包过滤、状态化、七层防火墙

最新推荐文章于 2022-11-09 14:45:04 发布
最新推荐文章于 2022-11-09 14:45:04 发布
阅读量2k 收藏 10
点赞数 1
分类专栏: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wj2555111/article/details/103611229
版权

包过滤防火墙:又被称为三层防火墙,笼统认为与ACL无异,针对IP包头拆开源IP与目的IP,原端口与目的端口进行匹配。

状态化防火墙:防火墙维护一个状态化记录表(默认只维护tcp/udp),当防火墙收到一个不在状态表中的包时,他会与过滤规则进行比较,不管这个包是syn,ack或者是其他什么包,如果过滤规则允许接受这个会话,那么这个会话就被加入转态连接表中去,后续的包都会与状态化连接表比较,如果会话在状态连接表中,则不再与过滤规则进行比较,状态化表大大减轻了防火墙的匹配规则资源,降低了使用性能。

状态检测机制

状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。

状态检测机制关闭状态下,即使首包没有经过设备,后续宝只要通过设备也可以生成会话表项。

对于TCP报文
开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文以外的其他报文,如果没有对应会话表项(设备没有收到SYN报文或者会话表项已经老化),则予以丢弃,也不会建立会话表项。
关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。
对于UDP报文
由于UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。
对于ICMP报文
开启状态检测机制时,没有对应会话表项的ICMP应答报文将被丢弃。
关闭状态检测机制时,没有对应会话表项的ICMP应答报文将以首包形式处理

 

转载于https://www.freebuf.com/articles/network/255486.html

状态检测"机制,是以流量为单位 来对报文进行检测和转发,即:对一条流量的第一个报文(首包)进行包过滤规则检查,第一次来的包(防火墙可以区分是去的,还是回的),并将判断结果作为该条流量的"状态"记录进会话表项,建立两个缓存的session(一个去包缓存、一个回包缓存),后续属于同一数据流的数据包匹配缓存表后放行

基于状态检测防火墙组成

在基于状态检测的防火墙中,有两张表:规则表 和 状态表(会话表)

 

规则表

规则表表示了防火墙的过滤规则

规则表由 六元组构成

sadaspdpprotocol_typedirection
源地址目的地址源端口目的端口协议类型数据流方向

状态表

状态表表示了数据包连接的属性

状态表由 九元组构成

protocol_typestatesequence_numberTimeoutN
协议类型该次连接的状态TCP包序列号(其他此处为空)该次连接超时值连接以通过数据包个数

前四项与规则表一致,此处省略

protocol_type:分为TCP、UDP、ICMP、其他协议

 

 

TCP数据包的检测流程

TCP是基于连接的协议,通过三次握手确保数据的稳定传输

TCP连接首次建立的过程中

  • 发起连接的SYN报文只通过规则表的检查
  • 其余报文(非SYN数据包)则需要通过状态表的匹配

状态检测接口接收到 TCP 数据包后

1:首先对 TCP 包进行完整性检查
和流量检查: 通过检查来判断数据包长度是否相等物理地址是否正确等等

2:其次判断是否是 SYN 连接

3:若为SYN首包,由于TCP连接通过三次握手建立(SYN->SYN/ACK->ACK),所以在确认SYN为三次握手的首包,并匹配规则表后,会建立一个临时的"连接未完成表"——Pending表Pending表是为还未进行的两次握手(SYN/ACK,ACK)建立的临时表,从而避免了后续的握手包还需要经过规则表匹配,提高效率

相关攻击及防御措施

伪造TCP报文防护

为了防止攻击者伪造TCP报文,攻击者可以伪造成与正常用户一样的6元组,这时需要通过9元组中的参数N对TCP报文的序号(为了保证传输的可靠性,TCP对每一个报文都进行了编号,攻击者无从伪造编号)进行检测

SYN Flood攻击防护

为了防止SYN Flood等DDOS攻击,需要对超时时间进行限制(状态表九元组中Timeout表项),对超时未建立连接的SYN报文即使丢弃

 

