包过滤防火墙的防火墙知识
有一种称为包过滤防火墙的防火墙。你对防火墙或知识的作用了解多少让我们把萧边介绍给了包过滤防火墙和它的作用,希望能对你有帮助。什么是包过滤防火墙:
包过滤防火墙是一个软件,使用软件查看包头(头),流经的数据包,它决定着整个包的命运。它可以决定丢弃包(下降),可以接受(接受)包(让这个包通过),可以执行其他更复杂的行动。在Linux系统中,数据包过滤的功能是建立在核心(作为一个核心模块,或者直接内置),仍然还是有一些技巧可以应用到数据包。但最常用的还是看包头决定包的命运。一个包过滤防火墙将允许或拒绝每个接收的数据包。具体地说,对于包头的每一个数据包,它是根据包过滤规则来判断,并匹配规则的数据包将继续根据路由信息转发,否则丢弃。包过滤是在IP层实现。包过滤是基于源IP地址、目的IP地址、协议类型(TCP包、UDP包,ICMP包)、源端口号、包头信息和数据包的传输方向来确定是否允许数据包通过目的港和其他信息。数据包过滤器还包括服务相关的过滤,是指一种基于包过滤特定的服务,因为服务监控绝大多数居住在特定的TCP或UDP端口,因此,阻断所有的链接到一个特定的服务,只有将所有包含特定的防火墙的TCP / UDP目的端口的数据包会被丢弃。
包过滤防火墙的功能:
包过滤防火墙是最简单的防火墙。它截取网络数据包在网络层,和检测基于防火墙的规则表攻击,包过滤防火墙一般作用在网络层(IP层),所以它也被称为网络层防火墙(网络层防火墙)或IP过滤(IP过滤器),包过滤(过滤)是指并选择数据包的分析在网络层,通过检查源IP地址、目的IP地址、源端口号、目的端口号,数据流中的每个数据包的协议类型等因素的影响,或确定其组合,我们确定包是否被允许通过提供在网络层。一个较低的安全和控制水平。
包过滤防火墙的技术优势:
rarr;对于一个小的,不太复杂的网站,包过滤是比较容易实现的。
rarr;因为过滤路由器工作在IP层和TCP层,处理分组比代理服务器的速度。
rarr;过滤路由器为用户提供透明的服务,用户不需要改变任何应用程序的客户端,也不需要学习任何新的东西。因为过滤路由器工作在IP层和TCP层,IP层和TCP层为应用层的相关问题。因此,过滤路由器有时被称为包过滤网关或透明网关
。RARR;过滤路由器一般比代理服务器更便宜。
包过滤防火墙的技术缺陷:
rarr;一些包过滤网关不支持有效的用户认证。
rarr;规则表很快会变得非常庞大和复杂,而规则很难测试。为表的增大和复杂性的增加,规则的结构脆弱性增加的可能性。
rarr;这个防火墙的最大缺点是它依赖于一个单一的部件来保护系统。如果这部分有问题,他将打开网络之门,而用户可能不知道。
rarr;在一般情况下,如果外部用户被允许访问内部主机,它可以访问Intranet上的任何主机。
rarr;包过滤防火墙只能防止一种IP欺骗,即外部主机伪装内部主机的IP,并不能防止IP欺骗的外部主机外部主机伪装,也不能防止DNS欺骗。虽然包过滤防火墙具有上述缺点,它可以在一个管理良好的小规模网络的正常作用。一般来说,人们不使用包过滤网关单独使用,但它与其他设备,如堡垒主机,等包过滤是通过查看源地址、目的地址或端口实现,一包。一般来说,过滤前后不保持连接信息。The decision is based on the contents of the current packet.An administrator can do a list of acceptable machines and services, as well as a list of unacceptable machines and services.At the host and network level, it is easy to allow or prohibit access by packet filtering.It is not difficult to see the strengths and weaknesses of the Hierarchical Firewall, the firewall is working in the third layer of OSI (network layer) and layer fourth (transport layer), speed is a very obvious advantage of the packet filtering firewall, this is because the firewall is to check the datagram header, and carry the data content without any examination of the situation, so the speed is very fast.At the same time, the shortcomings of this firewall are also o明显,和要点如下。
(1)对数据内容进行核实,一个非常简单的例子,一个过滤器不能反映审计数据的内容或报告的问题是:一对端口的开放意味着所有的功能,相应的服务对应的端口可以是开放的,即使通过防火墙的数据报咄咄逼人,无法控制、阻断例如,在一个简单的Web服务器,一个包过滤防火墙不检查数据包的内容。因此,系统提供Web服务没有相应的补丁会被攻击和容易被超级用户经过防火墙屏蔽。
(2)由于这类防火墙是工作在一个较低的水平,防火墙本身不可少的信息联系,所以不能详细描述事件提供了日志系统,日志这样一个防火墙的产生往往是非常原始的信息,包括对数据包的捕获时间,网络层的IP地址,传输层的端口,等等。对于数据报是什么,防火墙不重视它,这是非常重要的安全管理员。因为时间,一个很好的系统管理员,一旦陷入大量的原始数据包,通过或是屏蔽的,往往是很难明确。这给管理人员在有安全事故时的安全审计带来了很大的困难。
(3) all possible ports (especially more than 1024 ports) must be open to the outside world, exposure, so as to greatly increase the chances of being attacked two port usually need for all services on the network data packet out of the firewall should be considered carefully, otherwise it will produce unexpected situation.However, we know that when the device to communicate with the outside world protected by firewall, most applications require the requesting system itself provides a port for receiving external return packets, and the port is not generally determined between 1024 to 65536, if you do not open the ports, the communication will not be completed, such as need to open all the port 1024 above, allowing these port data packet.And 这带来了巨大的安全风险。例如,在用户网络中有一个UNIX服务器,它向内部用户打开RPC服务,并且在高端口中使用此服务。所以这个服务器很容易受到基于RPC应用程序的攻击。
(4)如果网络结构比较复杂,所以管理员配置的访问控制规则,将很难在网络发展到一定规模时,访问控制规则是非常复杂的配置在路由器上,出现在一个规则甚至一个地址的错误都可能导致访问控制列表无法使用通常。