网络安全
包过滤
别称: 包过滤器
定义
一种网络安全技术,根据静态规则集检查每个数据包的报头字段,从而决定放行或丢弃。
包过滤在第 3/4 层检查单个数据包,依据源/目的 IP、传输协议、端口以及 TCP SYN/ACK 等标志位决定是否放行。这是最基础的防火墙形态,常实现在路由器、操作系统内核(iptables、nftables、pf、Windows Filtering Platform)以及云端 ACL 中。它可以是无状态的(每个包独立判定),也可以作为有状态防火墙的数据面。包过滤快速且开销低,但无法理解应用层语义、加密载荷或复杂的逃避技术(如分片重叠),因此通常作为纵深防御中的一层。
示例
- iptables 规则在 Linux 服务器上丢弃所有入站 TCP/23(Telnet)流量。
- Cisco IOS 路由器在 WAN 接口上使用 ACL 阻止源地址为 RFC1918 私网地址的流量。
相关术语
防火墙
一种网络安全设备或软件,依据预定义的规则集监控和控制入站与出站流量,将可信网络与不可信网络隔离开来。
无状态防火墙
对每个数据包独立按静态规则进行评估、且不跟踪连接状态的防火墙。
状态化防火墙
通过连接状态表跟踪活动连接的防火墙,自动放行与已建立会话匹配的返回流量。
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
Network Segmentation
Network Segmentation — definition coming soon.
Network Address Translation (NAT)
Network Address Translation (NAT) — definition coming soon.