建立数据包过滤规则的大致步骤如下: 安全需求分析,确定安全策略:根据网络的具体情况,确定需要保护 什么,需要提供什么服务,进一步明确所允许和禁止的任务。 将安全策略转化为数据包分组字段的逻辑表达式。 用防火墙提供的过滤规则语法描述过滤逻辑 按照过滤逻辑对路由器进行设置
建立数据包过滤规则的大致步骤如下: ▪ 安全需求分析,确定安全策略:根据网络的具体情况,确定需要保护 什么,需要提供什么服务,进一步明确所允许和禁止的任务。 ▪ 将安全策略转化为数据包分组字段的逻辑表达式。 ▪ 用防火墙提供的过滤规则语法描述过滤逻辑。 ▪ 按照过滤逻辑对路由器进行设置
312数据包的地址过滤策略 1.地址过滤策略概述 按照地址进行过滤是最简单的过滤方式,它的过滤规则 只对数据包的源地址、目标地址和地址偏移量进行判断, 这在路由器上是非常容易配置的。对于信誉不好或内容 不宜并且地址确定的主机,用这种策略通过简单配置, 就可以将之拒之门外。但是,对于攻击,尤其是地址欺 骗攻击的防御,过滤规则的配置就要复杂多了。 下面分几种情形分别考虑
3.1.2 数据包的地址过滤策略 1. 地址过滤策略概述 按照地址进行过滤是最简单的过滤方式,它的过滤规则 只对数据包的源地址、目标地址和地址偏移量进行判断, 这在路由器上是非常容易配置的。对于信誉不好或内容 不宜并且地址确定的主机,用这种策略通过简单配置, 就可以将之拒之门外。但是,对于攻击,尤其是地址欺 骗攻击的防御,过滤规则的配置就要复杂多了。 下面分几种情形分别考虑
(1)P源地址欺骗攻击 对于攻击者伪装内部用户的P地址攻击,可以按照下面的原则配置 过滤规则:如果发现具有内部地址的数据包到达路由器的外部接口, 就将其丢弃 显然,这种规则对于外部主机冒充另外一台主机的攻击则无能为力。 (2)源路由攻击 攻击者有时为了躲过网络的安全设施,要为数据包指定一个路由, 这条路由可以使数据包以不期望路径到达目标。对付这种攻击的过 滤规则是丢弃所有含有源路由的数据包。 (3)小分段攻击 个|P包太长时,就要对其进行分片传输。分组后,传输层的首 部只出现在|P层的第1片中。攻击者利用|P分片的这一特点,往往 会建立极小的分片,希望过滤路由器只检査第1片,而忽略后面的 分组 对付小分段攻击的策略是丢弃FO为1的TCP、UDP数据包
(1)IP源地址欺骗攻击 对于攻击者伪装内部用户的IP地址攻击,可以按照下面的原则配置 过滤规则:如果发现具有内部地址的数据包到达路由器的外部接口, 就将其丢弃。 显然,这种规则对于外部主机冒充另外一台主机的攻击则无能为力。 (2)源路由攻击 攻击者有时为了躲过网络的安全设施,要为数据包指定一个路由, 这条路由可以使数据包以不期望路径到达目标。对付这种攻击的过 滤规则是丢弃所有含有源路由的数据包。 (3)小分段攻击 当一个IP包太长时,就要对其进行分片传输。分组后,传输层的首 部只出现在IP层的第1片中。攻击者利用IP分片的这一特点,往往 会建立极小的分片,希望过滤路由器只检查第1片,而忽略后面的 分组。 对付小分段攻击的策略是丢弃FO为1的TCP、UDP数据包
2.基于地址的过滤规则的设计 例31.1某公司有一B类网(12345)。该网的子网 (1234560/24)有一合作网络(13579)。管理员希望: (1)禁止一切来自 Internet的对公司内网的访问; (2)允许来自合作网络的所有子网(135790.0/16)访问 公司的子网(1234560/24); (3)禁止对合作网络的子网(135.79.99.0/24)的访问权 (除对全网开放的特定子网外)。 为简单起见,只考虑从合作网络流向公司的数据包,对称地处 理逆向数据包只需互换规则行中源地址和目标地址即可
2. 基于地址的过滤规则的设计 例3.1.1 某公司有一B类网(123.45)。该网的子网 (123.45.6.0/24)有一合作网络(135.79)。管理员希望: (1)禁止一切来自Internet的对公司内网的访问; (2)允许来自合作网络的所有子网(135.79.0.0/16)访问 公司的子网(123.45.6.0/24); (3)禁止对合作网络的子网(135.79.99.0/24)的访问权 (除对全网开放的特定子网外)。 为简单起见,只考虑从合作网络流向公司的数据包,对称地处 理逆向数据包只需互换规则行中源地址和目标地址即可
匚规则「源地址目的地址过滤操作 135.7900/16 123456.0/24 允许 B 135.7999024 123.450.0/16 拒绝 0.00.0/0 0.0.0.0/0 拒绝 表32该公司网络的包过滤规则 表中规则C是默认规则。 3.3是使用一些样本数据包对表32所示过滤规则的测试 结果 数据包源地址目的地址目标行为操作ABC行为操作BAC行为操作 13579911234511 拒绝 拒绝B)拒绝(B) 135.7999.1 123456.1 允许 允许(A) 拒绝(B) 31357911 123.456.1 允许 允许(A) 允许(4) 4 135.79.1.1 123.45.1.1 拒绝 拒绝(C) 拒绝(C) 表33使用样本数据包测试结果
表3.2 该公司网络的包过滤规则 ▪ 表中规则C是默认规则。 规 则 源 地 址 目 的 地 址 过滤操作 A 135.79.0.0/16 123.45.6.0/24 允许 B 135.79.99.0/24 123.45.0.0/16 拒绝 C 0.0.0.0/0 0.0.0.0/0 拒绝 数据包 源地址 目的地址 目标行为操作 ABC行为操作 BAC行为操作 1 135.79.99.1 123.45.1.1 拒绝 拒绝(B) 拒绝(B) 2 135.79.99.1 123.45.6.1 允许 允许(A) 拒绝(B) 3 135.79.1.1 123.45.6.1 允许 允许(A) 允许(A) 4 135.79.1.1 123.45.1.1 拒绝 拒绝(C) 拒绝(C) 表3.3 使用样本数据包测试结果 ▪ 3. 3是使用一些样本数据包对表3.2所示过滤规则的测试 结果