1. 路由器的包過濾功能
你要用過濾功能的前提條件是陸由器的防火牆是開啟的,你這樣的構想是可行的。
2. 包過濾技術特點是什麼
防火牆的一類。傳統的包過濾功能在路由器上常可看到,而專門的防火牆系統版一般在此之上加了功能的擴展,如權狀態檢測等。它通過檢查單個包的地址,協議,埠等信息來決定是否允許此數據包通過。
包過濾防火牆是最簡單的一種防火牆,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。包過濾防火牆一般作用在網路層(IP層),故也稱網路層防火牆(Network Lev Firewall)或IP過濾器(IP filters)。數據包過濾(Packet Filtering)是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。
3. 包過濾的基本特點和工作原理是什麼
包過濾
防火牆的一類。傳統的包過濾功能在路由器上常可看到,而專門回的防火牆系統答一般在此之上加了功能的擴展,如狀態檢測等。它通過檢查單個包的地址,協議,埠等信息來決定是否允許此數據包通過。
包過濾防火牆是最簡單的一種防火牆,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。包過濾防火牆一般作用在網路層(IP層),故也稱網路層防火牆(Network Lev Firewall)或IP過濾器(IP filters)。數據包過濾(Packet Filtering)是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。
4. 簡述包過濾路由器防火牆的基本工作原理。
包過濾路由器防火牆是將過濾器安裝在路由器上或包過濾軟體安裝在PC機上的防版火牆。它工作在權網路層(IP),並對每個進入的IP分組使用一個規則集合。包過濾規則是基於所收到的數據包的源地址、目的地址、TCP/UDP、源埠號及目的埠號、分組出入介面、協議類型和數據包中的各種標志位等參數,與管理者預定的訪問控製表(擬定一個提供接收和服務對象的清單,一個不接受訪問或服務對象的清單)進行比較,按所定安全政策允許或拒絕訪問,決定數據是否符合預先制定的安全策略,決定數據分組的轉發或丟棄,即實施信息過濾。
5. 什麼是包過濾防火牆技術
數據包過濾用在內部主機和外部主機之間, 過濾系統是一台路由器或是一台主機專。過濾系統根據屬過濾規則來決定是否讓數據包通過。用於過濾數據包的路由器被稱為過濾路由器。
數據包信息的過濾
數據包過濾是通過對數據包的IP頭和TCP頭或UDP頭的檢查來實現的,主要信息有:
* IP源地址
* IP目標地址
* 協議(TCP包、UDP包和ICMP包)
* TCP或UDP包的源埠
* TCP或UDP包的目標埠
* ICMP消息類型
* TCP包頭中的ACK位
* 數據包到達的埠
* 數據包出去的埠
在TCP/IP中,存在著一些標準的服務埠號,例如,HTTP的埠號為80。通過屏蔽特定的埠可以禁止特定的服務。包過濾系統可以阻塞內部主機和外部主機或另外一個網路之間的連接,例如,可以阻塞一些被視為是有敵意的或不可信的主機或網路連接到內部網路中。
望採納。謝謝🙏
6. 路由器如何進行數據包過濾
數據包是TCP/IP協議通信傳輸中的數據單位,區域網中傳輸的不是「幀」嗎?
