包過濾防火墻的作用
包過濾防火墻的作用
有一種防火墻叫做包過濾防火墻,大家對這種防火墻的作用或者知識了解有多少?下面就讓學習啦小編為大家介紹一下包過濾防火墻以及它的作用吧,希望能對大家有幫助。
包過濾防火墻是什么:
包過濾防火墻是用一個軟件查看所流經的數據包的包頭(header),由此決定整個包的命運。它可能會決定丟棄(DROP)這個包,可能會接受(ACCEPT)這個包(讓這個包通過),也可能執(zhí)行其它更復雜的動作。在Linux系統(tǒng)下,包過濾功能是內建于核心的(作為一個核心模塊,或者直接內建),同時還有一些可以運用于數據包之上的技巧,不過最常用的依然是查看包頭以決定包的命運。 包過濾防火墻將對每一個接收到的包做出允許或拒絕的決定。具體地講,它針對每一個數據包的包頭,按照包過濾規(guī)則進行判定,與規(guī)則相匹配的包依據路由信息繼續(xù)轉發(fā),否則就丟棄。包過濾是在IP層實現的,包過濾根據數據包的源IP地址、目的IP地址、協(xié)議類型(TCP包、UDP包、ICMP包)、源端口、目的端口等包頭信息及數據包傳輸方向等信息來判斷是否允許數據包通過。 包過濾也包括與服務相關的過濾,這是指基于特定的服務進行包過濾,由于絕大多數服務的監(jiān)聽都駐留在特定TCP/UDP端口,因此,為阻斷所有進入特定服務的鏈接,防火墻只需將所有包含特定TCP/UDP目的端口的包丟棄即可。
包過濾防火墻的作用:
包過濾防火墻是最簡單的一種防火墻,它在網絡層截獲網絡數據包,根據防火墻的規(guī)則表,來檢測攻擊行為。包過濾防火墻一般作用在網絡層(IP層),故也稱網絡層防火墻(Network Lev Firewall)或IP過濾器(IP filters)。數據包過濾(Packet Filtering)是指在網絡層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型等因素或它們的組合來確定是否允許該數據包通過。在網絡層提供較低級別的安全防護和控制。
包過濾防火墻的技術優(yōu)點:
→對于一個小型的、不太復雜的站點,包過濾比較容易實現。
→因為過濾路由器工作在IP層和TCP層,所以處理包的速度比代理服務器快。
→過濾路由器為用戶提供了一種透明的服務,用戶不需要改變客戶端的任何應用程序,也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層,而IP層和TCP層與應用層的問題毫不相關。所以,過濾路由器有時也被稱為"包過濾網關"或"透明網關",之所被稱為網關,是因為包過濾路由器和傳統(tǒng)路由器不同,它涉及到了傳輸層
。→過濾路由器在價格上一般比代理服務器便宜。
包過濾防火墻的技術缺點:
→一些包過濾網關不支持有效的用戶認證。
→規(guī)則表很快會變得很大而且復雜,規(guī)則很難測試。隨著表的增大和復雜性的增加,規(guī)則結構出現漏洞的可能 性也會增加。
→這種防火墻最大的缺陷是它依賴一個單一的部件來保護系統(tǒng)。如果這個部件出現了問題,會使得網絡大門敞開,而用戶甚至可能還不知道。
→在一般情況下,如果外部用戶被允許訪問內部主機,則它就可以訪問內部網上的任何主機。
→包過濾防火墻只能阻止一種類型的IP欺騙,即外部主機偽裝內部主機的IP,對于外部主機偽裝外部主機的IP欺騙卻不可能阻止,而且它不能防止DNS欺騙。雖然,包過濾防火墻有如上所述的缺點,但是在管理良好的小規(guī)模網絡上,它能夠正常的發(fā)揮其作用。一般情況下,人們不單獨使用包過濾網關,而是將它和其他設備(如堡壘主機等)聯合使用。包過濾的工作是通過查看數據包的源地址、目的地址或端口來實現的,一般來說,它不保持前后連接信息,過濾決定是根據 當前數據包的內容來做的。管理員可以做一個可接受機和服務的列表,以及一個不可接受機和服務的列表。在主機和網絡一級,利用數據包過濾很容易實現允許或禁止訪問。由此不難看出這個層次的防火墻的優(yōu)點和弱點,由于防火墻只是工作在OSI的第三層(網絡層)和第四層(傳輸層),因此包過濾的防火墻的一個非常明顯的優(yōu)勢就是速度,這是因為防火墻只是去檢查數據報的報頭,而對數據報所攜帶的內容沒有任何形勢的檢查,因此速度非???。與此同時,這種防火墻的缺點也是顯而易見的,比較關鍵的幾點如下所述。
(1)由于無法對數據報的內容進行核查,一次無法過濾或審核數據報的內容體現這一問題的一個很簡單的例子就是:對某個端口的開放意味著相應端口對應的服務所能夠提供的全部功能都被開放,即使通過防火墻的數據報有攻擊性,也無法進行控制和阻斷。例如在一個簡單的Web服務器,而包過濾的防火墻無法對數據報內容進行核查。因此,未打相應補丁的提供Web服務的系統(tǒng),及時在防火墻的屏蔽之后,也會被攻擊著輕易獲取超級用戶的權限。
(2)由于此種類型的防火墻工作在較低層次,防火墻本身所能接觸的信息較少,所以它無法提供描述細致事件的日志系統(tǒng)。此類防火墻生成的日志常常只是包括數據報捕獲的時間、網絡層的IP地址、傳輸層的端口等非常原始的信息。至于這個數據報內容是什么,防火墻不會理會,而這對安全管理員而言恰恰是很關鍵的。因為及時一個非常優(yōu)秀的系統(tǒng)管理員,一旦陷入大量的通過/屏蔽的原始數據包信息中,往往也是難以理清頭緒,這在發(fā)生安全事件時給管理員的安全審計帶來很大的困難。
(3)所有可能用到的端口(尤其是大于1024的端口)都必須開放,對外界暴露,從而極大地增加了被攻擊的可能性通常對于網絡上所有服務所需要的數據包進出防火墻的二端口都要仔細考慮,否則會產生意想不到的情況。然而我們知道,當被防火墻保護的設備與外界通信時,絕大多數應用要求發(fā)出請求的系統(tǒng)本身提供一個端口,用來接收外界返回的數據包,而且這個端口一般是在1024到65536之間不確定的,如果不開放這些端口,通信將無法完成,這樣就需要開放1024以上的全部端口,允許這些端口的數據包進出。而這就帶來非常大的安全隱患。例如:用戶網中有一臺UNIX服務器,對內部用戶開放了RPC服務,而這個服務是用在高端口的,那么這臺服務器非常容易遭到基于RPC應用的攻擊。
(4)如果網絡結構比較復雜,那么對管理員而言配置訪問控制規(guī)則將非常困難當網絡發(fā)展到一定規(guī)模時,在路由器上配置訪問控制規(guī)則將會非常繁瑣,在一個規(guī)則甚至一個地址處出現錯誤都有可能導致整個訪問控制列表無法正常使用。