學習啦 > 學習電腦 > 電腦安全 > 防火墻知識 >

防火墻的工作技術分類與基礎原理介紹

時間: 加城1195 分享

  防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。這篇文章主要介紹了防火墻的工作技術分類與基礎原理,需要的朋友可以參考下

  具體介紹

  防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結構和運行狀況,有選擇地接受外部訪問,對內(nèi)部強化設備監(jiān)管、控制對服務器與外部網(wǎng)絡的訪問,在被保護網(wǎng)絡和外部網(wǎng)絡之間架起一道屏障,以防止發(fā)生不可預測的、潛在的破壞性侵入。

  防火墻有兩種,硬件防火墻和軟件防火墻,他們都能起到保護作用并篩選出網(wǎng)絡上的攻擊者。在這里主要給大家介紹一下我們在企業(yè)網(wǎng)絡安全實際運用中所常見的硬件防火墻。

  防火墻技術分類

  防火墻技術經(jīng)歷了包過濾、應用代理網(wǎng)關、再到狀態(tài)檢測三個階段。

  包過濾技術是一種簡單、有效的安全控制技術,它通過在網(wǎng)絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則,對通過設備的數(shù)據(jù)包進行檢查,限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡。包過濾的最大優(yōu)點是對用戶透明,傳輸性能高。但由于安全控制層次在網(wǎng)絡層、傳輸層,安全控制的力度也只限于源地址、目的地址和端口號,因而只能進行較為初步的安全控制,對于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段,則無能為力。

  狀態(tài)檢測是比包過濾更為有效的安全控制方法。對新建的應用連接,狀態(tài)檢測檢查預先設置的安全規(guī)則,允許符合規(guī)則的連接通過,并在內(nèi)存中記錄下該連接的相關信息,生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包,只要符合狀態(tài)表,就可以通過。這種方式的好處在于:由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查,而是一個連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法,直接進行狀態(tài)檢查,從而使得性能得到了較大提高;而且,由于狀態(tài)表是動態(tài)的,因而可以有選擇地、動態(tài)地開通1024號以上的端口,使得安全性得到進一步地提高。

  1. 包過濾技術

  包過濾防火墻一般在路由器上實現(xiàn),用以過濾用戶定義的內(nèi)容,如IP地址。包過濾防火墻的工作原理是:系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包,與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能,可擴展能力強。但是,包過濾防火墻的安全性有一定的缺陷,因為系統(tǒng)對應用層信息無感知,也就是說,防火墻不理解通信的內(nèi)容,所以可能被黑客所攻破。

  包過濾防火墻工作原理圖

  包過濾防火墻工作在網(wǎng)絡層,對數(shù)據(jù)包的源及目地IP具有識別和控制作用,對于傳輸層,也只能識別數(shù)據(jù)包是TCP還是UDP及所用的端口信息?,F(xiàn)在的路由器、Switch Router以及某些操作系統(tǒng)已經(jīng)具有用Packet Filter控制的能力。

  由于只對數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進行分析,包過濾防火墻的處理速度較快,并且易于配置。

  包過濾防火墻具有根本的缺陷:

  不能防范黑客攻擊。包過濾防火墻的工作基于一個前提,就是網(wǎng)管知道哪些IP是可信網(wǎng)絡,哪些是不可信網(wǎng)絡的IP地址。但是隨著遠程辦公等新應用的出現(xiàn),網(wǎng)管不可能區(qū)分出可信網(wǎng)絡與不可信網(wǎng)絡的界限,對于黑客來說,只需將源IP包改成合法IP即可輕松通過包過濾防火墻,進入內(nèi)網(wǎng),而任何一個初級水平的黑客都能進行IP地址欺騙。 不支持應用層協(xié)議。假如內(nèi)網(wǎng)用戶提出這樣一個需求,只允許內(nèi)網(wǎng)員工訪問外網(wǎng)的網(wǎng)頁(使用HTTP協(xié)議),不允許去外網(wǎng)下載電影(一般使用FTP協(xié)議)。包過濾防火墻無能為力,因為它不認識數(shù)據(jù)包中的應用層協(xié)議,訪問控制粒度太粗糙。 不能處理新的安全威脅。它不能跟蹤TCP狀態(tài),所以對TCP層的控制有漏洞。如當它配置了僅允許從內(nèi)到外的TCP訪問時,一些以TCP應答包的形式從外部對內(nèi)網(wǎng)進行的攻擊仍可以穿透防火墻。

  綜上可見,包過濾防火墻技術面太過初級,就好比一位保安只能根據(jù)訪客來自哪個省市來判斷是否允許他(她)進入一樣,難以履行保護內(nèi)網(wǎng)安全的職責。

