網絡安全知識

網絡防火墻技術

發布時間：2007-09-26 09:45 瀏覽次數：2059

什么(me)是(shi)防火墻
防火(huo)墻定義：防火(huo)墻就是一個位于計算(suan)機(ji)和它所連接的(de)(de)網(wang)絡之間的(de)(de)軟件(jian) 。該計算(suan)機(ji)流(liu)入流(liu)出的(de)(de)所有網(wang)絡通信均要經過此防火(huo)墻。
防(fang)(fang)(fang)火墻(qiang)(qiang)(qiang)的(de)功能(neng)：防(fang)(fang)(fang)火墻(qiang)(qiang)(qiang)對流經它(ta)(ta)的(de)網絡通(tong)信(xin)進行(xing)掃(sao)描(miao)。這使之能(neng)夠過(guo)濾掉(diao)一些攻擊，以免其(qi)在目標計算機上被(bei)執(zhi)行(xing)。防(fang)(fang)(fang)火墻(qiang)(qiang)(qiang)還(huan)(huan)可(ke)(ke)以關閉不使用的(de)端口。而且它(ta)(ta)還(huan)(huan)能(neng)禁止特定(ding)端口的(de)流出通(tong)信(xin)，檢測病毒入(ru)侵。最后，它(ta)(ta)可(ke)(ke)以禁止來自(zi)特殊站(zhan)點的(de)訪(fang)問，從而防(fang)(fang)(fang)止來自(zi)不明入(ru)侵者(zhe)的(de)所有通(tong)信(xin)。
為什(shen)么使用(yong)防(fang)火墻：防(fang)火墻具有(you)很好的(de)保護(hu)(hu)作(zuo)用(yong)。入侵者(zhe)必(bi)須首先穿(chuan)越防(fang)火墻的(de)安全防(fang)線，才能(neng)接觸目標計算機。你可以將(jiang)防(fang)火墻配置成許多不(bu)同保護(hu)(hu)級(ji)別(bie)。高級(ji)別(bie)的(de)保護(hu)(hu)可能(neng)會(hui)禁止一些服務，如視頻流等(deng)，但至少這是你自己的(de)保護(hu)(hu)選擇(ze)。
防火(huo)(huo)墻(qiang)(qiang)(qiang)的(de)(de)(de)類(lei)型：防火(huo)(huo)墻(qiang)(qiang)(qiang)有不同類(lei)型。一個(ge)防火(huo)(huo)墻(qiang)(qiang)(qiang)可(ke)以(yi)(yi)是(shi)硬件自身的(de)(de)(de)一部分，你(ni)可(ke)以(yi)(yi)將因特網連接和計算機(ji)(ji)(ji)都插(cha)入其中(zhong)。防火(huo)(huo)墻(qiang)(qiang)(qiang)也可(ke)以(yi)(yi)在一個(ge)獨立的(de)(de)(de)機(ji)(ji)(ji)器(qi)(qi)上運行。該機(ji)(ji)(ji)器(qi)(qi)作為它背后網絡中(zhong)所有計算機(ji)(ji)(ji)的(de)(de)(de)代理和防火(huo)(huo)墻(qiang)(qiang)(qiang)。最后，直接連在因特網的(de)(de)(de)機(ji)(ji)(ji)器(qi)(qi)可(ke)以(yi)(yi)使用(yong)個(ge)人防火(huo)(huo)墻(qiang)(qiang)(qiang)。

防火(huo)墻的種類
1. 數(shu)據包過濾
