1、防火墙的概念
1.1防火墙概述
防火墙是一种装置,它是由软件/硬件设备组合而成,通常处于企业的内部局域网与 Internet 之间,限制 Internet 用户对内部网络的访问以及管理内部用户访问 Internet 的权限。换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是 Internet)之间提供 一个封锁工具。如果没有防火墙,则整个内部网络的安全性完全依赖于每个主机, 因此,所有的主机都必须达到一致的高度安全水平, 这在实际操作时非常困难。 而防火墙被设计为只运行专用的访问控制软件的设备,没有其他的服务,因此也就意味着相对少一些缺陷和安全漏洞,这就使得安全管理变得更为方便,易于控制,也会使内部网络更加安全。 防火墙所遵循的原则是在保证网络畅通的情况下,尽可能保证内部网络的安全。它是种被动的技术,是一种静态安全部件。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
1.2防火墙的原理
1.2.1.包过滤技术
包是网络上信息流动的基本单位, 它由数据负载和协议头两个部分组成。包过滤作为最早、最简单的防火墙技术,正是基于协议头的内容进行过滤的。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素, 或它们的组合来确定是否允许该数据包通过。如果包在这一测试中失败, 将在防火墙处被丢弃。
图 1-1包过滤技术流程
1.2.2.代理服务技术
对数据流进行监控、过滤、记录及报告等都是代理服务的主要功能。用户和代理服务器之间进行连接之后, 向代理发送目的站点信息, 如果请求合法, 代理就会和目的站点建立连接, 之后对这两个连接中转之间的数据进行转发。相当于一个中间商,还可以可以对内部IP地址进行隐藏, 与包过滤路由器相比较而言, 其所实现的安全策略更加严格。
图 1-2代理服务技术流程
1.2.3.状态检测技术
状态检测也被称作动态包过滤, 它以之前的包过滤技术为基础, 并进行了功能方面的拓展。状态检测的安全性能最为优越,具有一个检验模块,可以再不对网络运行造成影响的情况下, 利用对数据进行抽取的方法来监测网络通信, 并对状态信息进行动态保存, 制定安全决策时会参考所保存的状态信息。但其自身也存在一定的不足, 主要是配置复杂程度较高, 并且会对网络速度造成一定的影响。
图 1-3状态检测技术流程
1.3防火墙的四个发展阶段:
一. 第一代防火墙:基于路由器的防火墙
由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
(1)特点
① 利用路由器本身对分组的解析,以访问控制表方式实现对分组的过滤。
② 过滤判决的依据可以是:地址、端口号、IP旗标及其他网络特征。
③ 只有分组过滤功能,且防火墙与路由器是一体的,对安全要求低的网络采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作为防火墙。
(2)不足
① 本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如:在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20端口仍可由外部探寻。
② 分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
③ 攻击者可“假冒”地址,黑客可以在网络上伪造假的路由信息欺骗防火墙。
④ 由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
基于路由器的防火墙只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
二. 第二代防火墙:用户化的防火墙
(1)特征
① 将过滤功能从路由器中独立出来,并加上审计和告警功能。
② 针对用户需求,提供模块化的软件包。
③ 软件可通过网络发送,用户可自己动手构造防火墙。
④ 与第一代防火墙相比,安全性提高而价格降低了。
由于是纯软件产品,第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求。
(2)问题
① 配置和维护过程复杂、费时。
② 对用户的技术要求高。
③ 全软件实现、安全性和处理速度均有局限。
④ 实践表明,使用中出现差错的情况很多。
三. 第三代防火墙:建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛使用的就是这一代产品。
(1)特点
① 是批量上市的专用防火墙产品。
② 包括分组过滤或借用了路由器的分组过滤功能。
③ 装有专用的代理系统,监控所有协议的数据和指令。
④ 保护用户编程空间和用户可配置内核参数的设置。
⑤ 安全性和速度大为提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的。但随着安全需求的变化和使用时间的推延,仍表现出不少问题。
(2)隐患
① 作为基础的操作系统,其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证。
② 大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责。
上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。
四. 第四代防火墙:具有安全操作系统的防火墙
这是目前防火墙产品的主要发展趋势。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性。
(1)特点
① 防火墙厂商具有操作系统的源代码,并可实现安全内核。
② 对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护。
③ 对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁。
④ 在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能。
⑤ 透明性好,易于使用。
硬件防火墙
硬件防火墙,把“软件防火墙”嵌入在硬件中,把“防火墙程序”加入到芯片里面,由硬件执行这些功能,从而减少计算机或服务器的CPU负担。一般的“软件安全厂商”所提供的“硬件防火墙”,就是在“硬件服务器厂商”定制硬件,然后再把“Linux系统”与自己的软件系统结合嵌入。
硬件防火墙,是通过硬件和软件的组合来达到隔离内外部网络的目的;而软件防火墙,是通过纯软件的的方式,实现隔离内外部网络的目的。
软件防火墙
软件防火墙,一般基于某个操作系统平台开发,直接在计算机上进行软件的安装和配置。由于客户之间操作系统的多样性,软件防火墙需要支持多种操作系统,如“Unix、Linux、SCO-Unix、Windows”等。
防火墙的缺点:
1.限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
2.无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网终主机系统的安全性。
3.Internet 防火墙无法防范通过防火墙以外的其他途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP 或PPP 联接进入Internet。
4. 对用户不完全透明,可能带来传输延迟、瓶颈及单点失效
5. Internet 防火墙也不能完全防止传送已感染病毒的软件或文件。
6.防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet 主机上,但一旦执行就开始攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。
7.不能防备新的网络安全问题。防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起作用
4.3心得体会
通过查询资料我们了解到了现在大多数防火墙都定义了安全级别,为了给不同需要的用户不同的安全控制,但是很多用户并不是特别懂这些,为了安全,就盲目的把安全级别调整到“高安全级”,认为安全级别越高越好。其实不是这样。如果你的电脑太安全了,你会发现网络游戏就无法启动了,而且视频程序也就无法访问到网上的视频文件了(这对于ADSL用户是一个极大损失)。那么到底各种安全级别是什么意思呢?
低安全级:计算机将开放所有服务,但禁止互联网上的机器访问文件、打印机共享服务。适用于在局域网中的提供服务的用户。这是自由度最大的安全级别,所以仅限于“网络高手”使用。
中安全级:禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。而且能够保证例如收发邮件和传输文件的一般用户,所以一般这个安全级别是缺省值。
高安全级:系统会屏蔽掉向外部开放的所有端口;禁止访问本机提供所有服务,对常见的木马程序和攻击进行拦截;提供严格控制的网络访问能力;适用于仅仅是上网浏览网页的用户。当然网络游戏你就玩不了了。另外,所有的安全级都会控制应用程序访问网络的权限。
1516
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
