基于Linux系统的包过滤防火墙(1)

　　普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。

　　过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。

　　路由器的过滤策略主要有：

　　* 拒绝来自某主机或某网段的所有连接。

　　* 允许来自某主机或某网段的所有连接。

　　* 拒绝来自某主机或某网段的指定端口的连接。

　　* 允许来自某主机或某网段的指定端口的连接。

　　* 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。

　　* 允许本地主机或本地网络与其它主机或其它网络的所有连接。

　　* 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。

　　* 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。

　　1.1.4 包过滤器操作的基本过程

　　下面做个简单的叙述：

　　（1）包过滤规则必须被包过滤设备端口存储起来。

　　（2）当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。

　　（3）包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。

　　（4）若一条规则阻止包传输或接收，则此包便不被允许。

　　（5）若一条规则允许包传输或接收，则此包便可以被继续处理。

　　（6）若包不满足任何一条规则，则此包便被阻塞。

　　1.1.5 包过滤技术的优缺点