數據包(bao)(bao)過(guo)(guo)(guo)濾(Packet Filtering)技術是在網絡(luo)(luo)層對數據包(bao)(bao)進(jin)行選(xuan)擇，選(xuan)擇的(de)依據是系(xi)統內(nei)設置的(de)過(guo)(guo)(guo)濾邏(luo)輯，被(bei)稱為訪問控制表(Access Control Table)。通(tong)(tong)過(guo)(guo)(guo)檢(jian)查(cha)數據流(liu)中每(mei)個數據包(bao)(bao)的(de)源(yuan)地址(zhi)、目的(de)地址(zhi)、所用的(de)端口號、協(xie)議狀(zhuang)態等因素(su)，或它(ta)們的(de)組(zu)合來(lai)確定(ding)是否允許(xu)該(gai)數據包(bao)(bao)通(tong)(tong)過(guo)(guo)(guo)。數據包(bao)(bao)過(guo)(guo)(guo)濾防火墻邏(luo)輯簡單，價(jia)格便宜，易于安裝(zhuang)和使用，網絡(luo)(luo)性(xing)能和透明性(xing)好，它(ta)通(tong)(tong)常(chang)安裝(zhuang)在路(lu)由器上(shang)。路(lu)由器是內(nei)部網絡(luo)(luo)與Internet連接必不可少的(de)設備，因此在原有(you)網絡(luo)(luo)上(shang)增加這(zhe)樣的(de)防火墻幾乎不需要任何額(e)外(wai)的(de)費(fei)用。
數據包過(guo)濾防(fang)火(huo)墻的(de)缺點有二(er)：一是非法訪(fang)問一旦突破防(fang)火(huo)墻，即可對主機上(shang)的(de)軟件和配置漏洞進行攻擊；二(er)是數據包的(de)源地址、目(mu)的(de)地址以及(ji)IP的(de)端(duan)口(kou)號都在數據包的(de)頭部，很有可能被(bei)竊聽或(huo)假冒(mao)。
2. 應(ying)用級網關
應(ying)用級網(wang)關(guan)(Application Level Gateways)是在網(wang)絡應(ying)用層上建立協(xie)議過(guo)濾(lv)和(he)轉(zhuan)發功能。它針對特(te)定(ding)的(de)(de)網(wang)絡應(ying)用服務協(xie)議使(shi)用指定(ding)的(de)(de)數據(ju)過(guo)濾(lv)邏輯，并在過(guo)濾(lv)的(de)(de)同時，對數據(ju)包進行必要的(de)(de)分析、登記(ji)和(he)統計，形成報告。實(shi)際(ji)中的(de)(de)應(ying)用網(wang)關(guan)通常安裝在專用工作站系統上。
數據包過(guo)濾和(he)應用(yong)網(wang)(wang)關防火墻(qiang)有(you)一(yi)個共(gong)同的特點，就是它(ta)們僅(jin)僅(jin)依靠特定的邏輯判(pan)定是否允許數據包通過(guo)。一(yi)旦滿足邏輯，則防火墻(qiang)內(nei)外的計算機系統建立直接(jie)聯系，防火墻(qiang)外部(bu)的用(yong)戶便有(you)可能(neng)直接(jie)了解防火墻(qiang)內(nei)部(bu)的網(wang)(wang)絡結構和(he)運行狀態(tai)，這有(you)利于實施非法訪問和(he)攻擊。
3. 代理服(fu)務(wu)
代(dai)理服(fu)(fu)務(Proxy Service)也稱(cheng)鏈(lian)(lian)路(lu)級(ji)網(wang)(wang)關或TCP通(tong)道(dao)(Circuit Level Gateways or TCP Tunnels)，也有人將它歸(gui)于應(ying)用級(ji)網(wang)(wang)關一類。它是(shi)針對數(shu)據包(bao)過(guo)(guo)濾(lv)和應(ying)用網(wang)(wang)關技術存在的(de)(de)(de)缺點而引入的(de)(de)(de)防火墻技術，其(qi)特點是(shi)將所有跨(kua)越防火墻的(de)(de)(de)網(wang)(wang)絡通(tong)信鏈(lian)(lian)路(lu)分(fen)為兩段。防火墻內(nei)外計算(suan)機系(xi)統間應(ying)用層的(de)(de)(de)" 鏈(lian)(lian)接(jie)"，由(you)兩個終止代(dai)理服(fu)(fu)務器上的(de)(de)(de)" 鏈(lian)(lian)接(jie)"來實現，外部計算(suan)機的(de)(de)(de)網(wang)(wang)絡鏈(lian)(lian)路(lu)只(zhi)能(neng)到達代(dai)理服(fu)(fu)務器，從(cong)而起到了隔離防火墻內(nei)外計算(suan)機系(xi)統的(de)(de)(de)作用。