包过滤防火墙

包过滤防火墙

防火墙的最简单的形式是包过滤防火墙。一个包过滤防火墙通常是一台有能力过滤数据包某些内容的路由器。包过滤防火墙能检查的信息包括第3层信息，有时也包括第4层的信息。例如，带有扩展ACL的Cisco路由器能过滤第3层和第4层的信息。

一、过滤操作

当执行数据包时，包过滤规则被定义在防火墙上。这些规则用来匹配数据包内容以决定哪些包被允许和哪些包被拒绝。当拒绝流量时，可以采用两个操作：通知流量的发送者其数据将丢弃，或者没有任何通知直接丢弃这些数据。

二、过滤信息

包过滤防火墙能过滤以下类型的信息：

★第3层的源和目的地址；

★第3层的协议信息；

★第4层的协议信息；

★发送或接收流量的接口。

三、包过滤防火墙的优点

包过滤防火墙有两个主要的优点：

★能以很快的速度处理数据包；

★易于匹配绝大多数第3层域和第4层报文头的域信息，在实施安全策略时提供许多灵活性。

因为包过滤防火墙只检查第3层和/或第4层信息，所以很多路由选择产品支持这种过滤类型。

因为路由器通常是在网络的边界，提供WAN和MAN接入，所以能使用包过滤来提供额外层面的安全。

四、包过滤防火墙的局限性

除了上面提到的优点，包过滤防火墙有以下这些缺点：

★可能比较复杂，不易配置；

★不能阻止应用层的攻击；

★只对某些类型的TCP/IP攻击比较敏感；

★不支持用户的连接认证；

★只有有限的日志功能。

包过滤防火墙不能阻止所有类型的攻击。例如，不检测HTTP连接的实际内容。攻击网络的一种最流行的方式是利用在Web服务器上发现的漏洞。包过滤防火墙不能检测这些攻击，因为它们发生在已被允许的TCP连接之上。

包过滤防火墙不能检测和阻止某些类型的TCP/IP攻击，比如TCP SYN泛洪和IP欺骗。如果包过滤防火墙允许到内部Web服务器的流量，它不会关心这是些什么类型的流量。黑客可能利用这一点，用TCP SYN泛洪攻击Web服务器的80端口，表面上想要服务器上的资源，但相反是占用了上面的资源。另一个例子是，包过滤防火墙不能检测所有类型的IP欺骗攻击，如果允许来自外部网络的流量，包过滤防火墙只能检测在数据包中的源IP地址，不能确定是不是数据包的真正的源地址（或目的地址）。黑客利用这一点，从一个允许的源地址使用允许的流量通过用泛洪来攻击内部网络，以便对内部网络实施DoS攻击。

IP欺骗和DoS攻击，通常可以在允许一个人通过防火墙之前使其先认证流量的方法来处理。但是，包过滤防火墙只检测第3层和第4层的信息。执行认证要求防火墙处理认证信息，这是第7层（应用层）的处理过程。

包过滤防火墙通常支持日志功能。但是日志功能被局限在第3层和第4层的信息。比如，不能记录封装在HTTP传输报文中的应用层数据。

五、包过滤防火墙的使用

因为这些限制，包过滤防火墙通常用在以下方面：

★作为第一线防御（边界路由器）；

★当用包过滤就能完全实现安全策略并且认证不是一个问题的时候；

★在要求最低安全性并要考虑成本的SOHO网络中。

包过滤防火墙能用于不同子网之间不需要认证的内部访问控制。当和其他类型的防火墙相比，因为包过滤防火墙的简易性和低成本，很多SOHO网络使用包过滤防火墙。但是，包过滤防火墙不能为SOHO提供全面的保护，但是至少提供了最低级别的保护来防御很多类型的网络威胁和攻击。