搜索
防火墙技术防火墙的概念防火墙是指隔离在本地网络与外界网络系统之间的防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。IInntteerrnneett防火墙的概念信任网络防火墙非信任网络防火墙是对黑客防范最严格,安全性也比较强的一种方式。下图为一个典型防火墙系统防火墙相关术语主机:连接到网络的计算机系统堡垒主机:一个连接内部网络又对外部网络暴露的计算机系统,它的特性导致它容易被入侵。周边网络:为了增加一层安全控制,在外网系统和内网系统之间增加的一个网络。周边网络有时也称为DMZ(非军事区,得名于分隔朝鲜北方和南方的地区)代理服务器:代表内部网络和外部服务器进行信息交换的程序。它将被认可的内部用户的请求送到外部服务器,并将外部服务器的响应送回给用户。防火墙的基本功能•防火墙系统可以决定外界可以访问那些内部服务,以及内部人员可以访问哪些外部服务.防火墙有以下的功能:1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。2.可以很方便地监视网络的安全性,并报警。防火墙的基本功能3.可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。4.是审计和记录Internet使用费用的一个最佳地点。5.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。防火墙的优点•强化安全策略•有效地记录Internet上的活动•限制暴露用户点(隔离不同网络,限制安全问题扩散)•是一个安全策略的检查站•产生安全报警防火墙的不足•防火墙并非万能,防火墙的缺点:–源于内部的攻击–不能防范恶意的知情者和不经心的用户–不能防范不通过防火墙的连接–不能直接抵御恶意程序(由于病毒的种类繁多,如果要在防火墙完成对所有病毒代码的检查,防火墙的效率就会降到不能忍受的程度。)防火墙的主要技术•包过滤技术•代理服务技术•主动检测技术包过滤技术包过滤事实上基于路由器的技术,由路由器的对IP包进行选择,允许或拒绝该数据包通过。为了过滤,必须要制定一些过滤规则(访问控制表),过滤的根据有(只考虑IP包):源、目的IP地址源、目的端口:FTP、HTTP、DNS等数据包协议类型:TCP、UDP、ICMP等数据包流向:in或out数据包流经网络接口:Eth0、Eth1包过滤防火墙工作示意图设置实例包过滤优缺点优点:•简单•较强的透明性•过滤路由器速度快,效率高。包过滤优缺点缺点:•配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协议有深入的了解,否则容易出现因配置不当带来的问题;•过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不能得到充分满足;•由于数据包的地址及端口号都在数据包的头部,不能彻底防止地址欺骗;•允许外部客户和内部主机的直接连接;•不提供用户的鉴别机制。•Application-levelGateway代理服务技术代理服务技术也称为应用级网关它不让数据包直接通过,而是自己接收数据,并对其进行分析。“可信赖”的服务才能通过。代理服务器必须了解所要代理的服务,并为每一种服务提供详细的访问日志记录,能针对不同的使用者进行认证。常用的代理服务器有HTTP代理,FTP代理等。应用级网关防火墙工作示意图应用级网关防火墙的特点应用网关代理的优点是易于配置,界面友好;不允许内外网主机的直接连接;可以提供比包过滤更详细的日志记录,例如在一个HTTP连接中,包过滤只能记录单个的数据包,无法记录文件名、URL等信息;可以隐藏内部IP地址;可以给单个用户授权;可以为用户提供透明的加密机制;可以与认证、授权等安全手段方便的集成。代理技术的缺点是:代理速度比包过滤慢;代理对用户不透明,给用户的使用带来不便,而且这种代理技术需要针对每种协议设置一个不同的代理服务器。一个Telnet应用代理的过程用户首先Telnet到应用网关主机,并输入内部目标主机的名字(域名、IP地址)应用网关检查用户的源IP地址等,并根据事先设定的访问规则来决定是否转发或拒绝然后用户必须进行是否验证(如一次一密等高级认证设备)应用网关中的代理服务器为用户建立在网关与内部主机之间的Telnet连接代理服务器在两个连接(用户/应用网关,代理服务器/内部主机)之间传送数据应用网关对本次连接进行日志记录状态检测包过滤技术启动一个监测程序对网络进行监控,当出现网络攻击时立即告警或切断相关连接。用于安全性非常高的网络系统,消耗内存大。防火墙的设计防火墙的安全策略(1)每一个没有明确允许的都被拒绝常用,但操作困难,并有可能拒绝网络用户的正常需求与合法服务(2)每一个没有明确拒绝的都允许很少考虑,因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络防火墙的分类从使用技术上分•包过滤技术•代理服务技术•状态检测技术从实现形式分•软件防火墙•硬件防火墙•芯片级防火墙防火墙的分类从部署位置分•个人防火墙•网络防火墙•混合防火墙防火墙技术的实现•Windows防火墙的应用–拦截ping包•模拟器上访问控制列表的介绍防火墙发展历程第一阶段:基于路由器的防火墙第二阶段:用户化的防火墙工具套第三阶段:建立在通用操作系统上的防火墙第四阶段:具有安全操作系统的防火墙对防火墙产品发展的介绍第一代防火墙产品的特点是:•利用路由器本身对分组的解析,以访问控制表(accesslist)方式实现对分组的过滤;•过滤判决的依据可以是:地址、端口号、IP旗标及其它网络特征;•只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网络可采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作防火墙。第一阶段:基于路由器的防火墙第一阶段:基于路由器的防火墙第一代防火墙产品的不足之处为:路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。路由器上的分组过滤规则的设置和配置存在安全隐患。攻击者可以“假冒”地址,由于信息在网络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火墙。防火墙的规则设置会大大降低路由器的性能。第二阶段:用户化的防火墙工具套作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:•将过滤功能从路由器中独立出来,并加上审计和告警功能;•针对用户需求,提供模块化的软件包;•软件可通过网络发送,用户可根据需要构造防火墙;•与第一代防火墙相比,安全性提高了,价格降低了。第二阶段:用户化的防火墙工具套(cont.)不足之处:配置和维护过程复杂、费时;对用户的技术要求高;全软件实现,安全性和处理速度均有局限;实践表明,使用中出现差错的情况很多。第三阶段:建立在通用操作系统上的防火墙具有以下特点:是批量上市的专用防火墙产品;包括分组过滤或者借用路由器的分组过滤功能;装有专用的代理系统,监控所有协议的数据和指令;保护用户编程空间和用户可配置内核参数的设置;安全性和速度大为提高。第三阶段:建立在通用操作系统上的防火墙(cont.)存在的问题:•作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证;•由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;•从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。•用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。第四阶段:具有安全操作系统的防火墙具有以下特点:•防火墙厂商具有操作系统的源代码,并可实现安全内核;•对安全内核实现加固处理:即去掉不必要的系统特性,加固内核,强化安全保护;•对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其它部份构成威胁;•在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能;•透明性好,易于使用。第四代防火墙的主要技术与功能第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能特点:双端口或三端口的结构透明的访问方式灵活的代理系统多级的过滤技术网络地址转换技术Internet网关技术安全服务器网络(SSN)用户鉴别与加密用户定制服务审计和告警