包过滤防火墙工作原理
2017-03-09
防火墙的类型有很多种,下面的一种是叫做包过滤防火墙的一种防火墙类型,就让小编为大家介绍一下这种包过滤防火墙的工作原理吧。
包过滤防火墙的工作原理:
1、使用过滤器:
数据包过滤用在内部主机和外部主机之间,过滤系统是一套路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。
2.数据包信息的过滤:
数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的,主要信息有:
* IP源地址
* IP目标地址
* 协议(TCP包、UDP包和ICMP包)
* TCP或UDP包的 源端口
* TCP或UDP包的目标端口
* ICMP消息类型
* TCP 包头中的ACK位
* 数据包到达的端口
* 数据包出去的端口
在TCP/IP中,存在着一些标准的服务 端口号,例如,HTTP的端口号为80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接,例如,可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。
3、过滤器的实现:
数据包过滤一般使用过滤 路由器来实现,这种 路由器与普通的路由器有所不同。
普通的路由器只检查 数据包的目标地址,并选择一个达到目的地址的最佳路径。它处理 数据包是以目标地址为基础的,存在着两种可能性:若 路由器可以找到一个路径到达目标地址则发送出去;若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。
过滤 路由器会更加仔细地检查数据包,除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包。“应该与否”是由 路由器的过滤策略决定并强行执行的。
以上,便是包过滤防火墙的工作原理。