WJ.L
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙基础
qq_43710889的博客
03-14 2776
防火墙概述 防火墙特征 逻辑区域过滤器 隐藏内网网络结构 自身安全保障 主动防御攻击 现代的防火墙体系不应该只是-一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“
网络安全复习重点.doc
06-09
防火墙的主要技术有过滤技术、代理服务器技术、应用网关技术、 状态检测过滤技术,现在最常用的是状态检测过滤技术。防火墙的体系结构有双 重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。 14...
下一代防火墙设计方案V2.doc
12-25
惠尔顿下一代防火墙 (NGWF) 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日 目 录 一、方案背景 1 二、网络安全现状 1 三、惠尔顿下一代防火墙(NGWF)介绍及优势 5 四、惠尔顿NGWF功能简介 8 五、部署模式及网络拓扑 10 六、项目报价 11 七、售后服务 12 一、方案背景 无锡某部队响应国家公安部82号令号召,加强部队网络安全建设。针对目前网络存 在的涉密、泄密、木马、病毒等进行预防。 二、网络安全现状 近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系 统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击 方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和 安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混 合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸 如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也 向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发 现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。 需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之 为"零小时"(zero-hour)或"零日"(zero- day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进括深度 检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机 正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正 被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。 传统的防火墙系统 状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安 全隔离设备,用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状 态来工作的。通过检查数据头,状态检测防火墙分析和监视网络层(L3)和协议层( L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。 传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法 括: 利用端口扫描器的探测可以发现防火墙开放的端口。 攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如MSN、QQ等IM(即时通信 )工具均可通过80端口通信,BT、电驴、Skype等P2P软件的通信端口是随机变 的,使得传统防火墙的端口过滤功能对他们无能为力。SoftEther等软件更可以将 所有TCP/IP通讯封装成HTTPS数据发送,使用传统的状态检测防火墙简直防不胜 防。 