四、 包过滤处理内核 过滤路由器可以利用包过滤作为手段来提高网络的安全性。过滤功能也可以由许多商用
防火墙产品来完成,或由基于软件的产品,如Karlbrige基于PC的过滤器来完成。许多商业路由器都可以通过编程来执行过滤功能。路由器制造商,如Cisco、3Com 、Newbridge 、ACC等提供的路由器都可以通过编程来执行包过滤功能。
1. 包过滤和网络策略
包过滤可以用来实现大范围内的网络安全策略。网络安全策略必须清楚地说明被保护的源和服务的类型、它们的重要程度和这些服务要保护的对象。
一般来说,网络安全策略主要集中在阻截入侵者,而不是试图警戒内部用户。它的工作重点是阻止外来用户的突然侵入和故意暴露敏感性数据,而不是阻止内部用户使用外部网络服务。这种类型的网络安全策略决定了过滤路由器应该放在哪里和怎样通过编程来执行包过滤。一个好的网络安全策略还应该使内部用户难以危害网络的安全。
网络安全策略的一个目标就是要提供一个透明机制,以便这些策略不会对用户产生障碍。因为包过滤工作在OSI模型的网络层和传输层,而不是在应用层,这种方法一般来说比
防火墙方法更具透明性。记住
防火墙是工作在OSI模型的应用层的,在这一层的安全措施不应成为透明的。
中国网管联盟bitsCN.com 2.一个简单的包过滤模型
包过滤器通常置于一个或多个网段之间,如图3所示。网络段区分为外部网段或内部网段。外部网段把你的网络连接到外面的网络如Internet上,内部网段用来连接公司的主机和其它网络资源。
包过滤器设备的每一端口都可用来完成网络安全策略,该策略描述了通过此端口可访问的网络服务类型。如果连在包过滤设备上的网络段的数目很大,那么包过滤所要完成的就会变得很复杂。一般来说,应当避免对网络安全问题采取的过于复杂的解决方案,理由如下:
(1) 它们难以维护。
(2) 配置包过滤时容易出错。
(3) 它们对所实施的设备的功能有副作用。
但是,从纯经济的角度来看,通常决定买具有外部端口的一个路由器,而不买几个小的路由器。具有几个端口的路由器的好处是它与CPU接口的广度和处理的容量。另外,由于包过滤原则通常适用于一个接口,那么,如果用户的设计合适,一个多端口的路由器将是一个易于管理的方案。
大多数情况下,如图4所示的一个简单的模型可以用于完成网络安全策略。这个模型表明该包过滤设备只连有两个网段。典型的是,一个是外部网段,另一个是内部网段。包过滤用来限制那些它拒绝的服务的网络流量。因为网络策略是应用于那些与外部主机有联系的内部用户的,所以过滤路由器端口两面的过滤器必须以不同的方式工作。换句话说,过滤器是非对称的。
网管网www_bitscn_com 3. 包过滤器操作
几乎所有的包过滤设备(过滤路由器或包过滤网关)都按照如下方式工作:
(1) 包过滤标准必须为包过滤设备端口存储起来,这些包过滤标准叫包过滤规则;
(2) 当包到达端口时,包的报头被进行语法分析,大多数包过滤设备只检查IP、TCP或UDP报头中的字段,不检查包体的内容;
(3) 包过滤器规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储的顺序相同;
(4) 如果一条规则阻止包传输或接收,此包便不被允许;
(5) 如果一条规则允许包传输或接收,该包可以继续处理;
(6) 如果一个包不满足任何一条规则,该包被阻塞。
从规则4和5可知,将规则以正确的顺序存放是很重要的。要配置包过滤规则时一个常犯的错误就是把规则的顺序放错了。如果包过滤器规则以错误的顺序放置,那么有效的服务也可能被拒绝了,而该拒绝的服务却允许了。
规则6依据如下原理:
在设计网络安全时,这是一条应该遵循的自动防止故障的(failsafe)原理。它与另一个允许原理正好相反:未明确表示禁止的便被允许。
后一条原理是用于包过滤设计的。我们必须想到任何包过滤规则都没有想到一切的可能情况来保证网络的安全性。并且,随着新的服务的增加,很有可能遇到与任何现有的原则都不匹配的情况,与其阻塞这些服务,倒不如让这些对网络安全没有太大威胁的服务通过。
中国网管联盟bitsCN.com 4.包过滤设计
其中过滤路由器被用作在内部被保护网络和外部不信任网络之间的第一道防线。
评论加载中…
