AV网址AAA,桃花色综合影院,欧美成人精品手机在线,国产又爽又大又黄a片色戒一

    歡迎來到云網(wǎng)時代數(shù)據(jù)中心! 業(yè)務(wù)咨詢熱線:0755-88868179增值電信業(yè)務(wù)經(jīng)營許可證:B1-20170628
行業(yè)新聞
當(dāng)前位置:首頁>文章中心>行業(yè)新聞

包過濾技術(shù)是什么,有著什么樣的優(yōu)點和缺點

發(fā)布時間:2020-01-09 點擊數(shù):242

說到服務(wù)器想必大家都聽說過包過濾技術(shù),但是很多人只聞其名不得其詳,今天小編在這個就給大家介紹一下包過濾技術(shù)是什么,有著什么樣的優(yōu)點和缺點?

包滲透技術(shù)的優(yōu)缺點
基于協(xié)議特定的標(biāo)準(zhǔn),路由器在其端口能夠“區(qū)分包”和“限制包”的能力叫包過濾(Packet Filtering)。包過濾的技術(shù)原理,在于加入IP過濾功能的路由器,逐一審查包頭信息,并根據(jù)匹配和規(guī)則決定包的前行或被舍棄,以達到拒絕發(fā)送可疑的包的目的。

定義了“包過濾規(guī)則”的包過濾路由器,具備了保護整個網(wǎng)絡(luò)、高效快速并且透明等優(yōu)點,但同時也有“定義復(fù)雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應(yīng)用協(xié)議不全、無法執(zhí)行特殊的安全策略并且不提供日志”等局限性。

一、包過濾技術(shù)的原理


包過濾技術(shù)的原理,在于利用路由器監(jiān)視并過濾網(wǎng)絡(luò)上流入流出的IP數(shù)據(jù)包,并拒絕發(fā)送可疑的包。由于Internet(因特網(wǎng)/公網(wǎng)) 與Intranet(內(nèi)部網(wǎng)/內(nèi)網(wǎng)) 的連接,多數(shù)都要使用路由器,所以路由器成為內(nèi)外通信的必經(jīng)端口。路由器的廠商在路由器上加入IP過濾功能,因此,過濾路由器也可以稱作“包過濾路由器”或“篩選路由器”。

防火墻常常就是這樣一個具備“包過濾功能”的簡單路由器。具備“包過濾功能”的防火墻,應(yīng)該是足夠安全的,但前提是要配置合理。然而一個包過濾規(guī)則是否完全嚴(yán)密及必要,則是很難判定的。因而在安全要求較高的場合,通常還配合使用其它的技術(shù)來加強網(wǎng)絡(luò)的安全性。

包過濾技術(shù),是指網(wǎng)絡(luò)設(shè)備(路由器或防火墻)根據(jù)“包過濾規(guī)則”檢查所接收的每個數(shù)據(jù)包,做出允許數(shù)據(jù)包通過或丟棄數(shù)據(jù)包的決定。包過濾規(guī)則,主要基于“IP包頭信息”設(shè)置,包括如下內(nèi)容:
1、TCP/UDP的源端口或目的端口號
2、協(xié)議類型:TCP、UDP、ICMP等
3、源IP地址或目的IP地址
4、數(shù)據(jù)包的入接口和出接口

數(shù)據(jù)包中的信息,如果與某一條過濾規(guī)則相匹配,并且該規(guī)則允許數(shù)據(jù)包通過,則該數(shù)據(jù)包會被轉(zhuǎn)發(fā);如果與某一條過濾規(guī)則匹配,但該規(guī)則拒絕數(shù)據(jù)包通過,則該數(shù)據(jù)包會被丟棄。如果沒有可匹配的規(guī)則,“缺省規(guī)則”會決定數(shù)據(jù)包是被轉(zhuǎn)發(fā),還是被丟棄。

舉例說明:如下圖所示,如果我們需要允許IP地址為“192.168.0.1”的電腦瀏覽網(wǎng)頁(建立HTTP連接),允許IP地址為“192.168.0.2”的電腦與Internet(因特網(wǎng))建立FTP(文件傳輸協(xié)議)連接,而不允許其他電腦與Internet(因特網(wǎng))通信,可以在路由器設(shè)置如下過濾規(guī)則:



1、 允許源IP地址為“192.168.0.1”、目的端口號為“80”的數(shù)據(jù)包通過(HTTP的端口號為80);

2、 允許源IP地址為“192.168.0.1”、目的端口號為“53”的數(shù)據(jù)包通過(DNS的端口號為53,在瀏覽網(wǎng)頁時通常需要進行域名解析)。

3、 允許源IP地址為“192.168.0.2”、目的端口號為“21”的數(shù)據(jù)包通過(FTP的端口號為21)。

4、 缺?。础跋到y(tǒng)默認(rèn)狀態(tài)”,意思與“默認(rèn)”相同)禁止所有的其他連接。

包過濾規(guī)則,允許路由器取舍以一個特殊服務(wù)為基礎(chǔ)的信息流,因為大多數(shù)服務(wù)檢測器駐留于眾所周知的“TCP/UDP”端口。例如,Telnet Service(遠(yuǎn)程登錄服務(wù)) 為TCP 端口 23端口等待遠(yuǎn)程連接;而SMTP Service(簡單郵件傳輸協(xié)議服務(wù))為TCP 端口 25端口等待輸入連接。如要封鎖輸入Telnet、SMTP的連接,則路由器舍棄端口值為“23、25”的所有數(shù)據(jù)包。

