防火墙技术综述
- 格式:doc
- 大小:34.00 KB
- 文档页数:9
下载文档原格式
合集下载
Web应用防火墙WAF技术的综述
Web应用防火墙WAF技术的综述
Web应用防火墙(WAF)是一种用于保护Web应用的安全技术。
它是一种软件或硬件设备,能够监控和过滤进入Web应用程序的所有网络流量。
WAF可以阻止攻击者利用已知漏洞、注入攻击和跨站点脚本等技术攻击Web应用,从而保护用户数据和应用程序的完整
性。
WAF的核心功能是对Web应用程序的流量进行过滤和监控。
它可以检测恶意流量和攻击,并且尝试去降低这些攻击的影响。
WAF还可以分析访问模式和多个链接请求,以帮助
确定攻击者的意图,并在发现异常行为时自动应对。
截至2021年,WAF技术迅速发展,拥有了各种各样的功能和部署模式。
以下是WAF技术的一些综述:
1. 基于规则的WAF:这种WAF使用预定义规则集阻止已知的攻击。
规则可以是开源的,如OWASP CRS,也可以是商业的。
此类WAF易于完成部署和配置,但有一些潜在的缺陷,例如容易影响Web应用程序的性能。
2. 基于机器学习的WAF:这种WAF使用机器学习算法检测网络流量并阻止攻击。
此类WAF可以适应不断变化的攻击,但是需要大量的数据和训练。
4. 云端WAF:此类WAF是一种托管式的WAF,通过SaaS模型提供。
他们可以轻松地扩展到大规模环境,并可以使用云端服务来实现基于流量分析的检测。
简述防火墙的主要技术
简述防火墙的主要技术防火墙是一种网络安全设备,用于保护计算机网络免受恶意攻击和未经授权的访问。
它利用一系列技术来检测和阻止不安全的网络流量,以确保网络的安全性和可靠性。
以下将对防火墙的主要技术进行简述。
1. 包过滤技术(Packet Filtering):包过滤是防火墙最基本也是最常用的技术之一。
它通过检查数据包的源地址、目标地址、端口号、协议类型等信息来决定是否允许通过。
包过滤可以根据预先设定的规则来过滤流量,例如,只允许特定IP地址的数据包通过或者禁止特定端口的访问。
2. 状态检测技术(Stateful Inspection):状态检测是包过滤技术的进一步发展。
它不仅仅根据单个数据包的信息来决定是否允许通过,还会维护一个连接的状态表来判断是否是合法的流量。
状态检测可以更好地处理复杂的网络连接,如TCP连接的建立、终止和数据传输过程。
3. 应用层网关(Application Gateway):应用层网关是防火墙的一种高级形式,它能够深入应用层协议进行检查和过滤。
应用层网关可以分析和过滤应用层协议的数据,如HTTP、FTP、SMTP等,并根据预先定义的策略来控制应用层流量。
这种技术可以对特定应用程序进行细粒度的访问控制,提高安全性和灵活性。
4. VPN隧道技术(VPN Tunneling):VPN隧道技术通过在公共网络上建立安全的隧道,将数据进行加密和封装,从而实现远程访问和分支机构之间的安全通信。
防火墙可以支持VPN隧道技术,允许受信任的用户通过加密通道访问内部网络资源,同时保护数据的机密性和完整性。
5. 网络地址转换(Network Address Translation,NAT):NAT技术允许将内部网络的私有IP地址转换为公共IP地址,以实现内部网络与外部网络的通信。
防火墙可以通过NAT技术来隐藏内部网络的真实IP地址,增加网络的安全性。
此外,NAT还可以实现端口映射,将外部请求转发到内部服务器,提供互联网服务。
网络安全及防火墙技术发展综述
网络安全及防火墙技术发展综述发表时间:2018-12-04T21:23:57.757Z 来源:《知识-力量》2019年1月下作者:董春华[导读] 防火墙技术是网络安全的主要部分,它的主要功能是对用户的信息访问和用户信息交换行为进行有效的监控与控制,从而实现对网络安全的有效管理。
(盐城生物工程高等职业技术学校,江苏盐城 224000)1防火墙技术发展1. 1防火墙技术的发展历程防火墙技术是网络安全的主要部分,它的主要功能是对用户的信息访问和用户信息交换行为进行有效的监控与控制,从而实现对网络安全的有效管理。
目前在防火墙的产品开发中,主要采用了网络的拓扑技术、路由技术、信息加密和信息安全技术、信息审计技术等。
从20世纪80年代到现在,最早的防火墙与路由器几乎同时出现,从第一代使用过滤包技术的防火墙技术到现在所使用的自适应代理技术,主要分为以下几个阶段:第一代防火墙:最早出现的防火墙,采用的技术主要是包过滤技术,是依附于路由器的包过滤功能实现的防火墙,因此也叫作基于路由器的防火墙。
第二代防火墙:电路层防火墙,于1989年,由贝尔实验室的DavePresott和HowardTrickey推出,它主要是将过滤功能从路由器中独立出来,并加上审计和告警功能。
