文章目录
- 一、防火墙概述
- 二、防火墙的特性
- 1、防火墙的设计目标
- 2、防火墙的常用技术
- 3、防火墙具有的典型功能
- 4、防火墙具有的局限性
- 三、防火墙的技术
- 1、包过滤技术
- 2、代理服务技术
- 3、状态检测技术
- 四、防火墙体系结构
- 1、双宿/多宿主机模式 (dual-homed / multi-homed)
- 2、屏蔽主机模式
- 3、屏蔽子网模式
- 五、个人防火墙
一、防火墙概述
防火墙是位于两个(或多个)网络间,实施网间访问控制的组件集合,通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流,达到保护内部网络的目的。
二、防火墙的特性
1、防火墙的设计目标
- 内部和外部之间的所有网络数据流必须经过防火墙
- 只有符合安全策略的、被授权的数据流才能通过防火墙
- 防火墙本身是能够免疫渗透的,必须使用安全的操作系统
2、防火墙的常用技术
- 服务控制:决定哪些Internet服务可以被访问,无论这些服务是从内而外还是从外而内
- 用户控制:根据用户试图访问的服务器来控制其访问
- 方向控制:决定哪些特定方向上的服务请求可以被发起并通过防火墙
- 行为控制:控制一个服务具体是如何实现的。
3、防火墙具有的典型功能
- 访问控制功能:最基本的功能,通过禁止或允许特定用户访问特定资源,保护内部网络数据和资源。
- 内容控制功能:更具数据内容进行控制,比如说过滤垃圾邮件
- 日志功能:防火墙需要完整的记录访问网络的情况,包括进出内部网络的访问,一旦发生网络安全事故,可以通过日志进行审查。
- 集中管理功能:针对不同的网络情况和安全需求,指定不同的安全策略,在防火墙上集中实施。
- 自身安全和可控:防火墙必须保证自身的安全性,不被非法入侵,保证正常的工作状态。
4、防火墙具有的局限性
- 防火墙不能防御不经由防火墙的攻击(防火墙绕过)
- 防火墙不能防御内部攻击
- 防火墙不能阻止病毒等程序和文件进出内部网络
- 防火墙不能防止数据驱动式的攻击
三、防火墙的技术
从工作原理来看,防火墙主要可分为网络层防火墙和应用层防火墙。这两个层次的防火墙技术的具体实现有包过滤防火墙、代理服务器防火墙、状态检测防火墙、和自适应代理防火墙。
1、包过滤技术
包过滤技术是最早的防火墙技术,工作在网络层。
基本思路是:在网络层对数据包进行选择,对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包。这些规则也称为访问控制表。
包过滤遵循的一条基本原则是“最小特权”原则,即明确了管理员可以设置希望哪些包通过,哪些包禁止通过。
过滤规则的设计依赖于数据包所提供的包头信息:源地址、目的地址、TCP/UDP 端口号、标志位、用来传送数据的协议等。
包过滤防火墙的优点:
- 一个包过滤防火墙就能协助保护整个网络
- 包过滤对用户透明,正常情况下感知不到防火墙的存在。
- 包过滤防火墙处理速度快、效率高
- 包过滤防火墙技术通用、廉价且有效。
- 并且易于安装、使用和维护
包过滤防火墙的缺点:
- 安全性较差。包过滤防火墙只能过滤网络层和传输层的有限消息,因而各种安全要求不可能充分满足。
- 由于防火墙可用信息有限,所以它提供的日志信息也有限。
- 无法执行某些安全策略。包过滤不支持高级用户认证方案,缺乏上层功能。
- 容易受到利用TCP/IP规则和协议栈漏洞的攻击。
2、代理服务技术
代理服务防火墙又称为应用层网关、应用层防火墙。它是在应用层上建立协议过滤和转发功能,针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,并形成报告。
特点:
- 所有的连接都通过防火墙,防火墙作为网关
- 在应用层上实现,网关理解应用协议,可以实施更细粒度的访问控制
- 可以监视包的内容
- 可以实现基于用户的认证
- 可以提供理想的日志功能
- 对每一类应用,都需要一个专门的代理,不够灵活
- 非常安全,但是开销比较大
工作原理:
用层网关不依赖包过滤工具来管理Internet服务,而是采用为每种所需服务在网关上安装代理服务的方式来管理Internet服务。如果网络管理员没有为某种应用安装代理编码,那么该项服务就不被支持并不能通过防火墙系统来转发。并且可以完全控制提供哪些服务,因为没有特定服务的代理就表示该服务不提供。
缺点:
- 新的服务不能及时地被代理
- 每个被代理的服务都要求专门的代理软件
- 有些服务要求建立直接连接,无法使用代理
- 代理服务不能避免协议本身的缺陷或者限制
3、状态检测技术
状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。
具有的优点:
- 安全性好:状态检测防火墙工作在数据链路层和网络层之间,它从这里截取数据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的第一层,这样防火墙确保了截取和检查所有通过网络的原始数据包
- 性能高效:状态检测防火墙工作在协议栈的较低层,通过防火墙的所有的数据包都在低层处理,而不需要协议栈的上层处理任何数据包,这样减少了高层协议头的开销,执行效率提高很多
- 拓展性较好:状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包,当有一个新的应用时,它能动态产生新的应用的新的规则,而不用另外写代码,所以具有很好的伸缩性和扩展性
- 配置方便,应用范围广:状态检测防火墙不仅支持基于TCP的应用,而且支持基于无连接协议的应用,如RPC、基于UDP的应用(DNS 、WAIS、 Archie等)
具有的缺点:
- 应用网络关防火墙的每个连接都必须建立在为之创建的有一套复杂的协议分析机制的代理程序进程上,这会导致数据延迟的现象。
- 仍只是检测数据包的第三层信息,无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等
- 包过滤防火墙和网关代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷,不能满足用户对于安全性的不断的要求
四、防火墙体系结构
堡垒主机的概念:堡垒主机是一种配置了安全防范措施的网络上的计算机,它为网络之间的通信提供了一个阻塞点,也就是说如果没有堡垒主机,网络之间将不能相互访问。
1、双宿/多宿主机模式 (dual-homed / multi-homed)
这种防火墙的特点是主机的路由功能是被禁止的,即主机在两个端口之间直接转发信息的功能被关掉。两个网络之间的通信通过应用层代理服务来完成。如果一旦黑客侵入堡垒主机并使其具有路由功能,防火墙将变得无用。
2、屏蔽主机模式
堡垒主机安装在内部网络上,在包过滤路由器上设立过滤规则,使堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受非授权外部用户的攻击。堡垒主机可以充当应用层网关和电路级网关。
屏蔽主机防火墙实现了网络层(包过滤路由器)和应用层(堡垒主机)的安全,因而比单独的包过滤或应用网关代理更安全。
在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网完全暴露。
3、屏蔽子网模式
屏蔽子网防火墙是目前较流行的一种结构,采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为“非军事区”,有时也称作周边网,用于放置堡垒主机,WEB服务器、Mail服务器等公用服务器。
内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。在这一配置中,即使堡垒主机被入侵者控制,内部网仍受到内部包过滤路由器的保护。
五、个人防火墙
个人防火墙 Personal FireWall)顾名思义是一种个人行为的防范措施,这种防火墙不需要特定的网络设备,只要在用户所使用的PC 上安装软件即可。 由于网络管理者可以远距离地进行设置和管理,终端用户在使用时不必特别在意防火墙的存在,极为适合小企业等和个人等的使用。