如何运用包过滤技术实现个人防火墙

　　四、过滤规则设置

　　包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，　　对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；　　同时应具备一致性检测机制，防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，　　如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据ICMP头信息(类型和代码值)、　　TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤，其他的还有MAC地址过滤。　　应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。

　　在一般情况下,我们可以从以下几个方面来进行访问规则的设置：

　　（1）禁止一切源路由寻径的IP包通过；

　　（2）IP包的源地址和目的地址；

　　（3）IP包中TCP与UDP的源端口和目的端口；

　　（4）运行协议；

　　（5）IP包的选择。

　　动作 协议 方向 访问时间 远端IP 端口 应用程序 备注

　　放行 IP 流进 工作时间 202.114.165.240 8080 IE

　　询问 TCP 流进 工作时间 202.114.165.192 1080 IE

　　拒绝 IP 流出 工作时间 202.114.204.153 80 IE

　　图3　一个典型的规则表

　　五、记录和报警

　　防火墙处理完整日志的方法：防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。　　提供自动日志扫描：指防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。　　提供自动报表、日志报告书写器：防火墙实现的一种输出方式，提供自动报表和日志报告功能。

　　动作 开始时间

　　结束时间

　　协议 进流量 出流量 本地IP:端口

　　远端IP:端口

　　应用程序 备注

　　放行 21:54 －

　　22:00

　　TCP 200 400 202.114.165.240:80

　　202.114.165.225:80

　　IE

　　放行 22:01－

　　22:10

　　IP 250 100 202.114.165.240:80

　　202.114.165.193:80

　　IE

　　警告通知机制：防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括E－mail、呼机、手机等。

　　提供简要报表(按照用户ID或IP地址)：防火墙实现的一种输出方式，按要求提供报表分类打印。

　　提供实时统计：防火墙实现的一种输出方式，日志分析后所获得的智能统计结果，一般是图表显示。

　　用包过滤技术实现防火墙较为容易,具有比较好的网络安全保障功能,但也存在不足之处,由于过滤技术中无法包括用户名,而仅仅是客户机的IP地址,那么如果要过滤用户名就不能使用包过滤技术了,另外,由于包过滤技术遵循”未禁止就允许通过”的规则,因此,一些未经禁止的包的进出,可能对网络产生安全威胁。今后防火墙的发展会朝着简单化、安全化方向迈进, 综合包过滤和应用代理的功能,达到两者的有效结合,实现新型加密算法的设计,使数据的传输更加安全, 会和IDS、病毒检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系。