软考-信息安全工程师学习笔记26——防火墙实现技术(包过滤)

防火墙实现技术

数据包过滤

包过滤是在 IP 层实现的防火墙技术，包过滤根据包的源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。

基于包过滤技术的防火墙，简称为包过滤型防火墙(PackFilter)

包过滤路由器依据一套规则对收到的IP包进行处理，决定是转发还是丢弃。数据包过滤的规则主要采用 络层与传输层的信息。包括静态包过滤和动态包过滤。

络层：

IP地址可以表示单个主机，192.168.0.1；

也可以表示一个子 ，如192.168.0.0/255.255.255.0

传输层：

端口的表示：

包过滤的控制依据是规则集，典型的过滤规则表示格式由“规则 、匹配条件、匹配操作”三部分组成，一般的包过滤防火墙都用源 IP 地址、目的 IP 地址、源端口 、目的端口 、协议类型(UDR、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。

包过滤型防火墙的通用实例，该规则的作用在于只允许内、外 的邮件通信，其他的通信都禁止。

下面以 Cisco IOS 为例，说明包过滤器的作用。Cisco IOS 有两种访问规则形式，即标准 IP 访问表和扩展 IP 访问表，它们的区别主要是访问控制的条件不一样。标准 IP 访问表只是根据 IP 包的源地址进行，标准 IP 访问控制规则的格式如下：

access-list list-number{deny|permit} source[source-wildcard] [log]

而扩展 IP 访问控制规则的格式是：

access-list list-number {deny|permit} protocol

source source-wildcard source-qualifiers

destination destination-wildcard destination-qualifiers[log|log-input]

其中：

标准 IP 访问控制规则的 list-number 规定为 1~99，而扩展 IP 访问控制规则的 list-number 规定为 100~199；

包过滤成为当前解决 络安全问题的重要技术之一，不仅可以用在 络边界而且也可应用在单台主机上。

利用 Windows 2000 系统自带的包过滤功能对 139 端口进行过滤，这样可以阻止基于 RPC 的漏洞攻击。

包过滤防火墙技术的优点

包过滤技术的缺点

静态包过滤防火墙

包过滤的实例

实例3-1:某企业内部 (
202.114.63.0/255.255.255.0) 通过防火墙与外部 络互连，其安全需求为:

1. 允许内部用户访问外部 络的 页服务器;
2. 允许外部用户访问内部 络的 页服务器(202.114.64.125);
3. 除1和2外，禁止其他任何 络流量通过该防火墙。

试写出满足该需求的过滤安全规则。

图中“*”表示通配符，任意服务端口都有两条规则。服务总是由请求和应答构成， 其中请求数据 包和应答数据包的传输方向完全相反。 如果允许该服务通过，则匹配请求和应答的规则也必须成对出现;如果限制该服务，限制任何一个都可以中止该服务。但是在配置数据包过滤规则时，要尽可能地对双向的数据包都进行限制。

补全表所示的防火墙过滤器规则的空(1)-(5)，达到防火墙禁止此类扫描流量进入和处出 络，同时又能允许 内用户访问外部 页务器的目的。

简要说明为什么防火墙需要在迸出两个方向上对据数据包进行过滤。

进入方向：防止被攻击

出口方向：防止称为攻击源头或跳板

由于此次勒索软件需要利用系统的SMB服务漏洞(端口 445)进行传播,我们可以配置防火墙过滤规则来阻止勒索软件的攻击,请填写表 1-1中的空（1）-（5）,使该过滤规则完整。注:假设本机 IP地址为:1.2.3.4,”*”表示通配符。

包过滤技术防火墙在过滤数据包时，一般不关心 （D） 。

动态包过滤—状态检查

对通过防火墙建立的每个链接进行跟踪，根据需要动态地在过滤规则中增加或更新条目

学习参考资料：

信息安全工程师教程（第二版）

建群 培信息安全工程师系列视频教程

信息安全工程师5天修炼