包过滤防火墙的过滤原理是什么
包过滤防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则。包过滤防火墙也称分组过滤路由器,又叫网络层防火墙,因为它是工作在网络层。路由器便是一个网络层防火墙,因为包过滤是路由器的固有属性。
防火墙应满足的基本条件如下:
过滤进出网络的数据:任何信息进出网络都要经过防火墙,防火墙检查所有数据的细节,并根据事先定义好的策略允许或禁止这些数据进行通行。这种实施安全策略是强制实施的,更多的考虑内部网络的整体安全共性.不为网络中的某一合计算机提供特殊的安全保护,提高管理效率。
管理进出网络的访问行为:网络数据的传输更多的是通过不同的网络访问服务而获取的,只要对这些网络访问服务加以限制,包括禁止易受攻击的服务进出网络,也能够达到安全目的。
封堵某些禁止的业务:传统的内部网络系统与外界相连后,往往把自己的一些本身并不安全的服务完全暴露在外.使它们成为外界主机侦探和攻击的主要目标,可利用防火墙对相应的服务进行封堵。
监视网络安全性并报警:对一个内部网络已经连接到外部网络的机构来说,重要的问题并不是网络是否会受到攻击.而是何时会受到攻击。网络管理员必须审核并记录所有通过防火墙的重要信息,进行及时的相应报警。
增强保密性:通过控制不安全的服务,站点访问控制,集中安全保护,强化私有权,统计并使用网络连接的日志记录来提高整体主机的安全性。
集中安全性:如果一个内部网络的所有或大部分需要改动的程序以及附加的安全程序都能集小地放在防火墙系统中,而不是分散到每个主机中.这样防火墙的保护范围就相对集中,安全成本也相对降低。尤其对于口令系统或其他的身份认证软件等等,放在防火墙系统中更是优于放在每个外部网络能访问的主机上。