分組過濾

所採用的分組過濾都是按以下步驟進行工作的：

(1)根據內部網絡的安全策略制定分組過濾規則。

(2)分組過濾路由器對分組的頭部進行分析，按照分組過濾規則的存貯順序依次對分組進行檢查。

(3)如果在分組過濾規則表中找到一個適用於此分組的規則，而該規則規定阻塞該分組，那麼該分組被阻塞。

(4)如果在分組過濾規則表中找到一個適用於此分組的規則，而該規則規定允許該分組通過，那麼系統就允許該分組通過。

(5)如果在規則表中沒有適用於該分組的過濾規則，那麼，根據缺省規定，則該分組被阻塞(根據缺省拒絕原則)或被允許通過(根據缺省允許原則)。

一旦分組過濾器已經檢查完了一個分組，這時有兩種可能性：一是將這個分組傳送。通常，如果一個分組通過了分組過濾規則的檢查被允許通過，路由器則像一個普通的路由器那樣將這些分組傳向它的目的地；另一種情況是丟棄分組。如果按照分組過濾規則，被檢查的分組不被允許通過，那麼分組過濾路由器將丟棄該分組。 ^[2] 

雖然根據地址進行過濾不是最常用的分組過濾方法，但是這種方法最簡單。用這種方式進行過濾，根據分組的源IP地址和目的IP地址來限制分組而不必考慮所涉及的協議。

要注意的是，單純根據源地址進行過濾的不安全性，因為進攻者能夠偽造分組的源地址。

根據服務進行分組過濾的方法有些複雜。用這種方式進行過濾，要考慮分組所涉及的協議。

要注意的是，單純基於源端口進行分組過濾的不安全性，這種類型的過濾要求我們只能像信任源主機那樣信任源端口。 ^[2] 

包過濾規則的匹配方式是順序匹配，因此在設置規則時，需要注意以下幾點。

(1)最常用的規則放在前面，這樣可以提高效率。

(2)按從最特殊的規則到最一般的規則的順序創建。當規則衝突時，一般規則不會妨礙特殊規則。

(3)規則庫通常都有一條默認規則，當前面所有的規則都不匹配時，執行默認規則。默認規則可以是允許，也可以是禁止。從安全的角度看來，默認規則為禁止更合適。

(4)對於TCP數據包，大多數分組過濾設備都使用一個總體性的策略來允許已建立的連接通過設備。如果TCP包的SYN位被清空，則表示這是一個已建立連接的數據包。 ^[3] 

分組過濾在許多路由器上具有廣泛可行性，許多路由器產品都有根據給定規則對報文分組進行過濾的功能，這些規則包括協議的類型、特定協議類型的源地址和目的地址字段以及作為協議一部分的控制字段等。路由器軟件已經提供了建立一個分組過濾防火牆所需的大部分功能，而一個網絡與Internet連接時路由器是必不可少的，所以在原有的網絡上增設分組過濾型防火牆幾乎不需要任何額外的費用。已安裝的防火牆80%都是基於分組過濾模式的防火牆，它們不過是在連接內部網絡與Internet的路由器上根據內部網絡的安全策略設置了一些過濾原則而已。許多路由器產品，像Cisco，3COM，Digital和Newbridge等路由器產品都可以通過編程實現其分組過濾功能。費用低是分組過濾系統的主要優勢。

與代理的情況有所不同，分組過濾不要求任何通用的軟件或客户機器的配置，也不要求用户進行專門的訓練。若分組過濾路由器允許分組通過，此時，該路由器和通常的路由器沒有什麼不同。理想情況下，如果用户的分組被允許通過防火牆，用户甚至不能意識到分組過濾的存在。也就是説，分組過濾有很好的透明性。“透明性”就意味着可以在沒有用户的合作的情況下做分組過濾。這就是説，在內部網絡和Internet之間增設了分組過濾防火牆之後，用户對網絡的使用方式沒有改變。

(1)分組過濾的原理聽起來很簡單，而實現上不是這樣。分組過濾型防火牆的設計是從制定分組過濾規則開始的，分組過濾規則的好壞是防火牆成敗的關鍵。定義分組過濾規則是一項複雜的工作，它要求網絡管理人員詳細瞭解Internet的各種服務以及用户的需求，當內部網絡規模較大，過濾要求比較多時，過濾規則就可能變得很複雜，從而難以管理，在配置過濾規則時難免不發生錯誤和出現漏洞。

(2)分組過濾規則被配置後，難以測試和維護。

(3)有一些協議不適合對其進行分組過濾，即使分組過濾設計得很好，它也不能適用於全部協議的要求。像包含R命令的一些協議和基於RPC的協議就是這樣。

分組過濾器內部也可能有BUG，而這些BUG比代理中的BUG更有可能導致安全問題。

通常，代理的失敗只會導致停止傳送數據，而分組過濾的失敗則可能允許本該被拒絕的分組通過防火牆。 ^[2]