數(shù)據(jù)包過(guò)濾原理

????????????? 通過(guò)檢查模塊，防火墻能攔截和檢查所有出站的數(shù)據(jù)。防火墻檢查模塊首先驗(yàn)證這個(gè)包是否符合過(guò)濾規(guī)則，不管是否符合過(guò)濾規(guī)則，防火墻一般要記錄數(shù)據(jù)包情況，不符合規(guī)則的包要進(jìn)行報(bào)警或通知管理員。對(duì)丟棄的數(shù)據(jù)包，防火墻可以給發(fā)方一個(gè)消息，也可以不給，這要取決于包過(guò)濾策略。包檢查模塊能檢查包中的所有信息，一般是網(wǎng)絡(luò)層的IP頭和傳輸層的頭。包過(guò)濾一般要檢查下面幾項(xiàng)：

IP源地址；
IP目標(biāo)地址；
協(xié)議類(lèi)型（TCP包、UDP包和ICMP包）；
TCP或UDP的源端口；
TCP或UDP的目標(biāo)端口；
ICMP消息類(lèi)型；
TCP報(bào)頭中的ACK位。

???????????? 包過(guò)濾在本地端接收數(shù)據(jù)包時(shí)，一般不保留上下文，只根據(jù)目前數(shù)據(jù)包的內(nèi)容做決定。根據(jù)不同的防火墻的類(lèi)型，包過(guò)濾可能在進(jìn)入、輸出時(shí)或這兩個(gè)時(shí)刻都進(jìn)行?？梢詳M定一個(gè)要接受的設(shè)備和服務(wù)的清單，一個(gè)不接受的設(shè)備和服務(wù)的清單，組成訪問(wèn)控制表。
????? 1 . 設(shè)置步驟
????? 配置包過(guò)濾有三步：
?????????? （1）必須知道什么是應(yīng)該和不應(yīng)該被允許的，即必須制定一個(gè)安全策略。
?????????? （2）必須正式規(guī)定允許的包類(lèi)型、包字段的邏輯表達(dá)。
?????????? （3）必須用防火墻支持的語(yǔ)法重寫(xiě)表達(dá)式。
???? 2. 按地址過(guò)濾
??????????? 下面是一個(gè)最簡(jiǎn)單的數(shù)據(jù)包過(guò)濾方式，它按照源地址進(jìn)行過(guò)濾。比如說(shuō)，認(rèn)為網(wǎng)絡(luò)202.110.8.0是一個(gè)危險(xiǎn)的網(wǎng)絡(luò)，那么就可以用源地址過(guò)濾禁止內(nèi)部主機(jī)和該網(wǎng)絡(luò)進(jìn)行通信。下表是根據(jù)上面的政策所制定的規(guī)則。
表：??? 過(guò)濾規(guī)則示例

規(guī)則?方向?源地址?目標(biāo)地址?動(dòng)作
A?出?內(nèi)部網(wǎng)絡(luò)?202.110.8.0?拒絕
B?入?202.110.8.0?內(nèi)部網(wǎng)絡(luò)?拒絕????????????

很容易看出這種方式?jīng)]有利用全部信息，所以是不科學(xué)的，下面將要講一種更為先進(jìn)的過(guò)濾方式——按服務(wù)過(guò)濾。
???? 3. 按服務(wù)過(guò)濾
???????????? 假設(shè)安全策略是禁止外部主機(jī)訪問(wèn)內(nèi)部的E-mail服務(wù)器（SMTP，端口25），允許內(nèi)部主機(jī)訪問(wèn)外部主機(jī)，實(shí)現(xiàn)這種的過(guò)濾的訪問(wèn)控制規(guī)則類(lèi)似下表。
???????????? 規(guī)則按從前到后的順序匹配，字段中的“*”代表任意值，沒(méi)有被過(guò)濾器規(guī)則明確允許的包將被拒絕。就是說(shuō)，每一條規(guī)則集都跟隨一條含蓄的規(guī)則，就像下表中的規(guī)則C。這與一般原則是一致的：沒(méi)有明確允許的就被禁止。

規(guī)則?方向?動(dòng)作?源地址?源端口?目的地址?目的端口?注釋
A?進(jìn)?拒絕?M?*?E-mail?25?不信任
B?出?允許?*?*?*?*?允許聯(lián)接
C?雙向?拒絕?*?*?*?*?缺省狀態(tài)

任何一種協(xié)議都是建立在雙方的基礎(chǔ)上的，信息流也是雙向的。規(guī)則總是成對(duì)出現(xiàn)的，而且在講解規(guī)則時(shí)也是成對(duì)講解的原因。
4.包過(guò)濾實(shí)例
?????????? 無(wú)疑按服務(wù)過(guò)濾的安全性要比單純按地址過(guò)濾高。
??????????? 下面，將通過(guò)一個(gè)例子來(lái)講解這種過(guò)濾方式。第一，假設(shè)處于一個(gè)類(lèi)網(wǎng)絡(luò)116.111.4.0，認(rèn)為站點(diǎn)202.208.5.6上有黃色的BBS，所以希望阻止網(wǎng)絡(luò)中的用戶(hù)訪問(wèn)該點(diǎn)的BBS；再假設(shè)這個(gè)站點(diǎn)的BBS服務(wù)是通過(guò)Telnet方式提供的，那么需要阻止到那個(gè)站點(diǎn)的出站Telnet服務(wù)，對(duì)于Internet的其他站點(diǎn)，允許內(nèi)部的網(wǎng)用戶(hù)通過(guò)Telnet方式訪問(wèn)，但不允許其他站點(diǎn)以Telnet方式訪問(wèn)網(wǎng)絡(luò)。第二，為了由發(fā)電子郵件，允許SMTP出站入站服務(wù)，郵件服務(wù)器是IP地址為116.111.4.1。第三，對(duì)于WWW服務(wù)，允許內(nèi)部網(wǎng)用戶(hù)訪問(wèn)Internet上任何網(wǎng)絡(luò)和站點(diǎn)，但只允許一個(gè)公司的網(wǎng)絡(luò)訪問(wèn)內(nèi)部WWW服務(wù)器，內(nèi)部WWW服務(wù)器的IP地址為116.111.4.5，因?yàn)槟銈兪呛献骰锇殛P(guān)系，那個(gè)公司的網(wǎng)絡(luò)為98.120.7.0。