⑴ 什么叫包过滤技术
基于协议抄特定的标准,路由器在其端袭口能够区分包和限制包的能力叫包过滤(Packet Filtering)。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息,并根据匹配和规则决定包的前行或被舍弃,以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点,同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。
⑵ 防火墙基本技术
防火墙的基本技术
防火墙是在对网络的服务功能和拓扑结构详细分析的基础上,在被保护对象周围通过的专用软件、硬件以及
管理措施的综合,对跨越网络边界的信息进行监测、控制甚至修改的设施。目前使用的防火墙技术主要有包过滤
和代理服务技术等,用这些技术可以分别做成具有不同功能的防火墙部件。
⒈包过滤技术
包过滤(Packet Filtering)技术就是在网络的适当位置对数据包进行审查,审查的依据是系统内设置的过滤
逻辑——访问控制表(Access Control table)。包过滤器逐一审查每份数据包并判断它是否与包过滤规则相匹配。
过滤规则以顺行处理数据包头信息为基础,即通过对IP包头和TCP包头或UDP包头的检查而实现。包过滤工作在网
络层,故也称网络防火墙。
在Internet技术中还使用内容过滤技术,担任内容过滤的软件有“黑名单”软件、“白名单”软件和内容选
择平台(Platform for Internet Content Selection,PICS)。
“黑名单”软件是第一代Internet内容过滤软件,其工作原理是封锁住不应检索的网址。其中最有名的是(Cyber
NOT,它记录了大约7000个网址。“白名单”软件是第二代Internet内容过滤软件,其工作原理是先封锁全部网址,
然后只开放应检索的网址。
PICS是由麻省理工学院计算机科学实验室的Jim Miller教授开发的第三代Internet内容过滤软件。它的主要工
作是对每一个网页的内容进行分类,并根据内容加上标签,同时由计算机软件对网页的标签进行检测,以限制对特
定内容网页的检索。
数据包过滤防火墙网络逻辑简单、性能和透明性好,一般安装在路由器上。路由器是内部网络与Internet连接
的必要设备是一种天然的防火墙,它可以决定对到来的数据包是否进行转发。这种防火墙实现方式相当简捷,效率
较高,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无
法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,
骗过包过滤型防火墙,一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击。进一步说,由于数据包的源地址、
目标地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒;并且它缺乏用户日志(Log)和审计 (Audit)信
息,不具备登录和报告性能,不能进行审核管理,因而过滤规则的完整性难以验证,所以安全性较差。
⒉代理服务技术
⑴代理服务概述
代理服务器(Proxy Server)是位于两个网络(如Internet和Intranet)之间的一种常见服务器,如果把网络防火墙
比做门卫,代理服务器就好比是接待室。门卫只根据证件决定来访者是否可以进入,而接待室在内部人员与来访者之
间真正隔起一道屏障,它位于客户机与服务器之间,完全阻挡了二者间的数据交流。其特别之处就在于它的双重角色,
从客户机来看,它相当于一台真正的服务器;而从服务器来看,它又是一台真正的客户机。当客户机需要使用服务
器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务
器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企
业内部网络系统。
代理服务技术可以运用于应用层,也可以运用于传输层。运用于应用层的代理服务与过滤路由器组合的防火墙,
被称为应用层网关,它们是面对不同的应用的。运用于传输层的代理服务防火墙,实际上是TCP/UDP连接中继服务。
⑵代理服务器的工作原理
图8-9所示表明了代理服务器(应用网关)的工作原理。
①代理服务器运行后,它的核心部件——应用代理程序启动,并开始监听某个应用端口(这个应用端口是由安全管
理员设定的);
②外部客户需要访问内部服务器时,发送请求到对应的应用端口;
③代理服务器将请求转发给内部服务器;
④服务器的应答也通过代理服务器发给外部客户。
一旦应用代理程序与服务器之间的连接建立,也就在客户与服务器之间建立了一个虚连接,这个虚连接是由两
条虚连接(客户端到代理服务器的客户连接和代理服务器到服务器的服务器连接)和代理服务器(应用代理程序)的
中转实现。
图8-9代理服务器工作原理
⑶应用代理程序
应用代理程序是代理服务器的核心部件。对于应用网关来说,应用代理程序是根据不同的应用协议进行设计的,
根据所代理的应用协议,应用网关可以分为FTP网关、Telnet网关、Web网关等,它们各有对应的应用代理程序。
⑷代理服务器的功能
①中转数据。
②对传输的数据进行预处理常见的有地址过滤、关键字过滤和协议过滤。
③对中转数据提供详细的日志和审计。
