ISA作为防火墙的过滤手段之一：包过滤/Packet Filtering

1.包过滤概述

防火墙的一个主要角色就是阻止未被显示允许的流量穿越，包过滤是实现这一点的一个方法。

包过滤在网络层控制访问，它检查IP包，并允许或拒绝IP包通过防火墙；

当检查IP包时，它只检查网络层和传输层的头信息，包括包的源和目的信息，协议及源和目的端口号；

2.包过滤的评估标准：

目的地址：实际地址或ISA的外网卡IP；

源地址：发出包的地址；

协议和协议号：TCP/UDP/ICMP...,每个协议会被指派一个号码；

传递方向：传入，付出或两者，对某些协议如FTP/UDP，方向选项可能只有只发送，只接收或两者；

端口号：固定或动态端口号；

3.包过滤的优点：

只检查包头，速度快；

可用于允许或拒绝一个特定IP，比如如果检测到应用层攻击从一个地址发出，可以阻止那个地址，也可以只允许特定IP来连接内部网络；

可被用于入口或出口过滤器：过滤外部来的但是显示源是内部地址的包或者过滤内部要出去的但是显示源是外部地址的包；

4.包过滤的缺点：

不能阻止IP地址欺骗(IP Address Spoofing)或源路由选择攻击(Source-Routing Attack)：攻击者可把源IP替换为受信主机IP或在包中添加不正确的路由信息以使回复的包不发给实际主机而发给攻击者；

不能阻止IP分段攻击(IP-Fragment Attack):把一个IP包分成多个段，大多数包过滤防火墙只会检查第一个段并会认为同一个包中的其他段是可接受的，但是这些小段可能会包含恶意内容；

它不是应用程序感知的：攻击者可更改程序运行的端口，比如23改成80来避开阻止规则；

5.ISA与包过滤/包过滤器和访问规则：

ISA2000可以直接配置包过滤器，ISA2004没有直接配置包过滤器的选项，它把包过滤器替换成了访问规则，当你创建访问规则后，它是以包过滤的方式来工作的。

6.包过滤考虑的问题：

is the source address allowed?

is the destination address allowed?

is the protocol allowed?

is the destination port allowed?

7.总结：

查包头。
本文出自 “风影轩” 博客，请务必保留此出处http://weicong888.blog.51cto.com/517401/959202