[网络安全六]防火墙技术基础
2007-05-13 22:18
741 查看
1. 防火墙概念
定义:防火墙(Firewall)是一种用来加强网络之间访问控制的特殊网络互连设备,是一种非常有效的网络安全模型。
核心思想:在不安全的网际网环境中构造一个相对安全的子网环境。
目的:都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道,以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。
2. 防火墙的功能
(1)网络安全的屏障;(2)过滤不安全的服务(两层含义):内部提供的不安全服务和内部访问外部的不安全服务。
(3)阻断特定的网络攻击;(联动技术的产生)--例如和入侵检测技术联动
(4)部署NAT(网络地址转换)机制;
(5)提供了监视局域网安全和预警的方便端点。提供包括安全和统计数据在内的审计数据,好的防火墙还能灵活设置各种报警方式。
3. 防火墙的分类(个人防火墙、软件防火墙、一般硬件防火墙和纯硬件防火墙的特点、典型应用)
(1)个人防火墙:是安装在个人PC上的软件,而不是放置在网络边界,因此,个人防火墙关心的不是一个网络到另外一个网络的安全,而是单个主机和与之相连接的主机或网络之间的安全。
(2)软件防火墙:作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。
(3)一般硬件防火墙:一般都采用PC架构(就是一台嵌入式主机),使用的各个配件都量身定制。但是,这种防火墙使用的操作系统内核一般是固定的,是不可升级的,因此新发现的漏洞对防火墙来说可能是致命的
(4)纯硬件防火墙:采用专用芯片(非X86芯片)来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。最大的亮点:高性能,非常高的并发连接数和吞吐量;采用ASIC芯片的方法在国外比较流行,国内采用的是NP技术。
以上4种都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护。
4. 防火墙的局限性
(1)只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力;(2)不能解决来自内部网络的攻击和安全问题;
(3)不能防止受病毒感染的文件的传输;(4)不能防止策略配置不当或错误配置引起的安全威胁;
(5)不能防止自然或人为的故意破坏;不能防止本身安全漏洞的威胁。
5. 数据包过滤 [网络层]
●工作原理:①系统在网络层检查数据包,与应用层无关。②依据在系统内设置的过滤规则 (通常称为访问控制表—Access Control List)对数据流中每个数据包包头中的参数或它们的组合进行检查,以确定是否允许该数据包进出内部网络。
●优点:逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好。
●主要缺点:①安全控制的力度只限于源地址、目的地址和端口号等,不能保存与传输或与应用相关的状态信息,因而只能进行较为初步的安全控制,安全性较低;②数据包的源地址、目的地址以及端口号等都在数据包的头部,很有可能被窃听或假冒。
6. 代理服务 [应用层]
●工作过程:当用户需要访问代理服务器另一侧的主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言,似乎是直接与外部网络相连。
●优点:①内部网络拓扑结构等重要信息不易外泄,减少黑客攻击时所必需的必要信息;②可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹,安全性较高。
●主要缺点:① 针对不同的应用层协议必须有单独的应用代理,也不能自动支持新的网络应用;② 有些代理还需要相应的支持代理的客户/ 服务器软件;用户可能还需要专门学习程序的使用方法才能通过代理访问Internet;③ 性能下降。
7. 状态检测 [检测引擎]
状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,并动态地保存起来作为以后制定安全决策的参考。
●工作过程:① 对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接;请求数据包通过,并记录下该连接的相关信息,生成状态表。② 对该连接的后续数据包,只要符合状态表,就可以通过。
●主要优点:① 高安全性(工作在数据链路层和网络层之间;“状态感知”能力);② 高效性(对连接的后续数据包直接进行状态检查);③ 应用范围广(支持基于无连接协议的应用)
●主要缺点:在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题(如实现应用层内容过滤)等方面显得力不从心。
8. NAT(网络地址转换)[网络层]
●作用:①隐藏内部网络的IP地址;②解决地址紧缺问题。
●分类及比较
(1)按实现方式:SNAT和DNAT--静态(static)网络地址转换和动态(dynamic)网络地址转换
比较:静态地址翻译:不需要维护地址转换状态表,功能简单,性能较好;
动态转换和端口转换(PAT):必须维护一个转换表,以保证能对返回的数据包进行正确的反向转换,功能强大,但是需要的资源较多。
(2)按数据流向:SNAT和DNAT--源(source)网络地址转换和目标(destination)网络地址转换
9. 网络安全产品的系统化:以防火墙为核心,各个产品相互分离,但是通过某种通信方式形成一个整体(防火墙联动技术)
--本资料由heki总结整理
定义:防火墙(Firewall)是一种用来加强网络之间访问控制的特殊网络互连设备,是一种非常有效的网络安全模型。
核心思想:在不安全的网际网环境中构造一个相对安全的子网环境。
目的:都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道,以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。
