网络信息安全技术第10章.ppt

TCP是全双工连接的，信息流是双向的。表9.1中的包过滤规则不能明确地区分包中的信息流向，即是从我们的主机到外部站点， 还是从外部站点到我们的主机。  当TCP包从任一方向发送出去时，接收者必须通过设置确认（ACK，Acknowledgement)标志来发送确认。ACK标志是用在正常的TCP传输中的，首包的ACK=0，而后续包的ACK=1，如图10.5所示。 图10.5 在TCP数据传输中使用确认 在图10.5中，发送者发送一个段（TCP发送的数据叫做段）， 其开始的比特数是1001（SEQ#），长度是100；接收者发送回去一个确认包，其中ACK标志置为1， 且确认数(ACK＃)设置为1001+100=1101；发送者再发送1个TCP段数，每段为200 bit。 这些是通过一个单一确认包来确认，其中ACK设置为1，确认数表明下一个TCP数据段开始的比特数是（1101+200）=1301。  从图10.5我们可以看到，所有的TCP连接都要发送ACK包。 当ACK包被发送出去时，其发送方向相反，且包过滤规则应考虑那些确认控制包或数据包的ACK包。 表10.2 SMTP的包过滤规则 对于表10.2中的过滤规则1，源主机或网络列有一项为，目的主机端口列有一项为25，所有其他的列都是“*”号。  过滤规则1的动作是允许连接。这可翻译为：允许任何从网络的任一端口（*）产生的到具有任何TCP标志或IP选项设置（包括源路由选择）的、任一目的主机（*）的端口25的连接。  注意，由于是一个C类IP地址（也叫netid）, 主机号（也叫hostid）字段中的0指的是在网络199.245.180中的任何主机。 对于过滤规则2，源主机端口列有一项为25，目的主机或网络列有一项是，TCP标志或IP选项列为ACK， 所有其他的列都是“*”号。  过滤规则2的动作是允许连接。这可翻译为：允许任何来自任一（*）端口的连接被继续设置。  表10.2的过滤规则1和2的组合效应就是允许TCP包在网络和任一外部主机的SMTP端口之间传输，即过滤规则3。 因为包过滤只检验OSI模型的第二和第三层，所以无法绝对保证返回的TCP确认包是同一个连接的部分。 在实际应用中， 因为TCP连接维持两方的状态信息，它们知道什么样的序列号和确认是所期望的。另外，上一层的应用服务，如Telnet和SMTP只能接受那些遵守应用协议规则的包。 伪造一个含有正确ACK包的确认是很困难的（尽管理论上是可能的）。对于更高层的安全，我们可以使用应用层的网关，如防火墙等。 10.6 包 过 滤 规 则 10.6.1 制订包过滤规则时应注意的事项 (1) 联机编辑过滤规则。一般的文件编辑器都比较小，我们在编辑包过滤规则时有时还不太清楚新规则与原有的老规则是否会有冲突。我们发觉将过滤规则以文本文件方式保存在其他的PC机上，第一个好处是很方便。因为这样我们可以找到比较熟悉的工具对它进行加工，然后再将它装入到包过滤系统。第二个好处是可将每条过滤规则的注释部分也保存下来。大多数包过滤系统会自动将过滤程序中的注释部分消除，因此，当过滤规则装入过滤系统后， 我们会发现注释部分已不再存在。 ( 2) 要用IP地址值， 而不用主机名 在包过滤规则中，要用具体的IP地址值来指定某台主机或某个网络而不要用主机名字。这样可以防止有人有意或无意破坏名字——通过地址翻译器后带来的麻烦。 (3) 从scratch中将新的过滤规则装入 规则文件生成后先要将老的规则文件消除，然后再从scratch中将新的规则文件装入。这样做可以使你不用再为新的规则集是否与老规则集产生冲突而担忧。 10.6.2 设定包过滤规则的简单实例 我们让内部网（C类地址为）只与某一台外部主机（0）之间进行数据交换，在这种情况下，采用如表10.3所示规则。 表10.3 包 过 滤 规 则 例10.1 当用screend时，我们可以这样来写命令 between host 0 and net accept; between host any and host any reject; 例10.2 当用Telehit Mctbiazer时，我们还必须设定此规则用于哪个接口和该规则是否对进出流量均有效，如对一个名为“Syno”的外接口， 我们的规则可用以下的命令来写：  permit 0/