网络信息安全技术(第二版)第10章包过滤技术原理及应用

第 10章 包过滤技术原理及应用 第 10章 包过滤技术原理及应用 10.1 高层 IP网络的概念10.2 包过滤的工作原理 10.3 包过滤路由器的配置 10.4 包的基本构造 10.5 包过滤处理内核 10.6 包过滤规则10.7 依据地址进行过滤 10.8 依据服务进行过滤第 10章 包过滤技术原理及应用 10.1 高层 IP（ 因特网协议）网络的概念 一个文件要穿过网络，必须将文件分成小块，每小块文件单独传输。把文件分成小块的做法主要是为了让多个系统共享网络，每个系统可以依次发送文件块。 在 IP网络中，这些小 块被称为包。 所有的信息传输都是以包的方式来实施的。 第 10章 包过滤技术原理及应用 将多个 IP网络互连的基本设备是路由器。路由器可以是一台专门的硬件设备， 也可以是一个工作在通用系统（如 UNIX、 MS-DOS、 Windows和 Macintosh） 下的软件包。软件包在网络群中穿越就是从一台路由器到另一台路由器，最后抵达目的地。 因特网本身就是一个巨大的网 络群， 也可叫做网中网。 第 10章 包过滤技术原理及应用 路由器针对每一个接收到的包做出路由决定如何将包送达目的地。在一般情况下，包本身不包含任何有助确定路由的信息。包只告诉路由器要将它发往何地，至于如何将它送达，包本身则不提供任何帮助。路由器之间通过诸如 RIP和 OSPF的路由协议相互通信，并在内存中建立路由表。当路由器对包进行路由时， 它将包的目的地址与路由表中的入口地址相比较，并依据该表来发送这个包。在一般情况下，一个目的地的路由不可能是固定的。同时，路由器还经常使用 “默认路由 ”， 即把包发往一个更加智能的或更上一级的路 由器。 包过滤路由器是具有包过滤特性的一种路由器。在对包做出路由决定时，普通路由器只依据包的目的地址引导包，而包过滤路由器就必须依据路由器中的包过滤规则做出是否引导该 包的决定。 第 10章 包过滤技术原理及应用 10.2 包过滤的工作原理 10.2.1 包过滤技术传递的判据 包过滤技术可以允许或不允许某些包在网络上传递， 它依据以下的判据： （） 将包的目的地址作为判据； （） 将包的源地址作为判据； （） 将包的传送协议作为判据。 第 10章 包过滤技术原理及应用 10.2.2 包过滤技术传递操作大多数包过滤系统判决是否传送包时都不关心包的具体内容。 1. 包过滤系统允许的操作 （） 不让任何用户从外部网用 Telnet登录； （） 允许任何用户使用 SMTP往内部网发电子邮件； （） 只允许某台机器通过 NNTP往内部网发新闻。 第 10章 包过滤技术原理及应用 包过滤不允许的操作（） 允许某个用户从外部网用 Telnet登录而不允许其他用户进行这种操作； （） 允许用户传送一些文件而不允许用户传送其他文件。 第 10章 包过滤技术原理及应用 图 10.1 源地址伪装 第 10章 包过滤技术原理及应用 10.2.3 包过滤方式的优缺点 1 包过滤方式的优点 包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大， 只要在这台路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。 第 10章 包过滤技术原理及应用 包过滤不需要用户软件的支持，也不需要对客户机作特别的设置，也没有必要对用户作任何培训。当包过滤路由器允许包通过时，它表现得和普通路由器没有任何区别。在这时，用户甚至感觉不到包过滤的存在，只有在某些包被禁入或禁出时， 用户才认识到它与普通路由器的不同。包过滤工作对用户来讲是透明的。这种透明就是不要求用户作任何操作的 前提下完成包过滤工作。 