防火墙的功能主要表现在以下几个方面:
1)、允许管理员通过制定一系列过滤规则来防止非法用户进入内部网络。
2)、方便的对局域网络安全性进行监视,如有异常可以报警提示。
3)、可以方便的统计流经网络的数据流量,是审计网络费用的最佳地点。
4)、防止内部信息的外泄。
5)、现代防火墙常常被用作搭建企业内部VPN(虚拟专用网)。
由于包过滤防火墙具有处理速度快,配置简单高效和兼容性好等特点,被广泛部署在现有网络中。本文主要就包过滤防火墙的规则优化进行研究分析。
2。2 包过滤防火墙简介
2。2。1 包过滤防火墙工作原理
包过滤防火墙的安全策略实施是建立在包过滤规则上的,上一节讲到,包过滤防火墙具有许多过滤要素,主要的还是源IP地址、端口号,目的IP地址、端口号以及协议号。包过滤防火墙工作在OSI网络参考模型的网络层和传输层,对于每个需要流经防火墙的数据包,包过滤防火墙首先匹配众多的过滤要素,得到一个特定的匹配规则,然后根据动作域来进行相应的处理(accept或者deny)。
包过滤防火墙的执行过程可以分为以下几个步骤:文献综述
1)、防火墙利用相应的存储设备将包过滤规则存储起来;
2)、当IP包到达防火墙时,防火墙对IP包的头部进行解析,并进行语法分析;
3)、防火墙按照事先规定好的规则存储顺序来与IP包头信息进行一一比对;
4)、若发现其中一条规则与之匹配,并且动作域为deny,那么该IP包将被阻止经过防火墙;
5)、若发现其中一条规则与之匹配,并且动作域为accept,那么该IP包将被允许经过防火墙;
6)、若发现没有一个规则能与之匹配,那么该IP包将被阻止经过防火墙;
从整个包过滤防火墙技术的发展历程来看,一共出现了两种不同的版本:
1、静态包过滤(Static Packet Filtering)[3]
该类型的防火墙是最基本的基于数据包的过滤防火墙,它会对每个数据包的头部信息进行分析,并与事先预定好的防火墙过滤规则进行比对,一旦发现某个数据包与一个规则相匹配,并且动作域为deny的时候,这个包就会被丢弃。因此,这种类型的防火墙性能依赖于事先定制的过滤规则,一旦出现一个管理员没有考虑到的有害数据包deny规则,那么防火墙就形同虚设,可以试想,这将导致灾难性的后果。
2、动态包过滤(Stateful-based Packet Filtering)[4]
该类型的防火墙是基于网络连接会话的包过滤防火墙,与静态包过滤相比,其在功能上保持着原有过滤技术的基础上,会对已经成功与当前网络计算机连接的IP报文传输进行跟踪,并且通过一系列触发机制判断其跟踪的连接收发的数据包是否对整个系统构成威胁,一旦触发机制,防火墙就会对已有过滤规则进行自动修改或者增加新的过滤规则,以此来防止有害数据包通过防火墙。
但是正如动态防火墙的运行机制描述的那样,这会需要花费大量的系统的资源来支撑防火墙触发机制的运行,这会大大降低防火墙的运行效率,影响局域网的网络传输速度,不过随着计算机和网络的发展,静态包过滤防火墙已经渐渐退出历史舞台,现有技术也完全能撑起动态包过滤防火墙的开销。
2。2。2 包过滤防火墙技术特性
由于包过滤防火墙是通过对比查看IP包的源地址及端口,目的地址及端口来实现其过滤功能的,所以,一般来说,过滤动作是根据当前数据包的包头内容来判断的,其不会保存前后数据包的连接信息。由此不难看出包过滤防火墙技术的优势和缺点。来;自]优Y尔E论L文W网www.youerw.com +QQ752018766-