2.数据包过滤基本准则 最早的包过滤是在路由器上进行的。通过对路由表的配置,来决定数据包 是否符合过滤规则。数据包的过滤规则由一些规则逻辑描述 条过滤规 则规定了允许数据包流进或流出内部网络的一个条件。 在制定了数据包过滤规则后,对于每一个数据包,路由器会从第一条规则 开始诸条进行检查,最后决定该数据包是否符合过滤逻辑。 数据包规则的应用有两种策略: 默认接受:一切未被禁止的,就是允许的。即除明确指定禁止的数据 包,其他都是允许通过的。这也称为“黑名单”策略 默认拒绝:一切未被允许的,就是禁止的。即除明确指定通过的数据 包,其他都是被禁止的。这也称为“白名单”策略。 从安全的角度,默认拒绝应该更可靠。 此外,包过滤还有禁入和禁出的区别。前者不允许指定的数据包由外部 网络流入内部网络,后者不允许指定的数据包由内部网络流入外部网络
2. 数据包过滤基本准则 最早的包过滤是在路由器上进行的。通过对路由表的配置,来决定数据包 是否符合过滤规则。数据包的过滤规则由一些规则逻辑描述:一条过滤规 则规定了允许数据包流进或流出内部网络的一个条件。 在制定了数据包过滤规则后,对于每一个数据包,路由器会从第一条规则 开始诸条进行检查,最后决定该数据包是否符合过滤逻辑。 数据包规则的应用有两种策略: ▪ 默认接受:一切未被禁止的,就是允许的。即除明确指定禁止的数据 包,其他都是允许通过的。这也称为“黑名单”策略。 ▪ 默认拒绝:一切未被允许的,就是禁止的。即除明确指定通过的数据 包,其他都是被禁止的。这也称为“白名单”策略。 从安全的角度,默认拒绝应该更可靠。 此外,包过滤还有禁入和禁出的区别。前者不允许指定的数据包由外部 网络流入内部网络,后者不允许指定的数据包由内部网络流入外部网络
建立数据包过滤规则的大致步骤如下: 安全需求分析,确定安全策略:根据网络的具体情况,确定需要保护 什么,需要提供什么服务,进一步明确所允许和禁止的仼务, 将安全策略转化为数据包分组字段的逻辑表达式 用防火墙提供的过滤规则语法描述过滤逻辑。 按照过滤逻辑对路由器进行设置
建立数据包过滤规则的大致步骤如下: ▪ 安全需求分析,确定安全策略:根据网络的具体情况,确定需要保护 什么,需要提供什么服务,进一步明确所允许和禁止的任务。 ▪ 将安全策略转化为数据包分组字段的逻辑表达式。 ▪ 用防火墙提供的过滤规则语法描述过滤逻辑。 ▪ 按照过滤逻辑对路由器进行设置
3.1.2数据包的地址过滤策略( 1.地址过滤策略概述 按照地址进行过滤是最简单的过滤方式,它的过滤规则 只对数据包的源地址、目标地址和地址偏移量进行判断, 这在路由器上是非常容易配置的。对于信誉不好或内容 不宜并且地址确定的主机,用这种策略通过简单配置, 就可以将之拒之门外。但是,对于攻击,尤其是地址欺 骗攻击的防御,过滤规则的配置就要复杂多 下面分几种情形分别考虑
3.1.2 数据包的地址过滤策略 1. 地址过滤策略概述 按照地址进行过滤是最简单的过滤方式,它的过滤规则 只对数据包的源地址、目标地址和地址偏移量进行判断, 这在路由器上是非常容易配置的。对于信誉不好或内容 不宜并且地址确定的主机,用这种策略通过简单配置, 就可以将之拒之门外。但是,对于攻击,尤其是地址欺 骗攻击的防御,过滤规则的配置就要复杂多了。 下面分几种情形分别考虑
(1)P源地址欺骗攻击 对于攻击者伪装内部用户的卩地址攻击,可以按照下面的原则配置 过滤规则:如果发现具有内部地址的数据包到达路由器的外部接口, 就将其丢弃。 显然,这种规则对于外部主机冒充另外一台主机的攻击则无能为力 (2)源路由攻击 攻击者有时为了躲过网络的安全设施,要为数据包指定一个路由 这条路由可以使数据包以不期望路径到达目标。对付这种攻击的过 滤规则是丢弃所有含有源路由的数据包 (3)小分段攻击 当一个P包太长时,就要对其进行分片传输。分组后,传输层的首 部只出现在|P层的第1片中。攻击者利用IP分片的这一特点,往往 会建立极小的分片,希望过滤路由器只检査第1片,而忽略后面的 分组。 对付小分段攻击的策略是丢弃FO为1的TCP、UDP数据包
(1)IP源地址欺骗攻击 对于攻击者伪装内部用户的IP地址攻击,可以按照下面的原则配置 过滤规则:如果发现具有内部地址的数据包到达路由器的外部接口, 就将其丢弃。 显然,这种规则对于外部主机冒充另外一台主机的攻击则无能为力。 (2)源路由攻击 攻击者有时为了躲过网络的安全设施,要为数据包指定一个路由, 这条路由可以使数据包以不期望路径到达目标。对付这种攻击的过 滤规则是丢弃所有含有源路由的数据包。 (3)小分段攻击 当一个IP包太长时,就要对其进行分片传输。分组后,传输层的首 部只出现在IP层的第1片中。攻击者利用IP分片的这一特点,往往 会建立极小的分片,希望过滤路由器只检查第1片,而忽略后面的 分组。 对付小分段攻击的策略是丢弃FO为1的TCP、UDP数据包
2.基于地址的过滤规则的设计 例311某公司有一B类网(12345)。该网的子网 (123456.0/24)有一合作网络(13579)。管理员希望: (1)禁止一切来自 Internet的对公司内网的访问 (2)允许来自合作网络的所有子网(1357900/16)访问 公司的子网(1234560/24); (3)禁止对合作网络的子网(135.79.99.0/24)的访问权 (除对全网开放的特定子网外)。 为简单起见,只考虑从合作网络流向公司的数据包,对称地处 理逆向数据包只需互换规则行中源地址和目标地址即可
2. 基于地址的过滤规则的设计 例3.1.1 某公司有一B类网(123.45)。该网的子网 (123.45.6.0/24)有一合作网络(135.79)。管理员希望: (1)禁止一切来自Internet的对公司内网的访问; (2)允许来自合作网络的所有子网(135.79.0.0/16)访问 公司的子网(123.45.6.0/24); (3)禁止对合作网络的子网(135.79.99.0/24)的访问权 (除对全网开放的特定子网外)。 为简单起见,只考虑从合作网络流向公司的数据包,对称地处 理逆向数据包只需互换规则行中源地址和目标地址即可