第 10章 包过滤技术原理及应用 2 包过滤系统缺点及局限性（） 在机器中配置包过滤规则比较困难； （） 对系统中的包过滤规则的配置进行测试也较麻烦； （） 许多产品的包过滤功能有这样或那样的局限性， 要找一个比较完整的包过滤产品比较困难。 包过滤系统本身就可能存在缺陷，这些缺陷对系统安全性的影响要大大超过代理服务系统对系统安全性的影响。因为代理服务的缺陷仅会使数据无法传递，而包过滤的缺陷会使得 一些平常该拒绝的包也能进出网络。 第 10章 包过滤技术原理及应用 即使在系统中安装了比较完善的包过滤系统，我们也会发现对有些协议使用包过滤方式不太合适。比如，对 Berkeley的“r”命令（ rcp、 rsh、 rlogin） 和类似于 NFS和 NIS/YS协议的 RPC， 用包过滤系统就不太合适。 有些安全规则是难以用包过滤系统来实施的，比如，在包中只有来自于某台主机的信息 而无来自于某个用户的信息，此时用户就不能用包过滤。 第 10章 包过滤技术原理及应用 10.3 包过滤路由器的配置 10.3.1 协议的双向性协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制订包过滤规则时，要注意包是从两个方向来到路由器的，比如，只允许往外的 Telnet包将我们键入的信息送达远程主机，而不允许返回的显示信息包通过相同的连接，这种规则是不正确的，同时，拒绝半个连接往往也是不起作用的。在许多攻击中，入侵者向内部网发送包，他们甚至不 用返回信息就可完成对内部网的攻击，因为他们能对返回信息加以推测。 第 10章 包过滤技术原理及应用 10.3.2 “往内 ”与 “往外 ”在我们制订包过滤规则时，必须准确理解 “往内 ”与 “往外 ”的包和 “往内 ”与 “往外 ”的服务这几个词的语义。一个往外的服务（如上面提到的 Telnet） 同时包含往外的包（键入信息）和往内的包（返回的屏幕显示信息）。虽然大多数人习惯于用 “服务 ”来定义规定，但在制订包过滤规则时，我们一定要具体到每一种类型的包。我们在使用包过滤时也一定要 弄清 “往内 ”与 “往外 ”的包和“往内 ”与 “往外 ”的服务这几个词之间的区别。 第 10章 包过滤技术原理及应用 10.3.3 “默认允许 ”与 “默认拒绝 ” 网络的安全策略中有两种方法：默认拒绝（没有明确地被允许就应被拒绝）与默认允许（没有明确地被拒绝就应被允许）。从安全角度来看， 用默认拒绝应该更合适。 就如我们前面讨论的，我们首先应从拒绝任何传输来开始设置包过滤规则， 然后再对某些应被允许传输 的协议设置允许标志。这样做我们会感到系统的安全性更好一些。 第 10章 包过滤技术原理及应用 10.4 包的基本构造 为了更好的理解包过滤，我们首先必须正确理解包的构造和它在 TCP/IP协议各层上的操作，这些层是：应用层（如 HTTP 、 FTP 和 Telnet）、 传输层（如 TCP 、 UDP）、 因特网络层（IP） 和网络接口层（ FDDI、 ATM和以太网）。 包的构造有点像洋葱一样，它是由各层连接的协议组成的。 在每一层 包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中存放包在这一层的数据信息。 这些数据信息也包含了上层的全部信息。在每一层上对包的处理是将从上层获取的全部信息作为包体， 然后依本层的协议加上包头。这种对包的层次性操作（每一层均加装一个包头 ）一般称为封装。 第 10章 包过滤技术原理及应用 在应用层，包头含有需被传送的数据（如需被传送的文件内容）。当构成下一层（传输层）的包时，传输控制协议（ TCP） 或用户数据报协议（ UDP） 从应用层将数据全部取来， 然后再加装上本层的包头。当构筑再下一层（因特网络层）的包时， IP协议将上层的包头与包体全部当作本层的包体，然后再加装上本层的包头。在构筑最后一层（网络接口层）的包时， 以太网或其他网络协议将 IP层的整个包作为包体，再加上本层的包头。