9.2 常用防火墙技术及分类
9.2.1 防火墙技术
1.包过滤
包过滤是应用最为广泛的一种防火墙技术,通过对网络层和传输层包头信息的检查,确定是否应该转发该数据包,从而可将许多危险的数据包阻挡在网络的边界处。转发的依据是用户根据网络的安全策略所定义的规则集,对于那些危险的、规则集所不允许通过的数据包,直接丢弃,只有那些确信是安全的、规则集允许的数据包,才进行转发。规则集通常对下列网络层及传输层的包头信息进行检查:源和目的的 IP 地址、 IP 的上层协议类型( TCP/UDP/ICMP)、 TCP 和 UDP 的源及目的端口(前三项简称为五元组信息)及 ICMP 的报文类型和代码等。根据规则集的定义方式不同,包过滤技术分为静态包过滤和动态包过滤两种技术。
静态包过滤检查单个的 IP 数据中的网络层信息和传输层信息,不能综合该数据包在信息流中的上下文环境,合理配置能够提供相当程度的安全能力。制定合理的规则集是静态包过滤防火墙的难点所在,通常网络安全管理员通过下面三个步骤来定义过滤规则:一是制定安全策略,通过需求分析,定义哪些流量与行为是允许的,哪些流量与行为是应该禁止的;二是定义规则,以逻辑表达式的形式定义允许的数据包,表达式中明确指明包的类型、地址、端口、标志等信息;三是用防火墙支持的语法重写表达式。静态包过滤速度快,但是配置困难,防范能力有限。
动态包过滤技术也称为基于状态检测包过滤技术,不仅检查每个独立的数据包,还会试图跟踪数据包的上下文关系。为了跟踪包的状态