防火墙: 用来加强网络之间访问控制的特殊网络互联设备, 是一种非常有效的网络安全模型
核心思想: 在不安全的网际环境中构造一个相对安全的子网环境
目的: 为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道, 以按照事先制定的策咯控制信息流入和流出,监督和控制使用者的操作.
防火墙可在链路层, 网络层和应用层上实现,
其功能的本质特征是隔离内外网络和对进出信息流实施访问控制. 隔离方法可以是基于物理的, 也可以是基于逻辑的.
从网络防御体系上, 防火墙是一种被动防御的保护装置.
功能:
1 网络安全的屏障;
2 过滤不安全的服务: 内部提供的不安全服务及内部访问外部的不安全服务
3阻断特定的网络攻击:(联动技术的产生)
4部署nat机制
5提供了监视局域网安全和预警的方便端点.
提供包括安全和统计数据在内的审计数据, 好的防火墙还能灵活设置各种报警方式
(nat是网络地址转换的缩写, 可以隐藏内部的拓扑结构减少网络地址匮乏的问题. 使多台计算机用一个ip地址. )
防火墙的分类:
1 个人防火墙:
是在操作系统上运行的软件, 可为个人计算机提供简单的防火墙功能
(norton personal firewall 天网, 瑞星)
安装在个人pc上, 而不是放置在网络边界, 因此, 个人防火墙关心的不是一个网络到另一个网络的安全, 而是单个主机和与之相连的主机或网络之间的安全>
2 软件防火墙:
个人也是一种软件, 但其应用范围较小, 只支持windows系统, 功能相对来说弱的多, 并且安全性和并发连接处理能力差
作为网络防火墙,的软件防火墙, 具有比个人防火墙更强的控制功能和更高性能 如check point
3一般硬件防火墙
不同于采用专用芯片的纯硬件防火墙, 但和纯软件有很大差异. 功能比较全, 但性能一般. 由小型防火墙厂商开发, 或者是大型厂商开发的中低端产品, 应用于中小型企业 , 一般都采用pc架构(, 但各个配件都要量身定制
4纯硬件防火墙
一般用采用专用芯片(非x86芯片) 来处理防火墙核心策罗的一种硬件防火墙, 也称为芯片级防火墙. (专用集成电路asic芯片或者网络处理器NP芯片
最大亮点: 高性能, 非常高的并发连接数和吞吐量
采用asic芯片的在国外比较流行
5分布式防火墙
前面提到的都是边界式防火墙, 无法对内部网络实现有效的保护;
防火墙的局限性:
使用可能会削弱网络功能:1由于网络隔离作用, 在内部网络的同时使他与外部网络交流受到障碍
2附加代理软件, 增大网络管理开销, 减慢了信息传输速率, 在大量使用分布式应用的情况下, 使用防火墙是不切实际的.
3安全性通常是以网络服务开放性和灵活性为代价的.
其弱点:
1 只能防范经过本是的非法访问或攻击, 对绕过防火墙的访问和攻击无能为力
2不能用来解决内部网络攻击和安全问题
3 不能用来防止收病毒感染的文件的传输
4 不能防止策略配置不当或错误配置引起的安全威胁,
5不能防止自然或人为的破坏, 不能防止本身安全漏洞的威胁
防火墙体系结构: 实现所采用的架构及其实现所采用的, 他决定着防火墙的功能, 性能以及使用范围.
1>分组过滤路由器
由策略来决定转发或阻止数据包,
作为内外网连接的唯一通道, 要求所有的报文都必须在此通过检查,
通过在分组过滤路由器上安装基于ip报文过滤软件, 就可以利用过滤规则实现报文过滤功能
缺点:在单机上实现, 是网络中的单失效点,
不支持有效的用户认证, 不提供有用的日志, 安全性低
2>双宿主机
在被保护网络和internet之间设置一个具有双网卡的堡垒主机, ip层的通信被完全阻止, 两个网络之间的通信可以通过应用层数据共享或应用层代理服务未完成
通常采用代理服务的方法
堡垒主机上运行着防火墙软件, 可以转发应用数据和提供服务等
优缺点:
堡垒主机看的系统软件可用于身份认证和维护系统日志, 有利于进行安全审计
该方式的防火墙仍是网络的单失效点
隔离了一切内部网与internet的直接连接, 不适合于一些高灵活要求的场合
3>屏蔽主机:
更加灵活比较容易实现, 比上两种安全性提高
一个分组路由器连接外部网络, 同时运行网关软件的堡垒主机安装在内部网络, 通常在路由器上设立过滤规则, 使这个堡垒主机称为从外部唯一可以直接达到的主机
提供的安全等级较高, 实现了网络层安全(包过滤)和应用层安全(代理服务)
过滤路由器是否正确配置是这种防火墙安全与否的关键, 过滤路由器的路由表应当收到严格的保护,如果路由表遭到破坏, 堡垒主机就有被越过的危险
4>屏蔽子网:
最安全的防火墙系统, 在内部和外部网络之间建立一个被隔离的子网(非军事区, DMZ)
在很多实现中, 两个分组过滤路由器放在子网两端, 内部网络和内部网络都可以访问被屏蔽的子网, 但禁止他们穿过被屏蔽子网通信.
