网络安全:包过滤防火墙和代理防火墙(应用网关防火墙)

最新推荐文章于 2024-01-31 15:21:28 发布
最新推荐文章于 2024-01-31 15:21:28 发布
阅读量3.3w 收藏 116
点赞数 17
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azsx02/article/details/68951720
版权

一. 背景

      如今计算机安全最严重的威胁之一就是恶意用户或软件通过网络对计算机系统的入侵或攻击,加密技术并不能阻止植入了 “特洛伊木马” 的计算机系统通过网络向攻击者泄露秘密信息,因此需要部署防火墙来保护个人或者企业的网络安全。

用户入侵包括:利用系统漏洞进行未授权登录,或者授权用户获得更高级别的权限等。

软件入侵的方式包括:(1)网络传播病毒、蠕虫和特洛伊木马。

                                         (2)阻止合法用户正常使用服务的拒绝服务攻击(DoS)



二. 防火墙

      最为常用的两种防火墙是代理防火墙(proxy firewall ) 和包过滤防火墙(packet-filter)。它们的主要区别是所操作的协议栈的层次,以及由此决定的IP地址和端口号的使用是不同的。简单来说,包过滤防火墙是一个互联网路由器,能够丢弃符合或者不符合特定条件的数据包。而代理防火墙是一个多宿主的服务器主机,它是TCP和UDP传输关联的终点,通常不会再IP协议层中路由IP数据报。

1.包过滤防火墙

(1)包过滤防火墙的结构

      下图是一个典型的包过滤防火墙,IGSA是全功能安全网关,DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和Mail服务器等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。

     

防火墙作IP路由器位于一个内网和Inernet之间,只允许特定的流量通过。一种常见的配置是允许所有内网到外网的流量通过,但相反的方向只允许小部分的流量。当使用一个DMZ时,只允许从Internet访问其中的某些特定服务。

(2)包过滤防火墙的过滤规则

      包过滤防火墙是一种特殊编程的路由器,能够过滤(丢弃)网络流量。它们一般都可以配置为丢弃或转发数据包头中符合或者不符合标准的数据包,这些标准称为过滤器。

简单的过滤器包括网络层或传输层报头中各个部分的范围比较。最流行的过滤器包括IP地址或者选项、ICMP报文的类型,以及根据数据包中端口号确定的各种UDP或TCP服务。网络管理员回安装过滤器或者访问控制列表(Access Control List,ACL),配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。


      包过滤防火墙既可以是无状态的,即独立处理每一个分组。也可以是有状态的,即要跟踪每个连接或会话的通信状态。

无状态的包过滤防火墙:最简单的包过滤防火墙都是无状态的,它单独处理每一个数据报。

有状态的包过滤防火墙:能够通过关联已经或者即将到达的数据包来推断流或者数据报的信息,即那些属于同一个传输关联的数据包或构成同一个IP数据报的IP分片。IP分片使得防火墙的工作变得更加复杂,无状态的包过滤防火墙极易被其混淆。

2.代理防火墙

(1)代理防火墙的原理

     代理防火墙并不是真正意义上的互联网路由器,它是一个运行一个或多个应用层网关(Application-Layer Gateways, ALG)的主机,也叫应用网关防火墙,该主机有多个网络接口,能够在应用层中继两个连接之间的特定类型的流量。它通常不像路由器那样做IP转发,但现如今也出现了结合了各种功能的更复杂的代理防火墙。

      所以进出网络的应用程序报文都必须通过应用网关。当某应用客户进程向服务器发送一份请求报文时,先发送给应用网关,应用网关在应用层打开该报文,查看该请求是否合法(可根据应用层用户标识ID或其他应用层信息来确定)。如果请求合法,应用网关以客户进程的身份将请求报文转发给原始服务器。如果不合法,报文则被丢弃。例如,一个邮件网关在检查每一个邮件时,根据邮件地址,或邮件的其他首部,甚至是报文的内容(如,有没有“核弹头”,“导弹”等敏感词)来确定该邮件能否通过防火墙。

