防火墙关键技术-2-静态包过滤

《计算机网络安全》学习

静态包过滤

1. 简介
   静态包过滤防火墙根据流经该设备的数据包地址信息决定是否允许该数据包通过，如图，
   静态包过滤防火墙

   
   

   
   

   
   

   
   

   

静态包过滤的判断依据如下（只思考IP包）：

• 数据包协议类型TCP、UDP、ICMP、IGMP等。

• 源、目的IP地址。

• 源、目的端口FTP、HTTP、DNS等。

• IP选项源路由、记录路由等。

• TCP选项SYN、ACK、FIN、RST等。

• 其他协议选项ICMP、ECHO、ICMP、REPLY等。

• 数据包流向in或out。

• 数据包流经网络接口。

2. 静态包过滤防火墙实现三个功能

• 接收每个到达的数据包。

• 对数据包采用过滤规则，对数据包的IP头和传输字段内容进行检查。

• 如果没有规则与数据包头信息匹配，则对数据包施加默认规则 。

默认规则：
1、容易使用；2、安全第一。

• 容易使用：“允许一切”，没有明确拒绝则通过。

• 安全第一：“拒绝一切”，没有明确通过则拒绝。

静态包过滤防火墙是最原始的防火墙，静态数据包过滤发生在网络层上。对于静态包过滤防火墙来说，决定接收还是拒绝一个数据包，取决于对数据包中IP头和协议头等特定域的检查和判定。

3. 静态包过滤器的工作原理

• 过滤内容：源地址、目的地址、源端口、目的端口、应用或协议。

• 若符合规则，则丢弃数据包。如果包过滤器没有发现一个规则与该数据包匹配，那么它将对其施加一个默认规则。

• 过滤位置：可以在网络入口处过滤，也可在网络出口处过滤，还可以在入口和出口同时对数据包进行过滤。

• 访问控制策略：网管员预先编写一个访问控制列表，明确规定哪些主机或服务可接受，哪些主机或服务不可接受。

4. 静态包过滤防火墙的优点

• 逻辑简单，价格便宜，成本低。

• 对网络性能的影响较小，有较强的透明性。

• 它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。

5. 静态包过滤防火墙的缺点

• 配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题。

• 过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足。

• 由于数据包的地址及端口号都在数据包的头部，不能彻底防止IP地址欺骗。

• 允许外部客户和内部主机的直接连接。

• 不提供用户的鉴别机制。

• 仅工作在网络层，具有较低水平的安全性。