计算机网络与信息安全：包过滤防火墙简介

2023-10-18 理论教育版权反馈

【摘要】：（一）包过滤防火墙简介包过滤防火墙是一种通用、廉价、有效的安全手段。包过滤防火墙不针对各个具体的网络服务采取特殊的处理方式，而且大多数路由器都提供分组过滤功能，同时能够很大程度地满足企业的安全要求。包过滤防火墙的依据是分包传输技术。图7-1包过滤防火墙的工作原理包过滤防火墙对收到的每一数据包做许可或拒绝决定。

（一）包过滤防火墙简介

包过滤防火墙是一种通用、廉价、有效的安全手段。包过滤防火墙不针对各个具体的网络服务采取特殊的处理方式，而且大多数路由器都提供分组过滤功能，同时能够很大程度地满足企业的安全要求。

包过滤防火墙的依据是分包传输技术。网络上的数据都是以包为单位进行传输的，数据被分割成一定大小的包，每个包分为包头和数据两部分，包头中含有源地址和目的地址等信息。路由器从包头中读取目的地址并选择一条物理线路发送出去，当所有的包抵达后会在目的地重新组装还原。

包过滤防火墙一般由屏蔽路由器（Screening Router，也称为过滤路由器）来实现，这种路由器在普通路由器的基础上加入IP过滤功能，是防火墙最基本的构件，包过滤防火墙工作原理如图7-1所示。

pagenumber_ebook=141,pagenumber_book=135

图7-1　包过滤防火墙的工作原理

包过滤防火墙对收到的每一数据包做许可或拒绝决定。路由器对每一数据报文进行检查以决定它是否与包过滤规则中的某一条相匹配，包过滤规则基于可用于IP转发过程的数据包报头信息，该信息包括IP源地址、IP目标地址、封装协议（TCP，UDP，ICMP或IP隧道）、TCP/UDP源端口、TCP/UDP目标端口、ICMP消息类型、数据包的输入接口、数据包的输出接口。如果数据包与包过滤规则中的某一条相匹配且包过滤规则允许数据包通过，则按照路由表中的信息转发数据包。如果数据包与包过滤规则中的某一条相匹配且包过滤规则拒绝数据包通过，则丢弃该数据包。如果数据包与包过滤规则没有匹配项，用户配置的默认参数则决定对该数据包转发还是丢弃。

pagenumber_ebook=142,pagenumber_book=136

图7-2　包过滤防火墙的工作流程

（二）包过滤防火墙的优缺点

1.包过滤防火墙的优点

包过滤防火墙具有明显的优点。

（1）一个屏蔽路由器能保护整个网络

一个恰当配置的屏蔽路由器连接内部网络与外部网络，进行数据包过滤，就可以取得较好的网络安全效果。(www.chuimin.cn)

（2）包过滤对用户透明

包过滤不要求任何客户机配置，当屏蔽路由器决定让数据包通过时，它与普通路由器没什么区别，用户感觉不到它的存在。较强的透明度是包过滤的一大优势。

（3）屏蔽路由器速度快、效率高

屏蔽路由器只检查包头信息，一般不查看数据部分，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高，通常作为网络安全的第一道防线。

2.包过滤防火墙的缺点

包过滤防火墙的缺点也是很明显的。

（1）存在安全漏洞

定义包过滤路由器是一个复杂的任务，因为网络管理员需要对各种网络服务、数据包报头格式以及报头中每个字段特定的取值透彻地理解。如果要求包过滤路由器支持复杂的过滤要求，过滤规则集就会变得很长、很复杂，使得它难以管理和理解，最后由于没有方法对配置到路由器以后的包过滤规则的正确性进行验证，可能会遗留安全漏洞。

（2）不支持应用层协议

假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用HTTP协议），不允许去外网下载电影（一般使用P2P协议），这时包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。

（3）对网络系统管理员要求较高

路由器中过滤规则的设置和配置十分复杂，涉及规则的逻辑一致性、作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就需要加上更多的规则去限制，往往会带来很多错误。

另外，一般随着过滤器数目的增加，通过路由器的数据包的数目将减少。路由器从每个数据包中提取目标IP地址时可被优化，以简化路由表查询，然后再将数据包转发到正确的接口上去传输。如果路由器执行过滤规则，则它对每一数据包不仅需做出转发决定，而且需应用所有过滤规则。这样将消耗CPU时间且影响系统的性能。IP数据包过滤器可能无法对业务流提供完全控制，数据包过滤路由器能允许或拒绝特定的服务，但不能理解特定服务的上下文内容和数据，例如，网络管理者可能需要在应用层对业务流进行过滤，以便限制对可用的FTP或Telnet命令子集的访问，或阻止邮件或指定内容的新闻的进入。这种类型的控制能由代理服务和应用层网关在更高层上更好地执行。

计算机网络与信息安全：包过滤防火墙简介

相关推荐