防火墙相关知识整理

防火墙相关知识整理

前言

防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。包含如下几种核心技术：

包过滤技术

工作在 网络层。通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

应用代理技术

应用代理防火墙工作在OSI的第七层，它通过检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。

应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

状态检测技术

是传统包过滤功能扩展而来。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。

完全内容检测技术

完全内容检测技术防火墙综合状态检测与应用代理技术，并在此基础上进一步基于多层检测架构，把防病毒、内容过滤、应用识别等功能整合到防火墙里，其中还包括IPS功能，多单元融为一体，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路，(因此也被称为“下一代防火墙技术”)。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检测技术防火墙可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细等优点，但由于功能集成度高，对产品硬件的要求比较高。

IDS

IDS是英文"Intrusion Detection Systems"的缩写，中文意思是"入侵检测系统"。
把防火墙比作大楼的大门门锁，那么IDS类似大楼的监控系统。
在本质上，入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。

IDS作用

监控、分析用户及系统活动。对系统构造和弱点的审计。识别反映已知进攻的活动模式并报警。异常行为模式的统计分析。评估重要系统和数据文件的完整性。对操作系统的审计追踪管理，并识别用户违反安全策略的行为。

IDS提到的IDS入侵检测系统大多是被动防御，而不是主动的，在攻击实际发生之前，它们往往无法预先发出警报。而IPS入侵防御系统，则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后发出警报。

IPS

IPS是英文"Intrusion Prevention Systems"的缩写，中文意思是"入侵防御系统"，IPS实现实时检查和阻止入侵。
监控、分析用户及系统活动。对系统构造和弱点的审计。识别反映已知进攻的活动模式并报警。异常行为模式的统计分析。评估重要系统和数据文件的完整性。对操作系统的审计追踪管理，并识别用户违反安全策略的行为。

IPS作用

IPS是对防病毒软件和防火墙的补充，能有效阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。
IPS拥有众多过滤器，能够防止各种攻击。当新的攻击手段被发现后，IPS就会创建一个新的过滤器。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。