包過濾防火牆的作用

  有一種防火牆叫做包過濾防火牆,大家對這種防火牆的作用或者知識瞭解有多少?下面就讓小編為大家介紹一下包過濾防火牆以及它的作用吧,希望能對大家有幫助。

  包過濾防火牆是什麼:

  包過濾防火牆是用一個軟體檢視所流經的資料包的包頭***header***,由此決定整個包的命運。它可能會決定丟棄***DROP***這個包,可能會接受***ACCEPT***這個包***讓這個包通過***,也可能執行其它更復雜的動作。在Linux系統下,包過濾功能是內建於核心的***作為一個核心模組,或者直接內建***,同時還有一些可以運用於資料包之上的技巧,不過最常用的依然是檢視包頭以決定包的命運。 包過濾防火牆將對每一個接收到的包做出允許或拒絕的決定。具體地講,它針對每一個數據包的包頭,按照包過濾規則進行判定,與規則相匹配的包依據路由資訊繼續轉發,否則就丟棄。包過濾是在IP層實現的,包過濾根據資料包的源IP地址、目的IP地址、協議型別***TCP包、UDP包、ICMP包***、源埠、目的埠等包頭資訊及資料包傳輸方向等資訊來判斷是否允許資料包通過。 包過濾也包括與服務相關的過濾,這是指基於特定的服務進行包過濾,由於絕大多數服務的監聽都駐留在特定TCP/UDP埠,因此,為阻斷所有進入特定服務的連結,防火牆只需將所有包含特定TCP/UDP目的埠的包丟棄即可。

  :

  包過濾防火牆是最簡單的一種防火牆,它在網路層截獲網路資料包,根據防火牆的規則表,來檢測攻擊行為。包過濾防火牆一般作用在網路層***IP層***,故也稱網路層防火牆***Network Lev Firewall***或IP過濾器***IP filters***。資料包過濾***Packet Filtering***是指在網路層對資料包進行分析、選擇。通過檢查資料流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議型別等因素或它們的組合來確定是否允許該資料包通過。在網路層提供較低級別的安全防護和控制。

  包過濾防火牆的技術優點:

  →對於一個小型的、不太複雜的站點,包過濾比較容易實現。

  →因為過濾路由器工作在IP層和TCP層,所以處理包的速度比代理伺服器快。

  →過濾路由器為使用者提供了一種透明的服務,使用者不需要改變客戶端的任何應用程式,也不需要使用者學習任何新的東西。因為過濾路由器工作在IP層和TCP層,而IP層和TCP層與應用層的問題毫不相關。所以,過濾路由器有時也被稱為"包過濾閘道器"或"透明閘道器",之所被稱為閘道器,是因為包過濾路由器和傳統路由器不同,它涉及到了傳輸層

  。→過濾路由器在價格上一般比代理伺服器便宜。

  包過濾防火牆的技術缺點:

  →一些包過濾閘道器不支援有效的使用者認證。

  →規則表很快會變得很大而且複雜,規則很難測試。隨著表的增大和複雜性的增加,規則結構出現漏洞的可能 性也會增加。

  →這種防火牆最大的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題,會使得網路大門敞開,而使用者甚至可能還不知道。

  →在一般情況下,如果外部使用者被允許訪問內部主機,則它就可以訪問內部網上的任何主機。

  →包過濾防火牆只能阻止一種型別的IP欺騙,即外部主機偽裝內部主機的IP,對於外部主機偽裝外部主機的IP欺騙卻不可能阻止,而且它不能防止DNS欺騙。雖然,包過濾防火牆有如上所述的缺點,但是在管理良好的小規模網路上,它能夠正常的發揮其作用。一般情況下,人們不單獨使用包過濾閘道器,而是將它和其他裝置***如堡壘主機等***聯合使用。包過濾的工作是通過檢視資料包的源地址、目的地址或埠來實現的,一般來說,它不保持前後連線資訊,過濾決定是根據 當前資料包的內容來做的。管理員可以做一個可接受機和服務的列表,以及一個不可接受機和服務的列表。在主機和網路一級,利用資料包過濾很容易實現允許或禁止訪問。由此不難看出這個層次的防火牆的優點和弱點,由於防火牆只是工作在OSI的第三層***網路層***和第四層***傳輸層***,因此包過濾的防火牆的一個非常明顯的優勢就是速度,這是因為防火牆只是去檢查資料報的報頭,而對資料報所攜帶的內容沒有任何形勢的檢查,因此速度非常快。與此同時,這種防火牆的缺點也是顯而易見的,比較關鍵的幾點如下所述。

  ***1***由於無法對資料報的內容進行核查,一次無法過濾或稽核資料報的內容體現這一問題的一個很簡單的例子就是:對某個埠的開放意味著相應埠對應的服務所能夠提供的全部功能都被開放,即使通過防火牆的資料報有攻擊性,也無法進行控制和阻斷。例如在一個簡單的Web伺服器,而包過濾的防火牆無法對資料報內容進行核查。因此,未打相應補丁的提供Web服務的系統,及時在防火牆的遮蔽之後,也會被攻擊著輕易獲取超級使用者的許可權。

  ***2***由於此種類型的防火牆工作在較低層次,防火牆本身所能接觸的資訊較少,所以它無法提供描述細緻事件的日誌系統。此類防火牆生成的日誌常常只是包括資料報捕獲的時間、網路層的IP地址、傳輸層的埠等非常原始的資訊。至於這個資料報內容是什麼,防火牆不會理會,而這對安全管理員而言恰恰是很關鍵的。因為及時一個非常優秀的系統管理員,一旦陷入大量的通過/遮蔽的原始資料包資訊中,往往也是難以理清頭緒,這在發生安全事件時給管理員的安全審計帶來很大的困難。

  ***3***所有可能用到的埠***尤其是大於1024的埠***都必須開放,對外界暴露,從而極大地增加了被攻擊的可能性通常對於網路上所有服務所需要的資料包進出防火牆的二埠都要仔細考慮,否則會產生意想不到的情況。然而我們知道,當被防火牆保護的裝置與外界通訊時,絕大多數應用要求發出請求的系統本身提供一個埠,用來接收外界返回的資料包,而且這個埠一般是在1024到65536之間不確定的,如果不開放這些埠,通訊將無法完成,這樣就需要開放1024以上的全部埠,允許這些埠的資料包進出。而這就帶來非常大的安全隱患。例如:使用者網中有一臺UNIX伺服器,對內部使用者開放了RPC服務,而這個服務是用在高階口的,那麼這臺伺服器非常容易遭到基於RPC應用的攻擊。

  ***4***如果網路結構比較複雜,那麼對管理員而言配置訪問控制規則將非常困難當網路發展到一定規模時,在路由器上配置訪問控制規則將會非常繁瑣,在一個規則甚至一個地址處出現錯誤都有可能導致整個訪問控制列表無法正常使用。