第10章 包过滤技术原理及应用
10.3.2 “往内”与“往外”
在我们制订包过滤规则时，必须准确理解“往内”与“往外” 的包和“往内”与“往外”的服务这几个词的语义。一个往外的 服务（如上面提到的Telnet）同时包含往外的包（键入信息）和 往内的包（返回的屏幕显示信息）。虽然大多数人习惯于用“服 务”来定义规定，但在制订包过滤规则时，我们一定要具体到每 一种类型的包。我们在使用包过滤时也一定要弄清“往内”与 “往外”的包和“往内”与“往外”的服务这几个词之间的区别。
第10章 包过滤技术原理及应用
包过滤不允许的操作 （１） 允许某个用户从外部网用Telnet登录而不允许其他用 户进行这种操作； （２） 允许用户传送一些文件而不允许用户传送其他文件。
第10章 包过滤技术原理及应用 图 10.1 源地址伪装
第10章 包过滤技术原理及应用
10.2.3 1． 包过滤方式的优点 包过滤方式有许多优点，而其主要优点之一是仅用一个放
第10章 包过滤技术原理及应用
路由器针对每一个接收到的包做出路由决定如何将包送达 目的地。在一般情况下，包本身不包含任何有助确定路由的信 息。包只告诉路由器要将它发往何地，至于如何将它送达，包 本身则不提供任何帮助。路由器之间通过诸如RIP和OSPF的路 由协议相互通信，并在内存中建立路由表。当路由器对包进行 路由时， 它将包的目的地址与路由表中的入口地址相比较，并 依据该表来发送这个包。在一般情况下，一个目的地的路由不 可能是固定的。同时，路由器还经常使用“默认路由”， 即把
第10章 包过滤技术原理及应用
10.3.3 “默认允许”与“默认拒绝” 网络的安全策略中有两种方法：默认拒绝（没有明确地被
允许就应被拒绝）与默认允许（没有明确地被拒绝就应被允 许）。从安全角度来看， 用默认拒绝应该更合适。 就如我们前 面讨论的，我们首先应从拒绝任何传输来开始设置包过滤规则， 然后再对某些应被允许传输的协议设置允许标志。这样做我们 会感到系统的安全性更好一些。
置在重要位置上的包过滤路由器就可保护整个网络。如果我们 的站点与因特网间只有一台路由器，那么不管站点规模有多大， 只要在这台路由器上设置合适的包过滤，我们的站点就可获得 很好的网络安全保护。
第10章 包过滤技术原理及应用
包过滤不需要用户软件的支持，也不需要对客户机作特别 的设置，也没有必要对用户作任何培训。当包过滤路由器允许 包通过时，它表现得和普通路由器没有任何区别。在这时，用 户甚至感觉不到包过滤的存在，只有在某些包被禁入或禁出时， 用户才认识到它与普通路由器的不同。包过滤工作对用户来讲 是透明的。这种透明就是不要求用户作任何操作的前提下完成 包过滤工作。
第10章 包过滤技术原理及应用
即使在系统中安装了比较完善的包过滤系统，我们也会发 现对有些协议使用包过滤方式不太合适。比如，对Berkeley的 “r”命令（rcp、 rsh、 rlogin）和类似于NFS和NIS/YS协议的 RPC， 用包过滤系统就不太合适。
有些安全规则是难以用包过滤系统来实施的，比如，在包 中只有来自于某台主机的信息而无来自于某个用户的信息，此 时用户就不能用包过滤。源自第10章 包过滤技术原理及应用
将多个IP网络互连的基本设备是路由器。路由器可以是一 台专门的硬件设备， 也可以是一个工作在通用系统（如UNIX、 MS-DOS、Windows和Macintosh）下的软件包。软件包在网络 群中穿越就是从一台路由器到另一台路由器，最后抵达目的地。 因特网本身就是一个巨大的网络群， 也可叫做网中网。
第10章 包过滤技术原理及应用
10.3 包过滤路由器的配置
10.3.1 协议的双向性
协议总是双向的，协议包括一方发送一个请求而另一方返回 一个应答。在制订包过滤规则时，要注意包是从两个方向来到路 由器的，比如，只允许往外的Telnet包将我们键入的信息送达远 程主机，而不允许返回的显示信息包通过相同的连接，这种规则 是不正确的，同时，拒绝半个连接往往也是不起作用的。在许多 攻击中，入侵者向内部网发送包，他们甚至不用返回信息就可完 成对内部网的攻击，因为他们能对返回信息加以推测。
。
包过滤路由器是具有包过滤特性的一种路由器。在对包做出 路由决定时，普通路由器只依据包的目的地址引导包，而包过 滤路由器就必须依据路由器中的包过滤规则做出是否引导该包 的决定。
第10章 包过滤技术原理及应用
10.2 包过滤的工作原理
10.2.1 包过滤技术传递的判据 包过滤技术可以允许或不允许某些包在网络上传递， 它依
第10章 包过滤技术原理及应用
2． 包过滤系统缺点及局限性 （１） 在机器中配置包过滤规则比较困难； （２） 对系统中的包过滤规则的配置进行测试也较麻烦； （３） 许多产品的包过滤功能有这样或那样的局限性， 要找 一个比较完整的包过滤产品比较困难。
包过滤系统本身就可能存在缺陷，这些缺陷对系统安全性的 影响要大大超过代理服务系统对系统安全性的影响。因为代理服 务的缺陷仅会使数据无法传递，而包过滤的缺陷会使得一些平常 该拒绝的包也能进出网络。
据以下的判据： （１） 将包的目的地址作为判据； （２） 将包的源地址作为判据； （３） 将包的传送协议作为判据。
第10章 包过滤技术原理及应用
10.2.2 包过滤技术传递操作 大多数包过滤系统判决是否传送包时都不关心包的具体内容。
1. （１） 不让任何用户从外部网用Telnet登录； （２） 允许任何用户使用SMTP往内部网发电子邮件； （３） 只允许某台机器通过NNTP往内部网发新闻。
第10章 包过滤技术原理及应用
网络信息安全技术(第二版)第10章包 过滤技术原理及应用
第10章 包过滤技术原理及应用
10.1 高层IP（因特网协议）网络的概念
一个文件要穿过网络，必须将文件分成小块，每小块文件 单独传输。把文件分成小块的做法主要是为了让多个系统共享 网络，每个系统可以依次发送文件块。 在IP网络中，这些小块 被称为包。 所有的信息传输都是以包的方式来实施的。