图 9.2显示了这种操 作过程。 第 10章 包过滤技术原理及应用 图 10.2 数据包的封装 第 10章 包过滤技术原理及应用 10.5 包过滤处理内核10.5.1 包过滤和网络策略 包过滤还可以用来实现大范围内的网络安全策略。 网络安全策略必须清楚地说明被保护的网络和服务的类型、 它们的重要程度和这些服务要保护的对象。 一般来说，网络安全策略主要集中在阻截入侵者，而不是试图警戒内部用户。它的工作重点是阻止外来用户的突然侵入和故意暴露敏感性数据，而不是阻止内部用户使用外部网络服务。 这种类型的网络安全策略决定了过滤路由器应该放在哪里和怎样通过编程来执行包过滤 。一个好的网络安全策略还应该做到， 使内部用户也难以危害网络的安全。 第 10章 包过滤技术原理及应用 网络安全策略的一个目标就是要提供一个透明机制，以便这些策略不会对用户产生障碍。 因为包过滤工作在 OSI模型的网络层和传输层，而不是在应用层，这种方法一般来说比防火墙方法更具透明性。因此，要记住防火墙是工作在 OSI模型的应用层的，这一层的安全措施 不应成为透明的。 第 10章 包过滤技术原理及应用 10.5.2 一个简单的包过滤模型包过滤器通常置于一个或多个网段之间。网络段区分为外部网段或内部网段。外部网段是通过网络将用户的计算机连接到外面的网络上， 内部网段用来连接公司的主机和其他网络资源。 包过滤器设备的每一个端口都可用来完成网络安全策略， 该策略描述了通过此端口可访问的网络服务类型。如果连在包过滤设备上的网络段的数目很大，那么包过滤所要完成的服务就会变得很复杂。一般来说，应当避免对网络安全问题采取过于复杂的解决方案，理由如 下： 第 10章 包过滤技术原理及应用 （） 它们难以维护； （） 配置包过滤时容易出错； （） 它们对所实施的设备的功能有副作用。 大多数情况下包过滤设备只连两个网段，即外部网段和内部网段。包过滤用来限制那些它拒绝服务的网络流量。因为网络策略是应用于那些与外部主机有联系的内部用户的，所以 过滤路由器端口两面的过滤器必须以不同的方式工作。 第 10章 包过滤技术原理及应用 10.5.3 包过滤器操作几乎所有的包过滤设备（过滤路由器或包过滤网关）都按照如下方式工作： （） 包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫做包过滤规则； （） 当包到达端口时，对包的报头进行语法分析，大多数包过滤设备只检查 IP、 TCP或 UDP报头中的字段， 不检查包体的内容； （） 包过滤器规则以特殊的方式存储； 第 10章 包过滤技术原理及应用 （） 如果一条规则阻止包传输或接收， 此包便不被通过； （） 如果一条规则允许包传输或接收， 该包可以继续处理； （） 如果一个包不满足任何一条规则， 该包便被阻塞。 第 10章 包过滤技术原理及应用 图 10.3 包过滤操作流程图第 10章 包过滤技术原理及应用 10.5.4 包过滤设计 图 10.4 有包过滤路由器的网络第 10章 包过滤技术原理及应用 假设网络策略安全规则确定：从外部主机发来的因特网邮件在某一特定网关被接收，并且想拒绝从不信任的名为 Cree-Phost的主机发来的数据流（拒绝的原因可能是该主机发送邮件系统不能处理大量的报文，也可能是怀疑这台主机会给网络安全带来极大的威胁）。 在这个例子中， SMTP使用的网络安全策略必须翻译成包过滤规则。我们可以把网络安全规 则翻译成下列中文规则： 第 10章 包过滤技术原理及应用 过滤器规则 1 我们不相信从 Cree-Phost来的连接 ;过滤器规则 2 我们允许与我们的邮件网关的连接； 这些规则可以编辑成如表 9.1所示的规则表，其中星号（ *）表明它可以匹配该列的任何值 。 第 10章 包过滤技术原理及应用 表 10.1 一个包过滤规则的编码例子 第 10章