包过滤防火墙介绍
时间:2016-4-21
Internet采用TCP/IP协议,设置在不同网络层次上的电子屏障构成了不同类型的防火墙;一般分为两大类,包过滤型与代理服务器.
安全策略是防火墙的灵魂和基础.在建立防火墙之前要在安全现状,风险评估和商业需求的基础上提出一个完备的总体安全策略,这是配制防火墙的关键,安全策略可以按如下两个逻辑来制定;
准许访问除明确拒绝以外的全部访问-所有未被禁止的都允许访问;
拒绝访问除明确准许的全部访问-所有未被允许的都禁止访问;
包过滤防火墙利用数据包的头信息判定与过滤规则相匹配与否来决定会聚,建立这类防火墙所需要的步骤如下;
1.建立安全策略-写出所允许和禁止的任务;
2.将安全策略转化为数据包分组字段的逻辑表达式;
3.用供货商提供的句法重写逻辑表达式并设置;
包过滤防火墙主要是防止外来攻击,其过滤规则大体有,
>对付源IP地址欺骗式攻击,入侵者假冒内部主机,从外部传输一个IP地址为内部网络地址的数据包,对于这类攻击,防火墙只需要把来自外部商品的使用内部源地址的数据包统统丢弃掉即可.
>对付源路由攻击,源站点指定了数据包在Internet中的传递路线,使数据包遵循着一条不可预料的路径到达目的的,对付这类攻击,防火墙应丢弃所有包含源路径选项的数据包.
>对付残片攻击,入侵者使用TCP数据包的分段我,创建极小的分段并强行将TCP头信息分成多个数据包,以绕过用户防火墙的过滤规则,黑客期望防火墙只检查第一个分段而允许其余的分段通过,对付这类攻击,防火墙只需要将TCP/IP协议片断位移值为1的数据包全部丢弃即可.
包过滤防火墙的优点是简单,透明,其缺点是;
1.这个防火墙需要从建立安全策略和过滤规则集入手,需要花费大量的时间和人力,还要不断根据新情况不断更新过滤规则集,同时由于规则集的复杂性,又没有测试工具来检验其正确性,难免仍会出现漏洞,给黑客以可乘之机.
2.对于采用动态分配端口的服务,如很多RPC服务相关联的服务器在系统自动时随机分配端口的,就很难进行有效地过滤,
3.包过滤防火墙只按规则丢弃数据包而不作记录和报告,没有日志功能,没有审计性,同时它不能识别相同IP地址的不同用户,不具备用户身份认证等功能.