什么是包过滤技术

什么是包过滤技术？包过滤(Packet Filtering)技术是根据流经防火墙的数据包的特征，依据预先定义好的规则，决定是否允许数据包通过的技术。它对数据包进行分析筛选的依据是系统内设置的访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等信息或它们的组合信息来确定是否允许该数据包通过。

(1)静态包过滤

静态包过滤，又称简单包过滤(Simple Packet Filter)是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配，然后对所接收的每个数据包做允许或拒绝的决定。过滤规则基于数据包报头中的信息，例如源IP地址、目标IP地址、协议类型(TCP、UDP、ICMP等)、源端口和目的端口。

(2)动态包过滤

动态包过滤(Dynamic Packet Filter)采用动态设置包过滤规则的方法过滤数据包。采用这种技术的防火墙对每一个连接都进行跟踪，动态地决定哪些数据包可以通过，并且可以根据需要动态地在过滤规则中增加或更新条目。

(3)包状态检测

包状态检测(Stateful Inspection)技术继承了包过滤技术的优点，同时摒弃了包过滤技术仅考查数据包的IP地址、协议类型等几个参数，而不关心数据包连接状态变化的缺点，通过建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据“规则表”，更考虑了数据包是否符合会话所处的状态，检查数据包之间的关联性，因而能提供更完整的对传输层的控制能力。

(4)深度包检测

深度包检测(Deep Packet Inspection)技术融合了入侵检换(和攻击防范的功能，通过指纹匹配、启发式技术、异常检测和统计分析等技术来决定如何处理数据包，并可以根据特征检测和内容过滤来寻找已知的攻击，阻止分布式拒绝服务攻击、病毒传播和异常访问等威胁网络安全的行为。

包过滤防火墙通常工作在OSI的3层及3层以下，可控的内容主要包括报文的源地址、报文的目标地址、服务类型，以及数据链路层的 MAC 地址等。随着包过滤防火墙的发展，部分OSI的4层内容也被包括进来，例如报文的源端口和目的端口。包过滤防火墙遵循的一条基本原则是“最小特权原则”，即明确允许某些数据包通过，而禁止其他的数据包通过。

由于大多数路由器都提供简单的数据包过滤功能，所以传统的包过滤防火墙多数是由路由器集成的。

包过滤防火墙的优点是不用改动应用程序、数据包过滤对用户透明、过滤速度快、通用性强(因为它不针对具体的网络服务);缺点是不能彻底防止地址欺骗，某些协议不适合于数据包过滤(例如过滤器不能有效地过滤UDP、RPC类协议)，无法执行某些安全策略(例如审计和报警)，安全性较差(例如：过滤器只能依据包头信息进行过滤，能对用户身份进行验证)，对网络管理人员素质要求高以及随着过滤规则数目的增加，性能会受到很大地影响等。

在包状态检测防火墙的内核中，运行着状态检测引擎(Stateful Inspections Engine)，它负责在对接收到的数据包进行审核，当接收到的数据包符合访问控制要求时，将该数据包传到高层进行应用级别和状态的审核，如果不符合要求，则丢弃。

与包状态检测防火墙相比，深度包检测防火墙不但要保留基本的网络连接状态，而且还要维持网络的应用状态。