SoftEther可以很轻易的穿越传统防火墙 PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自 于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从 可信任网络发起攻击应用程序括后门、木马、键盘记录工具等,它们产生非授 权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据进行检查,但不具备检查负载的能力。病毒、蠕 虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据里,并将它们打乱顺序发出时,较新 的深度检测防火墙往往也会被愚弄。 使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被感染 ,并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和 攻击爱莫能助。 图:被通过知名端口(80端口)攻击的网站数 基于主机的防病毒软件 基于主机的防病毒软件是部署得最广泛的安全应用,甚至超过了边界防火墙。基于 主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及,如今已 成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点,括: 需要安装、维护和保持病毒特征库更新,这就导致了大量的维护开销。 很多用户并没有打开防病毒软件的自动更新功能,也没有经常的手动更新他们的病 毒库,这就导致防病毒软件对最新的威胁或攻击无用。 用户有时可能会有意或无意的关闭他们的单机安全应用程序。 最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描,并在它们加载 以前就将它们关闭 – 这就导致即使有了最新的病毒特征码,事实上它们还是不能被检测出来。 企业单纯依靠给予主机的防病毒
网络安全复习重点(1).doc
06-09
11年08级网络安全复习重点(胡道元) 1、风险分析是对需要保护的资产(物理资源、知识资源、时间资源、信誉资源)的 鉴别以及对资产威胁的潜在攻击源的分析。 2、从安全属性的观点可将攻击类型分成阻断攻击、截取攻击、篡改攻击、伪造攻击 4类。从攻击目的和效果将攻击类型分为访问攻击、篡改攻击、拒绝服务攻击、否认 攻击。 3、风险是丢失需要保护的资产的可能性;威胁是可能破坏信息系统环境安全的行动 或事件,威胁含目标、代理、事件3个组成部分。 4、漏洞是攻击的可能的途径。风险是威胁和漏洞的综合结果。 5、识别漏洞应寻找系统和信息的所有入口及分析如何通过这些入口访问系统。 6、信息策略定义一个组织内的敏感信息以及如何保护敏感信息。 7、针对信息安全威胁,用以对抗攻击的基本安全服务有:机密性服务、完整性服务 、可用性服务、可审性服务。 8、身份鉴别的方法有知识因子、拥有因子、生物因子以及它们的组合。 9、开放系统互连安全体系结构(ISO7498- 2)是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类安全服务、 8种特定的安全机制、5种普遍性安全机制。5类安全服务是鉴别、访问控制、数据机 密性、数据完整性及抗否认。8种特定的安全机制是加密、数字签名、访问控制、数 据完整性、鉴别交换、通信业务填充、路由选择控制及公证。5种普遍性安全机制是 可信功能度、安全标记、事件检测、安全审计跟踪及安全恢复。 10、无线网的风险括分组嗅测、SSID信息、假冒、寄生和直接安全漏洞;缓解方法 是SSID打标签、广播SSID、天线放置、MAC过滤、WEP协议以及安全的网络体系结构。 11、传输层的风险在于序列号和端口,拦截可导致破坏分组序列和网络服务以及端口 侦查攻击。 12、可信系统体系结构要素括定义主体和客体的子集、可信计算基、安全边界、基 准监控器和安全内核、安全域、资源隔离和最小特权等。 13、防火墙是建立在内外网络边界上的过滤封锁机制;防火墙的作用是防止不希望的 、未经授权的通信进出被保护的内部网络,通过边界控制强内部网络的安全政策。 防火墙的主要技术有过滤技术、代理服务器技术、应用网关技术、 状态检测过滤技术,现在最常用的是状态检测过滤技术。防火墙的体系结构有双 重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。 14、过滤式的防火墙会检查所有通过的数据头部的信息,并按照管理员所给定的 过滤规则进行过滤状态检测防火墙对每个合法网络连接保存的信息进行检查,括 源地址、目的地址、协议类型、协议相关信息(如TCP/UDP协议的端口、ICMP协议的 ID号)、连接状态(如TCP连接状态)和超时时间等,防火墙把这些信息叫做状态。 