了解防火墙
所谓防火墙(Firewall),就是建立在内、外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而认为外部网络是不安全和不可信赖的。
防火墙的 作用 是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
在网络层,防火墙被用来处理信息在内、外网络边界的流动,它可以确定来自哪些地址的信息可以通过或者禁止哪些目的地址的主机。
在传输层,这个连接可以被端到端的加密,也就是进程到进程的加密。
在应用层,它可以进行用户级的身份认证、日志记录和账号管理等。
因此,防火墙技术简单来说就是一套身份认证、加密、数字签名和内容检查集成为一体的安全防范措施。所有来自Internet的传输信息和内部网络发出的传输信息都要穿过防火墙,由防火墙进行分析,以确保它们符合站点设定的安全策略,以提供一种内部节点或网络与Internet的安全屏障。
防火墙的分类
防火墙技术经历了包过滤、应用代理网关、状态检测3个发展阶段。
1、包过滤防火墙
包过滤防火墙一般有一个包检查快(通常称为包过滤器),他是通过定义一组静态规则来筛选数据包,如果符合规则,就进行数据包的转发;如果不符合规则,就丢弃数据包。
包过滤防火墙处于网络层和传输层之间。
优点:防火墙对每条传入和传出网络的包实行低水平控制;每个IP包的字段都被检查,例如源地址、目的地址、协议和端口等;防火墙可以识别和丢弃带欺骗性源IP地址的包;包过滤防火墙是两个网络之间访问的唯一来源;包过滤通常被包含在路由器的数据包中,因此不必额外的系统来处理这个特征。
缺点:不能防范黑客攻击,因为网管不可能区分出可信网络与不可信网络的界限;不支持应用层协议,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙;不能处理新的安全威胁。
2、代理网关防火墙
代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者在任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。
优点:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
缺点:(1)难于配置。不易理解
(2)处理速度非常慢。
3、状态检测防火墙
状态检测防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
它摒弃了包过滤防火墙仅考察数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个会话,利用状态表跟踪每一个会话的状态。
状态检测对每一个包的检查不仅根据规则表,更考虑了数据表是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
状态检测防火墙在提高安全防范能力的同时也改进了流量处理速度。因为它采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
典型的防火墙体系结构
1、包过滤路由器
以太网通过包过滤路由器与外网相连,外网在访问内网的时候,会经过包过滤防火墙的过滤,整个过程基于一组静态的过滤规则,缺点显而易见,不太安全,兼容性差。
2、双宿主主机
双宿主主机又叫主机堡垒。它是有至少两个网络接口组成的,它彻底隔离内网和外网的直接通信,双宿主主机内外网络均可与双宿主主机进行通信。此外,主机堡垒不转发TCP/IP通信报文,网络中所有服务都必须由此主机的响应代理程序来支持。但是,当被入侵了双宿主主机,内网也就不再安全,因此应该禁止网络层的路由功能。
3、屏蔽主机网关
这种结构是前两种结构的组合,其中的主机堡垒应属于内网,当外网想要访问内网时,首先需要经过包过滤路由器,经过规则过滤后的数据包再转发到主机堡垒,然后由主机堡垒转发至内网的主机。其中,包过滤路由器的路由表应该受到严格的保护,一旦被破坏,数据包就很难被转发至主机堡垒。
4、被屏蔽子网
图中绿色的区域成为DMZ,意为隔离区。这种结构应该是当前最安全的结构了,入侵者必须突破三个不同的设备,外部路由器、主机堡垒、内部路由器。内部路由器可以直接把数据包转发给内网,避免了双宿主主机的必要,然而内部路由器在作为外网访问内网的最后防线时,能支持比双宿主主机的更大数据包吞吐量。由于DMZ是一个区别于内网的另外一个网络,因此,NAT可以直接安装在DMZ上,以避免内网还要重新划分子网或者重新编址。