但是它是纯软件产品,无论在实现还是在维护上都对系统管理员提出了相当复杂的要求。
第三代防火墙:应用层防火墙,也称为代理防火墙,它是建立在通用操作系统上的商用防火墙产品。
第四代防火墙:是基于动态包过滤技术的防火墙,于1992年,由USC信息科学院的BobBraden开发出来的,后来演变为状态监视技术的防火墙。
第五代防火墙:具有安全操作系统的防火墙。
1998年,NA工公司推出了一种自适应代理技术,防火墙厂商具有操作系统的源代码,并可实现安全内核,透明性好,易于使用。
1.2国内外防火墙技术的发展现状防火墙技术包括密码技术,安全技术,软件技术,安全协议,网络标准化组织的安全规范以及安全操作系统等多方面。
计算机网络安全_06防火墙技术
计算机网络安全_06防火墙技术随着互联网的普及和计算机网络的快速发展,网络安全问题也日益突出。
而防火墙技术作为网络安全的重要组成部分,被广泛应用于各个领域,用于保护网络系统中的各种资源和数据,预防网络攻击和信息泄露。
本文将从防火墙技术的概念、分类、工作原理和应用等方面对防火墙技术进行综述。
一、概念:防火墙(Firewall)是一种网络安全设备,位于内外两个网络之间,用于控制网络流量,保护网络系统免受未经授权的访问和攻击,实现网络资源的安全访问和使用。
防火墙主要通过策略控制、访问控制和数据包过滤等手段来实现对网络流量的控制和监测。
二、分类:根据防火墙设备的位置和部署方式,可以将防火墙分为以下几类:1.网络层防火墙:部署在网络层,通过对IP数据包的源地址、目的地址、端口等字段进行过滤和控制。
2.应用层防火墙:部署在应用层,能够对应用层协议进行深度检测和过滤,对协议规范以及协议的合法性进行验证。
3.主机防火墙:部署在主机上,作为主机的一部分,通过监控主机的进出数据流量,对数据进行过滤和限制。
4.云防火墙:部署在云平台上,用于保护云中的虚拟机和资源,提供对云环境中的流量进行监控和控制的能力。
三、工作原理:防火墙主要通过以下几种技术来实现对网络流量的控制和保护:1.策略控制:防火墙根据特定的安全策略,对网络流量进行控制和管理。
策略包括允许访问的规则、禁止访问的规则以及日志记录等。
2.访问控制:防火墙通过对数据包的源地址、目的地址、端口等信息进行匹配和判断,决定是否允许通过或者进行相应的处理。
3.数据包过滤:防火墙通过对数据包的源地址、目的地址、协议类型、端口等信息进行检查和过滤,阻止不合法的数据包进入网络。
4.网络地址转换:防火墙通过网络地址转换(NAT)技术,将内部网络的私有IP地址转换为公网IP地址,以实现内网主机对外部网络的访问。
五、应用:防火墙技术在现代互联网中被广泛应用,主要用于以下几个方面:1.数据安全:防火墙可以有效阻断来自外部网络的恶意攻击、病毒传播和信息泄露等风险,保护网络中的数据和资源不受损害。
防火墙技术综述
珍大堵挤矛参层动落和趁势
}优良的性能 新一代防火墙系统不仅应该能更 . 好 地保护防火墙后面内部网络的安全,而 且应该具有 更为优良的整体性能 自然.数据通过率越高 防火 墙I能越好。特别是采用复杂的加密算法时、防火 t 墙 性能尤为重要 未来的防火墙系统将会把高速的性能 和 最大限度的安全性有机结合在一起, 有效 地消除制 约传统防火墙的性能瓶颈
什么 是防火墙?防火墙是在两个网络间一个或 组执行访问控制策略的系统 包括硬件和软件,目的 是保护网络不被可疑的人侵扰。防火墙最基本的规则 扰是接受或者拒绝 防火墙的设计有好几种、但都可
分为两类:网络级防火墙及应用级防火墙。它们采用
定义中心点允许网络管理员定义 一个中心点来 防 止非法用户进入内部网络。 同时是审计和记录I ent n re t 使用费用的一个最佳地点。网络管理员可以在此向管
前 沼 技 术
令 巨龙信息技术有限责任公司 王新华 李晓明( 博士)
【 要】本文介绍了CEb e V 系统的 摘 P-a d s P N 基本工作原理、安全机制、 密钥管 理及其独特的系 统特点, 并通过应用实 例来说明 利用C -ad 系 P be ' E s J P N
统在I r七 络环境中 n n 的网 te e 建立自己 的专用网 络。
策略的变化、 选择哪种防火墙,除r 应考虑它基本性 能外.毫无疑问,还应考虑用户的实际需求与 未来网 络的升级 新一代的防火墙系统应是一个可随意伸缩 的模块化解决方案.从最为基本的包过滤器到带加密 功能的\ \型包过滤器.直至一个独立的应用网关, ' P 使用户有充分的余地构建自己所需要的防火墙体系 3简 化的安装与 管理 防火墙的确可以帮助管理 员加强内部网的安全性 一 个不具体实施任何安全策
防火墙技术介绍
7、安全服务器网络(SSN) 利用保护策略对服务器实施保护,利用网卡将对外 服务器作独立网络处理,与内部网关安全隔离。
