防火墙 Firewalls 概述
防火墙可以做什么:
- 预防拒绝服务攻击
- 预防非法修改/访问内部数据
- 只允许对内部网络的授权访问
下面介绍三种不同类型的防火墙:
无状态分组过滤器 stateless packet filters
路由器逐个分组过滤,决策转发或者丢弃分组,依据为:源IP地址、目的IP地址,TCP/UDP源、目的端口号,ICMP报文类型,TCP SYN和ACK标志位等。
过滤规则格式: 协议类型= ,源IP地址= ,源端口号= ,目的IP地址= ,目的端口号= ;操作。 两种过滤规则集设置方法: 1)黑名单—是列出所有禁止传输的IP分组类型,没有明确禁止的IP分组类型都是允许传输的。 2)白名单—是列出所有允许传输的IP分组类型,没有明确允许的IP分组类型都是禁止传播的。
常见实现方式是通过路由器的ACL(访问控制列表)实现。
有状态分组过滤器 stateful packet filters
有状态分组过滤器能够跟踪通过它们的分组的各种信息,这些信息包括:
-
源/目的TCP和UDP端口号
-
TCP序列号
-
TCP标记
-
基于RFCed TCP状态机的TCP会话状态
-
基于计时器的UDP流量
应用网关 application gateways
应用网关可设在应用层或传输层。设在应用层的叫应用层网关,也称代理服务器。设在传输层的叫传输层网关。在应用层上进行协议转换。
在服务器和客户端设置应用网关,那么对于客户端,这个应用网关就是服务器;那么对于服务器,这个应用网关就是客户端。
例一
一个主机执行的是ISO电子邮件标准,另一个主机执行的是Internet 电子邮件标准,如果这两个主机需要交换电子邮件,那么必须经过一个电子邮件网关进行协议转换,这个电子邮件网关是一个应用网关。
例二
在和 Novell NetWare 网络交互操作的上下文中,网关在 Windows 网络中使用的服务器信息块 (SMB) 协议以及 NetWare 网络使用的 NetWare 核心协议 (NCP) 之间起着桥梁的作用。NCP是工作在OSI第七层的协议,用以控制客户站和服务器间的交互作用,主要完成不同方式下文件的打开、关闭、读取功能。