包過濾防火墻工作原理

　　防火墻的類型有很多種，下面的一種是叫做包過濾防火墻的一種防火墻類型，就讓學習啦小編為大家介紹一下這種包過濾防火墻的工作原理吧。

　　包過濾防火墻的工作原理：

　　1、使用過濾器：

　　數(shù)據(jù)包過濾用在內部主機和外部主機之間，過濾系統(tǒng)是一套路由器或是一臺主機。過濾系統(tǒng)根據(jù)過濾規(guī)則來決定是否讓數(shù)據(jù)包通過。用于過濾數(shù)據(jù)包的路由器被稱為過濾路由器。

　　2.數(shù)據(jù)包信息的過濾：

　　數(shù)據(jù)包過濾是通過對數(shù)據(jù)包的IP頭和TCP頭或UDP頭的檢查來實現(xiàn)的，主要信息有：

　　* IP源地址

　　* IP目標地址

　　* 協(xié)議(TCP包、UDP包和ICMP包)

　　* TCP或UDP包的 源端口

　　* TCP或UDP包的目標端口

　　* ICMP消息類型

　　* TCP 包頭中的ACK位

　　* 數(shù)據(jù)包到達的端口

　　* 數(shù)據(jù)包出去的端口

　　在TCP/IP中，存在著一些標準的服務 端口號，例如，HTTP的端口號為80。通過屏蔽特定的端口可以禁止特定的服務。包過濾系統(tǒng)可以阻塞內部主機和外部主機或另外一個網(wǎng)絡之間的連接，例如，可以阻塞一些被視為是有敵意的或不可信的主機或網(wǎng)絡連接到內部網(wǎng)絡中。

　　3、過濾器的實現(xiàn)：

　　數(shù)據(jù)包過濾一般使用過濾 路由器來實現(xiàn)，這種 路由器與普通的路由器有所不同。

　　普通的路由器只檢查 數(shù)據(jù)包的目標地址，并選擇一個達到目的地址的最佳路徑。它處理 數(shù)據(jù)包是以目標地址為基礎的，存在著兩種可能性：若 路由器可以找到一個路徑到達目標地址則發(fā)送出去;若路由器不知道如何發(fā)送數(shù)據(jù)包則通知數(shù)據(jù)包的發(fā)送者“數(shù)據(jù)包不可達”。

　　過濾 路由器會更加仔細地檢查數(shù)據(jù)包，除了決定是否有到達目標地址的路徑外，還要決定是否應該發(fā)送數(shù)據(jù)包。“應該與否”是由 路由器的過濾策略決定并強行執(zhí)行的。

　　以上，便是包過濾防火墻的工作原理。