8.用户鉴别与加密
为了降低防火墙产品在Telnet、FTP等服务和 远程管理上的安全风险,鉴别功能必不可少,第四 代防火墙采用一次性使用的口令字系统来作为用户 的鉴别手段,并实现了对邮件的加密。
9.用户定制服务 为满足特定用户的特定需求,第四代防火墙在 提供众多服务的同时,还为用户定制提供支持,这 类选项有:通用TCP,出站UDP、FTP、SMTP等 类,如果某一用户需要建立一个数据库的代理,便 可利用这些支持,方便设置。
10.审计和告警
第四代防火墙产品的审计和告警功能十分健 全,日志文件包括:一般信息、内核信息、核心 信息、接收邮件、邮件路径、发送邮件、已收消 息、已发消息、连接需求、已鉴别的访问、告警 条件、管理日志、进站代理、FTP代理、出站代 理、邮件服务器、域名服务器等。告警功能会守 住每一个TCP或UDP探寻,并能以发出邮件、声 响等多种方式报警。
5.网络地址转换技术(NAT)
第四代防火墙利用NAT技术能透明地对所有内部地址作 转换,使外部网络无法了解内部网络的内部结构,同时允许 内部网络使用自己编的IP地址和专用网络,防火墙能详尽记 录每一个主机的通信,确保每个分组送往正确的地址。
6. Internet网关技术
由于是直接串连在网络之中,第四代防火墙必须支 持用户在Internet互连的所有服务,同时还要防止与 Internet服务有关的安全漏洞。故它要能以多种安全的 应用服务器(包括FTP、Finger、mail、Ident、News、 WWW等)来实现网关功能。为确保服务器的安全性, 对所有的文件和命令均要利用“改变根系统调用 (chroot)”作物理上的隔离。
8.用户鉴别与加密
为了降低防火墙产品在Telnet、FTP等服务和 远程管理上的安全风险,鉴别功能必不可少,第四 代防火墙采用一次性使用的口令字系统来作为用户 的鉴别手段,并实现了对邮件的加密。
9.用户定制服务 为满足特定用户的特定需求,第四代防火墙在 提供众多服务的同时,还为用户定制提供支持,这 类选项有:通用TCP,出站UDP、FTP、SMTP等 类,如果某一用户需要建立一个数据库的代理,便 可利用这些支持,方便设置。
10.审计和告警
第四代防火墙产品的审计和告警功能十分健 全,日志文件包括:一般信息、内核信息、核心 信息、接收邮件、邮件路径、发送邮件、已收消 息、已发消息、连接需求、已鉴别的访问、告警 条件、管理日志、进站代理、FTP代理、出站代 理、邮件服务器、域名服务器等。告警功能会守 住每一个TCP或UDP探寻,并能以发出邮件、声 响等多种方式报警。
5.网络地址转换技术(NAT)
第四代防火墙利用NAT技术能透明地对所有内部地址作 转换,使外部网络无法了解内部网络的内部结构,同时允许 内部网络使用自己编的IP地址和专用网络,防火墙能详尽记 录每一个主机的通信,确保每个分组送往正确的地址。
6. Internet网关技术
由于是直接串连在网络之中,第四代防火墙必须支 持用户在Internet互连的所有服务,同时还要防止与 Internet服务有关的安全漏洞。故它要能以多种安全的 应用服务器(包括FTP、Finger、mail、Ident、News、 WWW等)来实现网关功能。为确保服务器的安全性, 对所有的文件和命令均要利用“改变根系统调用 (chroot)”作物理上的隔离。
防火墙技术介绍课件
01
防火墙技术在企业网络 安全防护中的作用
02
防火墙技术在企业网络 安全防护中的应用场景
03
防火墙技术在企业网络 安全防护中的局限性
04
防火墙技术与其他网络 安全技术的结合使用
05
企业网络安全防护的未 来发展趋势
个人电脑安全防护
01
防火墙技术可以防止恶意软件 和黑客攻击
03
防火墙技术可以防止网络钓鱼 和欺诈
便于审计和追踪
保护数据安全:防止
04 数据泄露和篡改,保
障数据安全
防火墙的分类
01
包过滤防火墙:根据数据包的源 地址、目的地址、协议类型等信 息进行过滤
02
应用层防火墙:针对特定的应用 层协议进行过滤,如HTTP、FTP 等
03
状态检测防火墙:根据数据包的 状态信息进行过滤,如TCP连接 状态等
04智能识别:ຫໍສະໝຸດ 1 自动识别并 拦截恶意流 量
智能决策:
3 根据分析结 果,自动采 取应对措施
智能分析:对
2 网络流量进行 深度分析,发 现潜在威胁
智能学习:
4 不断学习和 更新,提高 防护能力
云防火墙技术
01 云防火墙技术是一种基于
云计算技术的防火墙技术, 可以将防火墙功能部署在 云端,实现对网络流量的 实时监控和防护。
防火墙技术介绍课件
目录
01. 防火墙技术概述 02. 防火墙技术原理 03. 防火墙技术应用 04. 防火墙技术发展趋势
防火墙的定义
