包过滤防火墙

包过滤防火墙

包过滤防火墙是网络安全领域的重要组成部分，通过配置访问控制列表（ACL）对数据包进行过滤。本文将详细介绍包过滤防火墙的基本原理、在防火墙中的应用以及设备对包过滤的支持情况。

包过滤防火墙的基本原理

包过滤防火墙的基本原理是：通过配置ACL实施数据包的过滤。实施过滤主要是基于数据包中的IP层所承载的上层协议的协议号、源/目的IP地址、源/目的端口号和报文传递的方向等信息。

包过滤应用在防火墙中，对需要转发的数据包，先获取数据包的包头信息，然后和设定的ACL规则进行比较，根据比较的结果决定对数据包进行转发或者丢弃。如图1所示。

图1包过滤防火墙

设备对包过滤防火墙的支持

• 普通IP报文过滤：防火墙基于访问控制列表ACL对报文进行检查和过滤。防火墙检查报文的源/目的IP地址、源/目的端口号、协议类型号，根据访问控制列表允许符合条件的报文通过，拒绝不符合匹配条件的报文。防火墙所检查的信息来源于IP、TCP或UDP包头。

• 分片报文过滤：包过滤提供了对分片报文进行检测过滤的支持。包过滤防火墙将识别报文类型，如：非分片报文、首片分片报文、后续分片报文，对所有类型的报文都做过滤。对于首片分片报文，设备根据报文的三层信息及四层信息，与ACL规则进行匹配，如果允许通过，则记录首片分片报文的状态信息，建立后续分片的匹配信息表。当后续分片报文到达时，防火墙不再进行ACL规则的匹配，而是根据首片分片报文的ACL匹配结果进行转发。另外，对于不匹配ACL规则的报文，防火墙还可以配置缺省处理方式。

本文介绍了包过滤防火墙的基本原理和设备支持情况，帮助读者更好地理解包过滤防火墙的工作机制。