此外，代(dai)理服(fu)(fu)務也對過(guo)(guo)往的(de)(de)(de)數(shu)據包(bao)進行分(fen)析、注冊登記(ji)，形成報(bao)告，同(tong)時當發(fa)現被攻擊跡象(xiang)時會(hui)向網(wang)(wang)絡管理員發(fa)出警報(bao)，并(bing)保留攻擊痕跡。

典型的防火墻應(ying)包含(han)如(ru)下模塊(kuai)中的一(yi)個(ge)或(huo)多個(ge)：包過(guo)濾路(lu)由器、應(ying)用層(ceng)網關(guan)（或(huo)代(dai)理服務器）以及鏈路(lu)層(ceng)網關(guan)。
1. 包過濾(lv)路由器
包過濾路由器將對每一個接收(shou)到(dao)的包進行允許／拒絕的決(jue)定。具體地，它對每一個數據報的包頭(tou)，按照包過濾規則(ze)進行判(pan)定，與規則(ze)相匹(pi)配的包依據路由表信息繼續轉發(fa)，否則(ze)，則(ze)丟棄之。
與服(fu)務(wu)(wu)相關(guan)的過濾，是指基于(yu)特定(ding)的服(fu)務(wu)(wu)進(jin)(jin)行(xing)包(bao)過濾，由于(yu)絕(jue)大多數服(fu)務(wu)(wu)的監聽都駐留在特定(ding)TCP UDP端口(kou)，因此(ci)，阻塞(sai)所有進(jin)(jin)入特定(ding)服(fu)務(wu)(wu)的連接，路(lu)由器只(zhi)需將(jiang)所有包(bao)含特定(ding)TCP/UDP目標端口(kou)的包(bao)丟棄即可。
獨立于服務的(de)(de)過濾(lv)，有些類(lei)(lei)型(xing)的(de)(de)攻擊(ji)(ji)是與(yu)服務無關的(de)(de)，比如：帶有欺騙性的(de)(de)源(yuan)IP地(di)址(zhi)攻擊(ji)(ji)（包(bao)中(zhong)包(bao)含一個(ge)錯(cuo)誤的(de)(de)內(nei)部(bu)系統(tong)源(yuan)IP地(di)址(zhi)，經掩(yan)飾后(hou)變成(cheng)一個(ge)似乎來自(zi)于一個(ge)可(ke)以信任的(de)(de)內(nei)部(bu)主(zhu)機，此(ci)時的(de)(de)過濾(lv)規(gui)則(ze)為(wei)：當(dang)一個(ge)具有內(nei)部(bu)源(yuan)IP地(di)址(zhi)的(de)(de)包(bao)到達路由器的(de)(de)任意一個(ge)外部(bu)接(jie)口時，將此(ci)包(bao)丟棄。）、源(yuan)路由攻擊(ji)(ji)、細小碎(sui)(sui)片攻擊(ji)(ji)（入侵者(zhe)使(shi)用IP分裂技(ji)術(shu)將包(bao)劃(hua)分成(cheng)很(hen)小的(de)(de)一些碎(sui)(sui)片，然后(hou)將TCP頭的(de)(de)信息插入包(bao)的(de)(de)一個(ge)小碎(sui)(sui)片中(zhong)，寄希(xi)望過濾(lv)規(gui)則(ze)為(wei)丟棄協議類(lei)(lei)型(xing)為(wei)TCP而IP幀偏移(yi)(yi)量為(wei)1的(de)(de)所有包(bao)）等。由此(ci)可(ke)見此(ci)類(lei)(lei)網上攻擊(ji)(ji)僅僅借助包(bao)頭信息是難以識別的(de)(de)，此(ci)時，需要(yao)路由器在原過濾(lv)規(gui)則(ze)的(de)(de)基(ji)礎附上另外的(de)(de)條件，這些條件的(de)(de)判別信息可(ke)以通過檢(jian)查路由表、指定IP選擇、檢(jian)查指定幀偏移(yi)(yi)量等獲得。
