包過濾型防火墻是最常見的防火墻類型,它位于Internet和內(nèi)部網(wǎng)絡(luò)之間。包過濾型防火墻在網(wǎng)絡(luò)之間完成數(shù)據(jù)包轉(zhuǎn)發(fā)的普通路由功能,并利用包過濾規(guī)則來允許或拒絕數(shù)據(jù)包。一般情況下,包過濾型防火墻定義的過濾規(guī)則為:內(nèi)部網(wǎng)絡(luò)上的主機可以直接訪問Internet,Internet上的主機對內(nèi)部網(wǎng)絡(luò)上的主機進行訪問是有限制的,這種類型防火墻系統(tǒng)的外網(wǎng)端口默認設(shè)置為對沒有特別允許的數(shù)據(jù)包都拒絕。
包過濾防火墻對所接收的每個數(shù)據(jù)包做允許或拒絕的動作,防火墻審查每個數(shù)據(jù)包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于IP包的包頭信息,包頭信息中包括 IP源地址、IP目標地址、TCP/UDP目標端口、ICMP消息類型,如果有匹配并且規(guī)則允許該數(shù)據(jù)包通過,那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā);如果匹配并且規(guī)則拒絕該數(shù)據(jù)包,那么該數(shù)據(jù)包就會被丟棄;如果沒有匹配規(guī)則,用戶配置的默認參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。
網(wǎng)絡(luò)管理員可以根據(jù)管理的需要設(shè)定包過濾防火墻的過濾規(guī)則,一般情況下,典型的過濾規(guī)則包括以下內(nèi)容。
(1)允許外部的WWW客戶訪問指定的內(nèi)部主機。
(2)允許外部的FTP會話與指定的內(nèi)部主機連接。
(3)允許外部的Telne會話與指定的內(nèi)部主機連接。
(4)允許外部的SMTP會話與指定的內(nèi)部主機連接。
(5)允許所有外出的數(shù)據(jù)包。
(6)拒絕所有來自外部主機的數(shù)據(jù)包。
針對不同類型的攻擊,需采用不同的方法來應(yīng)對。
特定的源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks)。這種類型的攻擊的特點是黑客從外部傳輸一個假裝是來自內(nèi)部主機的數(shù)據(jù)包,即數(shù)據(jù)包中所包含的IP地址為內(nèi)部網(wǎng)絡(luò)上的IP地址。希望通過冒用源IP地址來滲透到只使用了源地址安全功能的系統(tǒng)中。在這樣的系統(tǒng)中,來自內(nèi)部的信任主機的數(shù)據(jù)包被接收,而來自其他主機的數(shù)據(jù)包全部被丟棄。對于源IP地址欺騙式攻擊,可以利用丟棄所有來自包過濾防火墻外部端口的,使用內(nèi)部源地址的數(shù)據(jù)包的方法來防范。
源路由攻擊(Source Routing Attacks)。這種類型的攻擊的特點是源站點指定了數(shù)據(jù)包在 Internet中所走的路線。這種類型的攻擊是為了旁路安全措施,并導致數(shù)據(jù)包循著一個對方不可預料的路徑到達目的地,只需丟棄所有含源路由選項的數(shù)據(jù)包即可防范這種類型的攻擊。
極小數(shù)據(jù)段式攻擊(Tiny Fragment Attacks)。這種類型的攻擊的特點是入侵者使用了IP分段的特性,創(chuàng)建極小的分段并強行將TCP頭信息分成多個數(shù)據(jù)包段,這種攻擊是為了繞過用戶定義的過濾規(guī)則。黑客寄希望于包過濾防火墻只檢查第1個分段,而允許其余的分段通過。對于這種類型的攻擊,只要丟棄協(xié)議類型為TCP,IP FragmentOffset等于1的數(shù)據(jù)包就可以進行控制。
