計算機網路中分組過濾

① 計算機網路分組

「分組」(packet)也就是「包」，它是一個不太嚴格的名詞，意思是將若干個比特加上首部的控制信息就封裝在一起，組成一個在網路上傳輸的數據單元。在數據鏈路層這樣的數據單元叫做「幀」。而在IP層（即網路層）這樣的數據單元就叫做「IP數據報」。在運輸層這樣的數據單元就叫做「TCP報文段」或「UDP用戶數據報」。但在不需要十分嚴格和不致弄混的情況下，有時也都可籠統地採用「分組」這一名詞。這點請讀者注意。
OSI為了使數據單元的名詞准確，就創造了「協議數據單元」PDU這一名詞。在數據鏈路層的PDU叫做DLPDU，即「數據鏈路協議數據單元」。在網路層的PDU叫做「網路協議數據單元」NPDU。在運輸層的PDU叫做「運輸協議數據單元」TPDU。雖然這樣做十分嚴格，但過於繁瑣，現在已沒有什麼人願意使用這樣的名詞。

② 什麼是防火牆防火牆的類型有哪些

防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。

防火牆的主要類型

1、過濾防火牆

過濾防火牆，顧名思義，就是在計算機網路中起一個過濾的作用。這種防火牆會根據已經預設好的過濾規則，對在網路中流動的數據包進行過濾行為。如果符合過濾規則的數據包會被放行，如果數據包不滿足過濾規則，就會被刪除。數據包的過濾規則是基於數據包報審的特徵的。防火牆通過檢查數據包的源頭IP地址，目的IP地址，數據包遵守的協議，埠號等特徵來完成。第一代的防火牆就屬於過濾防火牆。

2、應用網關防火牆

已經介紹了的過濾防火牆在OSI七層協議中主要工作在數據鏈路層和IP層。與之不同的是，應用網關防火牆主要工作在最上層應用層。不僅如此，相比於基於過濾的防火牆來說，應用網關防火牆最大的特點是有一套自己的邏輯分析。基於這個邏輯分析，應用網關伺服器在應用層上進行危險數據的過濾，分析內部網路應用層的使用協議，並且對計算機網路內部的所有數據包進行分析，如果數據包沒有應用邏輯則不會被放行通過防火牆。

3、服務防火牆

上述的兩種防火牆都是應用在計算機網路中來阻擋惡意信息進入用戶的電腦的。服務防火牆則有其他的應用場景，服務防火牆主要用於伺服器的保護中。在現在的應用軟體中，往往需要通過和伺服器連接來獲得完整的軟體體驗。所以服務防火牆也就應運而生。服務防火牆用來防止外部網路的惡意信息進入到伺服器的網路環境中。

4、監控防火牆

如果說之前介紹的防火牆都是被動防守的話，那麼監控防火牆則是不僅僅防守，還會主動出擊。一方面監控防火牆可以像傳統的防火牆一樣，過濾網路中的有害數據。另一方面，監控防火牆可以主動對數據進行分析和測試，得到網路中是否存在外部攻擊。這種防火牆對內可以過濾，對外可以監控。從技術上來說，是傳統防火牆的重大升級。

5、應用代理類型防火牆

應用代理防火牆主要的工作范圍就是在OSI的最高層，位於應用層之上。其主要的特徵是可以完全隔離網路通信流，通過特定的代理程序就可以實現對應用層的監督與控制。這兩種防火牆是應用較為普遍的防火牆，其他一些防火牆應用效果也較為顯著，在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型，這樣才可以有效地避免防火牆的外部侵擾等問題的出現。

以上內容參考：網路-防火牆、網路-防火牆技術

③ 簡述計算機網路安全技術中「防火牆」（firewall）的基本功能及技術分類。

一 防火牆基本原理

首先，我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾，和狀態檢測的包過濾，應用層代理防火牆。但是他們的基本實現都是類似的。

│ │---路由器-----網卡│防火牆│網卡│----------內部網路│ │

防火牆一般有兩個以上的網路卡，一個連到外部（router)，另一個是連到內部網路。當打開主機網路轉發功能時，兩個網卡間的網路通訊能直接通過。當有防火牆時，他好比插在網卡之間，對所有的網路通訊進行控制。

說到訪問控制，這是防火牆的核心了：），防火牆主要通過一個訪問控製表來判斷的，他的形式一般是一連串的如下規則：

1 accept from+ 源地址，埠 to+ 目的地址，埠+ 採取的動作

2 deny ...........（deny就是拒絕。。)

