9.4.2 分组过滤器.pptVIP

分组过滤器 分组过滤器 在许多商用路由器上提供的功能，用于控制路由，但是网络管理员可以设置对分组处理的规则，来实现对某些外部分组进行过滤的功能。 防火墙技术中最基本的一种技术。 分组过滤器工作原理 当一个数据报到达路由器时，路由器在对其进行其他路由处理前，首先把数据报交给分组过滤器处理； 分组过滤器根据数据报的首部信息对照一张过滤规则表，确定该数据报是否可以被进一步处理，还是被丢弃（即过滤）。 分组过滤表 TCP/IP没有规定分组过滤器的标准 不同的产品，其过滤的方式各不相同 有些路由器对所有的接口采用统一的过滤规则表，而也有的路由器允许针对每个接口分别设置过滤规则表 过滤规则表需要网络管理员手工设置 一般包含源IP地址、目的IP地址、协议、源站协议端口号以及目的站协议段口号等。 分组过滤表 分组过滤器的局限性 熟知端口号的增加使网络管理员必须不断更新过滤规则表，稍有疏忽就可能造成安全隐患； 互联网上大多数的通信量并不是发往或来自熟知端口，分组过滤器无法适应这样的应用需求； 在隧道技术下分组过滤机制显得无能为力 本节结束 * * intranet Internet 到达端口 2 2 1 2 2 2 IP源站 * * 128.5.0.0/16 * * * IP目的站 * * * * * * 协议 TCP TCP TCP UDP UDP TCP 源端口 * * * * * * 目的端口 21 23 25 43 69 79 *