网络安全基础篇之<五>

******防火墙的原理与应用

****

****防火墙：防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。

***防火墙：

**堡垒主机 Bastion  Host ，一种配置了安全防护措施的网络计算机，堡垒主机为网络通信提供了一个拥塞点，无堡垒主机网络之间将不能访问。

**双宿主机 Dual-homed Host  ， 有两个网络接口的计算机系统，一个接内部网，一个接外部网。

*防火墙的优点：1.网络安全的屏障(极大的提高内部网络的安全性，通过过滤不安全的服务来降低风险) 2.控制对主机系统的访问。3.监控和审计网络访问。4.防止内部信息外泄(可实现对防火墙内部网络的隔离，限制敏感网络安全问题对全局域网的影响。)5.部署网络地址翻译机制(NAT),可以缓解内部地址空间短缺，隐藏内部网络结构。

*防火墙的缺点：1.不能防范来自内部网络的攻击。2.不能防范感染力病毒的软件和文件的传输。3.不能防范不经由防火墙的攻击。4.不能防范数据驱动式的攻击。5.不能防范利用网络协议的攻击。6.不防范利用服务器系统漏洞进行的攻击。7.不能防范新的网络安全问题。8.防火墙可能限制有用的网络服务。

***----------------------------

个人防火墙的特点

个人防火墙的优点：

①增加了保护级别，不需要额外的硬件资源。

②个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。

③个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，如IP地址之类的信息等。

个人防火墙的缺点：

①个人防火墙对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁。

②个人防火墙在运行时需要占用个人计算机的内存、CPU时间等资源。

③个人防火墙只能对单机提供保护，不能保护网络系统。

防火墙的发展趋势：①优良的性能；②可扩展的结构和功能；③简化的安装与管理；④主动过滤；⑤防病毒与防黑客；⑥发展联动技术。

***---------------------------

***防火墙的策略：

**1.网络服务访问策略：用于定义网络中允许或禁止的服务。

**2.防火墙设计策略：1.未被允许的都是禁止的，安全性好，但用户所使用的服务受到严格的限制。2.一切未被禁止的都是允许的，提供更多的服务，难提供安全可靠的服务。

**3.防火墙安全策略：a.用户帐号b.用户权限从.c.信任关系d.包过滤e.鉴别f.签名g.数据加密h.密钥分配i.审计。

***防火墙的基本结构：1.双重宿主主机体系结构；2.屏蔽主机体系结构；3.屏蔽子网体系结构。4.一个堡垒机和一个非军事区。5.两个堡垒主机和两个非军事区。6.两个堡垒主机和一个非军事区。

***防火墙的主要功能

**无论何种类型的防火墙都应具备五大基本功能：

（1）过滤进、出网络的数据

（2）管理进、出网络的访问行为

（3）封堵某些禁止的业务

（4）记录通过防火墙的信息内容和活动

（5）对网络攻击检测和告警

***防火墙的局限性

**主要体现在以下几个方面

*（1）网络的安全性通常是以网络服务的开放性和灵活性为代价

防火墙通常会使网络系统的部分功能被削弱。

+①由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；

+②由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。

*（2）防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失

+①只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；

+②不能解决来自内部网络的攻击和安全问题；

+③不能防止受病毒感染的文件的传输；

④不能防止策略配置不当或错误配置引起的安全威胁；

⑤不能防止自然或人为的故意破坏；

⑥不能防止本身安全漏洞的威胁。

***防火墙的分类：

**1.包过滤防火墙。放行正常的数据包，截断有危害的数据包。

**2.状态/动态检测防火墙。在包过滤防火墙的基础上跟踪防火墙的网络连接和包，以使用一组附加的标准，确定允许或禁止。

**3.代理防火墙。防火墙在中间起到转接的作用。

**4.个人防火墙。

***数据包过滤技术的工作原理

**包过滤防火墙工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。它的优点是效率比较高，对用户来说是透明的。缺点是对于大多数服务和协议不能提供安全保障，无法有效地区分同一IP地址的不同用户，并且包过滤防火墙难于配置、监控和管理，不能提供足够的日志和报警。

数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表(ACL)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。

数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，这通常安装在路由器上。

数据包过滤防火墙的缺点有两个：

一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；

二是数据包的源地址、目的地址及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

***代理服务技术的工作原理:

**代理服务器（Proxy）技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。

所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。

代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。

代理服务器（Proxy Server）作为内部网络客户端的服务器，拦截住所有请求，也向客户端转发响应。代理客户机（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。

***状态检测技术的工作原理:

**基于状态检测技术的防火墙是由Check Point软件技术有限公司率先提出的，也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测。它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现某个连接的参数有意外变化，则立即将其终止。

**状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。它在协议栈底层截取数据包，然后分析这些数据包的当前状态，并将其与前一时刻相应的状态信息进行对比，从而得到对该数据包的控制信息。

检测引擎支持多种协议和应用程序，并可以方便地实现应用和服务的扩充。当用户访问请求到达网关操作系统前，检测引擎通过状态监视器要收集有关状态信息，结合网络配置和安全规则做出接纳、拒绝、身份认证及报警等处理动作。一旦有某个访问违反了安全规则，该访问就会被拒绝，记录并报告有关状态信息。

***NAT技术的工作原理

**网络地址转换（Network Address Translation，NAT），这是一个Internet工程任务组（Internet Engineering Task Force ,IETF）的标准，允许一个整体机构以一个公用IP地址出现在互联网上，这是一种把内部私有IP地址翻译成合法网络IP地址的技术。

**NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。NAT可以使多台计算机共享互联网连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入互联网中。这时，NAT屏蔽了内部网络，所有内部网络计算机对于公共网络来说是不可见的，而内部网络计算机用户通常不会意识到NAT的存在。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。

***从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙。这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。

*** SMTP 电子邮件 ，Telnet  远程连接， www HTTP ，tftp  透明传输，路由器工作于：网络层