什么是入口过滤？

入口过滤（Ingress filtering）是企业和互联网服务提供商用于阻止可疑流量进入网络的一种方法。当在边缘设备（如路由器或防火墙）上配置时，入口过滤会检查所有入站数据包，并根据数据包头中的信息决定是否允许其进入网络。它是一种数据包过滤技术。

入口流量过滤是网络安全策略中的第一道防线，旨在防止网络攻击，尤其是利用互联网协议（IP）地址欺骗的拒绝服务（DoS）攻击。

IP欺骗与DoS攻击防护

入口过滤的核心是建立一个访问控制列表（ACL），包含所有允许的源IP地址。反之，ACL也可以阻止被禁止的源地址。

入口过滤利用边缘路由器的数据链路层IP地址过滤能力，阻止极可能是恶意的流量。其判断依据是IP数据包头部内容是否符合预定义的标准。

数据包过滤器会检查多个属性，包括源IP地址。如果源地址无效（即与其原始网络不匹配），过滤器会判定其为伪造或欺骗地址，并丢弃该数据包。

交换机也具备入口过滤功能，这意味着它们可以在虚拟局域网（VLAN）上过滤流量，以防止私有网络内的恶意活动，如VLAN跳跃攻击。在VLAN中，入口过滤会丢弃试图访问非成员端口的数据帧。

入口过滤的工作原理

入口过滤通常会阻止以下类型的源IP地址：

• 内部IP地址：防止攻击者利用编写不当的防火墙规则欺骗内部IP地址。
• 私有IP地址：防止来自配置不当的互联网主机或攻击者伪造地址的恶意流量。
• 环回IP地址：防止攻击者利用编写不当的防火墙规则欺骗环回地址。
• 组播IP地址：防止可能是垃圾邮件的组播流量。
• 服务或管理IP地址：防止攻击者通过公共互联网未经授权访问运行在应用层及以上的网络服务。

此外，网络管理员可能希望允许来自特定地区的流量进入网络，同时阻止来自危险地区的访问。许多免费和付费服务可以为网络边界路由器创建ACL。

入口过滤与出口过滤

入口过滤是一种数据包过滤技术，其对应的是出口过滤（egress filtering），后者检查出站流量。出口过滤仅允许符合管理员预设策略的数据包离开网络。

出口过滤可以防止以下恶意活动：

• 受感染的机器试图将数据泄露到远程主机。
• 阻止合法用户访问被禁止的服务。