四、 包過濾處理內核
過濾路由器可以利用包
火牆產品來完成,或由基於
器都可以通過編程來執行過
供的路由器都可以通過編程
過濾作為手段來提高網絡的安全
軟件的產品,如Karlbrige基於P
濾功能。路由器制造商,如Cisc
來執行包過濾功能。
性。過濾功能也可以由許多商用防
C的過濾器來完成。許多商業路由
o、3Com 、Newbridge 、ACC等提
1. 包過濾和網絡策略 包過濾可以用來實現大
和服務的類型、它們的重要
范圍內的網絡安全策略。網絡安
程度和這些服務要保護的對象。
全策略必須清楚地說明被保護的源
一般來說,網絡安全策
點是阻止外來用戶的突然侵
。這種類型的網絡安全策略
個好的網絡安全策略還應該
略主要集中在阻截入侵者,而不
入和故意暴露敏感性數據,而不
決定了過濾路由器應該放在哪裡
使內部用戶難以危害網絡的安全
是試圖警戒內部用戶。它的工作重
是阻止內部用戶使用外部網絡服務
和怎樣通過編程來執行包過濾。一
。
網絡安全策略的一個目標就是要提供
因為包過濾工作在OSI模型的網絡層和傳
方法更具透明性。記住防火牆是工作在OS
明的。
一個透明機制,以便這些策略不會對用戶產生障礙。
輸層,而不是在應用層,這種方法一般來說比防火牆
I模型的應用層的,在這一層的安全措施不應成為透
2.一個簡單的包過濾模型 包過濾器通常置於一個或多個網段之
。外部網段把你的網絡連接到外面的網絡
網絡資源。
間,如圖3所示。網絡段區分為外部網段或內部網段
如Internet上,內部網段用來連接公司的主機和其它
包過濾器設備的每一端
網絡服務類型。如果連在包
很復雜。一般來說,應當避
口都可用來完成網絡安全策略,
過濾設備上的網絡段的數目很大
免對網絡安全問題采取的過於復
該策略描述了通過此端口可訪問的
,那麼包過濾所要完成的就會變得
雜的解決方案,理由如下:
(1) 它們難以維護。 (2) 配置包過濾時容易出錯。 (3) 它們對所實施的設備的功能有副作用。 但是,從純經濟的角度來看,通常決
由器。具有幾個端口的路由器的好處是它
原則通常適用於一個接口,那麼,如果用
理的方案。
定買具有外部端口的一個路由器,而不買幾個小的路
與CPU接口的廣度和處理的容量。另外,由於包過濾
戶的設計合適,一個多端口的路由器將是一個易於管
大多數情況下,如圖4
該包過濾設備只連有兩個網
限制那些它拒絕的服務的網
的,所以過濾路由器端口兩
。
所示的一個簡單的模型可以用於
段。典型的是,一個是外部網段
絡流量。因為網絡策略是應用於
面的過濾器必須以不同的方式工
完成網絡安全策略。這個模型表明
,另一個是內部網段。包過濾用來
那些與外部主機有聯系的內部用戶
作。
換句話說,過濾器是非對稱的
3. 包過濾器操作 幾乎所有的包過濾設備(過濾路由器或包過濾網關)都按照如下方式工作: (1) 包過濾標准必須為包過濾設備端口存儲起來,這些包過濾標准叫包過濾規則;&n
您正在看的SQLserver教程是:防火牆系列連載之六—數據包過濾的技術。bsp; (2) 當包到達端口時
UDP報頭中的字段,不檢查
,包的報頭被進行語法分析,大
包體的內容;
多數包過濾設備只檢查IP、TCP或
(3) 包過濾器規則以
序相同;
特殊的方式存儲。應用於包的規
則的順序與包過濾器規則存儲的順
(4) 如果一條規則阻止包傳輸或接收,此包便不被允許; (5) 如果一條規則允許包傳輸或接收,該包可以繼續處理; (6) 如果一個包不滿足任何一條規則,該包被阻塞。
從規則4和5可知,將規則以正確的順
錯誤就是把規則的順序放錯了。如果包過
被拒絕了,而該拒絕的服務卻允許了。
序存放是很重要的。要配置包過濾規則時一個常犯的
濾器規則以錯誤的順序放置,那麼有效的服務也可能
規則6依據如下原理: 在設計網絡安全時,這是一條應該遵
個允許原理正好相反:未明確表示禁止的
循的自動防止故障的(failsafe)原理。它與另一
便被允許。
後一條原理是用於包過
況來保證網絡的安全性。並
配的情況,與其阻塞這些服
濾設計的。我們必須想到任何包
且,隨著新的服務的增加,很有
務,倒不如讓這些對網絡安全沒
過濾規則都沒有想到一切的可能情
可能遇到與任何現有的原則都不匹
有太大威脅的服務通過。
4.包過濾設計
其中過濾路由器被用作在內部被保護網絡和外部不信任網絡之間的第一道防線。