包過濾路由器的(de)(de)優點，大多數防火墻配(pei)置(zhi)成無狀態的(de)(de)包過濾路由器，因而實現包過濾幾(ji)乎沒有任(ren)何(he)耗(hao)費(fei)。另外，它對用戶和應用來說是透明的(de)(de)，每臺主機(ji)無需安(an)裝特定(ding)的(de)(de)軟件，使用起(qi)來比較(jiao)方便。
包(bao)過(guo)濾(lv)(lv)路由(you)器的(de)(de)(de)(de)(de)局限性(xing)在于定(ding)義包(bao)過(guo)濾(lv)(lv)是(shi)個(ge)(ge)復(fu)(fu)雜的(de)(de)(de)(de)(de)工作，網絡管理(li)(li)員(yuan)需要對各(ge)種因特網服務(wu)、包(bao)頭格式以(yi)(yi)及(ji)希(xi)望在每一(yi)(yi)(yi)個(ge)(ge)城(cheng)找到的(de)(de)(de)(de)(de)特定(ding)的(de)(de)(de)(de)(de)值有(you)足(zu)夠的(de)(de)(de)(de)(de)了(le)解：面對復(fu)(fu)雜的(de)(de)(de)(de)(de)過(guo)濾(lv)(lv)需求，過(guo)濾(lv)(lv)規則將是(shi)一(yi)(yi)(yi)個(ge)(ge)冗(rong)長而復(fu)(fu)雜、不(bu)易理(li)(li)解和(he)管理(li)(li)的(de)(de)(de)(de)(de)集合，同樣也很難測試規則的(de)(de)(de)(de)(de)正確性(xing)；任何直接通(tong)過(guo)路由(you)器的(de)(de)(de)(de)(de)包(bao)都可能被利(li)用做為發起一(yi)(yi)(yi)個(ge)(ge)數據驅動的(de)(de)(de)(de)(de)攻擊；隨著過(guo)濾(lv)(lv)數目(mu)的(de)(de)(de)(de)(de)增加，將降低路由(you)器包(bao)的(de)(de)(de)(de)(de)吞吐量，同時耗費(fei)更多CPU的(de)(de)(de)(de)(de)時間而影響系統的(de)(de)(de)(de)(de)性(xing)能；再者IP包(bao)過(guo)濾(lv)(lv)難以(yi)(yi)進行行之(zhi)有(you)效的(de)(de)(de)(de)(de)流量控制，因為它可以(yi)(yi)許(xu)可或拒絕一(yi)(yi)(yi)個(ge)(ge)特定(ding)的(de)(de)(de)(de)(de)服務(wu)，但無法理(li)(li)解一(yi)(yi)(yi)個(ge)(ge)特定(ding)服務(wu)的(de)(de)(de)(de)(de)內(nei)容(rong)或數據。
2. 應用(yong)層網關
應(ying)用(yong)層網(wang)(wang)關允許(xu)網(wang)(wang)絡管理(li)員實施一個較包過濾路由器(qi)更(geng)為嚴格(ge)的(de)(de)安(an)(an)全策(ce)略，為每(mei)一個期望的(de)(de)應(ying)用(yong)服(fu)務在其網(wang)(wang)關上安(an)(an)裝專用(yong)的(de)(de)代(dai)碼(ma)（一個代(dai)理(li)服(fu)務），同時(shi)，代(dai)理(li)代(dai)碼(ma)也(ye)可以配置成支持(chi)一個應(ying)用(yong)服(fu)務的(de)(de)某些特定的(de)(de)特性。對(dui)應(ying)用(yong)服(fu)務的(de)(de)訪問都是通過訪問相應(ying)的(de)(de)代(dai)理(li)服(fu)務實現的(de)(de)，而不允許(xu)用(yong)戶(hu)直(zhi)接登錄到應(ying)用(yong)層網(wang)(wang)關(bastion host)。
應(ying)用(yong)層(ceng)網關安(an)全(quan)性(xing)的提(ti)高是以購買同關硬件平(ping)臺的費(fei)用(yong)為(wei)代價，網關的配置將(jiang)降低(di)對用(yong)戶的服(fu)務水平(ping)，但增加了安(an)全(quan)配置上的靈活性(xing)。
