包过滤防火墙策略的应用

中图分类号:TP393.08文献标识码:A文章编号:1009-2552(2009)12-0152-03

包过滤防火墙策略的应用

陈宝林

(北京联合大学生物化学工程学院,北京100023)

摘要:在TCP P IP网络中,包过滤防火墙的策略制定是至关重要的。策略就是让包过滤防火墙在转发数据包之前打开TCP P IP封装,检查进出网络的数据包的各种属性,决定是否允许该数据包通过防火墙。文中对TCP、IP数据包进行了描述,给出了一些策略实例。

关键词:防火墙;过滤;策略

Application of packet filtering firewall strategies

CHEN Bao-lin

(School of Biochemistry and Engineering,Beijing Union University,Beijing100023,C hina) Abstract:In TCP P IP network,the packet filtering fire wall strategies is essential.Strategy is to make the packet filtering firewall open TCP P IP packa ge before the data packet for warding,check various properties of data packet then decide on whether to allo w the pac ket through the firewall.In this paper TCP、IP packets are described,and some policy instance are proposed.

Key w ords:fire wall;filter;strategies

在TCP P IP网络中,包过滤防火墙的工作原理是在转发数据包之前打开TCP P I P封装,检查进出网络的数据包的各种属性,根据用户设定的安全策略决定是否允许须该数据包通过防火墙。制定合适的安防策略才能使防火墙有效地保护内部网络或主机。

TCP P IP数据包头格式,了解包头格式对防火墙策略的制定是非常必要的。如果对数据包头一无所知是很难制定出合适的策略的。

I P数据包头如表1所示,各字段的属性为:

版本:标识了IP协议的版本(IPv4P IPv6)。

报头长度:标识了IP报头的长度,长度单位为32比特。

服务类型:它用来表示特殊报文的处理方式。

总长度。

标记字段:长度位3位,其中第一位没有被使用,第二位是不分片位DF,位被置1,第三位MF,当路由器对数据进行分片时,除了最后一个分片的MF 位为0外,其他所有的MF全部为1。

分片偏移:以8个bit为单位,用于指明分片起始点相对于报头的起始点的偏移量。

生存时间:在最初创建报文时,TTL就被设定为某个特定值,当报文沿路由器传送时,每经过一个路由器TTL的值就会减小1,当TTL为零的时候,就会丢弃这个报文,同时向源地址发送错误报告,促使重新发送。

协议:字段长度为8位,它给出了主机到主机传输层的地址或者协议号。

校验和:针对IP报头的纠错字段。

收稿日期:2009-11-12

作者简介:陈宝林(1955-),男,1982年毕业于哈尔滨电工学院(现哈尔滨理工大学),北京联合大学教师,研究方向为计算

机网络安全。

)

152 )

源地址:发送报文的主机IP地址。

目的地址:接收数据报文的主机IP地址。

选项:这个字段是一个可选的变长字段,这个字段主要用于测试。

填充)))该字段通过在后面添加0来补足32位,这样保证报头长度是32bit的倍数。

表1IP包头

版本号(4)包头长(4)服务类型(8)数据包长度(16)

标识(16)偏移量(16)生存时间(8)传输协议(8)校验和(16)

源地址(32)

目的地址(32)

选项(8),,填充TCP数据包头如表2所示,各字段的属性为:

源端口号:标识发送报文的主机的端口或进程。

目的端口号:标识接收报文的主机的端口或进程。

序列号:用于标识每个报文段,使目的主机可确认已收到指定报文段中的数据。

确认号:目的主机返回确认号,使源主机知道某个或几个报文段已被接收。如果ACK控制位被设置为1,则该字段有效。

TCP偏移量:由于TCP报头的长度随TCP选项字段内容的不同而变化,因此该字段以32比特为单位指定报头长度。

保留位(6位)全部为0。

标志位(6位)

URG:报文段紧急。

AC K:确认号有效。

PSH:建议计算机立即将数据交给应用程序。

RST:复位连接。

SYN:同步标志。

FI N:无后续数据传输标志。

窗口(16位)。

接收计算机可接收的新数据字节的数量。

校验和(16位)。

紧急指针(16位)。

选项(充填)。

完整的TCP报头必须是32比特的整数倍,为了达到这一要求,常在TCP选项字段的末尾补零。

表2TCP包头

源端口(16)目的端口(16)

序列号(32)

确认号(32)

TCP偏移量(4)保留(6)标志(6)窗口(16)

校验和(16)紧急(16)

选项(0或32)

数据(可变)

利用TC P P IP包头属性制定防御策略

制定包过滤防火墙的策略实际上就是给防火墙制定一些行动准则,就是命令防火墙把具有某些属性的数据包丢弃,而其他的数据包则允许其通过。我们通常会根据数据包的源IP地址、目的IP地址、源端口号、目的端口号、TCP标志、ICMP类型和代码等属性制定策略(过滤准则)。

1按IP地址过滤

所有的防火墙都具有IP地址过滤功能。防火墙对所有数据包的IP包头进行检验,根据其源IP 地址和目标IP地址决定对该数据包进行转发或将其阻断。如图1所示,在内部网和外部网之间隔了一个防火墙,内部网一侧有一台Unix服务器,外部网一侧有两台PC

计算机。当某台PC客户机向Unix计算机发起TCP连接请求时,PC端的客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包封装到一个IP 包里,然后通过PC机的TCP P IP栈所定义的路径将它发送给Unix服务器。在这个例子里,这个I P包必须经过PC和Unix服务器之间的防火墙才能到达Unix计算机。

图1内外网结构连接示意图

如果认为PC-a与Unix服务器建立连接会对Unix服务器造成损害,或者我们已经知道这台PC 就是一台黑客使用的计算机,我们希望防火墙阻断PC-a与Unix服务器的连接,可以命令(配制)防火墙丢弃所有由这台PC机发给Unix服务器的数据包,即凡是源地址是那台PC-a的IP地址,目的地址是

)

153

)