AV网址AAA,桃花色综合影院,欧美成人精品手机在线,国产又爽又大又黄a片色戒一

    歡迎來到云網(wǎng)時代數(shù)據(jù)中心! 業(yè)務咨詢熱線:0755-88868179增值電信業(yè)務經(jīng)營許可證:B1-20170628
行業(yè)新聞
當前位置:首頁>文章中心>行業(yè)新聞

包過濾技術的作用以及優(yōu)缺點!

發(fā)布時間:2020-01-09 點擊數(shù):216
為了能夠讓我們服務器更加安全,通常會對訪問網(wǎng)站的流量進行過濾,通常戶采用的是包過濾技術(Packet Filtering),可能有些人并不了解今天小編給大家分享下包過濾技術的作用以及優(yōu)缺點!
包過濾技術的作用以及優(yōu)缺點

定義了“包過濾規(guī)則”的包過濾路由器,具備了保護整個網(wǎng)絡、高效快速并且透明等優(yōu)點,但同時也有“定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協(xié)議不全、無法執(zhí)行特殊的安全策略并且不提供日志”等局限性。

一、包過濾技術的原理

包過濾技術的原理,在于利用路由器監(jiān)視并過濾網(wǎng)絡上流入流出的IP數(shù)據(jù)包,并拒絕發(fā)送可疑的包。由于Internet(因特網(wǎng)/公網(wǎng)) 與Intranet(內部網(wǎng)/內網(wǎng)) 的連接,多數(shù)都要使用路由器,所以路由器成為內外通信的必經(jīng)端口。路由器的廠商在路由器上加入IP過濾功能,因此,過濾路由器也可以稱作“包過濾路由器”或“篩選路由器”。

防火墻常常就是這樣一個具備“包過濾功能”的簡單路由器。具備“包過濾功能”的防火墻,應該是足夠安全的,但前提是要配置合理。然而一個包過濾規(guī)則是否完全嚴密及必要,則是很難判定的。因而在安全要求較高的場合,通常還配合使用其它的技術來加強網(wǎng)絡的安全性。

包過濾技術,是指網(wǎng)絡設備(路由器或防火墻)根據(jù)“包過濾規(guī)則”檢查所接收的每個數(shù)據(jù)包,做出允許數(shù)據(jù)包通過或丟棄數(shù)據(jù)包的決定。包過濾規(guī)則,主要基于“IP包頭信息”設置,包括如下內容:
1、TCP/UDP的源端口或目的端口號
2、協(xié)議類型:TCP、UDP、ICMP等
3、源IP地址或目的IP地址
4、數(shù)據(jù)包的入接口和出接口

數(shù)據(jù)包中的信息,如果與某一條過濾規(guī)則相匹配,并且該規(guī)則允許數(shù)據(jù)包通過,則該數(shù)據(jù)包會被轉發(fā);如果與某一條過濾規(guī)則匹配,但該規(guī)則拒絕數(shù)據(jù)包通過,則該數(shù)據(jù)包會被丟棄。如果沒有可匹配的規(guī)則,“缺省規(guī)則”會決定數(shù)據(jù)包是被轉發(fā),還是被丟棄。

舉例說明:如下圖所示,如果我們需要允許IP地址為“192.168.0.1”的電腦瀏覽網(wǎng)頁(建立HTTP連接),允許IP地址為“192.168.0.2”的電腦與Internet(因特網(wǎng))建立FTP(文件傳輸協(xié)議)連接,而不允許其他電腦與Internet(因特網(wǎng))通信,可以在路由器設置如下過濾規(guī)則:

1、 允許源IP地址為“192.168.0.1”、目的端口號為“80”的數(shù)據(jù)包通過(HTTP的端口號為80);

2、 允許源IP地址為“192.168.0.1”、目的端口號為“53”的數(shù)據(jù)包通過(DNS的端口號為53,在瀏覽網(wǎng)頁時通常需要進行域名解析)。

3、 允許源IP地址為“192.168.0.2”、目的端口號為“21”的數(shù)據(jù)包通過(FTP的端口號為21)。

4、 缺?。础跋到y(tǒng)默認狀態(tài)”,意思與“默認”相同)禁止所有的其他連接。

包過濾規(guī)則,允許路由器取舍以一個特殊服務為基礎的信息流,因為大多數(shù)服務檢測器駐留于眾所周知的“TCP/UDP”端口。例如,Telnet Service(遠程登錄服務) 為TCP 端口 23端口等待遠程連接;而SMTP Service(簡單郵件傳輸協(xié)議服務)為TCP 端口 25端口等待輸入連接。如要封鎖輸入Telnet、SMTP的連接,則路由器舍棄端口值為“23、25”的所有數(shù)據(jù)包。

一些常用的網(wǎng)絡服務對應的使用端口:



典型的過濾規(guī)則,主要有這幾種:允許特定名單內的內部主機進行Telnet(遠程登錄)輸入對話、只允許特定名單內的內部主機進行FTP(文件傳輸協(xié)議)輸入對話、只允許所有Telnet (遠程登錄)輸出對話、只允許所有FTP(文件傳輸協(xié)議) 輸出對話、拒絕來自一些特定外部網(wǎng)絡的所有輸入信息。

二、包過濾路由器的優(yōu)點

1、一個包過濾路由器能協(xié)助保護整個網(wǎng)絡。絕大多數(shù)Internet(因特網(wǎng))防火墻系統(tǒng)只用一個包過濾路由器;

2、包過濾路由器速度快、效率高。執(zhí)行包過濾所用的時間很少或幾乎不需要什么時間。包過濾路由器只檢查報頭相應的字段,一般不查看數(shù)據(jù)報的內容。



3、包過濾路由器,對終端用戶和應用程序是透明的。當包過濾路由器決定讓數(shù)據(jù)包通過時,它與普通路由器沒什么區(qū)別,甚至用戶沒有意識到它的存在,因此不需要專門的用戶培訓,或在每臺主機上設置特別的軟件。

三、 包過濾路由器的局限性

1、定義包過濾路由器,可能是一項復雜的工作。因為網(wǎng)絡管理員需要詳細地了解Internet(因特網(wǎng))的各種服務、包頭格式以及希望在每個域查找的特定的值。如果必須支持復雜過濾要求的路由器,則過濾規(guī)則集可能會變得很長很復雜,并且沒有什么工具可以用來驗證過濾規(guī)則的正確性。

2、路由器信息包的吞吐量,隨包過濾路由器數(shù)量的增加而減少。路由器被優(yōu)化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表,而后將信息包順向運行到適當?shù)霓D發(fā)接口。如果過濾可執(zhí)行,路由器還必須對每個包執(zhí)行所有過濾規(guī)則,這可能會消耗CPU的資源,并影響一個完全飽和的系統(tǒng)性能。

3、不能徹底防止地址欺騙。大多數(shù)包過濾路由器都是基于“源IP地址、目的IP地址”進行過濾的,而IP地址的偽造,是很容易、很普遍的。

4、一些應用協(xié)議不適合于數(shù)據(jù)包過濾。即使是完美的數(shù)據(jù)包過濾,也會發(fā)現(xiàn)一些協(xié)議并不適合于經(jīng)由數(shù)據(jù)包過濾安全保護。如RPC(遠程過程調用)、X- Window和FTP(文件傳輸協(xié)議)。而且服務代理和HTTP的鏈接,大大削弱了基于源地址和源端口的過濾功能。

5、正常的過濾路由器無法執(zhí)行某些安全策略。例如,數(shù)據(jù)包說它們來自什么主機,而不是什么用戶,因此,我們不能強行限制特殊的用戶。同樣地,數(shù)據(jù)包說它到什么端口,而不是到什么應用程序,當我們通過端口號對高級協(xié)議強行限制時,不希望在端口上有別的指定協(xié)議之外的協(xié)議,而那些不懷好意的知情者卻能夠很容易地破壞這種規(guī)則的控制。

6、一些包過濾路由器不提供任何日志能力,直到闖入發(fā)生后,危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網(wǎng)絡,但也不會告訴我們究竟都有誰來過,或者誰從內部進入了外部網(wǎng)絡。

包過濾技術,是防火墻最基本的功能之一。此技術主要是根據(jù)防火墻事先設定的過濾邏輯,通常稱為“訪問控制列表(ACL)”,來檢查數(shù)據(jù)包的“源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、協(xié)議(TCP、UDP、ICMP等)、ICMP消息類型以及它們的組合信息,決定是否允許該數(shù)據(jù)包通過。


隨著防火墻技術的不斷發(fā)展,目前出現(xiàn)了“智能防火墻”等新的防火墻技術。智能防火墻采用了智能的方法來對數(shù)據(jù)包進行識別,并達到訪問控制的目的,可以用于防御DDoS攻擊,防范MAC欺騙、IP欺騙等。

為了更加精準有效地防御DDoS攻擊,并降低用戶的防御成本,億速云為用戶提供專業(yè)抗DDoS攻擊的高防服務器、高防香港服務器、高防裸金屬服務器,具有“超大防護帶寬、超強清洗能力、全業(yè)務場景支持” 的特點與優(yōu)勢。采用“智能硬件防火墻 + 流量牽引技術”,并為用戶配置相對應的高防IP,在用戶面臨DDoS攻擊時,可精準識別出惡意流量,并將惡意流量引流到高防IP。惡意流量在高防IP上進行清洗、過濾后,高防IP會將正常流量返回給源站IP,從而達到“防御DDoS攻擊,保證用戶網(wǎng)站正常穩(wěn)定運行”的目的。


以上就是云網(wǎng)時代小編的分享,云網(wǎng)時代專業(yè)提供深圳服務器租用,深圳服務器托管,深圳主機租用,云服務器租用,寬帶租用等服務,歡迎咨詢客服了解更多詳情。

在線客服