1.防火墙是指一个由软件和硬件设备组合而成、在内部和外部网之间、专用网和公用网之间的界面上构造的保护屏障。
2.防火墙发展可以分为四个阶段,从第三代开始防火墙就在操作系统中广泛使用而不再局限于硬件的防火墙产品。所以防火墙可以分为硬件防火墙和软件防火墙。
3.防火墙就是一个网络安全系统,监视和控制的传入和传出的网络流量的基础上预定的安全规则。防火墙通常建立一个可信的,安全的内部网络和另一个外部网络,如互联网,被认为是不安全或者是不受信任的。
4.宏观来看,防火墙就是通过监测、限制、更改想要跨越防火墙的数据流,从而达到尽可能的不对外部网络透露内部信息、结构和运行状况,以此来实现网络的安全保护。防火墙以限制、分离和分析这三个方面,有效的控制了内部网和Internet之间的任何活动,保证了内部网络的安全。
5.Linux环境中主要的防火墙形式有三种。1.Netfilter的数据包过滤机制。2.TCP Wrappers的程序管理。3.Proxy的代理服务器。其中Netfilter与Proxy是十分常用的而且是主要的防火墙的形式。
6.防火墙主要是分析OSI参考模型中的数据链路层,网络层,传输层以及应用层。因为数据包的信息主要都是在OSI参考模型中的这几个层次。
7.TCP Wrappers主要是分析TCP的报头信息,并与/etc/host.allow和/etc/host.deny中的规则进行匹配,从而决定哪些主机可以访问系统服务和资源。
8.Netfilter主要是分析进入主机的数据包,也就是将包的报头信息提取出来进行分析,以决定该链接是否应该放行。该方式直接分析数据报头的信息,而报头的信息主要就是OSI参考模型中的数据链路层、网络层以及传输层的信息,如MAC地址,IP地址,TCP,UDP,ICMP等的信息都可以进行分析过滤。
9.Proxy相对来说就好理解一些了,代理服务器就是中间人(不是中间人攻击的那个中间人,这里是褒义词),它有自己的判断能力。代理服务器相对Netfilter更安全一些。就算被攻击也是服务器中招,内网还是安全的。但是因为所有的连接、所有的数据包都中转过一层,多了一个环境,就需要多消耗时间,效率也降低了,并且因为通过代理服务器的转发那么便需要修改表头中的信息,地址转换,这样的话对于VPN的使用也会增加一定的难度。所以相对来说,Netfilter比代理服务器式的防火墙应用的更加广泛。
10.Proxy比Netfilter更安全的原因:因为数据包式的防火墙主要是在网络的七层模型中处理这样的事情:
①拒绝让外部网络的数据包进入主机部分敏感的窗口:比如,我的FTP只是供给公司内部人员使用的,外面的人不能从中获得信息,那么添加规则让所有想访问该端口的请求数据包全部丢弃。
②拒绝让某些IP来源的数据包进入主机。
③拒绝带有某些标签(flag)的数据包进入
④拒绝某些MAC地址的链接与数据包。
这样的处理可以阻挡大部分的数据或攻击但是还有很多问题是无法防范的:
①防火墙不能有效的阻挡病毒或者木马程序:比如内网中的AMZ区域有一台web服务器,有web服务供给外网访问就必须开发80端口,否则外部网络得不到数据,该服务器的功能无法起作用。而80端口的开放使的外部网络的数据包可以进入到主机当中,若是web服务有漏洞,数据包中有病毒利用该漏洞做一些事情。
②防火墙主要是针对外网的攻击添加规则,所以对于内网的攻击并无太强的招架之力。
防火墙很重要,但是不能够仅仅依赖于防火墙。