2. 防火墙的功能
(1)网络安全的屏障;(2)过滤不安全的服务(两层含义):内部提供的不安全服务和内部访问外部的不安全服务。
(3)阻断特定的网络攻击;(联动技术的产生)--例如和入侵检测技术联动
(4)部署NAT(网络地址转换)机制;
(5)提供了监视局域网安全和预警的方便端点。提供包括安全和统计数据在内的审计数据,好的防火墙还能灵活设置各种报警方式。
3. 防火墙的分类(个人防火墙、软件防火墙、一般硬件防火墙和纯硬件防火墙的特点、典型应用)
(1)个人防火墙:是安装在个人PC上的软件,而不是放置在网络边界,因此,个人防火墙关心的不是一个网络到另外一个网络的安全,而是单个主机和与之相连接的主机或网络之间的安全。
(2)软件防火墙:作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。
(3)一般硬件防火墙:一般都采用PC架构(就是一台嵌入式主机),使用的各个配件都量身定制。但是,这种防火墙使用的操作系统内核一般是固定的,是不可升级的,因此新发现的漏洞对防火墙来说可能是致命的
(4)纯硬件防火墙:采用专用芯片(非X86芯片)来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。最大的亮点:高性能,非常高的并发连接数和吞吐量;采用ASIC芯片的方法在国外比较流行,国内采用的是NP技术。
以上4种都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护。
4. 防火墙的局限性
(1)只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力;(2)不能解决来自内部网络的攻击和安全问题;
(3)不能防止受病毒感染的文件的传输;(4)不能防止策略配置不当或错误配置引起的安全威胁;
(5)不能防止自然或人为的故意破坏;不能防止本身安全漏洞的威胁。
5. 数据包过滤 [网络层]
●工作原理:①系统在网络层检查数据包,与应用层无关。②依据在系统内设置的过滤规则 (通常称为访问控制表—Access Control List)对数据流中每个数据包包头中的参数或它们的组合进行检查,以确定是否允许该数据包进出内部网络。
●优点:逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好。
●主要缺点:①安全控制的力度只限于源地址、目的地址和端口号等,不能保存与传输或与应用相关的状态信息,因而只能进行较为初步的安全控制,安全性较低;②数据包的源地址、目的地址以及端口号等都在数据包的头部,很有可能被窃听或假冒。
6. 代理服务 [应用层]
●工作过程:当用户需要访问代理服务器另一侧的主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言,似乎是直接与外部网络相连。
●优点:①内部网络拓扑结构等重要信息不易外泄,减少黑客攻击时所必需的必要信息;②可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹,安全性较高。
●主要缺点:① 针对不同的应用层协议必须有单独的应用代理,也不能自动支持新的网络应用;② 有些代理还需要相应的支持代理的客户/ 服务器软件;用户可能还需要专门学习程序的使用方法才能通过代理访问Internet;③ 性能下降。
7. 状态检测 [检测引擎]
状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,并动态地保存起来作为以后制定安全决策的参考。
●工作过程:① 对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接;请求数据包通过,并记录下该连接的相关信息,生成状态表。② 对该连接的后续数据包,只要符合状态表,就可以通过。
●主要优点:① 高安全性(工作在数据链路层和网络层之间;“状态感知”能力);② 高效性(对连接的后续数据包直接进行状态检查);③ 应用范围广(支持基于无连接协议的应用)
●主要缺点:在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题(如实现应用层内容过滤)等方面显得力不从心。
8. NAT(网络地址转换)[网络层]
●作用:①隐藏内部网络的IP地址;②解决地址紧缺问题。
●分类及比较
(1)按实现方式:SNAT和DNAT--静态(static)网络地址转换和动态(dynamic)网络地址转换
比较:静态地址翻译:不需要维护地址转换状态表,功能简单,性能较好;
动态转换和端口转换(PAT):必须维护一个转换表,以保证能对返回的数据包进行正确的反向转换,功能强大,但是需要的资源较多。
(2)按数据流向:SNAT和DNAT--源(source)网络地址转换和目标(destination)网络地址转换
9. 网络安全产品的系统化:以防火墙为核心,各个产品相互分离,但是通过某种通信方式形成一个整体(防火墙联动技术)
--本资料由heki总结整理
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- [网络安全五]PKI技术基础I
- 信息安全系统设计基础课外之: 网络攻防技术 20155202 张旭
- 计算机网络安全之六:防火墙技术 推荐
- 网络信息安全之防火墙技术(一)
- 【网络安全】802.1X技术基础
- 网络安全与防火墙技术
- 网络信息安全之防火墙入反病毒技术 (七)
- 网络安全讲座之三:防火墙技术
- 网络安全基础:防火墙的概念及实现原理
- 网络安全讲座之三防火墙技术
- 计算机网络安全分析及防火墙基础研究
- 20145329 《网络对抗技术》Web安全基础实践
- 计算机网络安全与防火墙技术
- 计算机网络安全的防火墙技术
- [网络安全三]入侵检测技术基础
- [网络安全五]PKI技术基础II
- 网络安全讲座之三:防火墙技术
- 计算机学科技术前沿:网络安全基础应用与标准
- 计算机防火墙技术与网络安全