⑴ 什麼叫包過濾技術
基於協議抄特定的標准,路由器在其端襲口能夠區分包和限制包的能力叫包過濾(Packet Filtering)。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息,並根據匹配和規則決定包的前行或被舍棄,以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點,同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。
⑵ 防火牆基本技術
防火牆的基本技術
防火牆是在對網路的服務功能和拓撲結構詳細分析的基礎上,在被保護對象周圍通過的專用軟體、硬體以及
管理措施的綜合,對跨越網路邊界的信息進行監測、控制甚至修改的設施。目前使用的防火牆技術主要有包過濾
和代理服務技術等,用這些技術可以分別做成具有不同功能的防火牆部件。
⒈包過濾技術
包過濾(Packet Filtering)技術就是在網路的適當位置對數據包進行審查,審查的依據是系統內設置的過濾
邏輯——訪問控製表(Access Control table)。包過濾器逐一審查每份數據包並判斷它是否與包過濾規則相匹配。
過濾規則以順行處理數據包頭信息為基礎,即通過對IP包頭和TCP包頭或UDP包頭的檢查而實現。包過濾工作在網
絡層,故也稱網路防火牆。
在Internet技術中還使用內容過濾技術,擔任內容過濾的軟體有「黑名單」軟體、「白名單」軟體和內容選
擇平台(Platform for Internet Content Selection,PICS)。
「黑名單」軟體是第一代Internet內容過濾軟體,其工作原理是封鎖住不應檢索的網址。其中最有名的是(Cyber
NOT,它記錄了大約7000個網址。「白名單」軟體是第二代Internet內容過濾軟體,其工作原理是先封鎖全部網址,
然後只開放應檢索的網址。
PICS是由麻省理工學院計算機科學實驗室的Jim Miller教授開發的第三代Internet內容過濾軟體。它的主要工
作是對每一個網頁的內容進行分類,並根據內容加上標簽,同時由計算機軟體對網頁的標簽進行檢測,以限制對特
定內容網頁的檢索。
數據包過濾防火牆網路邏輯簡單、性能和透明性好,一般安裝在路由器上。路由器是內部網路與Internet連接
的必要設備是一種天然的防火牆,它可以決定對到來的數據包是否進行轉發。這種防火牆實現方式相當簡捷,效率
較高,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無
法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,
騙過包過濾型防火牆,一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊。進一步說,由於數據包的源地址、
目標地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒;並且它缺乏用戶日誌(Log)和審計 (Audit)信
息,不具備登錄和報告性能,不能進行審核管理,因而過濾規則的完整性難以驗證,所以安全性較差。
⒉代理服務技術
⑴代理服務概述
代理伺服器(Proxy Server)是位於兩個網路(如Internet和Intranet)之間的一種常見伺服器,如果把網路防火牆
比做門衛,代理伺服器就好比是接待室。門衛只根據證件決定來訪者是否可以進入,而接待室在內部人員與來訪者之
間真正隔起一道屏障,它位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。其特別之處就在於它的雙重角色,
從客戶機來看,它相當於一台真正的伺服器;而從伺服器來看,它又是一台真正的客戶機。當客戶機需要使用服務
器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理服務
器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企
業內部網路系統。
代理服務技術可以運用於應用層,也可以運用於傳輸層。運用於應用層的代理服務與過濾路由器組合的防火牆,
被稱為應用層網關,它們是面對不同的應用的。運用於傳輸層的代理服務防火牆,實際上是TCP/UDP連接中繼服務。
⑵代理伺服器的工作原理
圖8-9所示表明了代理伺服器(應用網關)的工作原理。
①代理伺服器運行後,它的核心部件——應用代理程序啟動,並開始監聽某個應用埠(這個應用埠是由安全管
理員設定的);
②外部客戶需要訪問內部伺服器時,發送請求到對應的應用埠;
③代理伺服器將請求轉發給內部伺服器;
④伺服器的應答也通過代理伺服器發給外部客戶。
一旦應用代理程序與伺服器之間的連接建立,也就在客戶與伺服器之間建立了一個虛連接,這個虛連接是由兩
條虛連接(客戶端到代理伺服器的客戶連接和代理伺服器到伺服器的伺服器連接)和代理伺服器(應用代理程序)的
中轉實現。
圖8-9代理伺服器工作原理
⑶應用代理程序
應用代理程序是代理伺服器的核心部件。對於應用網關來說,應用代理程序是根據不同的應用協議進行設計的,
根據所代理的應用協議,應用網關可以分為FTP網關、Telnet網關、Web網關等,它們各有對應的應用代理程序。
⑷代理伺服器的功能
①中轉數據。
