包过滤防火墙策略的应用
时间:2025-07-10
在TCP/IP网络中,包过滤防火墙的策略制定是至关重要的.策略就是让包过滤防火墙在转发数据包之前打开TCP/IP封装,检查进出网络的数据包的各种属性,决定是否允许该数据包通过防火墙.文中对TCP、IP数据包进行了描述,给出了一些策略实例.
2009年第12期中图分类号:TP393.08文献标识码:A文章编号:1009—2552{2009)12—0152—03
包过滤防火墙策略的应用
陈宝林
(北京联合大学生物化学工程学院,北京100023)
摘要:在T℃P/IP网络中,包过滤防火墙的策略制定是至关重要的。策略就是让包过滤防火墙在转发数据包之前打开T℃P/IP封装,检查进出网络的数据包的各种属性,决定是否允许该数据包通过防火墙。文中对TCP、IP数据包进行了描述,给出了一些策略实例。
关键词:防火墙;过滤;策略・
Applicationofpacketfilteringfirewallstrategies
C既NBao.1in
(School0fBiochemistryandEIIgi耻ering,BeGingUnionUniversity,Beijmg10(0)03,China)
Abstract:In’I℃P/IPnetwork.thepacketf'dtefingfirewallstrate目"esisessential.Strategyistomakethe
packetfilteringfirewallopen代P/口packagebeforethedatapacketforwarding.checkvariouspropertiesofdatapacketthendecideonwhethertoallowthepacketthroughthefirewMl.InthispaperTCP、IPpacketsar}edescribed,and¥on'lepolicyinstanceareproposed.
Keywords:firewall;filter;strategies
在TCP/IP网络中,包过滤防火墙的工作原理是在转发数据包之前打开rI℃P,口封装,检查进出网络的数据包的各种属性,根据用户设定的安全策略决定是否允许须该数据包通过防火墙。制定合适的安防策略才能使防火墙有效地保护内部网络或主机。
TCP/IP数据包头格式,了解包头格式对防火墙策略的制定是非常必要的。如果对数据包头一无所知是很难制定出合适的策略的。
P数据包头如表1所示,各字段的属性为:
版本:标识了口协议的版本(IPv4/IPv6)。
报头长度:标识了IP报头的长度,长度单位为32比特。
服务类型:它用来表示特殊报文的处理方式。
总长度。
标记字段:长度位3位,其中第一位没有被使用,第二位是不分片位DF,位被置1,第三位MF,当二152一路由器对数据进行分片时,除了最后一个分片的MF
位为0外,其他所有的MF全部为l。
分片偏移:以8个bit为单位,用于指明分片起始点相对于报头的起始点的偏移量。
生存时间:在最初创建报文时,吼就被设定为
某个特定值,当报文沿路由器传送时,每经过一个路由器m的值就会减小I,当TTL为零的时候,就会丢弃这个报文,同时向源地址发送错误报告,促使重新发送。
协议:字段长度为8位,它给出了主机到主机传输层的地址或者协议号。
校验和:针对IP报头的纠错字段。
收稿日期:2009—11一12
作者简介:陈宝林(1955一),男,1982年毕业于哈尔滨电工学院(现哈尔滨理[大学),北京联合大学教师,研究方向为计算
机网络安全。
万方数据
包过滤防火墙策略的应用.doc
将本文的Word文档下载到电脑
