防火墙系列(一)—–何为防火墙
好朋友原文地址:
[Mars_guest](https://blog.csdn.net/Mars_guest
)
防火墙是什么
(简单解释下内联网络和外联网络
内联网络类似于局域网是指某个企业或者单位内部交互的网络,外联网络就是外部的Internet)
- 部署在用户内联网络和外联网络之间的一道屏障,一切内外联网络交换的数据都应该通过防火墙设备。以预先定义好的安全规则为标准,防火墙将对通过他的数据进行安全监测,符合安全规则的数据流将准予放行,不符合规则的数据流将被阻隔。
- 防火墙系统包括硬件设备,相关的软件代码和安全策略。
- 广义上讲,防火墙是隔离在内联网络和外联网络之间的一个防御系统。双向数据流都将经过防火墙。
重点–>访问控制策略
控制内联主机如何访问外联网络以及外联主机如何访问内联网络。
具体体现为防火墙的过滤规则。
防火墙的物理位置
- 从具体实现的角度来看,防火墙有一个独立的进程或者一组紧密联系的进程构成。它运行于路由器,堡垒主机或者任何提供网络安全的设备组合上。
- 对于个人防火墙来说,防火墙一般是指安装在单台主机硬盘上的软件系统。
防火墙的逻辑位置
| ISO 7层模型 | 防火墙级别 |
|---|---|
| 应用层 | 网关级 |
| 表示层 | — |
| 会话层 | — |
| 传输层 | 电路级 |
| 网络层 | 路由器级 |
| 数据链路层 | 网桥级 |
| 物理层 | 中继器级 |
防火墙的理论特性和实际功能
理论上讲是分离器,限制器和分析器。实现4类控制功能:
1.方向控制:控制特定的服务请求通过它的方向
2.服务控制:控制用户可以访问的网络服务类型。
3.行为控制:控制使用特定服务的方式。
4.用户控制:控制可以进行网络访问的用户。(较复杂,涉及到报文中的数据部分)
–阻塞点:防火墙就是在内和外联网络之间建立的唯一一个安全控制检查点,通过允许拒绝和重定向经过防火墙的数据流,实现对进出内联网络的服务和访问的审计和控制。这样的检查点就叫阻塞点。
实际功能:
1.包过滤 (Packet Filtering) 各层网络协议的头部字段以及通过字段分析得到的链接状态等内容都可以作为过滤技术考察的参数。动态包过滤—状态检测技术。
2.代理(Proxy) 将用户的请求变成由防火墙转发,外联网络看不到内联网络的结构,也就无法访问内联网路的主机。代理技术可以提供更加深入的过滤,甚至可以理解为应用层的内容,实现复杂且速度较慢。
3.网络地址转换(Network Address Tranlation)
Sample:内联网络中主机A 向外部网络中ip进行访问请求,这一请求到达防火墙时,防火墙将请求中的源IP地址转换成它可以利用的一个公共IP地址,之后将变动后的请求发往目的地。当外部主机返回请求时,将目的地址进行转化,转换成主机A的地址,之后将数据发给主机A;
4.虚拟专用网(Virtual Private Network,VPN)
5.用户身份认证(Authentication)
6.记录报警,分析和审计 生成防火墙日志
7.管理功能
防火墙的规则
防火墙的规则可以告诉防火墙哪些类型的通信量可以进出防火墙。所有防火墙都有一个规则文件,是其最重要就的配置文件。
规则设计原则
1.拒接访问一切未经特许的服务–>限制性原则(DENY ALL)–>限制性防火墙 默认阻断任何不允许的通信,只允许一些特定的服务通过。
2.允许访问一切未被特别拒绝的服务–>连贯性原则(ALLOW ALL)–>连通性防火墙 与法律类似
二者主要区别:DENY ALL是告诉我什么能做,没告诉我的都不能做。
ALLOW ALL 告诉我什么不能做,没特别指出不能做的都能做。
规则的顺序问题,设计时要慎重对待,因为不同的规则之间可能有包含,交叉甚至是排斥的关系,顺序不同可能导致规则的冲突以至造成系统漏洞。