状态包过滤的工作原理

Ⅰ 什么是全状态包过滤

包过滤技术(IP Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤 功能，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet FilterRouter）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。

常用的优秀的个人防火墙有Norman Personal Firewall、天网防火墙等。

路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。包头信息包括：IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。

包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接，则Router舍弃端口值为23、25的所有的数据包。

典型的过滤规则有以下几种：允许特定名单内的内部主机进行Telnet输入对话、只允许特定名单内的内部主机进行FTP输入对话、只允许所有Telnet 输出对话、只允许所有FTP 输出对话、拒绝来自一些特定外部网络的所有输入信息。

有些类型的攻击很难用基本包头信息加以鉴别，因为这些独立于服务。一些Router可以用来防止这类攻击，但过滤规则需要增加一些信息，而这些信息只有通过以下方式才能获悉：研究Router选择表、检查特定的IP选项、校验特殊的片段偏移等。这类攻击有以下几种：

源IP地址欺骗攻击：入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。

源路由攻击：源站指定了一个信息包穿越Internet时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。

残片攻击：入侵者利用IP残片特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断。舍弃所有协议类型为TCP、IP片断偏移值等于1的信息包，即可挫败残片的攻击。

从以上可看出定义一个完善的安全过滤规则是非常重要的。通常，过滤规则以表格的形式表示，其中包括以某种次序排列的条件和动作序列。每当收到一个包时，则按照从前至后的顺序与表格中每行的条件比较，直到满足某一行的条件，然后执行相应的动作(转发或舍弃)。有些数据包过滤在实现时，“动作”这一项还询问，若包被丢弃是否要通知发送者(通过发ICMP信息)，并能以管理员指定的顺序进行条件比较，直至找到满足的条件。

对流进和流出网络的数据进行过滤可以提供一种高层的保护。建议过滤规则如下：

（1）任何进入内部网络的数据包不能把网络内部的地址作为源地址。

（2）任何进入内部网络的数据包必须把网络内部的地址作为目的地址。

（3）任何离开内部网络的数据包必须把网络内部的地址作为源地址。

（4）任何离开内部网络的数据包不能把网络内部的地址作为目的地址。

（5）任何进入或离开内部网络的数据包不能把一个私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作为源或目的地址。

（6）阻塞任意源路由包或任何设置了IP选项的包。

（7）保留、DHCP自动配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。

包过滤路由器的优点：

（1）一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器；

（2）过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间，由于过滤路由器只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，如果通信负载适中且定义的过滤很少的话，则对路由器性能没有多大影响；

（3）包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有认识到它的存在，因此不需要专门的用户培训或在每主机上设置特别的软件。

包过滤路由器的局限性：

（1）定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的，则过滤规则集可能会变得很长很复杂，并且没有什么工具可以用来验证过滤规则的正确性。

（2）路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表，而后将信息包顺向运行到适当转发接口。如果过滤可执行，路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源，并影响一个完全饱和的系统性能。

（3）不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的，而IP地址的伪造是很容易、很普遍的。

（4）一些应用协议不适合于数据包过滤。即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。

（5）正常的数据包过滤路由器无法执行某些安全策略。例如，数据包说它们来自什么主机，而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序，当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，而不怀好意的知情者能够很容易地破坏这种控制。

（6）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。

Ⅱ 简述信息包筛选的工作原理

包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。这样系统就具有很好的传输性能，易扩展。但是这种防火墙不太安全，因为系统对应用层信息无感知——也就是说，它们不理解通信的内容，不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破。 基于这种工作机制，包过滤防火墙有以下缺陷：
通信信息：包过滤防火墙只能访问部分数据包的头信息；
通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息；
信息处理：包过滤防火墙处理信息的能力是有限的。
比如针对微软IIS漏洞的Unicode攻击，因为这种攻击是走的防火墙所允许的80端口，而包过滤的防火墙无法对数据包内容进行核查，因此此时防火墙等同于虚设，未打相应patch的提供web服务的系统，即使在防火墙的屏障之后，也会被攻击者轻松拿下超级用户的权限。

Ⅲ 状态防火墙和包过滤防火墙的区别是什么啊

1、含义上的区别

状态防火墙是一种能够提供状态封包检查或状态检视功能的防火墙。

包过滤防火墙是用一个软件查看所流经的数据包的包头，由此决定整个包的命运。

2、作用上的区别

状态防火墙能够持续追踪穿过这个防火墙的各种网络连接（例如TCP与UDP连接）的状态。这种防火墙被设计来区分不同连接种类下的合法数据包。只有匹配主动连接的数据包才能够被允许穿过防火墙，其他的数据包都会被拒绝。

包过滤防火墙除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包；能为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。

3、工作原理上的区别

状态防火墙会跟踪网络连接的状态（例如TCP流或UDP通信），状态检查随着时间的推移监视传入和传出的数据包以及连接的状态，并将数据存储在动态状态表中。在建立连接时执行大部分CPU密集型检查，条目仅为满足定义的安全策略的TCP连接或UDP流创建。

数据包过滤用在内部主机和外部主机之间， 过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现。

Ⅳ 包过滤的基本特点和工作原理是什么

包过滤
防火墙的一类。传统的包过滤功能在路由器上常可看到，而专门回的防火墙系统答一般在此之上加了功能的扩展，如状态检测等。它通过检查单个包的地址，协议，端口等信息来决定是否允许此数据包通过。
包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

Ⅳ 包过滤防火墙的工作原理

防火墙只是能够使包往哪个端口走，就像一间房子的作用。。。他子开放几个通道，不会对包内容（比如是否有病毒）进行检查的。。。。除非你用超好的

Ⅵ 数据包过滤防火墙 的工作原理

防火墙的一类。抄传统的包过滤功能在路由器上常可看到，而专门的防火墙系统一般在此之上加了功能的扩展，如状态检测等。它通过检查单个包的地址，协议，端口等信息来决定是否允许此数据包通过。
包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

Ⅶ 数据包过滤技术的工作原理是什么

数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑专，被称为访问控制列表。属通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。

Ⅷ 简述包过滤和服务器两类防火墙的工作原理

包过滤和服务器两类防火墙的工作原理就是，XXOO

Ⅸ 简述包过滤路由器防火墙的基本工作原理。

包过滤路由器防火墙是将过滤器安装在路由器上或包过滤软件安装在PC机上的防版火墙。它工作在权网络层(IP)，并对每个进入的IP分组使用一个规则集合。包过滤规则是基于所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、分组出入接口、协议类型和数据包中的各种标志位等参数，与管理者预定的访问控制表(拟定一个提供接收和服务对象的清单，一个不接受访问或服务对象的清单)进行比较，按所定安全政策允许或拒绝访问，决定数据是否符合预先制定的安全策略，决定数据分组的转发或丢弃，即实施信息过滤。

Ⅹ 简述包过滤防火墙的工作原理

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如ip地址。包过滤防火墙的专工作原理是：系统属在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。
正是由于这种工作机制，包过滤防火墙存在以下缺陷：
＊通信信息：包过滤防火墙只能访问部分数据包的头信息；
＊通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息；
＊信息处理：包过滤防火墙处理信息的能力是有限的。