包過(guò)濾防火墻工作原理
防火墻的類型有很多種,下面的一種是叫做包過(guò)濾防火墻的一種防火墻類型,就讓學(xué)習(xí)啦小編為大家介紹一下這種包過(guò)濾防火墻的工作原理吧。
包過(guò)濾防火墻的工作原理:
1、使用過(guò)濾器:
數(shù)據(jù)包過(guò)濾用在內(nèi)部主機(jī)和外部主機(jī)之間,過(guò)濾系統(tǒng)是一套路由器或是一臺(tái)主機(jī)。過(guò)濾系統(tǒng)根據(jù)過(guò)濾規(guī)則來(lái)決定是否讓數(shù)據(jù)包通過(guò)。用于過(guò)濾數(shù)據(jù)包的路由器被稱為過(guò)濾路由器。
2.數(shù)據(jù)包信息的過(guò)濾:
數(shù)據(jù)包過(guò)濾是通過(guò)對(duì)數(shù)據(jù)包的IP頭和TCP頭或UDP頭的檢查來(lái)實(shí)現(xiàn)的,主要信息有:
* IP源地址
* IP目標(biāo)地址
* 協(xié)議(TCP包、UDP包和ICMP包)
* TCP或UDP包的 源端口
* TCP或UDP包的目標(biāo)端口
* ICMP消息類型
* TCP 包頭中的ACK位
* 數(shù)據(jù)包到達(dá)的端口
* 數(shù)據(jù)包出去的端口
在TCP/IP中,存在著一些標(biāo)準(zhǔn)的服務(wù) 端口號(hào),例如,HTTP的端口號(hào)為80。通過(guò)屏蔽特定的端口可以禁止特定的服務(wù)。包過(guò)濾系統(tǒng)可以阻塞內(nèi)部主機(jī)和外部主機(jī)或另外一個(gè)網(wǎng)絡(luò)之間的連接,例如,可以阻塞一些被視為是有敵意的或不可信的主機(jī)或網(wǎng)絡(luò)連接到內(nèi)部網(wǎng)絡(luò)中。
3、過(guò)濾器的實(shí)現(xiàn):
數(shù)據(jù)包過(guò)濾一般使用過(guò)濾 路由器來(lái)實(shí)現(xiàn),這種 路由器與普通的路由器有所不同。
普通的路由器只檢查 數(shù)據(jù)包的目標(biāo)地址,并選擇一個(gè)達(dá)到目的地址的最佳路徑。它處理 數(shù)據(jù)包是以目標(biāo)地址為基礎(chǔ)的,存在著兩種可能性:若 路由器可以找到一個(gè)路徑到達(dá)目標(biāo)地址則發(fā)送出去;若路由器不知道如何發(fā)送數(shù)據(jù)包則通知數(shù)據(jù)包的發(fā)送者“數(shù)據(jù)包不可達(dá)”。
過(guò)濾 路由器會(huì)更加仔細(xì)地檢查數(shù)據(jù)包,除了決定是否有到達(dá)目標(biāo)地址的路徑外,還要決定是否應(yīng)該發(fā)送數(shù)據(jù)包。“應(yīng)該與否”是由 路由器的過(guò)濾策略決定并強(qiáng)行執(zhí)行的。
以上,便是包過(guò)濾防火墻的工作原理。