④节省IP地址。使用网络地址转换服务(Network Address Translation,NAT),可以屏蔽内部网络的IP地址,使所
有用户对外只用一个IP地址,但这也给黑客留下了隐藏自己真实的IP地址,而逃避监视的隐患。
⑤节省网络资源。代理服务常常设置一个较大的硬盘存储空间,用于存放通过的信息,当内部用户再访问相同的信
息时,就可以直接从缓冲区中读取。
代理服务的隔离作用强,具有对过往的数据包进行分析监控、注册登记、过滤、记录和报告等功能,可以针对
应用层进行侦测和扫描,当发现被攻击迹象时会向网络管理员发出警报,并能保留攻击痕迹,因此,具有比包过滤
更强的防火墙功能。它的缺点是必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复
杂性。
⒊堡垒主机
运行防火墙软件(例如运行应用代理程序)的主机称为堡垒主机。堡垒主机是防火墙最关键的部件,也是入侵者
最关注的部件,因此它必须健壮,必须不容易被攻破。
⑶ 什么是包过滤防火墙技术
数据包过滤用在内部主机和外部主机之间, 过滤系统是一台路由器或是一台主机专。过滤系统根据属过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。
数据包信息的过滤
数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的,主要信息有:
* IP源地址
* IP目标地址
* 协议(TCP包、UDP包和ICMP包)
* TCP或UDP包的源端口
* TCP或UDP包的目标端口
* ICMP消息类型
* TCP包头中的ACK位
* 数据包到达的端口
* 数据包出去的端口
在TCP/IP中,存在着一些标准的服务端口号,例如,HTTP的端口号为80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接,例如,可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。
望采纳。谢谢🙏
⑷ 什么是包过滤技术其特点是什么
一、定义:
包过滤(Packet Filtering)技术:是基于协议特定的标准,路由器在其端口能够区分包和限制包的技术。
基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤(Packet Filtering)。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息,并根据匹配和规则决定包的前行或被舍弃,以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点,同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。包过滤技术的二、特点
1、优点 :对小型的、不太复杂的站点包过滤较容易实现。
(1)一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器;
(2)过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间,由于过滤路由器只检查报头相应的字段,一般不查看数据报的内容,而且某些核心部分是由专用硬件实现的,如果通信负载适中且定义的过滤很少的话,则对路由器性能没有多大影响;
(3)包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时,它与普通路由器没什么区别,甚至用户没有认识到它的存在,因此不需要专门的用户培训或在每主机上设置特别的软件。
2、缺点及局限性:
他们很少有或没有日志记录能力,所以网络管理员很难确认系统是否正在被入侵或已经被入侵了。这种防火墙的最大缺陷是依赖一个单一的部件来保护系统。
(1)定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的,则过滤规则集可能会变得很长很复杂,并且没有什么工具可以用来验证过滤规则的正确性。
(2)路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表,而后将信息包顺向运行到适当转发接口。如果过滤可执行,路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源,并影响一个完全饱和的系统性能。
(3)不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的,而IP地址的伪造是很容易、很普遍的。
(4)一些应用协议不适合于数据包过滤。即使是完美的数据包过滤,也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接,大大削弱了基于源地址和源端口的过滤功能。
(5)正常的数据包过滤路由器无法执行某些安全策略。例如,数据包说它们来自什么主机,而不是什么用户,因此,我们不能强行限制特殊的用户。同样地,数据包说它到什么端口,而不是到什么应用程序,当我们通过端口号对高级协议强行限制时,不希望在端口上有别的指定协议之外的协议,而不怀好意的知情者能够很容易地破坏这种控制。
(6)一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来。它可以阻止非法用户进入内部网络,但也不会告诉我们究竟都有谁来过,或者谁从内部进入了外部网络。