防火墙技术

防火墙技术

所处位置：用户内部网络（隔离区–DMZ）和外部公共网络之间的屏障，提供单点防御。

概念：指两个网络之间执行访问控制策略的一个或一组系统。

防火墙对数据流的三种处理方式：

1. 允许数据留通过
2. 拒绝数据量通过--------当被拒绝，会回发一条消息，提示流量已被拒绝
3. 将这些数据流丢弃------------对其不做任何处理

防火墙的发展：

第一代（1985年前后）：包过滤防火墙
第二代（1989-1990年前后）：电路级网关防火墙，无论文，无产品
第三代（20世纪90年代初）：应用级网关防火墙，采用堡垒主机运行代理服务的结构，推出SEAL
第四代（1991年）：状态检测防火墙（基于包过滤的防火墙的研究）
第五代（1998年）：代理类型防火墙（基于自适应代理技术）

防火墙的功能：

1. 集中监视点：对所有流经它的数据进行包过滤和检查，集中管理保障网络安全。

2. 监视网络安全性并产生报警：受到网络攻击时，能及时报告管理员并做出响应，审计记录通过防火墙的重要信息

3. 网络地址转换：内部网络使用私有地址，访问公网时在流量出口做地址转换，缓解IP短缺并屏蔽内网结构信息

4. 审计记录Internet网使用量：提供网络连接的费用情况，查出潜在宽带瓶颈位置，提供部门计费

5. 强化网络安全策略：通过以防火墙为中心的网络安全方案配置，集中配置管理。

防火墙局限性：

1. 对于绕开防火墙的攻击行为，防火墙不能提供保护（拨号连接ISP、局域网内配置调制解调器池等）
2. 对来自网络内部的威胁不能提供保护
3. 对已经受到病毒感染和文件的传输提供保护（局域网内支持各种操作系统和应用，而防火墙较为单一）

防火墙的分类

防火墙软硬件形式分类

1. 软件防火墙
2. 硬件防火墙
3. 芯片级防火墙

防火墙的过滤层次分类:

1. 包过滤防火墙：工作在OSI的网络层和传输层，通过数据报头的源地址、目标地址、端口号、协议类型等标志确定过滤策略。简单、安全、有效的防护手段。
2. 电路级网关防火墙：工作在OSI的会话层，监控内部网络服务器与不受信任的外部主机直接的TCP三次握手信息来决定该会话是否合法
3. 应用层网关防火墙：工作在应用层，可以对每一种应用服务编制专门的代理程序，实现监视和控制功能，比如提供精细的日志和审核、形成安全报告。缺点时工作量大，效率相对较低。

防火墙部署位置分类：

1. 边界防火墙：位于内部网络和外部网路边界，一般为硬件防火墙，吞吐量大，性能好。
2. 个人防火墙：工作在单台主机上，用于个人用户与企业内部主机，通常为软件防火墙
3. 混合式防火墙：由若干软硬件组成，分布于网络边界、主机之间，对内网和外网都能实现过滤；性能好，部署复杂。

防火墙采用技术

1、包过滤技术6

主要对数据报进行过滤，满足条件的通过并转发，不满足的丢弃。

静态包过滤防火墙

工作原理：
根据规则来匹配数据报内容来决定哪些允许通过，哪些包被拒绝；当防火墙拒绝通信时，两种操作，第一是不采取任何措施，第二种是通知通信发送方
优点：
网络性能影响小，处理速度快，容易实现，成本较低，可附加网络地址映射功能。
缺点：
因不能理解应用层协议，造成局限性，安全性较差，不能跟踪连接状态和应用信息，过滤规则较低较复杂的情况下会引起网络性能下降

动态包过滤防火墙

工作原理：
又称状态检测防火墙，它由规则表和连接状态表构成，对于一串数据报，当第一个数据包允许通过时，连接状态表会记录相关信息，后续这条信息的数据报都将直接通过，不用再走规则表；反之，第一个被拒绝后，后续直接丢弃。
优点：
应用数据报跟踪检测技术，解决了某些应用在需要使用动态端口时的隐患；不需要中断参与通信两台主机间的连接，对网速影响小；具有分布式特征，对外网攻击进行检测，对内网的恶意破坏进行防范。
缺点：
对防火墙CPU、内存等硬件资源要求较高，安全性主要依赖于防火墙操作系统的安全性，安全性不如代理防火墙。