3 nat ............(nat是地址轉換。後面說）

防火牆在網路層（包括以下的煉路層）接受到網路數據包後，就從上面的規則連表一條一條地匹配，如果符合就執行預先安排的動作了！如丟棄包。。。。

但是，不同的防火牆，在判斷攻擊行為時，有實現上的差別。下面結合實現原理說說可能的攻擊。

二 攻擊包過濾防火牆

包過濾防火牆是最簡單的一種了，它在網路層截獲網路數據包，根據防火牆的規則表，來檢測攻擊行為。他根據數據包的源IP地址；目的IP地址；TCP/UDP源埠；TCP/UDP目的埠來過濾！！很容易受到如下攻擊：

1 ip 欺騙攻擊：

這種攻擊，主要是修改數據包的源，目的地址和埠，模仿一些合法的數據包來騙過防火牆的檢測。如：外部攻擊者，將他的數據報源地址改為內部網路地址，防火牆看到是合法地址就放行了：）。可是，如果防火牆能結合介面，地址來匹配，這種攻擊就不能成功了：（

2 d.o.s拒絕服務攻擊

簡單的包過濾防火牆不能跟蹤 tcp的狀態，很容易受到拒絕服務攻擊，一旦防火牆受到d.o.s攻擊，他可能會忙於處理，而忘記了他自己的過濾功能。：）你就可以饒過了，不過這樣攻擊還很少的。！

3 分片攻擊

這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移欄位標志分片包的順序，但是，只有第一個分片包含有TCP埠號的信息。當IP分片包通過分組過濾防火牆時，防火牆只根據第一個分片包的Tcp信息判斷是否允許通過，而其他後續的分片不作防火牆檢測，直接讓它們通過。

這樣，攻擊者就可以通過先發送第一個合法的IP分片，騙過防火牆的檢測，接著封裝了惡意數據的後續分片包就可以直接穿透防火牆，直接到達內部網路主機，從而威脅網路和主機的安全。

4 木馬攻擊

對於包過濾防火牆最有效的攻擊就是木馬了，一但你在內部網路安裝了木馬，防火牆基本上是無能為力的。

原因是：包過濾防火牆一般只過濾低埠（1-1024），而高埠他不可能過濾的（因為，一些服務要用到高埠，因此防火牆不能關閉高埠的），所以很多的木馬都在高埠打開等待，如冰河，subseven等。。。
但是木馬攻擊的前提是必須先上傳，運行木馬，對於簡單的包過濾防火牆來說，是容易做的。這里不寫這個了。大概就是利用內部網路主機開放的服務漏洞。

早期的防火牆都是這種簡單的包過濾型的，到現在已很少了，不過也有。現在的包過濾採用的是狀態檢測技術，下面談談狀態檢測的包過濾防火牆。狀態檢測技術最早是checkpoint提出的，在國內的許多防火牆都聲稱實現了狀態檢測技術。

可是：）很多是沒有實現的。到底什麼是狀態檢測？

一句話，狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。

原先的包過濾，是拿一個一個單獨的數據包來匹配規則的。可是我們知道，同一個tcp連接，他的數據包是前後關聯的，先是syn包，-》數據包=》fin包。數據包的前後序列號是相關的。

如果割裂這些關系，單獨的過濾數據包，很容易被精心夠造的攻擊數據包欺騙！！！如nmap的攻擊掃描，就有利用syn包，fin包，reset包來探測防火牆後面的網路。！

相反，一個完全的狀態檢測防火牆，他在發起連接就判斷，如果符合規則，就在內存登記了這個連接的狀態信息（地址，port，選項。。）,後續的屬於同一個連接的數據包，就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息，都被丟棄了。這樣這些攻擊數據包，就不能饒過防火牆了。

說狀態檢測必須提到動態規則技術。在狀態檢測里，採用動態規則技術，原先高埠的問題就可以解決了。實現原理是：平時，防火牆可以過濾內部網路的所有埠(1-65535),外部攻擊者難於發現入侵的切入點，可是為了不影響正常的服務，防火牆一但檢測到服務必須開放高埠時，如（ftp協議，irc等），防火牆在內存就可以動態地天加一條規則打開相關的高埠。等服務完成後，這條規則就又被防火牆刪除。這樣，既保障了安全，又不影響正常服務，速度也快。！
一般來說，完全實現了狀態檢測技術防火牆，智能性都比較高，一些掃描攻擊還能自動的反應，因此，攻擊者要很小心才不會被發現。

但是，也有不少的攻擊手段對付這種防火牆的。