7.2.1数据包过滤 包过滤技术工作在OS七层模型的网络层上 并有两个功能,即允许和阻止; 如果检查数据包所有的条件都符合规则,则 允许进行路由;如果检查到数据包的条件不 符合规则,则阻止通过并将其丢弃。 包检查是对P头和传输层的头进行过滤, 般要检查下面几项
7.2.1 数据包过滤 ◼ 包过滤技术工作在OIS七层模型的网络层上 并有两个功能,即允许和阻止; ◼ 如果检查数据包所有的条件都符合规则,则 允许进行路由;如果检查到数据包的条件不 符合规则,则阻止通过并将其丢弃。 ◼ 包检查是对IP头和传输层的头进行过滤, 一 般要检查下面几项:
72.1数据包过滤 源IP地址 目的IP地址 TCP/UDP源端口 TCP/UDP目的端口 协议类型(TCP包、UDP包、ICMP包) TCP报头中的ACK位 ICMP消息类型
7.2.1 数据包过滤 l 源IP地址 l 目的IP地址 l TCP/UDP源端口 l TCP/UDP目的端口 l 协议类型(TCP包、UDP包、ICMP包) l TCP报头中的ACK位 l ICMP消息类型
7.2.1数据包过滤 例如:若想禁止从 Internet的远程登录到内部网 设备中,则需要建立一条包过滤规视则。因为 Telnet服务是使用TCP协议的23端囗,则禁止 Telnet的包过滤规则为 规则号功能源Ⅳ地址目标P地址源端口目标端口协议 Discard 23 TCP 2 Discard s 23 TCP 上表列出的信息是路由器丢弃所有从TCP23端口出去和进来 的数据包。其它所有的数据包都允许通过
7.2.1 数据包过滤 例如:若想禁止从Internet的远程登录到内部网 设备中,则需要建立一条包过滤规则。因为 Telnet服务是使用TCP协议的23端口,则禁止 Telnet的包过滤规则 为: 规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议 1 Discard * * 23 * TCP 2 Discard * * * 23 TCP 上表列出的信息是路由器丢弃所有从TCP23端口出去和进来 的数据包。其它所有的数据包都允许通过
例如:FTP使用TCP的20和21端口。如果包过滤要禁止所有的 数据包只允许特殊的数据包通过 親则号功能源地址目粝Ⅳ地址源端口目粝端口协议 1Alw192.168.1.0 TCP 2 Alloy 192.168.1.020 TCP 第一条是允许地址为1921681.0的网段内而其源端口和目的端 口为任意的主机进行TCP的会话。 第二条是允许端口为20的任何远程IP地址都可以连接到 19216810.0的任意端口上。 第二条规则不能限制目标端口是因为主动的FTP客户端是不使用 20端口的。当一个主动的FTP客户端发起一个FTP会话时,客户 端是使用动态分配的端口号。而远程的FTP服务器只检查 19216810这个网络内端口为20的设备。有经验的黑客可以利 用这些规则非法访问内部网络中的任何资源。所以要对FTP包过 滤的规则加以相应修改
例如:FTP使用TCP的20和21端口。如果包过滤要禁止所有的 数据包只允许特殊的数据包通过。 规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议 1 Allow 192.168.1.0 * * * TCP 2 Allow * 192.168.1.0 20 * TCP •第一条是允许地址为192.168.1.0的网段内而其源端口和目的端 口为任意的主机进行TCP的会话。 •第二条是允许端口为20的任何远程IP地址都可以连接到 192.168.10.0的任意端口上。 •第二条规则不能限制目标端口是因为主动的FTP客户端是不使用 20端口的。当一个主动的FTP客户端发起一个FTP会话时,客户 端是使用动态分配的端口号。而远程的FTP服务器只检查 192.168.1.0这个网络内端口为20的设备。有经验的黑客可以利 用这些规则非法访问内部网络中的任何资源。所以要对FTP包过 滤的规则加以相应修改
7.2.1数据包过滤 规则号功能源P地址目标IP地址源端口目标端口协议 1A192.168.1.0 21 TCP 2Boc*192.168.1,020<1024TcP 3 Alloy 192168.1.020 TCP ACK:1 第一条是允许网络地址为19216810内的任何主机与目标地址为 任意且端口为21建立TCP的会话连接。 第二条是阻止任何源端口为20的远程IP地址访问内部网络地址为 1921681.0且端囗小于1024的任意主机。 第三条规则是允许源端口为20的任意远程主机可以访问 192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执 行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则 它会被立刻丢弃掉,第三条规则不会执行。但第三条规则仍然需要 是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允 许规则
7.2.1 数据包过滤 规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议 1 Allow 192.168.1.0 * * 21 TCP 2 Block * 192.168.1.0 20 <1024 TCP 3 Allow * 192.168.1.0 20 * TCP ACK=1 ▪第一条是允许网络地址为192.168.1.0内的任何主机与目标地址为 任意且端口为21建立TCP的会话连接。 •第二条是阻止任何源端口为20的远程IP地址访问内部网络地址为 192.168.1.0且端口小于1024的任意主机。 •第三条规则是允许源端口为20的任意远程主机可以访问 192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执 行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则, 它会被立刻丢弃掉,第三条规则不会执行。但第三条规则仍然需要 是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允 许规则