2、代理服务技术

在防火墙上运行专门的应用程序，根据安全策略处理用户间的请求，应用于内部网路和外部网络之间，处理之间的通信

应用级网关防火墙

工作原理：
代理防火墙并不是真正意义上的互联网路由器，它是一个运行一个或多个应用层网关（Application-Layer Gateways, ALG）的主机，也叫应用网关防火墙，该主机有多个网络接口，能够在应用层中继两个连接之间的特定类型的流量。它通常不像路由器那样做IP转发，但现如今也出现了结合了各种功能的更复杂的代理防火墙。
优点：
在已知安全模型中安全性高
强大的认证功能
强大的日志功能
规则创建简单
缺点：
灵活性差
配置繁琐
性能低

电路级网关

工作于会话层，在许多方面，电路级网关仅仅是包过滤防护墙的一种扩展，它除了进行基本的包过滤检查之外，还要增加对连接建立过程中的握手信息及序列号合法性的验证。

在打开一条通过防火墙的连接或电路之前，电路级网关要检查和确认TCP及UDP协议会话。因此，电路级网关所检查的数据比静态包过滤防火墙或动态包过滤防火墙所检查的数据更多，安全性也更高。

对数据包的某些特定域进行检查，这些特定域包括：源地址、目的地址、应用或协议、源端口号、目的端口号、握手信息及序列号

优点：
1. 对网络性能有一定影响，比包过滤性能低，但优于应用代理防火墙。
2. 切断了外部网络和防火墙后服务器的直接连接。
3. 安全性高。

缺点：
1. 无法抵御应用层入侵。
2. 对访问规则测试较为困难。

防火墙体系结构

1、双重宿主主机体系结构

主机至少两个网络接口，这种双重宿主主机体系结构禁止往另一个网络发送IP数据报，
外网和双重宿主主机克直接通信，内网双重宿主主机直接通信，但外网和内网不能直接通信，IP通信被阻止。

2、屏蔽主机体系结构

结构形式：与双重宿主主机体系不同，该提供安全保障的主机仅仅与被保护的内部连接网络相连，并使用单独过滤路由器来提供安全保障。
来自外部的所有连接都只能连接到堡垒主机上，无法连接内部主机，因而叫屏蔽内部主机体系结构！

3、屏蔽子网体系结构

继屏蔽主机体系问题，因为一旦堡垒主机被攻破，内网将会完全暴漏进入内部系统
这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。
被屏蔽子网体系结构的防火墙比较复杂
主要自四个部件构成，分别为:
周边网络
外部路由器
内部路由器
堡垒主机
(1)周边网络
用边网络是位于非安全、不可信的外部网络与安全、可信的内部网络之间的一个附加网络。周边网络与外部网络、周边网络与内部网络之间都是通过屏蔽路由器实现逻辑隔离的，因此外部用户必须穿越两道屏蔽路由器才能访问内部网络。
(2)外部路由器
外部路由器的主要作用在于保护周边网络和内部网络，是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则，该规则主要针对外网用户。例如限制外网用户仅能访问周边网络而不能访问内部网络，或者仅能访问内部网络中的部分主机。
(3)内部路由器
内部路由器用于隔离周边网络和内部网络，是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划，对内部用户访问周边网络和外部网络进行限制。例如部分内部网络用户只能访问周边网络而不能访问外部网络等。
(4)堡垒主机
在被屏蔽子网结构中，堡垒主机位于周边网络，可以内外部用户提供www、FTP等服务，接受来自外部网络用户的服务资源访问请求。同时堡垒主机也可以向内部网络用户提供DNS 、电子邮件、www代理、FTP代理等多种服务，提供内部网络用户访问外部资源的接口。
屏蔽子网防火墙能够帮助建立一个非防护区，这种类型防火墙利用堡垒主机夹在两个路由器中间是最安全的防火墙系统。

防火墙选择原则

1.  整体网络的保护者
2. 能弥补其他操作系统的不足

3.提供不同平台的选择

4. 提供完整的售后服务

5.提供完整的安全检查功能

6.  能实现IP转换

7.有双重DNS

非防护区，这种类型防火墙利用堡垒主机夹在两个路由器中间是最安全的防火墙系统。

防火墙选择原则

    1. 整体网络的保护者
 
    2.  能弥补其他操作系统的不足
    
    3.  提供不同平台的选择
    
    4.  提供完整的售后服务
    
    5.  提供完整的安全检查功能
    
    6.  能实现IP转换
    
    7.  有双重DNS
    
    8.  具有查杀功能