01 防 火墙 是 一 种 网 络 安全 设 备 , 用于保护内部网络不受外部 网络的攻击和威胁。
02 防火墙可以防 止 未 经授 权 的 访问和恶意活动,保护内部 网络的安全。
防火墙技术概述
图 2 学术网环境
②学术网也面临计算机资源和信息的安全问题 ,学术研 究组经常要维护私有建议 ,专利保护应用 ;管理组织要防止学 生成绩 、教职员工记录的泄漏等等 。但学术网对协作 性要求 高 。其一 ,需要对 I nter ne t 资源不受限制地访问以及 对联机 目录 、已发表过的论文等另外一些支持协作的网络资源的访 问 ;其二需要不受限制地在 Inte rnet 上出版和散播信息 ;其 三要允许墙外可信任用户访问受保护的资源 。因此学术网的 安全策略要宽松些 ,很难在学术网周边划出一清晰的界面 ,如 图2。
一 、防火墙的概念及作用
1. 概念 就像 古时 候人们 在自 己的 居住地 周 围修 上高 高的 城 墙 ,甚 至还有 护城河 ,以保 护城墙 里的 人不受 外来 攻击 一 样 ,在现代计算 机网络如 I nter ne t 中 ,我们 用类似的 方法 , 保护重 要的网络资 源不被侵害 ,这 种使网络及 其资源不 受 网络外侵害的功能设备称为“防火墙”。 用专业术语说 ,防火墙是一种中间系统 ,它可以 插在一 个可信任内部网与 I nter ne t 之间 ,提供一个阻塞点 ,加强安 全和审 计功能 。防火墙 可以看作是 一个或一组 带特殊功 能 的网络设备 ,它提供静态交通路由服务 ,或在网络层 用筛选 路由器进行分组过滤 ,或者在应用层用代理服务器 。广义地 说还包括各种加密技术的应用 。 2. 作用 建立防 火墙的目 的是保护自 己的网络 不受外来攻 击 , 对网络 的保护包括下列 工作 :拒绝未 经授权的用 户( 黑客 、 攻击者 、破坏 他人财产 者和间谍) ,防止他们对 敏感数据 的 存取 ,从 而将他们挡在受保护的网络之外 ;同时禁止 易受攻 击的服 务进 、出 受保护的网 络 ;防止各类路 由攻击 ,允许 合 法用户 不受妨碍地 访问网络资 源 ;防火墙还能 执行日志 和 审计 功能 ,记 录所有 进出 防火墙 的信 息 ,并对 非法 侵入 报 警 。另外 ,有的防火墙还提供安全加密航道进行远程管理 。
②学术网也面临计算机资源和信息的安全问题 ,学术研 究组经常要维护私有建议 ,专利保护应用 ;管理组织要防止学 生成绩 、教职员工记录的泄漏等等 。但学术网对协作 性要求 高 。其一 ,需要对 I nter ne t 资源不受限制地访问以及 对联机 目录 、已发表过的论文等另外一些支持协作的网络资源的访 问 ;其二需要不受限制地在 Inte rnet 上出版和散播信息 ;其 三要允许墙外可信任用户访问受保护的资源 。因此学术网的 安全策略要宽松些 ,很难在学术网周边划出一清晰的界面 ,如 图2。
一 、防火墙的概念及作用
1. 概念 就像 古时 候人们 在自 己的 居住地 周 围修 上高 高的 城 墙 ,甚 至还有 护城河 ,以保 护城墙 里的 人不受 外来 攻击 一 样 ,在现代计算 机网络如 I nter ne t 中 ,我们 用类似的 方法 , 保护重 要的网络资 源不被侵害 ,这 种使网络及 其资源不 受 网络外侵害的功能设备称为“防火墙”。 用专业术语说 ,防火墙是一种中间系统 ,它可以 插在一 个可信任内部网与 I nter ne t 之间 ,提供一个阻塞点 ,加强安 全和审 计功能 。防火墙 可以看作是 一个或一组 带特殊功 能 的网络设备 ,它提供静态交通路由服务 ,或在网络层 用筛选 路由器进行分组过滤 ,或者在应用层用代理服务器 。广义地 说还包括各种加密技术的应用 。 2. 作用 建立防 火墙的目 的是保护自 己的网络 不受外来攻 击 , 对网络 的保护包括下列 工作 :拒绝未 经授权的用 户( 黑客 、 攻击者 、破坏 他人财产 者和间谍) ,防止他们对 敏感数据 的 存取 ,从 而将他们挡在受保护的网络之外 ;同时禁止 易受攻 击的服 务进 、出 受保护的网 络 ;防止各类路 由攻击 ,允许 合 法用户 不受妨碍地 访问网络资 源 ;防火墙还能 执行日志 和 审计 功能 ,记 录所有 进出 防火墙 的信 息 ,并对 非法 侵入 报 警 。另外 ,有的防火墙还提供安全加密航道进行远程管理 。
防火墙技术综述
国内也已经开始了这方面的研究,北京邮电大学信息安全中心研制成功了国内首套PC机防火墙系统。此外,还有北京天融信公司的网络防火墙系统——talentit防火墙、深圳桑达公司的具有包过滤防火墙功能的SED-O8路由器、北京大学青鸟的内部网保密网关防火墙、电子部3O所的SS-R型安全路由器、东北大学软件中心的具有信息过滤功能的NetEye防火墙、信息产业部数据所的SJW04防火墙及Proxy98等也都先后开发成功。
