信息安全学习笔记（一）------防火墙技术

信息安全学习笔记（一）------防火墙技术

$1.定义：

位于可信网络之间与不可信网络之间并对二者进行流动的数据包进行检查的一台，多台计算机或路由器。

$2.防火墙的规则：

防火墙需要对内，外部网络之间的通信数据进行筛选，那么其遵循的安全规则（安全策略）有如下两部分：

1. 匹配条件：逻辑表达式，用于判断通信流量是否合法。
2. 处理方式：接受，拒绝和丢弃。
   即先判断是否符合规则，再决定如何处理。

$3.防火墙的优缺点：

1.优点：

• 可以完成整个网络安全策略的实施。防火墙可以把通信访问限制在可管理的范围内。
• 可以限制对某种特殊对象的访问，如限制某些用户对重要的服务器的访问。
• 审计功能。对网络连接的记录，历史记录，故障记录都有审计功能。
• 可以对有关人员发出警告。
• 使内部网络透明化。

2.缺点：

• 对于授权访问攻击，不经过它的攻击无效。
• 只对配置的规则有效，不能防止没有配置规则的访问。
• 不能防止针对设计有问题的系统的攻击。

$4.防火墙的核心技术：

1. 包过滤技术：防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。可以根据数据包的源地址，目的地址，TCP/UDP源端口号，TCP/UDP目的端口号以及数据包包头的各种标志位等因素。其核心是安全策略的筛选规则设计的。本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的设备可能有两块网卡(NIC)，一块连到内部网络，一块连到公共的Internet。就是作为“通信警察”，指引包和截住那些有危害的包。包过滤防火墙检查每一个传入包，查看包中可用的基本信息（源地址和目的地址、端口号、协议等）。然后，将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。如果允许传入Web连接，而目的端口为80，则包就会被放行。
   采用包过滤技术举例：

   (1)对来自专用网络的包仅允许内部地址的包通过。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击，也可以组织黑客从内部网络发起攻击。
   (2)在公共网络，只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许与Web连接使用相同端口的连接，所以它并不是十分安全。
   (3)丢弃从公共网络传入的包，而这些包都有用户网络内的源地址，从而减少IP欺骗性的攻击。

2. 应用网关技术：接受内，外部网络的通信数据包，并根据自己的安全策略进行过滤，不符合安全的协议信息被拒绝或丢弃。与包过滤防火墙不同，它不使用不同的目标机制来允许不同的种类通信，而是针对每个应用采用不同的处理方式。应用层网关在较高层次上实现了内外网络通信，安全性较包过滤有很大提升，但是牺牲了引用层的透明性。

3. 状态检测技术：既具备包过滤防火墙的速度和灵活，也具备应用网关防火墙的安全。
   当数据包到达防火墙的接口时，防火墙判断数据包是不是属于一个已经存在的链接（通过一张连接表来判断），如果是就对数据包进行特征检测，并判断策略是否允许通过。
   &&状态检测技术与包过滤技术区别：
   1.判断是否建立连接：包过滤：SYN位。这造成了攻击者很容易伪造数据包来欺骗防火墙
   状态检测：连接表。
   2.根据使用协议的不同，状态检测防火墙对不同的数据包检测速度也不同。
   3.状态检测防火墙会对数据包的内容进行检测，而包过滤不会。
   &&优缺点：
   加强了数据包的审查，可以对数据包内容进行检查，减少了伪造数据包通过防火墙的可能。
   技术实现复杂。但大多数主流防火墙的使用状态检测技术。

4. **代理服务器技术：**代理服务器防火墙工作在应用层，它用来提供应用层服务的控制。在内部网络向外部网络申请服务时起到中间转换的作用。
   代理防火墙代替受保护网的主机向外部网络发送服务请求，并将外部服务请求相应的结果返回给主机。
   受保护网内部用户对外部网络访问也要通过代理防火墙。
   这样外网只能看到防火墙，从而隐藏了受保护网的内部地址。不允许外部主机直接访问内部主机；提供多种用户认证方案；可以分析数据包的内部指令；提供详细的审计记录。

$5.防火墙的分类

1. 个人防火墙：直接在用户计算机上运行，使用状态检测技术，保护一台计算机免受攻击。可以将个人防火墙想象成用户计算机建立了一个虚拟网络接口。不再是计算机通过操作系统直接通过网卡进行通信，而是通过操作系统与个人防火墙对话。
2. 分布式防火墙：首先传统的防火墙处于内外网之间，属于边界防火墙，但其对于网络内部的保护是有限的。分布式防火墙可以把防护墙的安全策略延伸到内网的各个主机。
   分布式防火墙主要包含如下部分：
   (1)网络防火墙：用于内外网之间以及内网与子网之间的防护。与传统防火墙相比，网络防火墙增加了一种针对内部网络的安全防护层。
   (2)主机防火墙：用于保护服务器和桌面机，确保网络服务器的安全。这样防火墙不仅作用于内外网之间，而且还可应用于内部网的各子网之间，同一内部子网工作站和服务器之间。
   (3)中心管理：防火墙的管理软件。

$6.防火墙的体系结构

$7.防火墙的功能指标

$总结

新一代的防火墙应该不仅可以较好的保护内部安全，还应该具有优良的整体性能。代理型防火墙虽然能提高安全级别，但是也限制了网络带宽瓶颈。其中NAT功能可以使得内部IP地址不至于暴露于外网，但启用NAT会影响防火墙的系统性能。
不具体实施的防火墙无异于高级安全摆设。优秀的防火墙应便于设置，易于管理。
目前对于病毒，防火墙可以防止入侵,不能杀毒，但许多防火墙具有内置病毒和内容的扫描功能，或者允许集成防病毒功能。
对于黑客，尽管防火墙再防止黑客进入内网发挥了紧积极作用，但TCP/IP的脆弱性使得DoS攻击得以在网络流行。目前这已经成为防火墙的部分功能。

$8.有关防火墙的几点说明和一些边角知识总结：

1. 防火墙通过对数据包的筛选和屏蔽，可以防止非法的访问进入内部或外部的计算机网络。
2. 防火墙通常是运行在一台或多台计算机之上的一组特别的服务软件，用于对网络进行防护和通信控制。
3. 但在多种情况下，防火墙以专门的硬件形式出现，这种硬件也称之为防火墙，它是安装了防火墙软件的网络设备，本质上还是软件。
4. 防火墙的主要功能是保护内部网络的安全，还包括如下的功能：
   &&网络地址转换（ARP）：将内部地址转为全球公网地址。
   &&用户身份认证：对一个特定用户身份进行校验，判断是否合法。
   &&网络监控：对通过防火墙的信息进行监控。