浅谈数据包过滤

　　数据包过滤（packet filtering）是一个用软件或硬件设备对向网络上传或从网络下载的数据流进行有选择的控制过程。数据包过滤器通常是在将数据包从一个网站向另一个网络传送的过程中允许或阻止它们的通过(更为常见的是在从英特网向内部网络传输数据时，或从内部网络向英特网传输)。若要完成数据包过滤，你就要设置好规则来指定哪些类型的数据包被允许通过和哪些类型的数据包将会被阻止。
　　数据包过滤器对所有通过它进出的数据包进行检查，并阻止那些不符合既定规则数据包的传输。数据包过滤器能够基于如下的标准对数据包进行过滤：
　　该数据包所属的协议(TCP、UDP等等)
　　源地址
　　目的地址
　　目的设备的端口号(请求类型)
　　数据包的传输方向，向外传到英特网或向内传给局域网
　　数据库中既定数据包的署名
　　数据包过滤的功能通常被整合到路由器或网桥之中来限制信息的流通。数据包过滤器使得管理员能够对特定协议的数据包进行控制，使得它们只能传送到网络的局部;能够对电子邮件的域进行隔离;能够进行其它的数据包传输上的管控功能。
　　数据包过滤器是防火墙中应用的一项重要功能，它对 IP 数据包的报头进行检查以确定数据包的源地址、目的地址和数据包利用的网络传输服务。传统的数据包过滤器是静态的，仅依照数据包报头的内容和规则组合来允许或拒绝数据包的通过。包过滤在本地端接收数据包时，一般不保留上下文，只根据目前数据包的内容做决定。根据不同的防火墙的类型，包过滤可能在进入、输出时或这两个时刻都进行。可以拟定一个要接受的设备和服务的清单，一个不接受的设备和服务的清单，组成访问控制表。

　　1 . 设置步骤
　　配置包过滤有三步：
　　（1）必须知道什么是应该和不应该被允许的，即必须制定一个安全策略。
　　（2）必须正式规定允许的包类型、包字段的逻辑表达。
　　（3）必须用防火墙支持的语法重写表达式。
　　2. 按地址过滤
　　下面是一个最简单的数据包过滤方式，它按照源地址进行过滤。比如说，认为网络202.110.8.0是一个危险的网络，那么就可以用源地址过滤禁止内部主机和该网络进行通信。下表是根据上面的政策所制定的规则。

过滤规则示例

　　很容易看出这种方式没有利用全部信息，所以是不科学的，下面将要讲一种更为先进的过滤方式--按服务过滤。
　　3. 按服务过滤
　　假设安全策略是禁止外部主机访问内部的E-mail服务器（SMTP，端口25），允许内部主机访问外部主机，实现这种的过滤的访问控制规则类似下表。
　　规则按从前到后的顺序匹配，字段中的“*”代表任意值，没有被过滤器规则明确允许的包将被拒绝。就是说，每一条规则集都跟随一条含蓄的规则，就像下表中的规则C。这与一般原则是一致的：没有明确允许的就被禁止。
　　
　　任何一种协议都是建立在双方的基础上的，信息流也是双向的。规则总是成对出现的，而且在讲解规则时也是成对讲解的原因。
　　4.包过滤实例
　　无疑按服务过滤的安全性要比单纯按地址过滤高。
　　下面，将通过一个例子来讲解这种过滤方式。第一，假设处于一个类网络116.111.4.0，认为站点202.208.5.6上有黄色的BBS，所以希望阻止网络中的用户访问该点的BBS；再假设这个站点的BBS服务是通过Telnet方式提供的，那么需要阻止到那个站点的出站Telnet服务，对于Internet的其他站点，允许内部的网用户通过Telnet方式访问，但不允许其他站点以Telnet方式访问网络。第二，为了由发电子邮件，允许SMTP出站入站服务，邮件服务器是IP地址为116.111.4.1。第三，对于WWW服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司的网络访问内部WWW服务器，内部WWW服务器的IP地址为116.111.4.5，因为你们是合作伙伴关系，那个公司的网络为98.120.7.0。
　　在网络嗅探、协议分析器或数据包分析器中，数据包过滤器也是一个关键的工具。许多网络嗅探工具拥有多种过滤器类型，因此使得用户能够对数据包进行过滤并查看它们的传输情况。
　　更多相关的文章欢迎登陆课课家教育或关注公众号【课课家IT精品课程】学习吧！