包过滤技术由什么来完成

㈠ 防火墙基本技术

防火墙的基本技术
防火墙是在对网络的服务功能和拓扑结构详细分析的基础上，在被保护对象周围通过的专用软件、硬件以及

管理措施的综合，对跨越网络边界的信息进行监测、控制甚至修改的设施。目前使用的防火墙技术主要有包过滤

和代理服务技术等，用这些技术可以分别做成具有不同功能的防火墙部件。

⒈包过滤技术

包过滤(Packet Filtering)技术就是在网络的适当位置对数据包进行审查，审查的依据是系统内设置的过滤

逻辑——访问控制表(Access Control table)。包过滤器逐一审查每份数据包并判断它是否与包过滤规则相匹配。

过滤规则以顺行处理数据包头信息为基础，即通过对IP包头和TCP包头或UDP包头的检查而实现。包过滤工作在网

络层，故也称网络防火墙。

在Internet技术中还使用内容过滤技术，担任内容过滤的软件有“黑名单”软件、“白名单”软件和内容选

择平台(Platform for Internet Content Selection，PICS)。

“黑名单”软件是第一代Internet内容过滤软件，其工作原理是封锁住不应检索的网址。其中最有名的是(Cyber

NOT，它记录了大约7000个网址。“白名单”软件是第二代Internet内容过滤软件，其工作原理是先封锁全部网址，

然后只开放应检索的网址。

PICS是由麻省理工学院计算机科学实验室的Jim Miller教授开发的第三代Internet内容过滤软件。它的主要工

作是对每一个网页的内容进行分类，并根据内容加上标签，同时由计算机软件对网页的标签进行检测，以限制对特

定内容网页的检索。

数据包过滤防火墙网络逻辑简单、性能和透明性好，一般安装在路由器上。路由器是内部网络与Internet连接

的必要设备是一种天然的防火墙，它可以决定对到来的数据包是否进行转发。这种防火墙实现方式相当简捷，效率

较高，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。

包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无

法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，

骗过包过滤型防火墙，一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击。进一步说，由于数据包的源地址、

目标地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒；并且它缺乏用户日志(Log)和审计 (Audit)信