15、VPN作为一种综合的网络安全方案,采用了密码技术、身份认证技术、隧道技术 和密钥管理技术4项技术。 16、安全策略用于定义对数据的处理方式,存储在安全策略数据库中;IPSec双方 利用安全联盟中的参数对需要进行IPSec处理的进行IPSec处理,安全联盟存储在安 全联盟数据库中。 17、传输模式和隧道模式的区别在于保护的对象不同,传输模式要保护的内容是IP 的载荷,而隧道模式要保护的是整个IP。 18、对IP进行的IPSec处理有两种:AH和ESP。AH提供无连接的数据完整性、数据来 源验证和抗重放攻击服务;而ESP除了提供AH的这些功能外,还可以提供对数据加 密和数据流量加密。 19、IKE协议由3种协议混合而来:ISAKMP、Oakley和SKEME。ISAKMP协议为IKE提供了 密钥交换和协商的框架;Oakley提供了组的概念;SKEME定义了验证密钥交换的一种 类型。 20、Ipsec中AH的验证范围要比ESP更大,含了源和目的IP地址,AH协议和NAT冲突 。 21、黑客攻击的流程可归纳为踩点、扫描、查点、获取访问权、权限提升、窃取、掩 盖踪迹、创建后门、拒绝服务攻击。黑客所使用的入侵技术主要括协议漏洞渗透、 密码分析还原、应用漏洞分析与渗透、社会工程学、拒绝服务攻击、病毒或后门攻击 。 22、漏洞的来源主要有软件或协议设计时的瑕疵、软件或协议实现中的弱点、软件本 身的瑕疵、系统和网络的错误配置。 23、网络扫描主要分为3个阶段:目标发现、信息攫取、漏洞检测。目标发现阶段的 技术主要有ICMP扫射、广播ICMP、非回显ICMP、TCP扫射、UDP扫射。端口扫描的主要 技术有TCP connect() 扫描、TCP SYN扫描、TCP ACK扫描、TCP FIN扫描、TCP XMAS扫描、TCP空扫描、FTP反弹扫描(FTP Bounce Scan)、UDP扫描。远程操作系统识别的主要方法有系统服务旗标识别、主动协议栈 指纹探测(ICMP响应分析、TCP报
传统防火墙与下一代防火墙区别
热门推荐
Slow_fever_youth的博客
08-20 1万+
路由器与交换机的本质是转发,防火墙的本质是控制和防护。 防火墙的工作原理是通过设置安全策略,来进行安全防护。 定义——防火墙是部署在网络出口处/服务器区(数据中心)/广域网接入,用于防止外界黑客攻击/保护内部网络安全性的安全硬件。 一、传统防火墙:------工作于 应用层以下 传统防火墙的类型 1.过滤过滤防火墙) 工作层次——3/4层(七层模型) 工作原理——手工,类似ACL控制数据,五元组,实现单向访问 优点——①仅处理3/4层,简单快捷。 缺点——①ACL多且复杂,手工配置,不能随需求自动修
Day2 防火墙介绍
SEIKI_的博客
11-09 2059
只能检测单一报文的IP TCP UDP不能在应用层进行分析 导致无法支持多通道协议 只能放行所有端口 存在安全风险。14.报文进行策略匹配时是按照switch语句的思路进行匹配(即只会在第一个匹配的策略时跳出)安全策略是按照一定规则控制设备对流量转发以及对流量进行内容安全一体检测的策略。17.开启状态检测后,如果没有首特征,哪怕报文符合条件也会被丢弃。逐检测 同一个会话的所有报文都必须经过安全检测,效率低下 速度慢。5.区域内流量默认放行,使用指令可拒绝放行。现存的网络地址不需要重新规划。
AF---下一代防火墙
小翟的博客
10-14 4382
一学就会的防火墙
iptables详解
wdt3385的专栏
12-25 4693
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
信息安全学习笔记(一)------防火墙技术
weixin_40999066的博客
03-12 1906
信息安全学习笔记(一)------防火墙技术 $1.定义: 位于可信网络之间与不可信网络之间并对二者进行流动的数据进行检查的一台,多台计算机或路由器。 $2.防火墙的规则: 防火墙需要对内,外部网络之间的通信数据进行筛选,那么其遵循的安全规则(安全策略)有如下两部分: 匹配条件:逻辑表达式,用于判断通信流量是否合法。 处理方式:接受,拒绝和丢弃。 即先判断是否符合规则,再决定如何处理。 $3...
网络7层中的防火墙和防御程序
网络 人生 学习 进步
05-11 2921
  7层是OSI(开放系统互联)模型的应用层。它支持HTTP和SMTP等应用程序和最终用户处理。在这一层实施攻击时一个安全挑战,因为恶意代码能够伪装成合法的客户请求和正常的应用数据。  例如,一个标准的网络防火墙也许只允许在TCP端口80进行HTTP通讯。但是,SQK注入攻击将被当作合法的HTTP通讯允许通过,同时间谍软件能够使用HTTP以外的协议与监听80端口的外部服务器建立一个通讯频道。这
