分組過濾

目前所採用的分組過濾都是按以下步驟進行工作的：

(1)根據內部網路的安全策略制定分組過濾規則。

(2)分組過濾路由器對分組的頭部進行分析，按照分組過濾規則的存貯順序依次對分組進行檢查。

(3)如果在分組過濾規則表中找到一個適用於此分組的規則，而該規則規定阻塞該分組，那么該分組被阻塞。

(4)如果在分組過濾規則表中找到一個適用於此分組的規則，而該規則規定允許該分組通過，那么系統就允許該分組通過。

(5)如果在規則表中沒有適用於該分組的過濾規則，那么，根據預設規定，則該分組被阻塞(根據預設拒絕原則)或被允許通過(根據預設允許原則)。

一旦分組過濾器已經檢查完了一個分組，這時有兩種可能性：一是將這個分組傳送。通常，如果一個分組通過了分組過濾規則的檢查被允許通過，路由器則像一個普通的路由器那樣將這些分組傳向它的目的地；另一種情況是丟棄分組。如果按照分組過濾規則，被檢查的分組不被允許通過，那么分組過濾路由器將丟棄該分組。

雖然根據地址進行過濾不是最常用的分組過濾方法，但是這種方法最簡單。用這種方式進行過濾，根據分組的源IP位址和目的IP位址來限制分組而不必考慮所涉及的協定。

要注意的是，單純根據源地址進行過濾的不安全性，因為進攻者能夠偽造分組的源地址。

根據服務進行分組過濾的方法有些複雜。用這種方式進行過濾，要考慮分組所涉及的協定。

要注意的是，單純基於源連線埠進行分組過濾的不安全性，這種類型的過濾要求我們只能像信任源主機那樣信任源連線埠。

包過濾規則的匹配方式是順序匹配，因此在設定規則時，需要注意以下幾點。

(1)最常用的規則放在前面，這樣可以提高效率。

(2)按從最特殊的規則到最一般的規則的順序創建。當規則衝突時，一般規則不會妨礙特殊規則。

(3)規則庫通常都有一條默認規則，當前面所有的規則都不匹配時，執行默認規則。默認規則可以是允許，也可以是禁止。從安全的角度看來，默認規則為禁止更合適。

(4)對於TCP數據包，大多數分組過濾設備都使用一個總體性的策略來允許已建立的連線通過設備。如果TCP包的SYN位被清空，則表示這是一個已建立連線的數據包。

分組過濾在許多路由器上具有廣泛可行性，許多路由器產品都有根據給定規則對報文分組進行過濾的功能，這些規則包括協定的類型、特定協定類型的源地址和目的地址欄位以及作為協定一部分的控制欄位等。路由器軟體已經提供了建立一個分組過濾防火牆所需的大部分功能，而一個網路與Internet連線時路由器是必不可少的，所以在原有的網路上增設分組過濾型防火牆幾乎不需要任何額外的費用。目前，已安裝的防火牆80%都是基於分組過濾模式的防火牆，它們不過是在連線內部網路與Internet的路由器上根據內部網路的安全策略設定了一些過濾原則而已。許多路由器產品，像Cisco，3COM，Digital和Newbridge等路由器產品都可以通過編程實現其分組過濾功能。費用低是分組過濾系統的主要優勢。

與代理的情況有所不同，分組過濾不要求任何通用的軟體或客戶機器的配置，也不要求用戶進行專門的訓練。若分組過濾路由器允許分組通過，此時，該路由器和通常的路由器沒有什麼不同。理想情況下，如果用戶的分組被允許通過防火牆，用戶甚至不能意識到分組過濾的存在。也就是說，分組過濾有很好的透明性。“透明性”就意味著可以在沒有用戶的合作的情況下做分組過濾。這就是說，在內部網路和Internet之間增設了分組過濾防火牆之後，用戶對網路的使用方式沒有改變。

(1)分組過濾的原理聽起來很簡單，而實現上不是這樣。分組過濾型防火牆的設計是從制定分組過濾規則開始的，分組過濾規則的好壞是防火牆成敗的關鍵。定義分組過濾規則是一項複雜的工作，它要求網路管理人員詳細了解Internet的各種服務以及用戶的需求，當內部網路規模較大，過濾要求比較多時，過濾規則就可能變得很複雜，從而難以管理，在配置過濾規則時難免不發生錯誤和出現漏洞。

(2)分組過濾規則被配置後，難以測試和維護。

(3)有一些協定不適合對其進行分組過濾，即使分組過濾設計得很好，它也不能適用於全部協定的要求。像包含R命令的一些協定和基於RPC的協定就是這樣。

分組過濾器內部也可能有BUG，而這些BUG比代理中的BUG更有可能導致安全問題。

通常，代理的失敗只會導致停止傳送數據，而分組過濾的失敗則可能允許本該被拒絕的分組通過防火牆。