息，不具备登录和报告性能，不能进行审核管理，因而过滤规则的完整性难以验证，所以安全性较差。

⒉代理服务技术

⑴代理服务概述

代理服务器(Proxy Server)是位于两个网络(如Internet和Intranet)之间的一种常见服务器，如果把网络防火墙

比做门卫，代理服务器就好比是接待室。门卫只根据证件决定来访者是否可以进入，而接待室在内部人员与来访者之

间真正隔起一道屏障，它位于客户机与服务器之间，完全阻挡了二者间的数据交流。其特别之处就在于它的双重角色，

从客户机来看，它相当于一台真正的服务器；而从服务器来看，它又是一台真正的客户机。当客户机需要使用服务

器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务

器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企

业内部网络系统。

代理服务技术可以运用于应用层，也可以运用于传输层。运用于应用层的代理服务与过滤路由器组合的防火墙，

被称为应用层网关，它们是面对不同的应用的。运用于传输层的代理服务防火墙，实际上是TCP/UDP连接中继服务。

⑵代理服务器的工作原理

图8-9所示表明了代理服务器(应用网关)的工作原理。
①代理服务器运行后，它的核心部件——应用代理程序启动，并开始监听某个应用端口(这个应用端口是由安全管

理员设定的)；

②外部客户需要访问内部服务器时，发送请求到对应的应用端口；

③代理服务器将请求转发给内部服务器；

④服务器的应答也通过代理服务器发给外部客户。

一旦应用代理程序与服务器之间的连接建立，也就在客户与服务器之间建立了一个虚连接，这个虚连接是由两

条虚连接(客户端到代理服务器的客户连接和代理服务器到服务器的服务器连接)和代理服务器(应用代理程序)的

中转实现。

图8-9代理服务器工作原理

⑶应用代理程序

应用代理程序是代理服务器的核心部件。对于应用网关来说，应用代理程序是根据不同的应用协议进行设计的，

根据所代理的应用协议，应用网关可以分为FTP网关、Telnet网关、Web网关等，它们各有对应的应用代理程序。

⑷代理服务器的功能

①中转数据。

②对传输的数据进行预处理常见的有地址过滤、关键字过滤和协议过滤。

③对中转数据提供详细的日志和审计。

④节省IP地址。使用网络地址转换服务(Network Address Translation，NAT)，可以屏蔽内部网络的IP地址，使所

有用户对外只用一个IP地址，但这也给黑客留下了隐藏自己真实的IP地址，而逃避监视的隐患。

⑤节省网络资源。代理服务常常设置一个较大的硬盘存储空间，用于存放通过的信息，当内部用户再访问相同的信

息时，就可以直接从缓冲区中读取。

代理服务的隔离作用强，具有对过往的数据包进行分析监控、注册登记、过滤、记录和报告等功能，可以针对

应用层进行侦测和扫描，当发现被攻击迹象时会向网络管理员发出警报，并能保留攻击痕迹，因此，具有比包过滤

更强的防火墙功能。它的缺点是必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复

杂性。

⒊堡垒主机

运行防火墙软件(例如运行应用代理程序)的主机称为堡垒主机。堡垒主机是防火墙最关键的部件，也是入侵者

最关注的部件，因此它必须健壮，必须不容易被攻破。

㈡ 包过滤技术的技术原理

包过滤技术(IP Filtering or packet filtering) 的原理在于利用路由器监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤 功能，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet FilterRouter）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。
包过滤技术是指网络设备（路由器或防火墙）根据包过滤规则检查所接收的每个数据包，做出允许数据包通过或丢弃数据包的决定。包过滤规则主要基于IP包头信息设置，包括如下内容：
1、TCP/UDP的源或目的端口号
2、协议类型：TCP、UDP、ICMP等
3、源或目的IP地址
4、数据包的入接口和出接口
数据包中的信息如果与某一条过滤规则相匹配并且该规则允许数据包通过，则该数据包会被转发，如果与某一条过滤规则匹配但规则拒绝数据包通过，则该数据包会被丢弃。如果没有可匹配的规则，缺省规则会决定数据包是被转发还是被丢弃。
举例说明：如图所示，如果我们需要允许IP地址为192.168.0.1的电脑浏览网页（建立HTTP连接），允许IP地址为192.168.0.2的电脑与Internet建立FTP连接，不允许其他电脑与Internet通信，可以在路由器设置如下过滤规则：

1、允许源IP地址为192.168.0.1、目的端口号为80的数据包通过（HTTP的端口号为80）。
2、允许源IP地址为192.168.0.1、目的端口号为53的数据包通过（DNS的端口号为53，在浏览网页时通常需要进行域名解析）。
3、允许源IP地址为192.168.0.2、目的端口号为21的数据包通过（FTP的端口号为21）。
4、缺省禁止所有的其他连接。
包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接，则Router舍弃端口值为23、25的所有的数据包。
表9.1 一些常用网络服务和使用的端口 服务名称 端口号 协议 说明 ftp-data 20 tcp FTP数据 ftp 21 tcp FTP控制 telnet 23 tcp 如BBS smtp 25 tcp 发email用 time 37 tcp timserver time 37 udp timserver domain 53 tcp DNS domain 53 udp DNS tftp 69 udp gopher 70 tcp gopher查询 http 80 tcp www pop3 110 tcp 收email用 nntp 119 tcp 新闻组，usernet netbios-ns 137 tcp NETBIOS 名称服务 netbios-ns 137 udp NETBIOS 名称服务 netbios-dgm 138 udp NETBIOS 数据报服务 netbios-ssn 139 tcp NETBIOS Session服务 snmp 161 udp SNMP snmptrap 162 udp SNMP trap irc 194 tcp IRC网络聊天服务 ldap 389 tcp 轻型目录服务协议 https 443 tcp SSL加密 https 443 udp 典型的过滤规则有以下几种：允许特定名单内的内部主机进行Telnet输入对话、只允许特定名单内的内部主机进行FTP输入对话、只允许所有Telnet 输出对话、只允许所有FTP 输出对话、拒绝来自一些特定外部网络的所有输入信息。
有些类型的攻击很难用基本包头信息加以鉴别，因为这些独立于服务。一些Router可以用来防止这类攻击，但过滤规则需要增加一些信息，而这些信息只有通过以下方式才能获悉：研究Router选择表、检查特定的IP选项、校验特殊的片段偏移等。这类攻击有以下几种：
源IP地址欺骗攻击：入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。
源路由攻击：源站指定了一个信息包穿越Internet时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。
残片攻击：入侵者利用IP残片特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断。舍弃所有协议类型为TCP、IP片断偏移值等于1的信息包，即可挫败残片的攻击。
从以上可看出定义一个完善的安全过滤规则是非常重要的。通常，过滤规则以表格的形式表示，其中包括以某种次序排列的条件和动作序列。每当收到一个包时，则按照从前至后的顺序与表格中每行的条件比较，直到满足某一行的条件，然后执行相应的动作(转发或舍弃)。有些数据包过滤在实现时，“动作”这一项还询问，若包被丢弃是否要通知发送者(通过发ICMP信息)，并能以管理员指定的顺序进行条件比较，直至找到满足的条件。
对流进和流出网络的数据进行过滤可以提供一种高层的保护。建议过滤规则如下：
（1）任何进入内部网络的数据包不能把网络内部的地址作为源地址。
（2）任何进入内部网络的数据包必须把网络内部的地址作为目的地址。
（3）任何离开内部网络的数据包必须把网络内部的地址作为源地址。
（4）任何离开内部网络的数据包不能把网络内部的地址作为目的地址。
（5）任何进入或离开内部网络的数据包不能把一个私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作为源或目的地址。
（6）阻塞任意源路由包或任何设置了IP选项的包。
（7）保留、DHCP自动配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。