基于包过滤的防火墙技术研究与实现
2018-11-05王勇
王勇
摘要:进入二十一世纪以来,随着信息技术的发展,使得当今社会进入一个全新的信息时代,同时也带来了计算机对信息数据处理变得逐渐成熟。网络也随之发展迅速,而对于不管是个人还是企业等,网络安全也被大家所重视。依据利用网络来实现对计算机进行保护的方向来看,防火墙依然是一种十分有效的手段。而网络防火墙系统就是网络安全技术在实际中的应用之一。本文就是以网络安全为目的,对防火墙技术从理论到应用进行了较为详细的描述。
【关键词】包过滤 防火墙 数据包 规则
1 概述
对于当今社会来说,互联通信和网络应用已经普及,由于其本身存在的技术等问题,网络安全需求是个逐渐放大的问题。自从第一个防火墙出现到现在,有关防火墙的相关产品及其概念也出现在有关技术术语中。防火墙其实是内网与外网之间的一道安全隔离,在网络安全保护方面起着重大作用。
由于个人或企业等逐渐对网络安全问题重视起来,有关网络安全的技术f如防火墙)也在不断推进研究,以至于火墙产品层出不穷,不断新增各种功能。计算机技术的发展推动防火墙技术逐渐走向成熟化,在这一方面,国内的防火墙技术相对于国外目前依然处于落后,相较于国外的知名防火墙品牌如思科、Junipor等,国内的防火墙产品还有待提高。
2 防火墙与数据包
2.1 防火墙策略简介
为了对某些Internet访问,防火墙中的服务访问策略提供了一个重要作用是对内部网络访问权限的控制。另外,该策略还提供一个作用就是对用户访问网络的时候,对用户的方式也进行限制。在防火墙进行服务访问策略有关功能操作时候,用户进行设定是要有两点注意
(1)禁止互联网直接访问内部网络,但是用户可以再设定的规则下访问互联网站点,但前提是需要对地址进行伪装;
(2)当公司网络需要在互联网上被访问时,要有部分权限来访问有关网络,如FTP等有关公司工作的服务器。
对于防火墙而言,怎么实现具体规则的设定则是由防火墙策略来决定。下面两条原则,是用户在设置防火墙策略时遵循的基本原则:
(1)除非明确允许,否则禁止;
(2)除非明确禁止,否则允许某种服务。
2.2 数据包
数据包是对网络消息完整体的一个称谓,这个完整体由两个部分组成,第一部分是包头,包头也叫做数据包的信息头,其中包含了源地址和目的地址,和这两点一同构成消息体的还有用来区分使用何种IP协议的消息类型。当前主流的三种IP消息类型包括以下三种:
(1)即Intemet控制报文协议(ICMP),控制报文数据包的包头里所包含的是一个类型字段;
(2)传输控制协议(TCP),传输控制协议数据包的包头中包含的是源服务端口号和目的服务端口号;
(3)用户数据报协议(UDP),用户数据报协议与传输控制协议数据包的包头大致相同,也是包含了源和目的服务端口号。
第二部分,是用户所发送的消息主体,相当于信封里的信件。这样的消息结构,是当前网络中两台计算机互相通信的常见结构,是由当前的IP标准定义的。
3 包过滤防火墙的工作原理
添加规则,过滤流经防火墙的数据包,是包过滤防火墙的工作原理采用包过滤技术的防火墙,通过在两个网络的连接点抓取数据包并进行过滤,过滤过程中会对每个数据包中的源地址、目的地址、rCP端口号等关键信息进行检查,然后根据设置的安全策略对数据包进行处理,将过滤后满足规则的数据包利用网络中传输数据包的有关链路传输到对应的内网中去,而那些过滤没有通过的包通过其他链路进行转发或者弃包等操作。
4 数据包过滤技术测试
为了更好测试数据包过滤工作原理,以达到实现对数据包的过滤效果,本文将在局域网内网关地址:10.0.0.2的主机,IP:10.0.0.15。通过网关连接到外网,使用命令:PING.利用该命令完成本文中的网关地址和电信DNS: 61.139.2.69之间的通信检测
运行防火墙,按照预先设定的过滤规则,对传输数据包进行有效过滤,测试中数据包的收发在DNS、本地计算机和网关中顺利完成相关操作。但是当防火墙在进行相关设置時候,例如把过滤的源地址设置:10.0.0.2,而使用到的协议改成ICMP后,在运行防火墙的时候,局域网内的主机和网关之间还能够进行数据包收发操作。但是使用PING命令的时候,则是显示主机和网关之间则显示需求超时提示。而且主机与DNS服务器之间还能够有效的进行数据包的发送和接受服务。
5 结论
设计的包过滤防火墙可以运行于Windows系统,操作简单,具备防火墙的基本功能与防护机制:用户能够根据安全需求进行相关操作规则的设定,对网络传送过来的数据包按照设定了有关规则内容进行有效过滤;对有威胁的站点进行有效屏蔽操作;对内网传送出来的数据包和由外网传送进来的数据包会进行过滤,可有效的防止计算机受到外部网络攻击。
参考文献
[1]邓拥军,任爱凤,校园网络防火墙的应用于分析[J].网络安全技术与应用,2007 (06).
[2]李名选,计算机网络安全面临的严重问题与挑战[J],信息安全与通信保密,2001(02).
[3]王卫平,王旭婋,陈赫然,陈家耀.基于信息增益的防火墙过滤域排序优化[J],计算机系统应用,2009 (07).
[4]孙德刚,美国信息安全政策研究[J].信息安全与通信保密,2003 (01).
