简单的来说,防火墙就是一种避免你的电脑被黑客入侵的一种防护工具,一种确保网络安全的方法。防火墙的类型有很多种,包过滤防火墙是其中一种类型,今天就是对这包过滤防火墙的学习。
包过滤防火墙是最简单的一种防火墙,它在网络层截取网络数据包,根据防火墙的规则表,来检测攻击行为。包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(Network Lev Firewall)或IP过滤器(IP Filters)。数据过滤(Packet Filtering)是指在网络层对数据进行分析、选择。
通过对检查数据流中每一个数据包的源IP地址、目的地址、源端口号、协议类型等因素或他们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。
1、包过滤防火墙的工作原理
1)使用过滤器
数据包过滤用在内部主机和外部主机之间,过滤系统是一套路由器或是一台主机。过滤器系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。
2)数据包信息的过滤
数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的,主要信息有:
IP源地址、IP目标地址、协议(TCP包、UDP包和TCMP包)、TCP或UDP包的源端口、TCP或UDP的目标端口、TCMP消息类型、TCP包头中的ACK位、数据包到达的端口、数据包出去的端口
在TCP/IP中,存在着一些标准的服务端口,例如:HTTP的端口是80.通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另一个网络之间的连接。例如,可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。
3)过滤器的实现
数据包过滤一般使用过滤路由器来实现,这种路由器与普通的路由器有所不同。普通的路由器指检查数据包的目标地址,并选择一个到达目的地市的最佳路劲。他处理数据包是以目标地址为基础的,存在着两种可能性:若路由器可以找到一个路径到达目标地址则发送出去;若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。过滤路由器会更加仔细地检查数据包,除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包。“应该与否”是由 路由器的过滤策略决定并强行执行的。
2、包过滤防火墙的优点
1)防火墙对每条传入和传出网络的包实行低水平控制
2)每个IP包的字段都被检查,例如源地址、目的地、协议、端口等。防火墙基于这些新应用过滤规则
3)防火墙可以识别和丢弃欺骗性源IP包
4)包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的
5)包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征
3、包过滤防火墙的缺点
1)配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或错误配置了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。
2) 为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
3)可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
防火墙只是为网络通信或数据传输提供更有保障的安全性,但是也不能完全依赖防火墙。除了考防火墙来保障安全的同时,我们也要更加巩固系统的安全性,提供=高自身的安全意识。这样一来,数据通信以及web站点就会更有安全保障。你还有什么问题,欢迎登录编程学习网教育或搜索公众号【编程学习网IT精品课程】和我们交流,期待您的到来!
