包過濾防火墻工作原理
防火墻的類型有很多種,下面的一種是叫做包過濾防火墻的一種防火墻類型,就讓學(xué)習(xí)啦小編為大家介紹一下這種包過濾防火墻的工作原理吧。
包過濾防火墻的工作原理:
1、使用過濾器:
數(shù)據(jù)包過濾用在內(nèi)部主機和外部主機之間,過濾系統(tǒng)是一套路由器或是一臺主機。過濾系統(tǒng)根據(jù)過濾規(guī)則來決定是否讓數(shù)據(jù)包通過。用于過濾數(shù)據(jù)包的路由器被稱為過濾路由器。
2.數(shù)據(jù)包信息的過濾:
數(shù)據(jù)包過濾是通過對數(shù)據(jù)包的IP頭和TCP頭或UDP頭的檢查來實現(xiàn)的,主要信息有:
* IP源地址
* IP目標(biāo)地址
* 協(xié)議(TCP包、UDP包和ICMP包)
* TCP或UDP包的 源端口
* TCP或UDP包的目標(biāo)端口
* ICMP消息類型
* TCP 包頭中的ACK位
* 數(shù)據(jù)包到達(dá)的端口
* 數(shù)據(jù)包出去的端口
在TCP/IP中,存在著一些標(biāo)準(zhǔn)的服務(wù) 端口號,例如,HTTP的端口號為80。通過屏蔽特定的端口可以禁止特定的服務(wù)。包過濾系統(tǒng)可以阻塞內(nèi)部主機和外部主機或另外一個網(wǎng)絡(luò)之間的連接,例如,可以阻塞一些被視為是有敵意的或不可信的主機或網(wǎng)絡(luò)連接到內(nèi)部網(wǎng)絡(luò)中。
3、過濾器的實現(xiàn):
數(shù)據(jù)包過濾一般使用過濾 路由器來實現(xiàn),這種 路由器與普通的路由器有所不同。
普通的路由器只檢查 數(shù)據(jù)包的目標(biāo)地址,并選擇一個達(dá)到目的地址的最佳路徑。它處理 數(shù)據(jù)包是以目標(biāo)地址為基礎(chǔ)的,存在著兩種可能性:若 路由器可以找到一個路徑到達(dá)目標(biāo)地址則發(fā)送出去;若路由器不知道如何發(fā)送數(shù)據(jù)包則通知數(shù)據(jù)包的發(fā)送者“數(shù)據(jù)包不可達(dá)”。
過濾 路由器會更加仔細(xì)地檢查數(shù)據(jù)包,除了決定是否有到達(dá)目標(biāo)地址的路徑外,還要決定是否應(yīng)該發(fā)送數(shù)據(jù)包。“應(yīng)該與否”是由 路由器的過濾策略決定并強行執(zhí)行的。
以上,便是包過濾防火墻的工作原理。