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交界的点上,因特网防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,它更是安全策略的一部分。安全策略建立了全方位的防御体系来保护机构的信息资源;安全策略应告诉用户应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
·所有在内部网络和外部网络之间传输的数据都必须通过防火墙;
·只有被授权的合法数据,即防火墙系统中安全策略允许的 数据,可以 通过防火墙;
·防火墙本身不受各种攻击的影响;
·使用目前新的信息安全技术,比如现代密码技术、一次口令系统、智能卡等;
·人机界面良好,用户配置使用方便,易管理。系统管理员可以方便地对防火墙进行设置,对Internet的访问者、被访问者、访问协议以及访问方式进行控制。
●防火墙厂商具有操作系统的源代码,并可实现安全内核;
●对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护;
●对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其它部份构成威胁;
防火墙技术综述
防火墙技术综述防火墙技术综述Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺;而与此同时给人们带来了一个日益严峻的问题―――网络安全。
网络的安全性成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着科技的发展,防火墙也逐渐被大众所接受。
但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。
一、防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。
这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。
例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。
防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。
然后,将这些信息与设立的规则相比较。
如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。
如果允许传入Web 连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。
如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。
通常,为了安全起见,与传入规则不匹配的包就被丢弃了。
如果有理由让该包通过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:l 对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。
这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙技术综述
Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺;而与此同时给人们带来了一个日益严峻的问题―――网络安全。
网络的安全性成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着科技的发展,防火墙也逐渐被大众所接受。
但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。
一、防火墙的基本分类
1.包过滤防火墙
第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。
这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网
络适配器或接口。
例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。
防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。
然后,将这些信息与设立的规则相比较。
如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。