應(ying)用層網(wang)關(guan)的(de)好處，在于它授予網(wang)絡管理員對(dui)(dui)每(mei)一個服(fu)務的(de)完全(quan)控制權，由代理服(fu)務限制了命令集合和哪一臺內部主機支持(chi)相應(ying)的(de)服(fu)務。同時，網(wang)絡管理員對(dui)(dui)支持(chi)哪些服(fu)務可以(yi)完全(quan)控制。另外，應(ying)用層網(wang)關(guan)支持(chi)強的(de)用戶認證、提供(gong)詳細的(de)日志信息、以(yi)及較(jiao)包(bao)過(guo)濾路由器更易于配置和測試(shi)的(de)過(guo)濾規則。
當然，應(ying)用層網關的(de)最大(da)的(de)局限性在于它需要用戶(hu)或者改(gai)變其(qi)性能，或者在需要訪問代理(li)服務的(de)系統上安裝特殊(shu)的(de)軟件(jian)。
3. 鏈路層網關
鏈(lian)路層網(wang)關是可(ke)由應用層網(wang)關實現的特殊(shu)功(gong)能。它僅(jin)僅(jin)替代TCP連接而無需執(zhi)行任何附加的包(bao)處理和過濾。基于防火墻構(gou)建安(an)全網(wang)絡的基本原則。

在進行防火(huo)(huo)墻(qiang)設(she)計過程中，網絡管(guan)理(li)員應考慮(lv)的(de)問題為：防火(huo)(huo)墻(qiang)的(de)基本(ben)準則：整個企業網的(de)安全策略；防火(huo)(huo)墻(qiang)的(de)財務費用的(de)預算；以及防火(huo)(huo)墻(qiang)的(de)部件或構建塊。
1. 防火墻(qiang)的基本(ben)準則
防(fang)火(huo)(huo)墻(qiang)可以(yi)采取(qu)如(ru)下兩種之一理念(nian)來(lai)定義(yi)防(fang)火(huo)(huo)墻(qiang)應遵循的準則(ze)：
其一(yi)、未(wei)經(jing)(jing)說(shuo)明允可(ke)的(de)(de)(de)就是拒絕。防火墻阻塞所有(you)流經(jing)(jing)的(de)(de)(de)信息，每一(yi)個(ge)服務請(qing)求或應用的(de)(de)(de)實現都基于逐項審查(cha)的(de)(de)(de)基礎上。這(zhe)是一(yi)個(ge)值得推(tui)薦的(de)(de)(de)方法，它將創建(jian)一(yi)個(ge)非常安(an)全的(de)(de)(de)環境。當然，該(gai)理(li)念的(de)(de)(de)不(bu)足在(zai)于過于強調安(an)全而減弱了可(ke)用性，限制了用戶可(ke)以申請(qing)的(de)(de)(de)服務的(de)(de)(de)數量(liang)。
其(qi)二、未(wei)說明拒絕的(de)(de)均為許可(ke)的(de)(de)。約定(ding)防火墻總(zong)是(shi)傳遞所(suo)有的(de)(de)信(xin)息，此(ci)方式認(ren)定(ding)每一個潛在的(de)(de)危(wei)害總(zong)是(shi)可(ke)以基(ji)于逐項審查而被杜(du)絕。當然(ran)，該理念的(de)(de)不足在于它將可(ke)用性置于比(bi)安(an)全(quan)更為重要的(de)(de)地(di)位，增(zeng)加了保證私有網安(an)全(quan)性的(de)(de)難度。
2. 企業網的安全策略
&emsp; 在(zai)一(yi)個企(qi)業網中，防(fang)火(huo)墻(qiang)應該是全(quan)局(ju)安全(quan)策略(lve)(lve)的(de)(de)一(yi)部分(fen)，構建防(fang)火(huo)墻(qiang)時(shi)首(shou)先要考慮其(qi)保(bao)護的(de)(de)范圍。企(qi)業網的(de)(de)安全(quan)策略(lve)(lve)應該在(zai)細致的(de)(de)安全(quan)分(fen)析、全(quan)面的(de)(de)風險假設(she)以及商務(wu)需求(qiu)分(fen)析基礎上來制定(ding)。
