分组过滤型(Packet Filter)防火墙,又称包过滤防火墙,一般是对IP数据包进行过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址,源端口和目的端口等,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
为了过滤数据包,路由器需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过。这些规则就是通过ACL(Access Control List,访问控制列表)体现的。
用户需要根据自己的安全策略来确定访问控制列表,并将其应用到整机或指定接口上,路由器就会根据访问控制列表来检查所有接口或指定接口上的所有数据包,对于符合规则的报文作正常转发或丢弃处理,从而起到防火墙的作用。(www.xing528.com)
一个访问控制列表可以由多条“permit|deny”语句组成,每一条语句描述的规则是不相同的,这些规则可能存在重复或矛盾的地方。在将一个数据包和访问控制列表的规则进行匹配的时候,有两种匹配顺序:配置顺序和自动排序。配置顺序是指按照用户配置ACL的规则的先后进行匹配。自动排序使用“深度优先”的原则,“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。具体标准为:对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;对于基于接口的访问控制规则,配置了“any”的规则排在后面,其他按配置顺序;对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。