普通包过滤实验

实验及知识点概述：

包过滤是一种防火墙保障内网安全的基本手段，通过放行和拦截数据包通过防火墙来保障内网的安全性。简单阅读了一下，大致理解了包过滤的原理。包过滤可以分为普通包过滤和各种增强型的包过滤。普通包过滤分析数据包中的特定字段，包含源目ip地址和端口，协议类型（tcp，udp，icmp，ip）以及tcp报文的标志位，来确定这些特定字段是否与过滤规则相互匹配。匹配则放行该数据包，不匹配则拦下该数据包。而增强型的包过滤包括动态访问表和连接状态的访问表以及数据包转发应用。

当在一些时候，为了完成数据包的过滤，需要对防火墙设置一些特定的规则来允许那些数据包通过和不允许那些数据包通过。在设置这些规则的时候，有三个级别：

1.全连接：描述了一个TCP连接的完整性，由五个元素来组成(协议类型、源IP地址、源端口、目的IP地址、目的端口)。

2.半连接：描述了连接一端的信息，由三个元素来组成(协议类型、IP地址、端口)。

3.端点：也称为传输地址，由两个元素组成(源IP地址、源端口)。

这里来简单介绍一下tcp报文的标志位。大家都知道tcp是通过三次握手来连接，四次握手来断开。而报文的标志位即报文连接过程中从开始到结束时的位码。先来看看tcp连接和断开的流程：

连接的建立

1.SYN：（发起连接）客户端连接时发起连接请求至服务端。

2.SYNACK：（服务端响应）服务器接收到请求时对客户端进行响应。

3.ACK（客户端响应）客户端收到服务器的响应时返回给服务器一个响应。

连接的断开

1.FIN：（a端关闭连接）a端向b端请求关闭连接。

2.ACK：（b端确认响应）b端收到请求向a端确认响应。

3.FIN：（b端关闭连接）b端向a端请求关闭连接。

4.ACK：（a端确认响应）a端收到请求向b端确认响应。

而报文标志位即tcp连接与断开中的所有交互方式：

SYN(建立连接，发送连接请求)

ACK(收到连接请求，进行确认响应)

PSH(紧急传送报文)

FIN(关闭当前的连接)

RST(当连接出错时，断开重新连接)

URG(紧急连接)

PSH和URG 的区别：

PSH：传送段将报文传送给接收端，接收端收到对自身缓冲区刷新（做保留）然后再将其所有传给应用端，速度较慢。

URG：传送段将报文传送给接收端，接收端收到后不刷新自身缓冲区（不做保留）迅速处理，传给应用端，速度较快。

实验内容：

制定普通包过滤规则，以及对普通包过滤规则配置好后进行验证和配置前后进行对比。

首先，先来准备实验所需的环境，工具。

两台实验主机（win/linux）建议在局域网下两台主机进行实验，避免不必要的失败因素。可以用虚拟机软件vmware/virtualbox模拟一台虚拟主机。设置好虚拟机网络，默认选择桥接模式，并关闭两台主机的自带防火墙。相互ping即可。

一款包过滤防火墙软件

搭建好实验环境()，安装并开启防火墙软件设定好过滤规则，允许/不允许那种协议，源目的/端口，源/目的ip的拦截和放行。具体实验操作手册可参考如下:包过滤实验，随后两台主机之间进行交互观察结果。

实验目的:

通过实验理解防火墙包过滤的过滤规则