前言
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙(FireWall)成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和telnet ip 端口号Internet间设立FireWall软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的和WWW服务器向外部提供
信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器
目录
一.防火墙的基础知识 3
二.防火墙的功能 4
三.防火墙的分类 4
四. 防火墙技术 5
五.防火墙实现技术原理 6
1.包过滤防火墙的原理 6
2.代理防火墙 8
一.防火墙的基础知识
防火墙英文名为“FireWall”,这一词来源于汽部件,原为汽车引擎与乘客座位之间的挡板,防止汽车因引擎失火而殃及乘客,引入计算机领域后顾名思义,防火墙是一种重要的网络防护设备。随着计算机的快速发展开放的Internet带来了各种各样的威胁,因此,企业必须加筑安全的屏障,把威胁拒之门外,对内网加以隔离,保护内网。然而,随着计算机技术的发展对于内网保护可谓是形形,最长用的就是防火墙。
从专业的角度讲,防火墙是设置在可信任的企业内网和不可信任的公共网或网络安全领域之间的一系列部件的组合,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。防火墙是目前网络安全领域认可度最高、应用最为广泛的网络安全技术。
防火墙技术的发展大致分为四个阶段,如图1-1所示。
包过滤 代理 状态检测 复合型防火墙
1980年 1983 1991 1994 1998 2000年
图 1-1 防火墙技术发展阶段
二.防火墙的功能
在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。典型的防火墙具有的特征如下。
● 内部和外部网络之间的所有数据流必须经过防火墙
● 只有复合安全策略的数据流才能通过防火墙
● 防火墙自身具有非常强的抗攻击能力
● 针对用户指定各种访问控制
● 对网络存取和访问进行监控审计
● 支持的身份认证
三.防火墙的分类
目前市场的防火墙产品多种多样,划分的标准很多,从不同的角度分类如下。
● 按性能分类:百兆级防火墙和千兆级防火墙。
● 按形式分类:软件防火墙和硬件防火墙
● 按保护对象分类:单机防火墙和网络防火墙。
● 按体系结构分类:双宿主机、被屏蔽主机、被屏蔽子网体系结构。
● 按技术分类:包过滤防火墙、应用代理型防火墙、状态检测防火墙和复合型防火墙。
● 按CPU架构分类:通用CPU、NP、ASIC架构的防火墙
四. 防火墙技术
先进的防火墙产品将网关与安全系统合二为一,具有以下技术与功能。
双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。
透明的访问方式
以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制,一种用于代理从内部网络到外部网络的连接,另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
多级的过滤技术
为保证系统的安全性和防护水平,新一代防火墙采用了三级过滤措施,并辅以鉴别手段。
双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。
透明的访问方式
以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制,一种用于代理从内部网络到外部网络的连接,另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
多级的过滤技术
为保证系统的安全性和防护水平,新一代防火墙采用了三级过滤措施,并辅以鉴别手段。
在 分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
网络地址转换技术(NAT)
新一代防火墙利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己定制的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
同时使用NAT的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性。 NAT的另一个显而易见的用途是解决IP地址匮乏问题。
Internet网关技术
由于是直接串连在网络之中,新一代防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、 Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用"改变根系统调用(chroot)"作物理上的隔离。
在域名服务方面,新一代防火墙采用两种独立的域名服务器,一种是内部DNS服务器,主
网络地址转换技术(NAT)
新一代防火墙利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己定制的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
同时使用NAT的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性。 NAT的另一个显而易见的用途是解决IP地址匮乏问题。
Internet网关技术
由于是直接串连在网络之中,新一代防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、 Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用"改变根系统调用(chroot)"作物理上的隔离。
在域名服务方面,新一代防火墙采用两种独立的域名服务器,一种是内部DNS服务器,主
要处理内部网络的DNS信息,另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部份DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部份目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行,在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境,Ident服务器对用户连接的识别作专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
安全服务器网络(SSN)
为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。这就是安全服务器网络(SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。
SSN的方法提供的安全性要比传统的"隔离区(DMZ)"方法好得多,因为SSN与外部网之
在匿名FTP方面,服务器只提供对有限的受保护的部份目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行,在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境,Ident服务器对用户连接的识别作专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
安全服务器网络(SSN)
为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。这就是安全服务器网络(SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。
SSN的方法提供的安全性要比传统的"隔离区(DMZ)"方法好得多,因为SSN与外部网之
间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
用户鉴别与加密
为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。
用户定制服务
为满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP,出站UDP、FTP、SMTP等类,如果某一用户需要建立一个数据库的代理,便可利用这些支持,方便设置。
审计和告警
新一代防火墙产品的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告
用户鉴别与加密
为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。
用户定制服务
为满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP,出站UDP、FTP、SMTP等类,如果某一用户需要建立一个数据库的代理,便可利用这些支持,方便设置。
审计和告警
新一代防火墙产品的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告
警功能会守住每 一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。 此外新一代防火墙还在网络诊断,数据备份与保全等方面具有较为完善的特。
五.防火墙实现技术原理
1.包过滤防火墙的原理
包过滤防火墙工作在网络层,其工作原理如图1-2所示。在网络层实现数据转发,包过滤模块一般检查网络层、传输层内容,包括以下几项。
源、目的IP地址。
源、目的的端口号。
协议类型。
TCP数据报的标志位。
只检查报头
图1-2 包过滤防火墙的工作原理
通过检查模块,防火墙拦截和检查所有进展和出站的数据,工作流程图如图1-3所示。
它允许或拒绝所接收的每个数据包。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端F地址、内装协议(ICP、UDP、ICMP或IPTunnel)、TCP/UDP目标端口、ICMP消息类型等。如果包的出入接口相匹配,并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。但是,即使是包的出入接口相匹配,但是规则拒绝该数据包,那么该数据包就会被丢弃。如果出入接口不设有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。
包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的TCP/UDP端口号上。例如,Telnet服务器在TCP的23号端口上监听远地连接,而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接,路由器只需简单地丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部
包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的TCP/UDP端口号上。例如,Telnet服务器在TCP的23号端口上监听远地连接,而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接,路由器只需简单地丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部
的数台机器上,路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。
否
是 是
是
是
允许
拒绝
图1-3 包过滤防火墙的工作流图
2.代理防火墙
第一代:代理防火墙
代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
所谓代理服务器,是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时,它们将核实客户请求,并经过特定的安全化的Proxy应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。
代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样,如果你先将这份声明交给你的律师,然后律师就会审查你的声明,确认没有什么负面的影响后才由他交给那个陌生人。在此期间,陌生人对你的存在一无所知,如果要对你进行侵犯,他面对的将是你的律师,而你的律师当然比你更加清楚该如何对付这种人。
代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样,如果你先将这份声明交给你的律师,然后律师就会审查你的声明,确认没有什么负面的影响后才由他交给那个陌生人。在此期间,陌生人对你的存在一无所知,如果要对你进行侵犯,他面对的将是你的律师,而你的律师当然比你更加清楚该如何对付这种人。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论