      虽然这种类型的防火墙是很安全的,但它是以脆性和缺乏灵活性为代价的,因为这种类型的防火墙必须为每个传输层服务设置一个代理,任何要使用新服务必须安装一个相应的代理,并通过该代理来操作发起连接。每个应用都需要一个不同的应用网关(可以运行在同一台主机上)。其次,在应用层转发和处理报文,处理负担比较重。另外,对应用程序不透明,需要在应用程序客户端配置应用网关地址。

(2)两种常见的代理防火墙

      第一种是HTTP代理防火墙,也称为Web代理,只能用于HTTP和HTTPS协议(Web),这些代理对于内网用户来说就像是Web服务器,对于被访问的外部网站来说就像是Web客户端。这种代理往往提供Web缓存功能。这些缓存保存网页的副本,以便以后访问可以直接从缓存中获取,而不再访问原始的服务器,从而减少网页的延迟。一些Web代理也经常被用来当做过滤器,能够基于“黑名单”来阻止用户访问某些网站。

      第二种是基于SOCKS协议的防火墙,目前socks有两个版本:第4版为代理传输提供了基本的支持,第5版增加了强大的认证,UDP传输和IPv6寻址。为使用SOCKS代理,应用程序开发时必须添加SOCKS代理支持功能,同时配置应用程序能够获知代理的位置和版本。一旦配置完成,客户端使用SOCKS协议请求代理进行网络连接,也可以选择性的进行DNS查找。

      QQ登录的SOCKS代理:




