文档介绍:: .
防火墙基础知识
包过滤包过滤技术 (Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的 Ip 包,拒绝发送可 疑的包。 由于 Internet 与 Intranet 的连接多数都要使用路由 器,所以 Router 成为内外通信的必经端口, Router 的厂商 在 Router 上加入 IP Filtering 功能,这样的 Router 也就成 为 Screening Router 或称为 Circuit-level gateway. 网络专 家 认为这种 Firewall 应该是足够安全的, 但前提是配置合理。然而一个包过滤规则是否完全严密及必 要是很难判定的,因而在安全要求较高的场合,通常还配合 使用其它的技术来加强安全性。 Router 逐一审 查每份数据包以判定它是否与其它包过滤规则相匹配。 (注:
只检查包头的内容,不理会包内的正文信息内容 ) 过滤规则 以用于 IP 顺行处理的包头信息为基础。 包头信息包括 : IP 源 地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、 TCP/UDP 源端口、 ICMP 包类型、包输入接口和包输出接口。 如果找到一个匹配,且规则允许这包,这一包则根据路由表 中的信息前行。如果找到一个匹配,且规则允许拒绝此包, 这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参 数将决定此包是前行还是被舍弃。 *从属服
务的过滤包过滤规则允许 Router 取舍以一个特殊服务为基 础的信息流,因为大多数服务检测器驻留于众所周知的 TCP/UDP 端口。例如, Telnet Service 为 TCP port 23 端口 等待远程连接,而 SMTP Service 为 TCP Port 25 端口等待 输入连接。 如要封锁输入 Telnet 、SMTP 的连接, 则 Router 舍弃端口值为 23,25 的所有的数据包。典型的过滤规则有以
下几种:
. 允许特定名单内的内部主机进行 Telnet 输入
对话
.只允许特定名单内的内部主机进行 FTP 输入对话
. 只允许所有 Telnet 输出对话
. 只允许所有 FTP 输出对话
. 拒绝来自一些特定外部网络的所有输入信息 * 独
立于服务的过滤
有些类型的攻击很难用基本包头信息加以鉴别,因为这些独 立于服务。一些 Router 可以用来防止这类攻击,但过滤规 则需要增加一些信息,而这些信息只有通过以下方式才能获
悉:研究 Router 选择表、检查特定的 IP 选项、校验特殊的 片段偏移等。这类攻击有以下几种 : . 源 IP 地址欺骗攻击
入侵者从伪装成源自一台内部主机的一个外部地点传 送一些信息包;这些信息包似乎像包含了一个内部系统的源 IP 地址。如果这些信息包到达 Router 的外部接口,则舍弃 每个含有这个源 IP 地址的信息包, 就可以挫败这种源欺骗攻 击。 .源路由攻击源站指定了一个信息包穿越 Internet 时
应采取的路径,这类攻击企图绕过安全措施,并使信息包沿 一条意外 (疏漏 )的路径到达目的地。可以通过舍弃所有包含 这类源路由选项的信息包方式,来挫败这类攻击。 . 残 片攻击入侵者利用 Ip 残片特性生成一个极小的片断并将 TCP 报头信息肢解成一个分离的信息包片断。 舍弃所有协议 类型为 TCP 、 IP 片断偏移值等于 1 的信息包,即可挫败残 片的攻击。从以上可看出定义一个完善的安全过滤规则是非 常重要的。通常,过滤规则以表格的形式表示,其中包括以 某种次序排列的条件和动作序列。每当收到一个包时,则按 照从前至后的顺序与表格中每行的条件比较,直到满足某一 行的条件,然后执行相应的动作 (转发或舍弃 )。有些数据包 过滤在实现时, "动作 "这一项还询问,若包被丢弃是否要通
知发送者 (通过发 ICMP 信息 ),并能以管理员指定的顺序进行 条件比较,直至找到满足的条件。以下是两个例子 : * 例
某公司有一个 B 类地址 , 它不希望 Internet 上的 其他站点对它进行访问。但是,该公司网中有一个子网 用于和某大学合作开发项目, 该大学有一个 B 类 地址 ,并希望大学的各个子网都能访问 子网。但是, 由于 子网中存在着不 安全因素,因此,它除了能访问 子网之外,不 能访