在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分。这篇博客主要介绍防火墙安全算法的原理与基本配置以及远程管理防火墙的几种方式
硬件与软件防火墙
1.软件防火墙
软件防火墙单独使用软件系统来完成防火墙功能,将软件部署到系统主机上,其安全性较硬件防火墙差,同时占用系统资源,在一定程度上影响系统性能。其一般用于单机系统或个人计算机,极少用于计算机网络,如瑞星、天网、360等。
2.硬件防火墙
硬件防火墙比软件防火墙更有优势,原因有一下两个方面
* 硬件防火墙功能强大,且明确是为抵御威胁而设计的
* 硬件防火墙比软件防火墙漏洞少
Cisco硬件防火墙技术应用于以下三个领域
* PIX 500系列安全设备
* ASA 5500系列自适应安全设备
* Catalyst 6500系列交换机和Cisco 7600系列路由器的防火墙服务模块
ASA安全设备
Cisco ASA 5500系列自适应安全设备是最新的Cisco防火墙技术产品,它提供了整合防火墙、***保护系统、高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的×××服务。
目前,Cisco ASA 5500系列有六种型号,下表所示:型号价格并发连接数网络吞吐量描述
ASA 55052600~1570025000150MB适用于小型企业
ASA 551012000~94200130000300MB适用于中型企业
ASA 552028000~84000280000450MB适用于中型企业
ASA 554068000~70000400000650MB适用于中型企业
ASA 555080000~850006500001200MB适用于大型企业及电信运营商
ASA 5580200000~5300001000000~20000005000MB~10000MB适用于大型企业及电信运营商
ASA的安全算法
ASA首先是一个状态化防火墙,状态化防火墙维护一个关于用户信息的连接表,称为Conn表,表中关键信息如下:
* 源IP地址
* 目的IP地址
* IP协议
* IP协议信息
默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的。
状态化防火墙进行状态化处理的过程如图所示:
(1)PC发起一个HTTP请求给Web服务器
(2)HTTP请求到达防火墙,防火墙将连接信息添加到Conn表
(3)防火墙将HTTP请求转发给Web服务器
流量返回时,状态化防火墙处理的过程如下:
(4)Web服务器响应HTTP请求,返回相应的数据流量
(5)防火墙拦截该流量,检查其连接信息
* 如果在Conn表中查找到匹配的连接信息,则流量被允许
* 如果在Conn表中查不到匹配的连接信息,则流量被丢弃
安全算法的原理
ASA使用安全算法执行一下三项基本操作
* 访问控制列表:基于特定的网络,主机和服务(TCP/UDP端口号)控制网络访问。
* 连接表:维护每个连接的状态信息。安全算法使用此信息在已建立的连接中有效转发流量
* 检测引擎:执行状态检测和应用层检测。检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准。
数据报文穿越ASA的过程如下图所示:
(1)一个新来的TCP SYN报文到达ASA,试图建立一个新的连接。
(2)ASA检查访问列表,确定是否允许连接。