防火墙入门

  • 格式:docx
  • 大小:64.98 KB
  • 文档页数:5

防火墙原理入门(1)防火墙能增强机构内部网络的安全性。

防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。

防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。

防火墙的五大功能一般来说,防火墙具有以下几种功能:1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。

2.可以很方便地监视网络的安全性,并报警。

3.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT 技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。

4.是审计和记录Internet使用费用的一个最佳地点。

网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。

两种防火墙技术的对比包过滤防火墙优点价格较低性能开销小,处理速度较快缺点定义复杂,容易出现因配置不当带来问题允许数据包直接通过,容易造成数据驱动式攻击的潜在危险代理防火墙内置了专门为了提高安全性而编制的Proxy应用程序,能够透彻地理解相关服务的命令,对来往的数据包进行安全化处理速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用5.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。

从技术角度来讲,就是所谓的停火区(DMZ)。

防火墙的两大分类尽管防火墙的发展经过了上述的几代,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)。

前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。

1.包过滤防?第一代:静态包过滤这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。

过滤规则基于数据包的报头信息进行制订。

报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。

包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。

网络主机防火墙的基本类型发布时间:2006.07.13 16:26来源:赛迪网技术社区作者:skid1. 基本类型1.1包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。

网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。

防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。

系统管理员也可以根据实际情况灵活制订判规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。

包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。

有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

1.2 网络地址转化—NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。

它允许具有私有IP地址的内部网络访问因特网。

它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

NAT的工作过程如图1所示:在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。

系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。

在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。

OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。

当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。

当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。

网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

1.3代理型代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。

其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

1.4 Stateful-inspection型防火墙防火墙防火墙技术是网络安全领域应用较普遍的一种技术,传统上防火墙基本分为两大类,即包过滤防火墙和应用网关防火墙,这两种防火墙由于其受限的地方,逐渐不能适应当前的需求,因此新一代的防火墙Stateful-inspection防火墙应运而生,这种防火墙既继承了传统防火墙的优点,又克服了传统防火墙的缺点,是一种革新式的防火墙。

Stateful-inspection防火墙是新一代的防火墙技术,由Check Point公司引入。

它监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。

它在协议栈低层截取数据包,然后分析这些数据包,并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。

和应用网关不同,Stateful-inspection防火墙使用用户定义的过滤规则,不依赖预先的应用信息,执行效率比应用网关高,而且它不识别特定的应用信息,因此不用对不同的应用信息制定不同的应用规则,伸缩性好。

表1是Stateful-inspection防火墙与传统的防火墙技术例如包过滤和应用网关的比较表:1.4.1 Stateful-inspection防火墙的工作原理图 1 防火墙工作原理图Stateful-inspection克服了前两种方法的限制,其实现是通过不断开客户机/服务器的模式而提供一个完全的应用层感知。

在Stateful-inspection里,信息包在网络层就被截取了,然后防火墙从接收到的数据包中提取与安全策略相关的状态信息,将这些信息保存在一个动态状态表中,其目的是为了验证后续的连接请求,这样提供了一个高安全性的方案,系统的执行效率提高了,还具有很好的伸缩性和扩展性。

(图1为Stateful-inspection 防火墙工作原理图。

)1.4.2 Stateful-inspection防火墙的优点1.高安全性Stateful-inspection防火墙工作在数据链路层和网络层之间,它从这里截取数据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的第一层,这样防火墙确保了截取和检查所有通过网络的原始数据包。

防火墙截取到数据包就处理它们,首先根据安全策略从数据包中提取有用信息,保存在内存中;然后将相关信息组合起来,进行一些逻辑或数学运算,获得相应的结论,进行相应的操作,如允许数据包通过、拒绝数据包、认证连接、加密数据等。

Stateful-inspection防火墙虽然工作在协议栈较低层,但它监测所有应用层的数据包,从中提取有用信息,如IP地址、端口号、数据内容等,这样安全性得到很大提高。

2.高效性Stateful-inspection防火墙工作在协议栈的较低层,通过防火墙的所有的数据包都在低层处理,而不需要协议栈的上层处理任何数据包,这样减少了高层协议头的开销,执行效率提高很多;另外在这种防火墙中一旦一个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。

3.可伸缩性和易扩展Stateful-inspection防火墙不像应用网关式防火墙那样,每一个应用对应一个服务程序,这样所能提供的服务是有限的,而且当增加一个新的服务时,必须为新的服务开发相应的服务程序,这样系统的可伸缩性和可扩展性降低。

Stateful-inspection防火墙不区分每个具体的应用,只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包,当有一个新的应用时,它能动态产生新的应用的新的规则,而不用另外写代码,所以具有很好的伸缩性和扩展性。

4.应用范围广Stateful-inspection防火墙不仅支持基于TCP的应用,而且支持基于无连接协议的应用,如RPC、基于UDP的应用(DNS、WAIS、Archie等)等。

对于无连接的协议,连接请求和应答没有区别,包过滤防火墙和应用网关对此类应用要么不支持,要么开放一个大范围的UDP端口,这样暴露了内部网,降低了安全性。

Stateful-inspection防火墙对基于UDP应用安全的实现是通过在UDP通信之上保持一个虚拟连接来实现。

防火墙保存通过网关的每一个连接的状态信息,允许穿过防火墙的UDP请求包被记录,当UDP包在相反方向上通过时,依据连接状态表确定该UDP包是否被授权的,若已被授权,则通过,否则拒绝。

如果在指定的一段时间内响应数据包没有到达,连接超时,则该连接被阻塞,这样所有的攻击都被阻塞,UDP应用安全实现了。

Stateful-inspection防火墙也支持RPC,因为对于RPC服务来说,其端口号是不定的,因此简单的跟踪端口号是不能实现该种服务的安全的,Stateful-inspection防火墙通过动态端口映射图记录端口号,为验证该连接还保存连接状态、程序号等,通过动态端口映射图来实现此类应用的安全。

网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数代理服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。

那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。