深入理解路由和远程访问服务中的筛选器和基本防火墙

在路由和远程访问服务中，具有两种筛选器：请求拨号筛选器和数据包筛选器。它们的配置方式是一样的，但是作用不同，针对的接口也不同。

请求拨号筛选器只是针对请求拨号接口，它在初始化请求拨号接口之前使用，作用为确定引起请求拨号初始化的IP数据包。当路由和远程访问服务接收到匹配某个请求拨号接口所设置的请求拨号筛选器的IP数据包时，会自动初始化此请求拨号连接，从而进行数据包的路由转发。配置的操作步骤为在RRAS管理控制台中展开服务器，然后点击网络接口，然后在右边窗口中右击请求拨号接口名，然后选择设置 IP 请求拨号筛选器，如下图所示：

弹出的设置请求拨号筛选器窗口如下图所示，其中你可以选择仅为下面所设置的筛选器进行请求拨号或者为除了下面所设置的筛选器外的所有通信进行请求拨号，默认情况下，为所有通信初始化请求拨号连接。

　

　

而数据包筛选器用于IP数据包的过滤。数据包筛选器分为入站筛选器和出站筛选器，分别对应接收到的数据包和发出的数据包。对于某一个接口而言，入站数据包指的是从此接口接收到的数据包，而不论此数据包的源IP地址和目的IP地址；出站数据包指的是从此接口发出的数据包，而不论此数据包的源IP地址和目的IP地址。

类似于请求拨号筛选器，你可以在入站筛选器和出站筛选器中定义RRAS只是允许筛选器中所定义的IP数据包或者允许除了筛选器中定义的IP数据包外的所有数据包，对于没有允许的数据包，RRAS将会丢弃此数据包。

你可以对任何一个物理接口配置数据包筛选器，配置的操作步骤为在RRAS管理控制台中展开服务器，然后展开IP路由选择，点击常规，然后在右边接口列表中右击对应的接口名，选择属性，在弹出的接口属性对话框中，你可以在常规标签中点击入站筛选器和出站筛选器按钮分别进行设置。

在入站筛选器对话框，你可以设置为

• 接收所有除符合下列条件以外的数据包。当接收到的数据包匹配下面所设置的筛选器时，丢弃此数据包，允许所有不匹配筛选器设置的数据包；

• 丢弃所有的包，满足下面条件的除外。当接收到的数据包匹配下面所设置的筛选器时，允许此数据包，丢弃所有不匹配筛选器设置的数据包。

在出站筛选器对话框，你可以设置为

• 传输所有除符合下列条件以外的数据包。当需要传输的数据包匹配下面所设置的筛选器时，丢弃此数据包，传输所有不匹配筛选器设置的数据包；

• 丢弃所有的包，满足下面条件的除外。当需要传输的数据包匹配下面所设置的筛选器时，允许此数据包，丢弃所有不匹配筛选器设置的数据包。

　

IP筛选器的属性如下图所示，你可以通过源网络、目标网络和协议来对IP数据包进行筛选器；你可以只设置源IP网络或目标网络，或者都不设置，根据协议来进行筛选。

　

对于源网络和目标网络的匹配，RRAS是按照以下原则进行：

将IP数据包的源IP地址和目的IP地址分别与IP筛选器中设置的源网络和目标网络的子网掩码进行相与操作，然后再和IP筛选器中的源网络的IP地址和目的网络的IP地址进行比较。

因此，对于筛选器的设置，子网掩码中设置为“0”的位，在IP地址中必须设置为“0”。这是为什么呢？因为在相与操作中，与“0”相与永远为“0”，因此任何IP地址和子网掩码的“0”位相与后均为“0”。而如果你设置的筛选器中IP地址对应的位却设置为“1”，那么你的筛选器将永远都得不到匹配，因此此筛选器就没有任何作用。如果你设置错误，则RRAS会提示你输入的IP地址和子网掩码不兼容，如下图所示：

　

因此，定义源网络和目标网络的方法为：

• 定义某个IP地址时，使用子网掩码255.255.255.255。例如定义源网络为IP地址10.2.1.8，应采用子网掩码255.255.255.255；而10.2.1.0/24网络的子网广播地址，应采用IP地址10.2.1.255、子网掩码255.255.255.255来定义。

• 定义某个网络时，在子网掩码为“0”的位设置IP地址位为“0”。例如要定义网络10.2.1.0/24，则采用IP地址10.2.1.0、子网掩码255.255.255.0来定义；要定义网络10.2.1.192/27，则采用IP地址10.2.1.192、子网掩码255.255.255.224来定义。

　

你还可以通过协议来进行筛选。在IP筛选器中，你可以设置为使用TCP、TCP（已建立的）、UDP、ICMP、其他指定协议号的IP协议或者任何IP协议来进行筛选。其中TCP和TCP（已建立的）区别在于是否已经建立好了TCP连接，这是IP筛选器的状态过滤功能。例如，对于一个从外部网络源端口80发送至本地网络目标端口1031的入站IP数据包，如果你入站筛选器中选择的协议类型为TCP（已建立的），那么只有当过去已经从本地端口1031和外部网络端口80创建了TCP连接时（即本地网络先访问了外部网络，这是外部网络返回的数据），此数据包才会匹配此IP筛选器；如果你协议类型选择为TCP，那么不管本地端口是否和远端端口已经创建了连接，均会匹配此IP筛选器。

此外，在路由和远程访问服务中，如果你启用了NAT/基本防火墙服务，则你可以对连接到Internet的公用接口设置基本防火墙。基本防火墙是一个具有状态过滤的防火墙，它的工作原理是这样的：基本防火墙会将每一个从专用网络（内部网络）发往公用接口的IP数据包记录到一个连接状态表中，当从公用接口接收到某个数据包时，基本防火墙将此数据包和连接状态表中的记录进行比较，如果比较结果显示是由专用网络发起的通讯，则允许此IP数据包；如果比较结果显示不是由专用网络发起的通讯，则丢弃此IP数据包。通过这种方式，基本防火墙可使来自公用网络的未经请求的通讯无法到达专用网络，保证了专用网络的安全。

基本防火墙类似于公用接口上的入站筛选器，但是和入站筛选器有些区别，主要在于：

• 基本防火墙只能在公用接口上设置，而入站筛选器可以在专用网络接口上设置；

• 基本防火墙比入站筛选器具有更高的优先级；

• 基本防火墙配置更为简单。你在公用接口属性中的服务和端口、ICMP标签中的配置都会在基本防火墙上开放相应的协议和端口，但不会设置相应的入站筛选器；除此之外，基本防火墙不可配置。

• 基本防火墙和入站筛选器是独立的，对于每一个入站IP数据包，必须同时基本防火墙和入站筛选器的设置，否则将被丢弃。

因此对于公用接口，当配置使用基本防火墙时，不建议再配置入站筛选器