信息安全概论----网络安全1
weixin_43939527的博客
04-30 495
网络安全I 一、网络安全威胁 人为的无意失误 人为的恶意攻击 网络软件系统的漏洞和“后门” 1、对网络本身的威胁 协议的缺陷 网站漏洞 网站被“黑” 缓冲器溢出 “../”问题 应用代码错误 服务器端含(Server-Side-Include):网页调用特定函数,如email 拒接服务 死亡之ping Smurf攻击 SYN洪水攻击 分布式拒绝服务 2、对网络中信息的威胁 ...
华为HCIE-Security培训视频汇总集【共6期90集】.rar
09-15
4_防火墙初始配置 5_安全策略技术-流量处理流程 6_安全策略-来回路径不一致 7_智能策略调优 8_防火墙路由基础_静态路由多出口 9_防火墙路由基础_ospf_bgp 10_防火墙路由基础_智能选路_策略路由_案例分析 11_...
网络安全问答题.doc
06-10
网络层安全风险缓解方法有: 〔1〕采用安全协议 〔2〕网络不兼容能力 〔3〕网络体系结构 〔4〕安全过滤 〔5〕采用防火墙和口过滤. 安全协议的局限性:网络层并不定义安全预防方法,安全由某些专门的网络协议解决.像 ...
对无线网络的看法
WJ.L
11-20 4284
无线信道 无线信道就是常说的通道,它是以无线电波信号作为传输媒体的数据信号传输通道。 一般路由器设置2.4GHz(2.4-2.4835GHz)频段,频段带宽20MHz,分13个信道,一个信道的无线信号会同时干扰与其左边和右边各两个信道,即信道3的信号会影响信道1、2和信道4、5(两个信道间隔5MHz),所以我们在设置无线信道的时候,尽量远离其他无线信号源的两个以上的信道(一个信道同一时间只有一台...
网络协议思维导图总结
WJ.L
07-09 1217
OSPF理论与实验
WJ.L
12-31 875
OSPF类型:hello、BDB、LSU、LSR、LSA。 ospf划分区域(area)的好处:减少LSA泛洪从而减少LSDB负载,可通过ABR进行路由汇总,减少路由条目信息,减少路由器资源。 ospf为了便于管理及维护,将AS划分为多个区域;区域类型有: area 0(骨干区域):有全部as内路由信息和as外路由信息,并且其它区域的路由必须通过区域0转发;一般区域:具备骨干区域的所有特点...
关于ARP寻址
WJ.L
03-02 831
网络无需地址依然可以通信,当数据从PC1的网卡出发之后,并不关心自己去往何方,只会顺着网线的方向向前移动,知道到达下一个设备为止,而网线的作用就是将数据从一端传输到另一端。集线器工作在物理层,会将数据复制成n-1(n为端口数量)广播出去,交换机工作在数据链路层,相对于集线器而言,交换机会记录自身端口及广播域内的ARP地址表项(记录MAC地址),而当一个数据到达网关之后;就需要IP地址起作用...
分析HTTPS的连接过程
WJ.L
01-07 616
一、借用网络上很火的一个图来记录一下https协议的理解 如图所示: 1、客户端向服务端发起请求,连接服务端的443端口 2、服务端证书有个密钥对,自己保存着私钥,公钥可以发给任何人 3、服务端回应请求,发送公钥给客户端 4、客户端收到服务器的公钥之后,会对该公钥进行合法性校验(实则就是对CA证书合法性校验的过程),如果校验通过则,客户端自身生成一个随机值(客户端密钥),这个随机值用...
状态防火墙过滤防火墙有什么区别
最新发布
07-16
状态防火墙过滤防火墙是两种常见的网络安全防护设备,它们有一些区别过滤防火墙是最早期的防火墙形式之一,它基于网络数据的源地址、目标地址、源端口、目标端口和协议等信息进行过滤决策。它根据预先设定的规则集来判断是否允许或拒绝数据通过。过滤防火墙工作在网络层和传输层,能够对单个数据进行检查。 状态防火墙过滤防火墙的进一步发展,它能够跟踪网络连接的状态,并基于连接状态进行更加智能的过滤决策。状态防火墙能够识别并监控网络会话的始末,括TCP连接的建立、终止以及连接状态的维护。它可以根据连接的状态信息来判断数据是否合法,并提供更精细的访问控制。 因此,区别在于状态防火墙能够跟踪和管理网络连接的状态,而过滤防火墙只能对单个数据进行检查。状态防火墙提供了更高级的安全性和灵活性,能够更好地适应复杂的网络环境和应用需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值