开放端口或 主机IP地址。
4)删除所有使用IP报头源路由选择功能的数据 包,在IP源路由中,数据包的创建方可以有 意地部分或者全部控制通过网络传输到目的 地的路径。从安全角度讲,源路由选择基本 都被认为是一个欺骗行为。
协议 址
号
址
12
入站 TCP 任意 任意 192.168 80
HTTP
.2.32
允许
4.3.5启用DNS访问的数据包过滤规则
规则 16
协议
出站 DNS
传输协 源IP地 源端口 目标IP 目标端 动作
议
址
号
地址 口号
TCP
192.168 任意 启用FTP访问的数据包过滤规则
4.1.1 执行数据包过滤的装置
数据包过滤硬件与软件 1)路由器 2)操作系统 3)软件防火墙
4.1.2 数据包的分析
每个数据包由两部分组成:报头和数据,报头 中包含着只供计算机读取的信息。所以正确 理解数据包报头的组成十分重要,因为它可 以帮助配置数据包过滤器来抵抗可能受到的 攻击。
4.1.3 关于数据包过滤的快速指南
2)按照TCP或者UDP端口号过滤
按照TCP或者UDP端口号过滤的方式,经常被 称作端口过滤或者协议过滤。
例如:仅允许web的TCP80端口、电子邮件的 TCP25端口和FTP的TCP21端口上的通信。
3)按照ICMP消息类型过滤
ICMP为TCP/IP发挥着家务管理协议的作用,它 帮助网络处理各种各样的通信问题。ICMP可 以被黑客用来攻击网络中的计算机,因为 ICMP没有验证方法来确认一个数据包的接收 者,黑客可以尝试中间人攻击,在攻击中它 们模仿预期的接收者。
软件个人防火墙程序在保护一台计算机时能起 到一定的作用,但是他们会在网络工作中造 成一些问题。它们经常阻塞网络计算机之间 的通信,除非设立允许通信的规则。所以必 须建立一个访问列表,它包括局域网中的所 有计算机的名字和IP地址,以便它们可以相 互通信。
例:Norton Internet security 2006
包过滤器(packet filter)可以根据端口、IP地 址和协议这些标准来阻止或者允许信息包的 传输。
4.1 理解数据包和数据包过滤
数据包过滤器检查数据包报头,把它撕掉,并且再把 它送到网络中的特定位置之前用一个新的报头来代 替。下面是一些常见的数据包过滤规则:
1)停止所有入站连接:只允许在端口为80(HTTP)、 25(SMTP)和21(FTP)上的出站连接。
设置防火墙/数据包过滤器阻止所有的分段数据 包或者仅仅允许完整的数据包通过。
5)按ACK标记过滤
TCP包中的ACK位这部分信息表明数据包是否正 请求连接或者一个连接是否已经建立。数据 包请求连接时把ACK位设置为0,已经连接的 请求将ACK位设置为1。黑客可以在一个数据 包中插入一个为1的虚假ACK位,试图欺骗主 机,让主机认为一个连接正在进行
4.2.2 有状态数据包过滤
可以维护连接状态的记录。通过“记忆”那些 数据包是活动连接的一部分,那些不是,有 状态过滤器可以做出“智能”的决定,允许 正确回应已确定连接的通信,拒绝那些包括 虚假信息的“仿制”数据包的通信。
4.3 设立专用的数据包过滤规则
4.3.1 适应多种变化的数据包过滤规则 设立包过滤规则的诀窍是考虑用于某种通信的所有
数据包过滤就是由路由器或者防火墙检查数据 包报头后,决定是否让数据包通过的过程, 数据包过滤设备评估报头的信息并且把它和 已经设立的规则相比较,如果信息符合其中 的一个“允许”规则,则允许数据包通过。 另一方面,如果信息与一个“拒绝”规则相 匹配,数据包被删除。
数据包过滤器只检查报头
4.1.4 规则的使用
例:如果过滤器已经设立了一个固定的规则, 即所有来自外部网络的连接都被阻断,只接 收一个外部主机的请求,它将舍弃与那个请 求有关的数据包。
例:如果包过滤器设立一个让所有进来的HTTP 通信都必须路由到IP地址是192.168.100.2的 公共Web服务器上的规则,那么它会把任何 一个HTTP数据包送往192.168.100.2。