②對傳輸的數據進行預處理常見的有地址過濾、關鍵字過濾和協議過濾。
③對中轉數據提供詳細的日誌和審計。
④節省IP地址。使用網路地址轉換服務(Network Address Translation,NAT),可以屏蔽內部網路的IP地址,使所
有用戶對外只用一個IP地址,但這也給黑客留下了隱藏自己真實的IP地址,而逃避監視的隱患。
⑤節省網路資源。代理服務常常設置一個較大的硬碟存儲空間,用於存放通過的信息,當內部用戶再訪問相同的信
息時,就可以直接從緩沖區中讀取。
代理服務的隔離作用強,具有對過往的數據包進行分析監控、注冊登記、過濾、記錄和報告等功能,可以針對
應用層進行偵測和掃描,當發現被攻擊跡象時會向網路管理員發出警報,並能保留攻擊痕跡,因此,具有比包過濾
更強的防火牆功能。它的缺點是必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復
雜性。
⒊堡壘主機
運行防火牆軟體(例如運行應用代理程序)的主機稱為堡壘主機。堡壘主機是防火牆最關鍵的部件,也是入侵者
最關注的部件,因此它必須健壯,必須不容易被攻破。
⑶ 什麼是包過濾防火牆技術
數據包過濾用在內部主機和外部主機之間, 過濾系統是一台路由器或是一台主機專。過濾系統根據屬過濾規則來決定是否讓數據包通過。用於過濾數據包的路由器被稱為過濾路由器。
數據包信息的過濾
數據包過濾是通過對數據包的IP頭和TCP頭或UDP頭的檢查來實現的,主要信息有:
* IP源地址
* IP目標地址
* 協議(TCP包、UDP包和ICMP包)
* TCP或UDP包的源埠
* TCP或UDP包的目標埠
* ICMP消息類型
* TCP包頭中的ACK位
* 數據包到達的埠
* 數據包出去的埠
在TCP/IP中,存在著一些標準的服務埠號,例如,HTTP的埠號為80。通過屏蔽特定的埠可以禁止特定的服務。包過濾系統可以阻塞內部主機和外部主機或另外一個網路之間的連接,例如,可以阻塞一些被視為是有敵意的或不可信的主機或網路連接到內部網路中。
望採納。謝謝🙏
⑷ 什麼是包過濾技術其特點是什麼
一、定義:
包過濾(Packet Filtering)技術:是基於協議特定的標准,路由器在其埠能夠區分包和限制包的技術。
基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息,並根據匹配和規則決定包的前行或被舍棄,以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點,同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。包過濾技術的二、特點
1、優點 :對小型的、不太復雜的站點包過濾較容易實現。
(1)一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器;
(2)過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間,由於過濾路由器只檢查報頭相應的欄位,一般不查看數據報的內容,而且某些核心部分是由專用硬體實現的,如果通信負載適中且定義的過濾很少的話,則對路由器性能沒有多大影響;
(3)包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時,它與普通路由器沒什麼區別,甚至用戶沒有認識到它的存在,因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
2、缺點及局限性:
他們很少有或沒有日誌記錄能力,所以網路管理員很難確認系統是否正在被入侵或已經被入侵了。這種防火牆的最大缺陷是依賴一個單一的部件來保護系統。
(1)定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的,則過濾規則集可能會變得很長很復雜,並且沒有什麼工具可以用來驗證過濾規則的正確性。
(2)路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表,而後將信息包順向運行到適當轉發介面。如果過濾可執行,路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源,並影響一個完全飽和的系統性能。
(3)不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的,而IP地址的偽造是很容易、很普遍的。
(4)一些應用協議不適合於數據包過濾。即使是完美的數據包過濾,也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接,大大削弱了基於源地址和源埠的過濾功能。
(5)正常的數據包過濾路由器無法執行某些安全策略。例如,數據包說它們來自什麼主機,而不是什麼用戶,因此,我們不能強行限制特殊的用戶。同樣地,數據包說它到什麼埠,而不是到什麼應用程序,當我們通過埠號對高級協議強行限制時,不希望在埠上有別的指定協議之外的協議,而不懷好意的知情者能夠很容易地破壞這種控制。
(6)一些包過濾路由器不提供任何日誌能力,直到闖入發生後,危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路,但也不會告訴我們究竟都有誰來過,或者誰從內部進入了外部網路。