什么是防火墙
它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
状态防火墙的工作原理
基本运行模式简述
状态检测”机制,是以流量为单位,来对报文进行检测和转发, 即: 对一条流量的第一个报文(首包)进行包过滤规则检查 第一次来的包,并将该条结果作为该条流量的“状态”记录会话表项,建立两个缓存的session(一个去包缓存,一个来包缓存),后续属于同一数据流的数据包缓存匹配表后放行
防火墙如何处理双通道协议
多通道协议是控制进程和传输进程使用的端口不同
缺点:如果用防火墙策略来进行匹配,由于使用的端口不同,所以要使服务器正常进行就会导致防火墙的颗粒度过大,匹配不够精细,可能会使防火墙失效
解决方案:使用ASPF技术可以抓取和分析多通道协议的控制进程的报文,分析出传输进程所使用的详细网络参数,生成server-map表,放出传输进程的报文
传输进程在匹配到server-map表之后生成会话表,后续的传输报文就会匹配会话表
ASPF(Application Specific Packet Filter,针对应用层的包过滤)
也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息
并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文
的应用层携带的地址和端口信息,自动生成相应的Server-map表,
用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。
防火墙如何处理NAT
在路由器上NAT会针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文, 进而生成传输进程返回的nat映射
缺陷:普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如多媒体协议(H.323、SIP等)、FTP、SQLNET等,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。
解决方案:
NAT ALG(Application Level Gateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。
NAT ALG为内部网络和外部网络之间的通信提供了基于应用的访问控制,具有以下优点:
ALG统一对各应用层协议报文进行解析处理,避免其它模块对同一类报文应用层协议的重复解析,可以有效提高报文转发效率。
可支持多种应用层协议:FTP、H.323(包括RAS、H.225、H.245)、SIP、DNS、ILS、MSN/QQ、NBT、RTSP、SQLNET、TFTP等
防火墙处理报文的顺序是目标地址转换→安全策略→源地址转换,所以在NAT环境中,安全策略的源地址应该是源地址转换之前的地址,目标地址应该是目标地址转换之后的地址