一些常用的網(wǎng)絡(luò)服務(wù)對應(yīng)的使用端口:


典型的過濾規(guī)則,主要有這幾種:允許特定名單內(nèi)的內(nèi)部主機進行Telnet(遠(yuǎn)程登錄)輸入對話、只允許特定名單內(nèi)的內(nèi)部主機進行FTP(文件傳輸協(xié)議)輸入對話、只允許所有Telnet (遠(yuǎn)程登錄)輸出對話、只允許所有FTP(文件傳輸協(xié)議) 輸出對話、拒絕來自一些特定外部網(wǎng)絡(luò)的所有輸入信息。

二、包過濾路由器的優(yōu)點


1、一個包過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)。絕大多數(shù)Internet(因特網(wǎng))防火墻系統(tǒng)只用一個包過濾路由器;

2、包過濾路由器速度快、效率高。執(zhí)行包過濾所用的時間很少或幾乎不需要什么時間。包過濾路由器只檢查報頭相應(yīng)的字段,一般不查看數(shù)據(jù)報的內(nèi)容。



3、包過濾路由器,對終端用戶和應(yīng)用程序是透明的。當(dāng)包過濾路由器決定讓數(shù)據(jù)包通過時,它與普通路由器沒什么區(qū)別,甚至用戶沒有意識到它的存在,因此不需要專門的用戶培訓(xùn),或在每臺主機上設(shè)置特別的軟件。

三、 包過濾路由器的局限性


1、定義包過濾路由器,可能是一項復(fù)雜的工作。因為網(wǎng)絡(luò)管理員需要詳細(xì)地了解Internet(因特網(wǎng))的各種服務(wù)、包頭格式以及希望在每個域查找的特定的值。如果必須支持復(fù)雜過濾要求的路由器,則過濾規(guī)則集可能會變得很長很復(fù)雜,并且沒有什么工具可以用來驗證過濾規(guī)則的正確性。

2、路由器信息包的吞吐量,隨包過濾路由器數(shù)量的增加而減少。路由器被優(yōu)化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表,而后將信息包順向運行到適當(dāng)?shù)霓D(zhuǎn)發(fā)接口。如果過濾可執(zhí)行,路由器還必須對每個包執(zhí)行所有過濾規(guī)則,這可能會消耗CPU的資源,并影響一個完全飽和的系統(tǒng)性能。

3、不能徹底防止地址欺騙。大多數(shù)包過濾路由器都是基于“源IP地址、目的IP地址”進行過濾的,而IP地址的偽造,是很容易、很普遍的。

4、一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。即使是完美的數(shù)據(jù)包過濾,也會發(fā)現(xiàn)一些協(xié)議并不適合于經(jīng)由數(shù)據(jù)包過濾安全保護。如RPC(遠(yuǎn)程過程調(diào)用)、X- Window和FTP(文件傳輸協(xié)議)。而且服務(wù)代理和HTTP的鏈接,大大削弱了基于源地址和源端口的過濾功能。

5、正常的過濾路由器無法執(zhí)行某些安全策略。例如,數(shù)據(jù)包說它們來自什么主機,而不是什么用戶,因此,我們不能強行限制特殊的用戶。同樣地,數(shù)據(jù)包說它到什么端口,而不是到什么應(yīng)用程序,當(dāng)我們通過端口號對高級協(xié)議強行限制時,不希望在端口上有別的指定協(xié)議之外的協(xié)議,而那些不懷好意的知情者卻能夠很容易地破壞這種規(guī)則的控制。

6、一些包過濾路由器不提供任何日志能力,直到闖入發(fā)生后,危險的封包才可能檢測出來。它可以阻止非法用戶進入內(nèi)部網(wǎng)絡(luò),但也不會告訴我們究竟都有誰來過,或者誰從內(nèi)部進入了外部網(wǎng)絡(luò)。

包過濾技術(shù),是防火墻最基本的功能之一。此技術(shù)主要是根據(jù)防火墻事先設(shè)定的過濾邏輯,通常稱為“訪問控制列表(ACL)”,來檢查數(shù)據(jù)包的“源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、協(xié)議(TCP、UDP、ICMP等)、ICMP消息類型以及它們的組合信息,決定是否允許該數(shù)據(jù)包通過。


隨著防火墻技術(shù)的不斷發(fā)展,目前出現(xiàn)了“智能防火墻”等新的防火墻技術(shù)。智能防火墻采用了智能的方法來對數(shù)據(jù)包進行識別,并達到訪問控制的目的,可以用于防御DDoS攻擊,防范MAC欺騙、IP欺騙等。


以上就是包滲透技術(shù)以及優(yōu)缺點,上述文章由云網(wǎng)時代小編分享,云網(wǎng)時代專業(yè)提供深圳服務(wù)器租用,深圳服務(wù)器托管,深圳主機租用,云服務(wù)器租用等服務(wù),歡迎咨詢客服了解更多詳情。


在線客服