但是TCP/IP協議是工作在OSI模型第三層(網路層)、第四層(傳輸層)上的,而幀是工作在第二層(數據鏈路層)。
上一層的內容由下一層的內容來傳輸,所以在區域網中,「包」是包含在「幀」里的。
一、數據包過濾有時也稱為靜態數據包過濾,它通過分析傳入和傳出的數據包以及根據既定標准傳遞或阻止數據包來控制對網路的訪問,當路由器根據過濾規則轉發或拒絕數據包時,它便充當了一種數據包過濾器。
當數據包到達過濾數據包的路由器時,路由器會從數據包報頭中提取某些信息,根據過濾規則決定該數據包是應該通過還是應該丟棄。數據包過濾工作在開放式系統互聯 (OSI) 模型的網路層,或是 TCP/IP 的 Internet 層。
二、作為第3層設備,數據包過濾路由器根據源和目的 IP 地址、源埠和目的埠以及數據包的協議,利用規則來決定是應該允許還是拒絕流量。這些規則是使用訪問控制列表 (ACL) 定義的。
三、相信您還記得,ACL 是一系列 permit 或 deny 語句組成的順序列表,應用於 IP 地址或上層協議。ACL 可以從數據包報頭中提取以下信息,根據規則進行測試,然後決定是「允許」還是「拒絕」。
四、簡單的說,你上網打開網頁,這個簡單的動作,就是你先發送數據包給網站,它接收到了之後,根據你發送的數據包的IP地址,返回給你網頁的數據包,也就是說,網頁的瀏覽,實際上就是數據包的交換。
1、數據鏈路層對數據幀的長度都有一個限制,也就是鏈路層所能承受的最大數據長度,這個值稱為最大傳輸單元,即MTU。以乙太網為例,這個值通常是1500位元組。
2、對於IP數據包來講,也有一個長度,在IP包頭中,以16位來描述IP包的長度。一個IP包,最長可能是65535位元組。
3、結合以上兩個概念,第一個重要的結論就出來了,如果IP包的大小,超過了MTU值,那麼就需要分片,也就是把一個IP包分為多個。
數據包的結構與我們平常寫信非常類似,目的IP地址是說明這個數據包是要發給誰的,相當於收信人地址;
源IP地址是說明這個數據包是發自哪裡的,相當於發信人地址,而凈載數據相當於信件的內容,正是因為數據包具有這樣的結構,安裝了TCP/IP協議的計算機之間才能相互通信。
在使用基於TCP/IP協議的網路時,網路中其實傳遞的就是數據包。
7. 什麼是全狀態包過濾
包過濾技術(IP Filtering or packet filtering) 的原理在於監視並過濾網路上流入流出的IP包,拒絕發送可疑的包。基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。由於Internet 與Intranet 的連接多數都要使用路由器,所以Router成為內外通信的必經埠,Router的廠商在Router上加入IP 過濾 功能,過濾路由器也可以稱作包過濾路由器或篩選路由器(Packet FilterRouter)。防火牆常常就是這樣一個具備包過濾功能的簡單路由器,這種Firewall應該是足夠安全的,但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的,因而在安全要求較高的場合,通常還配合使用其它的技術來加強安全性。
常用的優秀的個人防火牆有Norman Personal Firewall、天網防火牆等。
路由器逐一審查數據包以判定它是否與其它包過濾規則相匹配。每個包有兩個部分:數據部分和包頭。過濾規則以用於IP順行處理的包頭信息為基礎,不理會包內的正文信息內容。包頭信息包括:IP 源地址、IP目的地址、封裝協議(TCP、UDP、或IP Tunnel)、TCP/UDP源埠、ICMP包類型、包輸入介面和包輸出介面。如果找到一個匹配,且規則允許這包,這一包則根據路由表中的信息前行。如果找到一個匹配,且規則拒絕此包,這一包則被舍棄。如果無匹配規則,一個用戶配置的預設參數將決定此包是前行還是被舍棄。
包過濾規則允許Router取捨以一個特殊服務為基礎的信息流,因為大多數服務檢測器駐留於眾所周知的TCP/UDP埠。例如,Telnet Service 為TCP port 23埠等待遠程連接,而SMTP Service為TCP Port 25埠等待輸入連接。如要封鎖輸入Telnet、SMTP的連接,則Router舍棄埠值為23、25的所有的數據包。
典型的過濾規則有以下幾種:允許特定名單內的內部主機進行Telnet輸入對話、只允許特定名單內的內部主機進行FTP輸入對話、只允許所有Telnet 輸出對話、只允許所有FTP 輸出對話、拒絕來自一些特定外部網路的所有輸入信息。
有些類型的攻擊很難用基本包頭信息加以鑒別,因為這些獨立於服務。一些Router可以用來防止這類攻擊,但過濾規則需要增加一些信息,而這些信息只有通過以下方式才能獲悉:研究Router選擇表、檢查特定的IP選項、校驗特殊的片段偏移等。這類攻擊有以下幾種:
源IP地址欺騙攻擊:入侵者從偽裝成源自一台內部主機的一個外部地點傳送一些信息包;這些信息包似乎像包含了一個內部系統的源IP地址。如果這些信息包到達Router的外部介面,則舍棄每個含有這個源IP地址的信息包,就可以挫敗這種源欺騙攻擊。
源路由攻擊:源站指定了一個信息包穿越Internet時應採取的路徑,這類攻擊企圖繞過安全措施,並使信息包沿一條意外(疏漏)的路徑到達目的地。可以通過舍棄所有包含這類源路由選項的信息包方式,來挫敗這類攻擊。
殘片攻擊:入侵者利用IP殘片特性生成一個極小的片斷並將TCP報頭信息肢解成一個分離的信息包片斷。舍棄所有協議類型為TCP、IP片斷偏移值等於1的信息包,即可挫敗殘片的攻擊。