huhu8812
关注
  • 17
    点赞
  • 116
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全---NS-CH12-防火墙.pptx
06-09
网络安全 CH12—防火墙 1 网络安全---NS-CH12-防火墙全文共70页,当前为第1页。 2 目录(CONTENTS) 防火墙的基本原理 001 防火墙技术 010 防火墙的配置方案 011 WAF 100 网络安全---NS-CH12-防火墙全文共70页,当前为第2页。 防火墙(firewall)是位于两个(或多个)网络间实施网间访问控制的组件的集合 满足以下条件: 内网和外网的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身对渗透(penetration)是免疫的 例如,在企业网络与Internet之间加一道防护 3 防火墙的基本原理 网络安全---NS-CH12-防火墙全文共70页,当前为第3页。 防火墙通常是单独的计算机、路由器或专有硬件设备,充当访问网络的唯一入口点 只有来自授权主机的连接请求才会被处理,其他连接请求被丢弃 主要用于保护内部网络免受外部不安全网络的侵害 防火墙也可用于Intranet各部门网络之间(内部防火墙) 财务部与教务部之间 4 防火墙的基本原理 网络安全---NS-CH12-防火墙全文共70页,当前为第4页。 Internet 1. 企业内部网 2. 部门子网 3. 分公司网络 5 防火墙示意图 网络安全---NS-CH12-防火墙全文共70页,当前为第5页。 防火墙实现数据流控制通过预先设定安全规则来实现 安全规则由匹配条件和处理方式两部分组成: 如果满足某种条件,将执行某种动作 规则根据组织的访问控制策略来制订 大多数防火墙规则中的处理方式括: Accept:允许数据或信息通过 Reject:拒绝数据或信息通过,并且通知信息源该信息被禁止 Drop:直接将数据或信息丢弃,不通知信息源 6 防火墙的基本原理 网络安全---NS-CH12-防火墙全文共70页,当前为第6页。 防火墙常采用以下两种基本策略之一: "默认允许"原则:没有明确禁止的都是允许的 主要由Reject或Drop规则组成 信息逐条与规则匹配,一旦匹配就会被防火墙丢弃或禁止,如果不能与任何规则匹配,则通过防火墙 "默认拒绝"原则:没有明确允许的都是禁止的 主要由Accept规则构成 信息逐条与规则匹配,只要与其中一条匹配,则允许通过;如果不能与任何规则匹配则信息不能通过防火墙 7 防火墙的基本策略 网络安全---NS-CH12-防火墙全文共70页,当前为第7页。 按照使用对象可分为: 个人防火墙:一般以软件服务的形式实现,为个人计算机提供简单的防火墙功能。可能会随操作系统附带,价格较低 企业防火墙:隔离本地网络与外界网络的一道防御系统。可以使企业内部网与Internet或与其他外部网络互相隔离、限制网络互访来保护内部网络。实现形式:软件、硬件 8 防火墙的分类 网络安全---NS-CH12-防火墙全文共70页,当前为第8页。 从技术上,防火墙可以分为: 过滤防火墙(Packet Filtering) 静态过滤防火墙 动态过滤防火墙(状态检测防火墙) 代理技术 应用代理应用网关代理服务器) 电路级网关 混和型防火墙 9 防火墙的分类 网络安全---NS-CH12-防火墙全文共70页,当前为第9页。 过滤防火墙:工作在网络层和传输层。设定访问控制列表ACL(Access Control List),检查所有通过的数据,并按照给定的规则进行访问控制和过滤 如果防火墙设定某一IP地址的站点为不宜访问,那么来自这个地址的所有信息都会被防火墙屏蔽掉 可在路由器中实现:许多路由器产品都可以实现过滤功能,如Cisco、华为、H3C、DEC、IBM、锐捷等路由器产品 10 过滤防火墙 华为 AR3200-S商业旗舰级系列企业路由器 网络安全---NS-CH12-防火墙全文共70页,当前为第10页。 过滤防火墙的操作方式: 对过滤装置的端口设置过滤规则 数据到达过滤端口时,对数据头部进行分析。大多数过滤装置只检查IP、TCP/UDP头部字段 过滤规则按一定的顺序存储。当到达时,按过滤规则的存储顺序对进行检查 如果一条规则禁止接收,则不允许该数据通过 如果一条规则允许接收,则允许该数据通过 如果一个数据不满足任何规则,则该被阻塞或允许通过,(由防火墙默认规则决定) Remark:规则顺序非常重要——否则有可能将本要拒绝的数据通过 11 过滤防火墙 网络安全---NS-CH12-防火墙全文共70页,当前为第11页。 过滤技术的发展: 第一代:静态过滤防火墙 只在OSI模型的网络层工作,能够准许或阻止IP地址和端口等 一个纯静态过滤防火墙根据如下信息过滤: 源IP地址、目标IP地址 源端口、目标端口 类型:ICMP/EGP/TCP/UDP TC
过滤防火墙代理应用防火墙
weixin_34245169的博客
09-21 428
2019独角兽企业重金招聘Python工程师标准>>> ...
企业防火墙,路由器,防病毒 应用网关
01-13
企业级防火墙 路由器 应用网关 防病毒为一体的软件。全球著名的趋势科技推出的一款企业安全网关
Linux防火墙和透明代理服务器在校园网的应用.pdf
09-06
Linux防火墙和透明代理服务器在校园网的应用.pdf
信息安全试题答案(题库)完整版
11-04
信息安全试题答案(题库)
【吃透网络安全】2023软考网络管理员考点网络安全(五)过滤等多种防火墙详解
赏樱看雪撸代码
