包过滤防火墙

7.3.2　包过滤防火墙

数据包过滤（Packet Filtering）技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择地控制与操作。包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤（通常是对从Internet进入到内部网络的包进行过滤）。选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control Table）或规则表。

规则表指定允许哪些类型的数据包可以流入或流出内部网络，例如：只接收来自某些指定的IP地址的数据包或者内部网络的数据包可以流向某些指定的端口等；哪些类型的数据包的传输应该被拦截。防火墙的IP包过滤规则以IP包信息为基础，对IP包源地址、目标地址、传输方向、分包、IP包封装协议（TCP/UDP/ICMP/IP Tunnel）、TCP/UDP目标端口号等进行筛选、过滤。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。包过滤处理如图7-15所示。

图7-15　包过滤处理

包过滤操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。

数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据。不符合网络安全的那些服务将被严格限制。基于包中的协议类型和协议字段值，过滤路由器能够区分网络流量。正是因为这种原因，过滤路由器也可以称作包过滤路由器（Packet Filtering Router）。

1.数据包过滤技术的发展

包过滤类型的防火墙遵循的一条最基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包通过，而禁止其他的数据包通过。有两种数据包过滤技术，分别为静态包过滤和动态包过滤技术。

（1）静态包过滤。一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。利用静态包过滤规则建立的防火墙就叫静态包过滤防火墙。这种类型的防火墙根据定义好的过滤规则审查每个数据包，即与规则表进行比较，以便确定其是否与某一条包过滤规则匹配。

（2）动态包过滤。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。即采用了基于连接状态的检查和动态设置包过滤规则的方法，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查。动态过滤规则技术避免了静态包过滤所具有的问题，使防火墙弥补了许多不安全的隐患，在最大程度上降低了黑客攻击的成功率，从而大大提高了系统的性能和安全性。

2.包过滤的优点

数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上，而路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。包过滤防火墙的优点具体体现在下面几点：

（1）不用改动应用程序。包过滤不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。

（2）一个过滤路由器能协助保护整个网络。数据包过滤的主要优点之一是：一个单个的、恰当放置的包过滤路由器有助于保护整个网络。如果仅有一个路由器连接内部与外部网络，不论内部网络的大小、内部拓扑结构如何，通过那个路由器进行数据包过滤，在网络安全保护上就能取得较好的效果。

（3）数据包过滤对用户透明。数据包过滤是在IP层实现的，Internet根本感觉不到它的存在；包过滤不要求任何自定义软件或者客户机配置；它也不要求用户任何特殊的训练或者操作，使用起来很方便。较强的“透明度”是包过滤的一大优势。

（4）过滤路由器速度快、效率高。较Proxy而言，过滤路由器只检查报头相应的字段，一般不查看数据包的内容，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。总之，包过滤技术是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。

3.包过滤的缺点

（1）不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的。而数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒（IP地址的伪造是很容易、很普遍的），如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过报文过滤器。所以，包过滤最主要的弱点是不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。过滤路由器在这点上大都无能为力。即使按MAC地址进行绑定，也是不可信的。对于一些安全性要求较高的网络，过滤路由器是不能胜任的。

（2）一些应用协议不适合于数据包过滤。如RPC、X-Window和FTP。

（3）正常的数据包过滤路由器无法执行某些安全策略。数据包过滤路由器上的信息不能完全满足用户对安全策略的需求。例如，数据包的报头信息只能说数据包来自什么主机，而不是什么用户；数据包到什么端口，而不是到什么应用程序。这就存在着很大的安全隐患和管理控制漏洞。

（4）安全性较差。过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响：由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；大多数过滤器中缺少审计和报警机制，通常它没有用户的使用记录。这样，管理员就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。

（5）数据包工具存在很多局限性。如数据包过滤规则难以配置，管理方式和用户界面较差；对安全管理人员素质要求高；建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。

从以上分析可以看出，包过滤防火墙技术虽然能确保一定的安全保护，且也有许多优点，但是包过滤毕竟是第一代防火墙技术，本身存在较多缺陷，不能提供较高的安全性。因此，在实际应用中，很少把包过滤技术当作单独的安全解决方案，通常是把它与应用网关配合使用或与其他防火墙技术揉合在一起使用，共同组成防火墙系统。