网络安全实验教程【2.9】

9.2 常用防火墙技术及分类

9.2.1 防火墙技术

1．包过滤
包过滤是应用最为广泛的一种防火墙技术，通过对网络层和传输层包头信息的检查，确定是否应该转发该数据包，从而可将许多危险的数据包阻挡在网络的边界处。转发的依据是用户根据网络的安全策略所定义的规则集，对于那些危险的、规则集所不允许通过的数据包，直接丢弃，只有那些确信是安全的、规则集允许的数据包，才进行转发。规则集通常对下列网络层及传输层的包头信息进行检查：源和目的的 IP 地址、 IP 的上层协议类型（ TCP/UDP/ICMP）、 TCP 和 UDP 的源及目的端口（前三项简称为五元组信息）及 ICMP 的报文类型和代码等。根据规则集的定义方式不同，包过滤技术分为静态包过滤和动态包过滤两种技术。
        静态包过滤检查单个的 IP 数据中的网络层信息和传输层信息，不能综合该数据包在信息流中的上下文环境，合理配置能够提供相当程度的安全能力。制定合理的规则集是静态包过滤防火墙的难点所在，通常网络安全管理员通过下面三个步骤来定义过滤规则：一是制定安全策略，通过需求分析，定义哪些流量与行为是允许的，哪些流量与行为是应该禁止的；二是定义规则，以逻辑表达式的形式定义允许的数据包，表达式中明确指明包的类型、地址、端口、标志等信息；三是用防火墙支持的语法重写表达式。静态包过滤速度快，但是配置困难，防范能力有限。
        动态包过滤技术也称为基于状态检测包过滤技术，不仅检查每个独立的数据包，还会试图跟踪数据包的上下文关系。为了跟踪包的状态