科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道基于Linux系统的包过滤防火墙(2)

基于Linux系统的包过滤防火墙(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包,也可能执行其它更复杂的动作。

作者:51CTO.COM 2007年11月9日

关键字: 包过滤 Linux 防火墙 iptables

  • 评论
  • 分享微博
  • 分享邮件

  过滤路由器会更加仔细地检查数据包,除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。

  路由器的过滤策略主要有:

  * 拒绝来自某主机或某网段的所有连接。

  * 允许来自某主机或某网段的所有连接。

  * 拒绝来自某主机或某网段的指定端口的连接。

  * 允许来自某主机或某网段的指定端口的连接。

  * 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。

  * 允许本地主机或本地网络与其它主机或其它网络的所有连接。

  * 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。

  * 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。

  1.1.4 包过滤器操作的基本过程

  下面做个简单的叙述:

  (1)包过滤规则必须被包过滤设备端口存储起来。

  (2)当包到达端口时,对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。

  (3)包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。

  (4)若一条规则阻止包传输或接收,则此包便不被允许。

  (5)若一条规则允许包传输或接收,则此包便可以被继续处理。

  (6)若包不满足任何一条规则,则此包便被阻塞。

  1.1.5 包过滤技术的优缺点

  (1)优点:

  →对于一个小型的、不太复杂的站点,包过滤比较容易实现。

  →因为过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快。

  →过滤路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。所以,过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所被称为网关,是因为包过滤路由器和传统路由器不同,它涉及到了传输层。

  →过滤路由器在价格上一般比代理服务器便宜。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章