基於Linux系統的包過濾防火牆(1)

來源:互聯網
上載者:User

  第1 章、基於路由器的包過濾防火牆

  1.1 包過濾防火牆的一般概念

  1.1.1 什麼是包過濾防火牆

  包過濾防火牆是用一個軟體查看所流經的資料包的包頭(header),由此決定整個包的命運。它可能會決定丟棄(DROP)這個包,可能會接受(ACCEPT)這個包(讓這個包通過),也可能執行其它更複雜的動作。

  在Linux系統下,包過濾功能是內建於核心的(作為一個核心模組,或者直接內建),同時還有一些可以運用於資料包之上的技巧,不過最常用的依然是查看包頭以決定包的命運。

  1.1.2 包過濾防火牆的工作層次

  包過濾是一種內建於Linux核心路由功能之上的防火牆類型,其防火牆工作在網路層。

  1.1.3 包過濾防火牆的工作原理

  (1)使用過濾器。資料包過濾用在內部主機和外部主機之間,    過濾系統是一台路由器或是一台主機。過濾系統根據過濾規則來決定是否讓資料包通過。用於過濾資料包的路由器被稱為過濾路由器。

  資料包過濾是通過對資料包的IP頭和TCP頭或UDP頭的檢查來實現的,主要資訊有:

  * IP源地址

  * IP目標地址

  * 協議(TCP包、UDP包和ICMP包)

  * TCP或UDP包的源連接埠

  * TCP或UDP包的目標連接埠

  * ICMP訊息類型

  * TCP包頭中的ACK位

  * 資料包到達的連接埠

  * 資料包出去的連接埠

  在TCP/IP中,存在著一些標準的服務連接埠號碼,例如,HTTP的連接埠號碼為80。通過屏蔽特定的連接埠可以禁止特定的服務。包過濾系統可以阻塞內部主機和外部主機或另外一個網路之間的串連,例如,可以阻塞一些被視為是有敵意的或不可信的主機或網路連接到內部網路中。

  (2)過濾器的實現。資料包過濾一般使用過濾路由器來實現,這種路由器與普通的路由器有所不同。

  普通的路由器只檢查資料包的目標地址,並選擇一個達到目的地址的最佳路徑。它處理資料包是以目標地址為基礎的,存在著兩種可能性:若路由器可以找到一個路徑到達目標地址則發送出去;若路由器不知道如何發送資料包則通知數據包的寄件者“資料包不可達”。

  過濾路由器會更加仔細地檢查資料包,除了決定是否有到達目標地址的路徑外,還要決定是否應該發送資料包。“應該與否”是由路由器的過濾策略決定並強行執行的。

  路由器的過濾策略主要有:

  * 拒絕來自某主機或某網段的所有串連。

  * 允許來自某主機或某網段的所有串連。

  * 拒絕來自某主機或某網段的指定連接埠的串連。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。