防火墙技术原理分享

防火墙技术原理分享

1. 防火墙技术原理

   • 在不同网络或网络安全域之间的一个组件, 是不同网络之间信息的唯一出入口, 通过监测, 限制, 更改跨越防火墙的数据流, 尽可能的对外部屏蔽内部的信息, 结构和运行状态, 有选择的接收外部访问, 控制对服务器与外部网络的访问, 在被保护网络和外部网络之间搭起一道屏障, 一方发生不可预估的, 潜在的破坏性入侵.

2. 防火墙定义

   • 防火墙：一种高级访问控制设备, 置于不同网络安全域之间, 它通过相关的安全策略来控制进出网络访问行为

3. 防火墙的核心技术

• 包过滤技术

  • 包过滤: 最常用的一种技术, 工作在网络层, 根据数据包头中的IP. 端口, 协议等确定是否通过检查

  • 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

  • 简单包过滤防火墙不检查数据区

  • 简单包过滤防火墙不建立连接状态表

  • 前后报文无关

  • 应用层控制很弱

• 应用网关防火墙

  • 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

  • 不检查ip/TCP报头

  • 不建立连接状态表

  • 网络保护比较弱

• 状态检测防火墙

  • 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

  • 不检查数据区

  • 不建立连接状态

  • 前后报文相关

  • 应用层控制很弱

• 复合型防火墙
  • 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

4. 完全内容检查防火墙原理
   完全内容检测技术防火墙综合状态检测与应用代理技术，并在此基础上进一步基于多层检测架构，把防病毒、内容过滤、应用识别等功能整合到防火墙里，其中还包括IPS功能，多单元融为一体，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路，(因此也被称为“下一代防火墙技术”)。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检测技术防火墙可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细等优点，但由于功能集成度高，对产品硬件的要求比较高。

   • 网络层保护强

   • 应用层保护强

   • 会话保护强

   • 上下文相关

   • 前后报文有联系
     

5. 防火墙体系结构

   • 过滤路由器
   • 多宿主主机
   • 被屏蔽主机
   • 被屏蔽子网

• 过滤路由器
  • 过滤路由器作为外网连接的唯一渠道, 通弄个ACL策略要求所有的报文都必须在此通过检查, 实现报文过滤功能
  • 它的缺点是一旦被攻陷后很难被发现, 而且不能识别不同的用户

• 双宿主主机

  • 双宿主主句优于过滤路由器的地方是: 堡垒主机的系统软件可用于系统日志维护
  • 它的致命弱点: 一旦入者容器堡垒主机, 则无法霸占内部的网络安全

• 被屏蔽主机

  • 通常在路由器上建立ACL过滤规则, 并通过堡垒主机进行数据转发, 来确保内部网络的安全
  • 弱点: 如果攻击者进入屏蔽主机内, 内网中就会受到很大的威胁, 这与双宿主主机受攻击的情形差不多

• . 屏蔽子网

  • 这种结构是在内部网络和外部网络之间一个隔离的子网, 用两台过滤路由器分别于内部网络和外部网络连接, 之间通过堡垒主机进行数据转发
  • 特点: 如果攻击者试图进入内网或者子网, 它必须攻破路由器和双宿主主机, 然后才可以进入子网主机, 整个过程将引起警报机制

6. 防火墙基本功能

   • 控制访问(防火墙是一种高级访问控制设备)
   • 地址转换(都会部署在内网之间, 尤其是互联网出口, 因此会涉及到地址转换问题)
   • 网络环境支持(2层 或 3 层之间的内部连接)
   • 带宽管理功能(如观看视频时, 同时其他人要去炒股…)
   • 入侵检测和攻击防御
   • 用户认证
   • 高可用性

• . 基本访问控制功能

• . 时延

  • 定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔
  • 衡量标准：延时越小，表示防火（比较好的在us微秒级，有的在ms毫秒级）
    

• . 地址转换策略

• . 网络环境支持(固定)

• . 网络环境支持—动态路由

• . 网络环境支持—IP MAC绑定(防止IP滥用现象)

• . 入侵检测和攻击防护— 内置入侵检测

• . 入侵检测和攻击防御— 入侵检测联动

• . 用户认证

• . 高可用性— 上级热备份

• . 高可用性-- 链路备份

• . 防火墙典型应用－接入方式－透明接入

• . 防火墙典型应用－接入方式－路由接入（在同一网段）

• . 防火墙典型应用－接入方式－综合接入

• . 防火墙典型应用（星形结构）

• . 防火墙的典型应用（梯形结构）

• . 防火墙的典型应用三（简单结构）

• . 防火墙性能介绍－防火墙性能的五大指标

• 吞吐量：很重要。该指标直接影响网络的性能，吞吐量
• 时延：很重要。入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔
• 丢包率：在稳态负载下，应由网络设备传输，但由于资源投入而被丢弃的帧的百分比。现在性能发展了，这种情况已经较少了。
• 背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数现在性能发展了，这种情况已经较少了。
• 并发连接数：很重要。并发连接数是指穿越防火墙的主机之间或主机防火墙之间能同时建立的最大连接数
• 每秒新建连接数：很重要。1秒之内能够新建的连接数量，体现了防火墙的反应能力或者说是灵敏度。

• . 吞吐量

• 定义：在不丢包的情况下能够达到的最大速率
• 衡量标准：吞吐量越大，防火墙的性能越高

• . 丢包率

定义：在连续负载。。。

• . 背靠背

• . 并发连接数

终