江汉大学学报第18卷第3期2001年6月545645JournalofJianghanUniversityV01.18No.3Jun.2001数据包过滤技术与防火墙的设计郭伟(江汉大学科研设备处,武汉430019)摘要:在分析数据包过滤原理的基础上,对如何制定过滤规则以建立有效的过滤型防火墙进行了探讨.关键词:数据包过滤;防火墙;网络安全中图分类号:TP319文献标识码:A文章编号:l006-639X(2001)03・0056-040前言Intemet的迅速发展为人们提供了大量的信息资源,一个组织将其内部网络与Intemet相连后,其内部网络的用户就能通过访问Intemet服务获得大量的信息资源.同时,该组织也可通过提供www、FTP、电子邮件等服务,向外界发布信息.毫无疑问,内部网络与Intemet连接所带来的益处是巨大的.但是另一方面,与Intemet的连接也将内部网络的数据资料和网络资源暴露给了Intemet上的其它主机.这样一来,如何在保障内部网络用户获得必要的Intemet服务的同时阻止非法用户对内部网络资源的访问,维护内部网络的安全就成为一个十分突出的问题.Intemet防火墙就是这样一个系统,这通过检查内部网络与Intemet的通迅信息,决定哪些内部服务可以被外界访问,哪些外部服务可以被内部人员访问,从而增强该组织内部网络的安全性,使其免外界的攻击.防火墙通常只有被置放于Intemet和内部网络之间,根据用户设置的安全规则对内部网络与Intemet之间通讯的所有数据包进行检查,才能有效地起阻截来自Intemet对企业内部网络入侵的作用,如图1所示.防火墙技术主要有两类,一类是数据包过滤,另一类是代理.代理技术费用高昂实现起来有一定的困难,因此本文将主要探讨数据包..一....一...j过滤技术在防火墙中的应用.图1防火墙用于隔离Intemet与内部网络1数据包过滤原理收稿日期:2001—02—20作者简介:鄄伟(1959一),男,硕士,从事计算机Ngi-管理万方数据 塑堡耋!塑鱼垫婆垫查量堕!进丝垦盐!!数据包过滤防火墙工作于DOD(DepartmentofDefense)模型的网络层,其技术核心是对是流经防火墙每个数据包进行行审查,分析其包头中所包含的源地址、目的地址、封装协议(TCP、UDP、ICMP、IPTunnel等)、TCP/UDP源端口号和目的端口号、输入输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过.从而起到保护内部网络的作用,这一过程就称为数据包过滤.其抛主要工作流程如图2所示.当数据包进入数据包过滤防火墙,首弃先需要进行的是数据包完整性检查,以确定包在传输中是否有误.由于防火墙只根据包头中所包含的信息来匹配过滤规则表,因此有时一些畸形包会使防火墙产生迷惑,故那些被怀疑是不完整的数据包在此之前应被抛弃.这一检查常用于对付黑客的碎片攻击.被认为是完整的数据包才能接受防火图2数据包在防火墙中过滤的流程图墙的输人过滤规则表的检查,如不允许该数据包通过,该数据包将被抛弃,反之,数据包将进一步接受路由检查防火墙内的路由表根据数据包中包含的目的信息决定数据包是否需要转发,如需要转发,数据包还需要接受转发规则表的检查.这一过程是用于防范黑客的路由攻击.最后,所有的数据包(无论是否需要转发)在离开防火墙前均还需要接受输出过滤规则表的检查.从上述分析不难看出,制定严谨的过滤规则表是建立有效的数据包过滤防火墙的关键.2数据包过滤防火墙的设计与实现ipchains是一种用于建立过滤型防火墙的工具软件.下面我们以REDHAT6.1为平台。通过建立基于LINUX的数据包过滤防罩罩Il火墙来分析如何对数据包进行有效过滤.蒜内btI‘t1.IH撒nml鹤网2.1网络环境的建立■一量r一络唾觋……堕罔i“薯葛嚣蔫“{网络环境如图3所示.内部网络使用i….=:==:=::==…j的网段为192.168.1.0,eth0为防火墙与In-工一;——防火墙JL一一REDHAT6l+ipchmustemet接口的网卡,ethl为防火墙与内部网192.168.1.0络接口的网卡.图3模拟防火墙工作的网络环境万 方数据58江汉大学学报2001年第3期2.2数据包过滤安全规则的设计与实现DOD模型网络层的主要任务是使用IP协议来标识网络中的主机,控制机器间的通讯流量,并通过路由协议标识传输路径[1】.在Intemet中无论是从属于某种服务的数据包过还是与服务无关的数据包,其所使用的协议几乎都是基于IP的.因而,基于网络层的数据包过滤也分成两类:一类是与服务有关的,另一类是与服务无关的,因此,在建立数据包过滤安全规则时.应充分考虑这两类数据包的过滤问题.2.2.1与服务有关的安全检查规则这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括wwW、FTP、Telnet、SMTP等.