06-24 1554
什么是过滤防火墙应用网关防火墙、状态监测防火墙过滤防火墙的概念及定义,过滤防火墙应用网关防火墙的优缺点,软考网络管理员常考知识点,软考网络管理员网络安全,网络管理员考点汇总
网络安全技术第七章——防火墙技术概述及应用过滤防火墙代理防火墙、状态检测防火墙、分布式防火墙
ZSWAries的博客
06-01 1万+
防火墙技术概述及应用 1.防火墙的概念 在计算机概念中,所谓防火墙就是指设置在不同网络之间(例如可信赖的企业内部局域网和不可信赖的公共网络)或者是不同网络安全域之间的一系列部件的组合。通过监测、限制、更改进入不同网络或不同安全域的数据流,以尽可能地对外部屏蔽网络内的信息结构和运行状况,防止发生不可预测的潜在的入侵,实现网络的安全保护。 防火墙其实是实现网络和信息安全最基础的设施。 2.高效可靠的防火墙应具备的基本特性 防火墙是不同网络之间,或网络的不同安全域之间的唯一出入口,从里到外和从外到里的所有信息都
网络安全】大学信息安全技术 期末考试复习题
m0_61869253的博客
06-08 2406
区域建成后,右键单击区域名称,在如图2-4所示的下拉菜单中点击“新建主机”,在图2-5中为www.test.com建立正向搜索区域记录,名称栏应填入 (2) ,IP地址栏应填入 (3)。RSA便于确认安全性,它使用一对公开密钥和私有密钥,它的保密性取决于大素数的运算难度,与Hash报文摘要结合使用,实现对报文的完整性确认,以及防拒认,适合于对小数据量报文的加密。常见的踩点方法括:在域名及其注册机构的查询,公司性质的了解,对主页进行分析,邮件地址的搜集和目标IP地址范围查询。
防火墙详解(发展史、概念、应用过滤技术、状态监测过滤技术)
m0_64771829的博客
01-31 981
不是的,ACL这种技术最大的弊端就是它都是双向访问的,如果我允许你访问为,那么我也能访问你,如果我拒绝你访问我,那么我也不能访问你,这就是ACL,没办法做到单通。另外防火墙使用local区域,标识防火墙本身;的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的。
网络安全基础》——习题集
热门推荐
tomyyyyy
01-02 2万+
#《网络安全基础》——习题集 一、 选择题: 1、TCP/IP 体系结构中的TCP 和IP 所提供的服务分别为() A.链路层服务和网络层服务 B.网络层服务和传输层服务 C.传输层服务和应用层服务 D.传输层服务和网络层服务 2、下列哪个攻击不在网络层() A.IP 欺诈 B. Teardrop C. Smurf D. SQL 注入 3、ARP 协议是将 __ 地址转换成 __的协议 ...
过滤主机防火墙技术的研究
11-04
求,对过滤防火墙这一传统的防火墙体系结构进行了分析与改 进,提出一种充分利用现有技术与实验条件的过滤防火墙系统 的设计方案,即在保留传统网络边界防火墙的同时,设计一种驻 留在内部网络终端的主机防火墙...
操作系统安全:防火墙概述.pptx
06-02
它是针对数据过滤应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨跃防火墙的网络通信链路分为两段。当代理服务器接收到用户对某个站点的访问请求后就会检查请求是否符合控制规则。 防火墙工作原理 ...
网络安全实验---Windows防火墙应用.docx
06-09
实验目的和要求 网络安全实验---Windows防火墙应用全文共9页,当前为第1页。 网络安全实验---Windows防火墙应用全文共9页,当前为第1页。 了解防火墙的含义与作用 学习防火墙的基本配置方法 实验内容和原理 一....
防火墙网络安全(1).pptx
06-10
防火墙网络安全 主要内容: 防火墙概念 防火墙功能 防火墙分类 防火墙设计 防火墙产品介绍 §1.1 防火墙概念 网络防火墙是指隔离在内网与外网之间的一道防御系统,防火墙可以监控进出网络的通信信息,仅让安全、...
机器学习介绍及在金融领域的应用.zip
05-05
机器学习
麦肯锡-xx股份组织结构设计方案gl.ppt
05-05
麦肯锡-xx股份组织结构设计方案gl.ppt
目前机器人基于ChatGPT进行开发 使用机器人可以让你轻松进行对话, 后续机器人的更新升级一个命令即可搞定
05-05
目前机器人基于ChatGPT进行开发 使用机器人可以让你轻松进行对话, 后续机器人的更新升级一个命令即可搞定, 无需再上服务器进行升级机器人.zip
基于matlab实现的Hilbert-Huang Transform的完整源码EEMD.rar
最新发布
05-05
基于matlab实现的Hilbert-Huang Transform的完整源码EEMD.rar
应用网关过滤防火墙有什么区别
04-27
应用网关过滤防火墙都是网络安全设备,但它们在功能和实现上有所区别应用网关是一种网络安全设备,它可以检测和过滤网络流量中的特定应用程序和协议。应用网关可以控制网络流量,限制特定应用程序的访问,还可以根据安全策略对网络流量进行审计和报告。 而过滤防火墙是一种基于网络层的防火墙,它根据网络流量的源地址、目的地址、端口号等信息来过滤网络流量。它可以限制网络流量的方向和类型,但不能检测和过滤特定的应用程序和协议。 因此,应用网关过滤防火墙更为灵活和精确,但也需要更高的计算资源和更复杂的配置。而过滤防火墙则更为简单和易于管理,但其安全性和灵活性相对较低。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值