中国站

包过滤技术的原理,它的作用、优点以及局限性!

2019-10-21 18:11:59 来源:亿速云

基于协议特定的标准,路由器在其端口能够“区分包”和“限制包”的能力叫包过滤(Packet Filtering)。包过滤的技术原理,在于加入IP过滤功能的路由器,逐一审查包头信息,并根据匹配和规则决定包的前行或被舍弃,以达到拒绝发送可疑的包的目的。

定义了“包过滤规则”的包过滤路由器,具备了保护整个网络、高效快速并且透明等优点,但同时也有“定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志”等局限性。

一、包过滤技术的原理

包过滤技术的原理,在于利用路由器监视并过滤网络上流入流出的IP数据包,并拒绝发送可疑的包。由于Internet(因特网/公网) 与Intranet(内部网/内网) 的连接,多数都要使用路由器,所以路由器成为内外通信的必经端口。路由器的厂商在路由器上加入IP过滤功能,因此,过滤路由器也可以称作“包过滤路由器”或“筛选路由器”。

防火墙常常就是这样一个具备“包过滤功能”的简单路由器。具备“包过滤功能”的防火墙,应该是足够安全的,但前提是要配置合理。然而一个包过滤规则是否完全严密及必要,则是很难判定的。因而在安全要求较高的场合,通常还配合使用其它的技术来加强网络的安全性。

包过滤技术,是指网络设备(路由器或防火墙)根据“包过滤规则”检查所接收的每个数据包,做出允许数据包通过或丢弃数据包的决定。包过滤规则,主要基于“IP包头信息”设置,包括如下内容:
1、TCP/UDP的源端口或目的端口号
2、协议类型:TCP、UDP、ICMP等
3、源IP地址或目的IP地址
4、数据包的入接口和出接口

数据包中的信息,如果与某一条过滤规则相匹配,并且该规则允许数据包通过,则该数据包会被转发;如果与某一条过滤规则匹配,但该规则拒绝数据包通过,则该数据包会被丢弃。如果没有可匹配的规则,“缺省规则”会决定数据包是被转发,还是被丢弃。

举例说明:如下图所示,如果我们需要允许IP地址为“192.168.0.1”的电脑浏览网页(建立HTTP连接),允许IP地址为“192.168.0.2”的电脑与Internet(因特网)建立FTP(文件传输协议)连接,而不允许其他电脑与Internet(因特网)通信,可以在路由器设置如下过滤规则:

1、 允许源IP地址为“192.168.0.1”、目的端口号为“80”的数据包通过(HTTP的端口号为80);

2、 允许源IP地址为“192.168.0.1”、目的端口号为“53”的数据包通过(DNS的端口号为53,在浏览网页时通常需要进行域名解析)。

3、 允许源IP地址为“192.168.0.2”、目的端口号为“21”的数据包通过(FTP的端口号为21)。

4、 缺省(即“系统默认状态”,意思与“默认”相同)禁止所有的其他连接。

包过滤规则,允许路由器取舍以一个特殊服务为基础的信息流,因为大多数服务检测器驻留于众所周知的“TCP/UDP”端口。例如,Telnet Service(远程登录服务) 为TCP 端口 23端口等待远程连接;而SMTP Service(简单邮件传输协议服务)为TCP 端口 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接,则路由器舍弃端口值为“23、25”的所有数据包。

一些常用的网络服务对应的使用端口:

典型的过滤规则,主要有这几种:允许特定名单内的内部主机进行Telnet(远程登录)输入对话、只允许特定名单内的内部主机进行FTP(文件传输协议)输入对话、只允许所有Telnet (远程登录)输出对话、只允许所有FTP(文件传输协议) 输出对话、拒绝来自一些特定外部网络的所有输入信息。

二、包过滤路由器的优点

1、一个包过滤路由器能协助保护整个网络。绝大多数Internet(因特网)防火墙系统只用一个包过滤路由器;

2、包过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间。包过滤路由器只检查报头相应的字段,一般不查看数据报的内容。

3、包过滤路由器,对终端用户和应用程序是透明的。当包过滤路由器决定让数据包通过时,它与普通路由器没什么区别,甚至用户没有意识到它的存在,因此不需要专门的用户培训,或在每台主机上设置特别的软件。

三、 包过滤路由器的局限性

1、定义包过滤路由器,可能是一项复杂的工作。因为网络管理员需要详细地了解Internet(因特网)的各种服务、包头格式以及希望在每个域查找的特定的值。如果必须支持复杂过滤要求的路由器,则过滤规则集可能会变得很长很复杂,并且没有什么工具可以用来验证过滤规则的正确性。

2、路由器信息包的吞吐量,随包过滤路由器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表,而后将信息包顺向运行到适当的转发接口。如果过滤可执行,路由器还必须对每个包执行所有过滤规则,这可能会消耗CPU的资源,并影响一个完全饱和的系统性能。

3、不能彻底防止地址欺骗。大多数包过滤路由器都是基于“源IP地址、目的IP地址”进行过滤的,而IP地址的伪造,是很容易、很普遍的。

4、一些应用协议不适合于数据包过滤。即使是完美的数据包过滤,也会发现一些协议并不适合于经由数据包过滤安全保护。如RPC(远程过程调用)、X- Window和FTP(文件传输协议)。而且服务代理和HTTP的链接,大大削弱了基于源地址和源端口的过滤功能。

5、正常的过滤路由器无法执行某些安全策略。例如,数据包说它们来自什么主机,而不是什么用户,因此,我们不能强行限制特殊的用户。同样地,数据包说它到什么端口,而不是到什么应用程序,当我们通过端口号对高级协议强行限制时,不希望在端口上有别的指定协议之外的协议,而那些不怀好意的知情者却能够很容易地破坏这种规则的控制。

6、一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来。它可以阻止非法用户进入内部网络,但也不会告诉我们究竟都有谁来过,或者谁从内部进入了外部网络。

包过滤技术,是防火墙最基本的功能之一。此技术主要是根据防火墙事先设定的过滤逻辑,通常称为“访问控制列表(ACL)”,来检查数据包的“源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、协议(TCP、UDP、ICMP等)、ICMP消息类型以及它们的组合信息,决定是否允许该数据包通过。

随着防火墙技术的不断发展,目前出现了“智能防火墙”等新的防火墙技术。智能防火墙采用了智能的方法来对数据包进行识别,并达到访问控制的目的,可以用于防御DDoS攻击,防范MAC欺骗、IP欺骗等。

为了更加精准有效地防御DDoS攻击,并降低用户的防御成本,亿速云为用户提供专业抗DDoS攻击的高防服务器、高防香港服务器、高防裸金属服务器,具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点与优势。采用“智能硬件防火墙 + 流量牵引技术”,并为用户配置相对应的高防IP,在用户面临DDoS攻击时,可精准识别出恶意流量,并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后,高防IP会将正常流量返回给源站IP,从而达到“防御DDoS攻击,保证用户网站正常稳定运行”的目的。