Abstract:不同的网段,不同的局域网之间,就好像不同的省市,不同的国家之间一样有一个边界。要求所有的人员只能从边界检查站出入境,就可以检查、控制、记录、管理、入边界的人员,知道有哪些人、携带什么东西进出边境,还可以根据这些人是否有合法的出入境证件、携带的东西是否合法等决定是否允许其出入边境。防火墙就是计算机网络中的边境检查站,保护内部网络。防火墙有多种形态,一般是软硬件相结合。主要功能是进行访问控制,内容控制。主要有三种技术,分别是包过滤技术,状态监测技术,以及代理服务技术。在屏蔽主机的系统模型中,内外网边界有一个网关路由器,复杂进行包过滤,内网有一个堡垒主机,负责代理服务,两者相互配合实现防火墙的功能。同时防火墙也有一些局限性。
目录
防火墙的定义
1.按照预先设定的安全策略来进行访问控制的软件或设备,用来阻止外部网络对内部网络的侵扰
2.是一种逻辑隔离部件,而不是物理隔离部件
根据上图可知,内部网络之间的访问是不受防火墙控制的,进入内部网络的通信都需要经过防火墙,通过防火墙的过滤。
防火墙的形态
1.纯软件:防火墙是运行在通用计算机上的一个纯软件,配置灵活,简单易用,但是数据处理能力,安全水平都很低
2.纯硬件:防火墙被固化在专门设计的硬件上,数据处理和安全水平都很高,但是调整非常困难
3.软硬件结合:有防火墙专用的硬件以及安全操作系统平台,并在此平台上运行防火墙软件。
防火墙功能
1.访问控制:这是防火墙最基本也是最重要的功能。辨别请求访问内部网络者的身份,控制其访问范围。
2.内容控制:阻止不安全的数据进入内部网络
3.安全日志:完整地记录网络通信情况,发现潜在的风险,及时调整安全策略
4.集中管理:在一个网络的安全体系中会有多态方文强分布式部署,便于进行集中管理,实施统一的安全策略
防火墙技术原理
1.包过滤技术
防火墙在网络层中,通过检查数据包中的头部信息(如,源地址,目的地址,协议类型,端口等),将报头信息与实现设定的过滤规则进行比较,以此来决定是否允许数据包通过,关键是过滤规则的设计。这是最早应用于防火墙的技术,也是最简单,某些情况下最有效的技术。
优点:不需要内部网络用户做任何配置,对用户来说是透明的
弱点:只检查数据报头部信息,无法进行数据级别的访问控制
2.状态监测技术
状态监测技术也叫作动态包过滤技术,在包过滤技术防火墙的基础上增加了对状态的检测。第一步会检查数据报是否是状态表中已有连接的数据报,如果已有且状态正确就允许通过,如果没有要进一步做包过滤技术的检查,检查通过之后更新状态表。
3.代理服务技术
通信双方通过代理之间进行间接的连接。
应用级代理:网关,工作在应用层。当收到连接请求之后,应用代理会检查源和目的ip地址,并根据事先设定的过滤规则决定是否允许该连接请求,连接建立之后还会过滤双方之间的通信。
优点:能进行数据内容的检查,能实现内外网络的隔离
缺点:过滤速度慢
安全策略与规则
无论是包过滤技术还是状态监测技术还是代理服务技术,都是以安全策略和规则为基础的。防火墙的基本控制策略有两种
1.没有被明确允许的,就是禁止的:这是一种以控制为中心的控制策略
2.没有被明确禁止的,就是允许的:这是一种以畅通访问为中心的控制策略。
防火墙的体系结构
屏蔽主机结构:屏蔽主机结构=路由器隔离内部网络和外部网络+代理服务器堡垒主机部署在内部网络上。通过路由器的包过滤技术和堡垒主机的代理服务技术维护内部网络的安全。
防火墙的局限性
1.防火墙只是一种边界安全保护系统,如果攻击者在内网,那将无法进行防护
2.防火墙是基于已有攻击知识制定的,无法对新的动机进行防护
3.防火墙对通信内容的控制很弱,因此其对病毒、蠕虫、木马等恶意代码的防护能力很弱
防火墙的发展趋势
随着网络应用的发展而日益严重,攻击方法不断变化,新的病毒、蠕虫、木马程序等恶意代码层出不穷。仅靠防火墙单一技术已经不能满足网络安全的需求,因此防火墙技术正逐渐与入侵检测技术、防病毒技术、抗攻击技术(如抗分布式拒绝服务攻击技术等)、VPN、PKI等集成、融合,成为一个更加全面、完善的网络安全防御体系