包过滤技术的原理，它的作用、优点以及局限性！

基于协议特定的标准，路由器在其端口能够“区分包”和“限制包”的能力叫包过滤（Packet Filtering）。包过滤的技术原理，在于加入IP过滤功能的路由器，逐一审查包头信息，并根据匹配和规则决定包的前行或被舍弃，以达到拒绝发送可疑的包的目的。

定义了“包过滤规则”的包过滤路由器，具备了保护整个网络、高效快速并且透明等优点，但同时也有“定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志”等局限性。

一、包过滤技术的原理

包过滤技术的原理，在于利用路由器监视并过滤网络上流入流出的IP数据包，并拒绝发送可疑的包。由于Internet（因特网/公网） 与Intranet（内部网/内网） 的连接，多数都要使用路由器，所以路由器成为内外通信的必经端口。路由器的厂商在路由器上加入IP过滤功能，因此，过滤路由器也可以称作“包过滤路由器”或“筛选路由器”。

防火墙常常就是这样一个具备“包过滤功能”的简单路由器。具备“包过滤功能”的防火墙，应该是足够安全的，但前提是要配置合理。然而一个包过滤规则是否完全严密及必要，则是很难判定的。因而在安全要求较高的场合，通常还配合使用其它的技术来加强网络的安全性。

包过滤技术，是指网络设备（路由器或防火墙）根据“包过滤规则”检查所接收的每个数据包，做出允许数据包通过或丢弃数据包的决定。包过滤规则，主要基于“IP包头信息”设置，包括如下内容：
1、TCP/UDP的源端口或目的端口号
2、协议类型：TCP、UDP、ICMP等
3、源IP地址或目的IP地址
4、数据包的入接口和出接口

数据包中的信息，如果与某一条过滤规则相匹配，并且该规则允许数据包通过，则该数据包会被转发；如果与某一条过滤规则匹配，但该规则拒绝数据包通过，则该数据包会被丢弃。如果没有可匹配的规则，“缺省规则”会决定数据包是被转发，还是被丢弃。

举例说明：如下图所示，如果我们需要允许IP地址为“192.168.0.1”的电脑浏览网页（建立HTTP连接），允许IP地址为“192.168.0.2”的电脑与Internet（因特网）建立FTP（文件传输协议）连接，而不允许其他电脑与Internet（因特网）通信，可以在路由器设置如下过滤规则：

1、 允许源IP地址为“192.168.0.1”、目的端口号为“80”的数据包通过（HTTP的端口号为80）；

2、 允许源IP地址为“192.168.0.1”、目的端口号为“53”的数据包通过（DNS的端口号为53，在浏览网页时通常需要进行域名解析）。

3、 允许源IP地址为“192.168.0.2”、目的端口号为“21”的数据包通过（FTP的端口号为21）。

4、 缺省（即“系统默认状态”，意思与“默认”相同）禁止所有的其他连接。

包过滤规则，允许路由器取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的“TCP/UDP”端口。例如，Telnet Service（远程登录服务） 为TCP 端口 23端口等待远程连接；而SMTP Service（简单邮件传输协议服务）为TCP 端口 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接，则路由器舍弃端口值为“23、25”的所有数据包。

一些常用的网络服务对应的使用端口：

典型的过滤规则，主要有这几种：允许特定名单内的内部主机进行Telnet（远程登录）输入对话、只允许特定名单内的内部主机进行FTP（文件传输协议）输入对话、只允许所有Telnet （远程登录）输出对话、只允许所有FTP（文件传输协议） 输出对话、拒绝来自一些特定外部网络的所有输入信息。

二、包过滤路由器的优点

1、一个包过滤路由器能协助保护整个网络。绝大多数Internet（因特网）防火墙系统只用一个包过滤路由器；

2、包过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间。包过滤路由器只检查报头相应的字段，一般不查看数据报的内容。

3、包过滤路由器，对终端用户和应用程序是透明的。当包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有意识到它的存在，因此不需要专门的用户培训，或在每台主机上设置特别的软件。

三、 包过滤路由器的局限性

1、定义包过滤路由器，可能是一项复杂的工作。因为网络管理员需要详细地了解Internet（因特网）的各种服务、包头格式以及希望在每个域查找的特定的值。如果必须支持复杂过滤要求的路由器，则过滤规则集可能会变得很长很复杂，并且没有什么工具可以用来验证过滤规则的正确性。

2、路由器信息包的吞吐量，随包过滤路由器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表，而后将信息包顺向运行到适当的转发接口。如果过滤可执行，路由器还必须对每个包执行所有过滤规则，这可能会消耗CPU的资源，并影响一个完全饱和的系统性能。

3、不能彻底防止地址欺骗。大多数包过滤路由器都是基于“源IP地址、目的IP地址”进行过滤的，而IP地址的伪造，是很容易、很普遍的。

4、一些应用协议不适合于数据包过滤。即使是完美的数据包过滤，也会发现一些协议并不适合于经由数据包过滤安全保护。如RPC（远程过程调用）、X- Window和FTP（文件传输协议）。而且服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。

5、正常的过滤路由器无法执行某些安全策略。例如，数据包说它们来自什么主机，而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序，当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，而那些不怀好意的知情者却能够很容易地破坏这种规则的控制。

6、一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。

包过滤技术，是防火墙最基本的功能之一。此技术主要是根据防火墙事先设定的过滤逻辑，通常称为“访问控制列表（ACL）”，来检查数据包的“源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、协议（TCP、UDP、ICMP等）、ICMP消息类型以及它们的组合信息，决定是否允许该数据包通过。

随着防火墙技术的不断发展，目前出现了“智能防火墙”等新的防火墙技术。智能防火墙采用了智能的方法来对数据包进行识别，并达到访问控制的目的，可以用于防御DDoS攻击，防范MAC欺骗、IP欺骗等。

为了更加精准有效地防御DDoS攻击，并降低用户的防御成本，亿速云为用户提供专业抗DDoS攻击的高防服务器、高防香港服务器、高防裸金属服务器，具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点与优势。采用“智能硬件防火墙 + 流量牵引技术”，并为用户配置相对应的高防IP，在用户面临DDoS攻击时，可精准识别出恶意流量，并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后，高防IP会将正常流量返回给源站IP，从而达到“防御DDoS攻击，保证用户网站正常稳定运行”的目的。