IP/ICMP 封包過濾

資訊與網路安全技術：第十章防火牆上一頁 下一頁

10-9 IP/ICMP 封包過濾

內容：

10-9-1 ICMP 過濾訊息

10-8-2 ping 封包過濾範例

10-9-1 ICMP 過濾訊息

攻擊者最喜歡利用 ICMP 封包來探測網路的狀態；相對的，防火牆必須針對ICMP 封包做特殊處理，才可達到隱藏內部網路狀態的目的。一般來講，ICMP 訊息並不一定要通過防火牆，只要由防火牆回應 ICMP 的訊息中，也可以瞭解內部網路的狀態。因此，封包過濾器收到 ICMP 封包後，除了必須判斷是否給予通過之外，還必須考慮是否可以給予回覆 ICMP 訊息。IP/ICMP 封包過濾可供判斷的訊息如下：（如圖 10-15 所示）

圖 10-15 IP/ICMP 封包過濾訊息

來源位址（SA）：封包的來源位址。
目的位址（DA）：封包的目的位址。
協定型態（Protocol, Pro）：ICMP 型態。
訊息型態（Message Type, MT）：表示此 ICMP 訊息的控制型態，計有 13 種。
編碼（Code）：各種訊息型態中的次型態。

10-9-2 ping 封包過濾範例

ping 命令是測試網路連結狀態的最佳利器，也是入侵者所喜歡用來探測內部網路情況；因此，一般防火牆都會限制 ping 封包的進出。我們用圖 13-16 來說明 ping 命令的運作程序；ping 命令是利用 ICMP Echo Request 封包（Echo 請求）來探測網路，當目的主機（或路由器）收到該封包後，立即以 ICMP Echo Response（Echo 回應）給原發送端，ICMP Echo Request 的訊息型態為 0（MT = 0），又 ICMP Echo Response 為 8（MT = 8）。接下來，我們將 ping 命令可能產生的封包歸類如表 13-10 所示（進出防火牆）。

表 10-10 ping 命令封包訊息表

編號	封包方向	來源位址	目的位址	協定型態	訊息型態	封包功能
1	進入	外部	內部	ICMP	8	外部進入的 ping 命令封包。
2	出去	內部	外部	ICMP	0	內部主機回應外部 ping 命令的封包。
3	出去	內部	外部	ICMP	8	內部主機向外部網路 ping 的命令封包。
4	進入	外部	內部	ICMP	0	外部主機回應內部 ping 的命令封包。

圖 10-16 ping 封包過濾範例

如果將防火牆設定成內部主機可以用 ping 來測試外部網路，但外部主機不可以用 ping 測試內部網路，設定過濾規則如表 10-11 所示。

表 10-11 ping 命令封包過濾規則

規則	封包方向	來源位址	目的位址	協定	訊息型態	措施
A	出去	內部	任意	ICMP	0	允許
B	進入	任意	外部	ICMP	8	允許
C	皆可	任意	任意	ICMP	任意	拒絕

翻轉工作室：粘添壽

資訊與網路安全技術

第一章安全性資訊系統簡介
第二章傳統秘密鑰匙系統
第三章現代公開鑰匙系統
第四章雜湊與亂數演算法
第五章密碼系統的實習環境
第六章訊息確認
第七章數位簽章與數位憑證
第八章安全性網頁系統
第九章安全性電子郵件
第十章防火牆
- 10-1 私有網路安全簡介
- 10-2 防火牆簡介
- 10-3 防火牆架構
- 10-4 封包過濾器
- 10-5 IP 封包過濾器
- 10-6 IP/TCP 封包過濾器
- 10-7 TCP 過濾範例：telnet
- 10-8 IP/UDP 封包過濾器
- 10-9 IP/ICMP 封包過濾器
- 10-10 ICMP 過濾範例：traceroute
- 10-11 代理系統
- 10-12 網路位址轉譯

翻轉電子書系列：