包過(guò)濾防火墻工作原理

　　防火墻的類(lèi)型有很多種，下面的一種是叫做包過(guò)濾防火墻的一種防火墻類(lèi)型，就讓學(xué)習(xí)啦小編為大家介紹一下這種包過(guò)濾防火墻的工作原理吧。

　　包過(guò)濾防火墻的工作原理：

　　1、使用過(guò)濾器：

　　數(shù)據(jù)包過(guò)濾用在內(nèi)部主機(jī)和外部主機(jī)之間，過(guò)濾系統(tǒng)是一套路由器或是一臺(tái)主機(jī)。過(guò)濾系統(tǒng)根據(jù)過(guò)濾規(guī)則來(lái)決定是否讓數(shù)據(jù)包通過(guò)。用于過(guò)濾數(shù)據(jù)包的路由器被稱(chēng)為過(guò)濾路由器。

　　2.數(shù)據(jù)包信息的過(guò)濾：

　　數(shù)據(jù)包過(guò)濾是通過(guò)對(duì)數(shù)據(jù)包的IP頭和TCP頭或UDP頭的檢查來(lái)實(shí)現(xiàn)的，主要信息有：

　　* IP源地址

　　* IP目標(biāo)地址

　　* 協(xié)議(TCP包、UDP包和ICMP包)

　　* TCP或UDP包的 源端口

　　* TCP或UDP包的目標(biāo)端口

　　* ICMP消息類(lèi)型

　　* TCP 包頭中的ACK位

　　* 數(shù)據(jù)包到達(dá)的端口

　　* 數(shù)據(jù)包出去的端口

　　在TCP/IP中，存在著一些標(biāo)準(zhǔn)的服務(wù) 端口號(hào)，例如，HTTP的端口號(hào)為80。通過(guò)屏蔽特定的端口可以禁止特定的服務(wù)。包過(guò)濾系統(tǒng)可以阻塞內(nèi)部主機(jī)和外部主機(jī)或另外一個(gè)網(wǎng)絡(luò)之間的連接，例如，可以阻塞一些被視為是有敵意的或不可信的主機(jī)或網(wǎng)絡(luò)連接到內(nèi)部網(wǎng)絡(luò)中。

　　3、過(guò)濾器的實(shí)現(xiàn)：

　　數(shù)據(jù)包過(guò)濾一般使用過(guò)濾 路由器來(lái)實(shí)現(xiàn)，這種 路由器與普通的路由器有所不同。

　　普通的路由器只檢查 數(shù)據(jù)包的目標(biāo)地址，并選擇一個(gè)達(dá)到目的地址的最佳路徑。它處理 數(shù)據(jù)包是以目標(biāo)地址為基礎(chǔ)的，存在著兩種可能性：若 路由器可以找到一個(gè)路徑到達(dá)目標(biāo)地址則發(fā)送出去;若路由器不知道如何發(fā)送數(shù)據(jù)包則通知數(shù)據(jù)包的發(fā)送者“數(shù)據(jù)包不可達(dá)”。

　　過(guò)濾 路由器會(huì)更加仔細(xì)地檢查數(shù)據(jù)包，除了決定是否有到達(dá)目標(biāo)地址的路徑外，還要決定是否應(yīng)該發(fā)送數(shù)據(jù)包。“應(yīng)該與否”是由 路由器的過(guò)濾策略決定并強(qiáng)行執(zhí)行的。

　　以上，便是包過(guò)濾防火墻的工作原理。