我们以www包过滤为例,来分析这类数据包过滤的实现.www数据包采用TCP或UDP协议,其端口为80,设置安全规则为允许内部网络用户对Intemet的www访问,而限制Internet用户仅能访问内部网部的www服务器,(假定其IP地址为192.168.1.11).要实现上述www安全规则,设置www数据包过滤为.在防火eth0端仅允许目的地址为内部网络www服务器地址数据包通过,而在防火墙ethl端允许所有来自内部网络wwW数据包通过.#DefineHTTPpackets撑允许Internet客户的WWW包访问WWW服务器/sbin/ipchains・Ainput-Ptop・S0.0.0.0/01024:一d192.168.1.11/32WWW—i/sbin/ipchains.Ainput.Ptcp.S0.0.0.0/01024:.d192.168.1.11/32WWW-ieth0-jACCEPTeth0-jACCEPTethl-jethl-jACCEPTACCEPT捍允许www服务器回应Internet客户的www访问请求/sbin/ipchains.Ainput.Ptcp.s192.168.1.11/32www:.d0.0.0.0/01024:.i/sbin/ipchains.Ainput.Pudp.S192.168.1.11/32www:.d0.0.0.0/01024:一i显然,设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口.与此相似,我们可以建立起与FTP、Telnet、SMTP等服务有关的数据包检查规则.2.2.2与服务无关的安全检查规则这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的,主要有以下几点.①数据包完整性检查(TinyFragment):安全规则为拒绝不完整数据包进入.1pchains本身并不具备碎片过滤功能,实现完整性检查的方法是利用REDHAT,在编译其内核时设定IP:alwaysdefragmentsetto~Y.REDHAT检查进入的数据包的完整性,合并片段而抛弃碎片.有些情况,由于数据包较大无法一次传输,不得不分解成多个片段来传输,对于这些片段,需要将其合并成原来的包,而不能抛弃.②源地址IP(SourceIPAddressSpoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机,以期能渗透到内部网络中.要实现这一安全规则,设置拒绝数据包过滤规则为,在防火墙eth0端拒绝lP源地址为内部网络地址的数据包通过.万方数据 郭伟数据包过滤技术与防火墙的设计59/sbin/ipchains・Ainput-s192.168.1.0/24Ieth0-jDENY③源路由(SourceRouting)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息,实现的方法也是借助REDHAT的路由功能,拒绝来自外部的包含源路由选项的数据包.显然,此类数据包过滤较为复杂,难以仅根据基本的数据包头信息进行过滤,还需要对数据包的结构进行分析,通过对其特定字段所包含的内容进行检查,来实现对数据包的过滤.通过对以上两类数据包过滤的分析我们认为,工作在网络层的数据包过滤防火墙是一种十分有效的网络安全手段,但是,其对数据包的过滤规则十分复杂,管理人员必须对Interact各种服务、数据包格式和数据包的传输等有比较深入的了解,只有在此基础上建立起严谨有效的包过滤规则,并能根据网络环境的变化及时作出调整,才能真正发挥其作用.3结束语目前,大多数路由器均具有数据包过滤功能,用户也可以利用ipchains等免费工具自行组建过滤型防火墙,因此运用数据包过滤技术建立Intemet防火墙的费用低廉.此外,它还具有很高的效率,无论是在路由器上定义数据包过滤功能,还是利用免费工具自行组建的过滤型防火墙,对网络的性能几乎没有什么影响.因此,建立数据包过滤防火墙对保护网络安全,尤其是经费相对有限的中小型网络,不失为一种理想的选择.参考文献:【l】AnthonyNOrthrup.NTNetworkPiumebing:Routers,Proxies,andWebServicesm【M1.NewYork:IDGBooksWorldwikde,1998.ThePacketFilteringAndFirewallDesignGUOWei.(DivisionofScienceResearch&EquipmentsManagementJianghanUniversity,Wuhan430019)Abstract:Analyzingthetheoryofpacketfltering,thispaperdiscussedhowtobuildaneff-caciousfirewallbyestablishthepacketfilteringrule.Keywords:packetfiltering;firewall;networksecurity万 方数据