通常将堡垒主机, 各种信息服务器等公用服务器放于DMZ中
堡垒主机通常是黑客集中攻击的目标, 如果没有DMZ, 入侵者控制堡垒主机后就可以监听整个内部网络的会话.
防火墙的实现技术:
1数据包的过滤技术
在网络当中的适当位置对数据包实现有选择的, 简单控制技术, 在防火墙初期普遍采用
工作原理:
在网络层检查数据包, 与应用层无关,无法控制传输的内容
依据在系统内设置的过滤规则(通常为访问控制表)对数据流中每个数据包包头中的参数或他们的组合进行检查, 已确定是否允许数据包进出内部网络
一般检查网络层的ip头和传输层的头, 包括ip源地址, ip目的地址, 协议类型, tcp/udp源端口和数据端口, icmp消息类型, tcp包头中的ack位
优点:逻辑简单, 价格便宜, 易于安转和使用, 网络性能和透明行好
主要缺点: 安全控制力度只限于源地址, 目的地址和端口号等, 不能保存与传输或与应用相关的状态信息, 因此只能进行较为初步 的 安全控制, 安全性较低, 并且包的源地址目的地址及端口号等在数据包的头部, 很可能被假冒
注意:创建规则比较困难规格过于复杂并难以测试, 必须以手工或者仪器才能彻底检测规则的正确性. 对特定协议包的过滤:
FTP协议:使用两个端口, 因此要特殊考虑
UDP协议: 要对UDP包进行过滤, 防火墙应该有动态数据包过滤特点
ICMP:应根据ICMP类型进行过滤
2代理服务
运行于堡垒主机上的运用
工作过程:
当用户需要访问代理服务器另一侧主机时, 对符合安全规则的连接, 代理服务器会代替主机响应, 并重新向主机发送相同的请求.当此连接请求得到回应并且建立起连接以后, 内部主机与外部主机的通信将通过代理程序把相应连接进行映射来实现,.对我与用户而言, 似乎是直接与外部网络相连.
优点:
保证了内部的网络拓扑结构和信息不容易被黑客掌握, 减少了黑客攻击时所必须的信息
代理工作在客户机与真正的服务器之间, 完全控制两者之间的会话, 可以实施用户认证, 详细日志, 审计跟踪, 数据加密等功能, 和对具体协议及应用的过滤, 同时发现被攻击迹象时会向网络管理员发出警报, 并保留攻击痕迹, 安全性高
缺点:
不同的服务要有专门的代理, 不能拿自动支持新的网络应用
有些代理还需要相应的支持代理客户和服务器软件, 用户可能还需要专门学习程序的使用方法才能通过代理访问.
性能下降
3状态检测:
在动态包过滤的基础上, 增加了状态检测机制而形成的
动态包过滤与普通包过滤相比, 药多做一项规则: 对外出数据包的身份做一个标记, 允许相同连接.
利用状态表跟踪每一个网络会话的状态, 对每一个数据包的检查不仅依据规则表, 更考虑了数据包是否符合会话所处的状态
采用了一个在网关上执行网络安全策路的软件引擎, 称之为检测模块. 其在不影响网络正常工作的前提下, 采用抽取相关数据的方法对网络通信各层实施检测, 并动态保存起来作为以后制定安全决策的参考..
工作过程:
对新建的应用连接, 首先检查预先设置的安全规则, 允许符合规则的连接, 请求数据包通过, 并记录下该连接的相关信息, 生成状态表,.对该连接的后续包, 只要符合状态表, 就可以通过.....