如果允许传入Web 连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。
如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。
通常,为了安全起见,与传入规则不匹配的包就被丢弃了。
如果有理由让该包通过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:
l 对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。
这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。
而且,如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
l 在公共网络,只允许目的地址为80端口的包通过。
这条规则只允许传入的连接为Web连接。
这条规则也允许与Web 连接使用相同端口的连接,所以它并不是十分安全。
l 丢弃从公共网络传入的包,而这些包都有你的网络内的源地址,从而减少IP欺骗性的攻击。
l 丢弃包含源路由信息的包,以减少源路由攻击。
要记住,在源路由攻击中,传入的包包含路由信息,它覆盖了包通过网络应采取得正常路由,可能会绕过已有的安全程序。
通过忽略源路由信息,防火墙可以减少这种方式的攻击。
2.状态/动态检测防火墙
状态/动态检测防火墙,试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。
它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。
当包过滤防火墙见到一个网络包,包是孤立存在的。
它没有防火墙所关心的历史或未来。
允许和拒绝包的决定完全取决于包自身所包含的信息,如源地址、目的地址、端口号等。
包中没有包含任何描述它在信息流中的位置的信息,则该包被认为是无状态的;它仅是存在而已。
一个有状态包检查防火墙跟踪的不仅是包中包含的信息。
为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,例如
已有的网络连接、数据的传出请求等。
例如,如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。
如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。
一个状态/动态检测防火墙可截断所有传入的通信,而允许所有传出的通信。
因为防火墙跟踪内部出去的请求,所有按要求传入的数据被允许通过,直到连接被关闭为止。
只有未被请求的传入通信被截断。
如果在防火墙内正运行一台服务器,配置就会变得稍微复杂一些,但状态包检查是很有力和适应性的技术。
例如,可以将防火墙配置成只允许从特定端口进入的通信,只可传到特定服务器。
如果正在运行Web服务器,防火墙只将80端口传入的通信发到指定的Web服务器。
状态/动态检测防火墙可提供的其他一些额外的服务有:
l 将某些类型的连接重定向到审核服务中去。
例如,到专用Web服务器的连接,在Web服务器连接被允许之前,可能被发到SecutID服务器(用一次性口令来使用)。
l 拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含ActiveX程序的Web页面。
跟踪连接状态的方式取决于包通过防火墙的类型:
l TCP包。
当建立起一个TCP连接时,通过的第一个包被标有包的SYN标志。
通常情况下,防火墙丢弃所有外部的连接企图,除非已经建立起某条特定规则来处理它们。
对内部的连接试图连到外部主机,防火墙注明连接包,允许响应及随后再两个系统之间的包,直到连接结束为止。
在这种方式下,传入的包只有在它是响应一个已建立的连接时,才会被允许通过。
l UDP包。
UDP包比TCP包简单,因为它们不包含任何连接或序列信息。
它们只包含源地址、目的地址、校验和携带的数据。
这种信息的缺乏使得防火墙确定包的合法性很困难,因为没有打开的连接可利用,以测试传入的包是否应被允许通过。
可是,如果防火墙跟踪包的状态,就可以确定。
对传入的包,若它所使用的地址和UDP包携带的协议与传出的连接请求匹配,该包就被允许通过。
和TCP包一样,没有传入的UDP包会被允许通过,除非它是响应传出的请求或已经建立了指定的规则来处理它。
对其他种类的包,情况和UDP包类似。
防火墙仔细地跟踪传出的请求,记录下所使用的地址、协议和包的类型,然后对照保存过的信息核对传入的包,以确保这些包是被请求的。
3.应用程序代理防火墙
应用程序代理防火墙实际上并不允许在它连接的网络之间直接。