從以上可看出定義一個完善的安全過濾規則是非常重要的。通常,過濾規則以表格的形式表示,其中包括以某種次序排列的條件和動作序列。每當收到一個包時,則按照從前至後的順序與表格中每行的條件比較,直到滿足某一行的條件,然後執行相應的動作(轉發或舍棄)。有些數據包過濾在實現時,「動作」這一項還詢問,若包被丟棄是否要通知發送者(通過發ICMP信息),並能以管理員指定的順序進行條件比較,直至找到滿足的條件。
對流進和流出網路的數據進行過濾可以提供一種高層的保護。建議過濾規則如下:
(1)任何進入內部網路的數據包不能把網路內部的地址作為源地址。
(2)任何進入內部網路的數據包必須把網路內部的地址作為目的地址。
(3)任何離開內部網路的數據包必須把網路內部的地址作為源地址。
(4)任何離開內部網路的數據包不能把網路內部的地址作為目的地址。
(5)任何進入或離開內部網路的數據包不能把一個私有地址(private address)或在RFC1918中 127.0.0.0/8.)的地址作為源或目的地址。
(6)阻塞任意源路由包或任何設置了IP選項的包。
(7)保留、DHCP自動配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。
包過濾路由器的優點:
(1)一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器;
(2)過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間,由於過濾路由器只檢查報頭相應的欄位,一般不查看數據報的內容,而且某些核心部分是由專用硬體實現的,如果通信負載適中且定義的過濾很少的話,則對路由器性能沒有多大影響;
(3)包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時,它與普通路由器沒什麼區別,甚至用戶沒有認識到它的存在,因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
包過濾路由器的局限性:
(1)定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的,則過濾規則集可能會變得很長很復雜,並且沒有什麼工具可以用來驗證過濾規則的正確性。
(2)路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表,而後將信息包順向運行到適當轉發介面。如果過濾可執行,路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源,並影響一個完全飽和的系統性能。
(3)不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的,而IP地址的偽造是很容易、很普遍的。
(4)一些應用協議不適合於數據包過濾。即使是完美的數據包過濾,也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接,大大削弱了基於源地址和源埠的過濾功能。
(5)正常的數據包過濾路由器無法執行某些安全策略。例如,數據包說它們來自什麼主機,而不是什麼用戶,因此,我們不能強行限制特殊的用戶。同樣地,數據包說它到什麼埠,而不是到什麼應用程序,當我們通過埠號對高級協議強行限制時,不希望在埠上有別的指定協議之外的協議,而不懷好意的知情者能夠很容易地破壞這種控制。
(6)一些包過濾路由器不提供任何日誌能力,直到闖入發生後,危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路,但也不會告訴我們究竟都有誰來過,或者誰從內部進入了外部網路。
8. 有關包過濾路由器的問題
1.初步分析,你的路由器上至少有3個介面,介面1為企業內部介面,接內口2為企業外部介面,容介面3為廣域網介面。
2.訪問控制如果是按照訪問控制列表來做,並且嚴格的寫了控制條目的話,就涉及到應用的問題,首先你說的「除了目的地址=主機A且TCP目的埠號=80的數據包,禁止轉發從Internet到來的所以數據包」應該做在介面2上,如果做在3上,寫法就不同了,而「同時,允許轉發所有從企業內部網發出的數據包」應該做在介面1上,如果在2上無意義,在3上的話寫法也不一樣。那麼你要做的就是在這2個埠上應用訪問控制列表,如果是,可以達到預期目的。
3.我給你些建議:
3.1 你需要允許內網到公網所有的應用,那麼你在埠1上應用一條只允許內網網段訪問公網地址的控制列表即可,因為訪問列表默認會拒絕你沒有應用的所有數據
3.2 你需要外部網路訪問主機A的WWW服務,那麼你在埠2上應用一條只允許外網網段訪問到主機A的WWW流量的控制列表即可。
9. 什麼叫包過濾技術
基於協議抄特定的標准,路由器在其端襲口能夠區分包和限制包的能力叫包過濾(Packet Filtering)。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息,並根據匹配和規則決定包的前行或被舍棄,以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點,同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。
10. 包過濾路由器的優點有哪些
(1)簡單實用。
(2)速度快、效率高。
(3)對用戶和應用來講是透明的。
例子自己想吧