@时光机
1年前 提问
1个回答

什么是包过滤防火墙

delay
1年前

包过滤防火墙是:

  • 包过滤防火墙又称分组过滤路由器,或网络级防火墙,它工作在网络层上,数据包从源发地发出并需要穿过防火墙时,一般通过检查单个包的源地址、目的地址、所封装的协议(TCP、UDP等)、端口、ICMP包的类型、输入/输出接口等信息来决定是否允许此数据包穿过防火墙。有时还需要进一步检查数据包中的路由选择表、特定的IP选项、校验特殊的IP分段参数等以防止发生电子欺骗攻击。包过滤的处理方式分静态包过滤和动态包过滤两种。静态包过滤只是在网络层上对当前数据包进行过滤处理;而动态包过滤则是利用状态表在所有通信层上对当前数据包进行过滤处理,判断该数据包是否符合安全要求。

  • 通常,路由器便是一个“传统”的包过滤防火墙,这种防火墙是基于源地址和目的地址、应用或协议,以及每个IP包的端口做出是否允许通过的判断,而大多数路由器仅是通过这些信息来决定是否转发包,它不能判断出一个IP包来自何方,将去向何方。

  • 包过滤防火墙使用所有规则对包中的信息进行逐个检查,只要被检查的包能满足所要求的几项规则即可,如果没有一条规则能符合,防火墙就使用默认规则,要求丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能判断是否允许建立特定的连接,如Telnet、FTP连接。

  • 专门的防火墙系统一般在包过滤基础上增加了某些功能,如状态检测等。状态检测又称动态包过滤,它是在传统包过滤基础上的功能扩展,最早由checkpoint提出。传统的包过滤在遇到利用动态端口的协议时会发生困难,如FTP,防火墙事先无法知道哪些端口需要打开,而如果采用原始的静态包过滤,又希望用到此服务的话,就需要将所有可能用到的端口打开,而这往往是个非常大的范围,会给安全带来不必要的隐患。而状态检测通过检查应用程序信息(如FTP的PORT和PASS命令),来判断此端口是否允许需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。

  • 包过滤防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。