3. 防(fang)火墻的費用(yong)
簡(jian)單的(de)包過濾防火墻(qiang)所(suo)需費用(yong)最少(shao)，實際(ji)上(shang)任(ren)何企業網與因(yin)特網的(de)連接(jie)都需要(yao)一個路由器，而包過濾是(shi)標準(zhun)路由器的(de)一個基(ji)本特性。對于一臺(tai)商(shang)用(yong)防火墻(qiang)隨(sui)著(zhu)其(qi)復雜性和被保(bao)護系(xi)統數目(mu)的(de)增加(jia)，其(qi)費用(yong)也隨(sui)之增加(jia)。
至于(yu)采用(yong)自行構(gou)造(zao)防火(huo)墻方式，雖然(ran)費(fei)用(yong)低一(yi)些(xie)，但仍需要時間和經費(fei)開發、配(pei)置防火(huo)墻系統，需要不斷地為管理、總體維(wei)護、軟件更(geng)新、安全修補以及(ji)一(yi)些(xie)附帶的操(cao)作提供支(zhi)持。
因而(er)，防(fang)火墻的配(pei)備是(shi)需要相(xiang)當的費用(yong)，如何以最小的費用(yong)來最大限(xian)度(du)地滿足企(qi)業網的安全需求，這(zhe)將是(shi)企(qi)業網決策(ce)者應該周密考(kao)慮的問題(ti)。結(jie)束語
當然(ran)，防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)(qiang)本身也有其局限(xian)(xian)性，即不(bu)經過防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)(qiang)的(de)(de)入侵，防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)(qiang)則(ze)是(shi)無能為(wei)力(li)的(de)(de)，如被保護網絡中(zhong)通過SLIP和(he)PPP方(fang)式(shi)直接(jie)與因特網相連(lian)(lian)的(de)(de)內(nei)部用戶，則(ze)會造(zao)成安(an)全隱(yin)患(huan)。此時(shi)，為(wei)了保證安(an)全性，防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)(qiang)代理服務器在使用到(dao)ISP的(de)(de) SLIP和(he)PPP連(lian)(lian)接(jie)時(shi)，需要附(fu)加一些新的(de)(de)權(quan)限(xian)(xian)條(tiao)件。同時(shi)，硬件方(fang)式(shi)構建的(de)(de)防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)(qiang)，如：PIX 520，其不(bu)夠靈活的(de)(de)問(wen)題(ti)也是(shi)固(gu)化(hua)防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)(qiang)的(de)(de)共同問(wen)題(ti)，所(suo)以在一個實(shi)際(ji)的(de)(de)網絡運(yun)行(xing)環境中(zhong)，僅(jin)僅(jin)依靠(kao)防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)(qiang)來保證網絡的(de)(de)安(an)全顯然(ran)是(shi)不(bu)夠，此時(shi)，應根據實(shi)際(ji)需求采取(qu)相應的(de)(de)安(an)全策略。

上一篇：網絡時代的安全隱憂

下一篇：網絡基礎知識

刚到房间门口就热吻扔衣服,臭氧老化试验箱,做爰视频,性色av网站,床震吃胸膜奶免费视频

網絡防火墻技術