資訊與網路安全技術 第 十章 防火牆  上一頁      下一頁

 

10-9 IP/ICMP 封包過濾

內容:

10-9-1 ICMP 過濾訊息

攻擊者最喜歡利用 ICMP 封包來探測網路的狀態;相對的,防火牆必須針對ICMP 封包做特殊處理,才可達到隱藏內部網路狀態的目的。一般來講,ICMP 訊息並不一定要通過防火牆,只要由防火牆回應 ICMP 的訊息中,也可以瞭解內部網路的狀態。因此,封包過濾器收到 ICMP 封包後,除了必須判斷是否給予通過之外,還必須考慮是否可以給予回覆 ICMP 訊息。IP/ICMP 封包過濾可供判斷的訊息如下:(如圖 10-15 所示)

10-15 IP/ICMP 封包過濾訊息

  • 來源位址(SA:封包的來源位址。

  • 目的位址(DA:封包的目的位址。

  • 協定型態(Protocol, ProICMP 型態。

  • 訊息型態(Message Type, MT:表示此 ICMP 訊息的控制型態,計有 13 種。

  • 編碼(Code:各種訊息型態中的次型態。

10-9-2 ping 封包過濾範例

ping 命令是測試網路連結狀態的最佳利器,也是入侵者所喜歡用來探測內部網路情況;因此,一般防火牆都會限制 ping 封包的進出。我們用圖 13-16 來說明 ping 命令的運作程序;ping 命令是利用 ICMP Echo Request 封包(Echo 請求)來探測網路,當目的主機(或路由器)收到該封包後,立即以 ICMP Echo ResponseEcho 回應)給原發送端,ICMP Echo Request 的訊息型態為 0MT = 0),又 ICMP Echo Response 8MT = 8)。接下來,我們將 ping 命令可能產生的封包歸類如表 13-10 所示(進出防火牆)。

10-10 ping 命令封包訊息表

    編號

    封包方向

    來源位址

    目的位址

    協定型態

    訊息型態

    封包功能

    1

    進入

    外部

    內部

    ICMP

    8

    外部進入的 ping 命令封包。

    2

    出去

    內部

    外部

    ICMP

    0

    內部主機回應外部 ping 命令的封包。

    3

    出去

    內部

    外部

    ICMP

    8

    內部主機向外部網路 ping 的命令封包。

    4

    進入

    外部

    內部

    ICMP

    0

    外部主機回應內部 ping 的命令封包。

10-16 ping 封包過濾範例

如果將防火牆設定成內部主機可以用 ping 來測試外部網路,但外部主機不可以用 ping 測試內部網路,設定過濾規則如表 10-11 所示。

10-11 ping 命令封包過濾規則

    規則

    封包方向

    來源位址

    目的位址

    協定

    訊息型態

    措施

    A

    出去

    內部

    任意

    ICMP

    0

    允許

    B

    進入

    任意

    外部

    ICMP

    8

    允許

    C

    皆可

    任意

    任意

    ICMP

    任意

    拒絕

 

主講人:粘添壽博士

 

資訊與網路安全技術