  2. 應用網(wǎng)關防火墻

  應用網(wǎng)關防火墻檢查所有應用層的信息包,并將檢查的內(nèi)容信息放入決策過程,從而提高網(wǎng)絡的安全性。然而,應用網(wǎng)關防火墻是通過打破客戶機/服務器模式實現(xiàn)的。每個客戶機/服務器通信需要兩個連接:一個是從客戶端到防火墻,另一個是從防火墻到服務器。另外,每個代理需要一個不同的應用進程,或一個后臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。所以,應用網(wǎng)關防火墻具有可伸縮性差的缺點。

  應用網(wǎng)關防火墻工作原理圖

  應用代理網(wǎng)關防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信,內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問,然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應用層代理軟件轉(zhuǎn)發(fā),訪問者任何時候都不能與服務器建立直接的TCP連接,應用層的協(xié)議會話過程必須符合代理的安全策略要求。

  應用代理網(wǎng)關的優(yōu)點是可以檢查應用層、傳輸層和網(wǎng)絡層的協(xié)議特征,對數(shù)據(jù)包的檢測能力比較強。

  缺點也非常突出,主要有:

  難于配置。由于每個應用都要求單獨的代理進程,這就要求網(wǎng)管能理解每項應用協(xié)議的弱點,并能合理的配置安全策略,由于配置繁瑣,難于理解,容易出現(xiàn)配置失誤,最終影響內(nèi)網(wǎng)的安全防范能力。 處理速度非常慢。斷掉所有的連接,由防火墻重新建立連接,理論上可以使應用代理防火墻具有極高的安全性。但是實際應用中并不可行,因為對于內(nèi)網(wǎng)的每個Web訪問請求,應用代理都需要開一個單獨的代理進程,它要保護內(nèi)網(wǎng)的Web服務器、數(shù)據(jù)庫服務器、文件服務器、郵件服務器,及業(yè)務程序等,就需要建立一個個的服務代理,以處理客戶端的訪問請求。這樣,應用代理的處理延遲會很大,內(nèi)網(wǎng)用戶的正常Web訪問不能及時得到響應。

  總之,應用代理防火墻不能支持大規(guī)模的并發(fā)連接,在對速度敏感的行業(yè)使用這類防火墻時簡直是災難。另外,防火墻核心要求預先內(nèi)置一些已知應用程序的代理,使得一些新出現(xiàn)的應用在代理防火墻內(nèi)被無情地阻斷,不能很好地支持新應用。

  在IT領域中,新應用、新技術、新協(xié)議層出不窮,代理防火墻很難適應這種局面。因此,在一些重要的領域和行業(yè)的核心業(yè)務應用中,代理防火墻正被逐漸疏遠。

  但是,自適應代理技術的出現(xiàn)讓應用代理防火墻技術出現(xiàn)了新的轉(zhuǎn)機,它結合了代理防火墻的安全性和包過濾防火墻的高速度等優(yōu)點,在不損失安全性的基礎上將代理防火墻的性能提高了10倍。

  3. 狀態(tài)檢測防火墻

  狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點,性能比較好,同時對應用是透明的,在此基礎上,對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包,不關心數(shù)據(jù)包狀態(tài)的缺點,在防火墻的核心部分建立狀態(tài)連接表,維護了連接,將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理。可以這樣說,狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡層和傳輸層行為,而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。

  我們知道,Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議,根據(jù)TCP協(xié)議,每個可靠連接的建立需要經(jīng)過“客戶端同步請求”、“服務器應答”、“客戶端再應答”三個階段,我們最常用到的Web瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過這三個階段。這反映出數(shù)據(jù)包并不是獨立的,而是前后之間有著密切的狀態(tài)聯(lián)系,基于這種狀態(tài)變化,引出了狀態(tài)檢測技術。

  狀態(tài)檢測防火墻摒棄了包過濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個參數(shù),而不關心數(shù)據(jù)包連接狀態(tài)變化的缺點,在防火墻的核心部分建立狀態(tài)連接表,并將進出網(wǎng)絡的數(shù)據(jù)當成一個個的會話,利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據(jù)規(guī)則表,更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài),因此提供了完整的對傳輸層的控制能力。

  網(wǎng)關防火墻的一個挑戰(zhàn)就是能處理的流量,狀態(tài)檢測技術在大為提高安全防范能力的同時也改進了流量處理速度。狀態(tài)監(jiān)測技術采用了一系列優(yōu)化技術,使防火墻性能大幅度提升,能應用在各類網(wǎng)絡環(huán)境中,尤其是在一些規(guī)則復雜的大型網(wǎng)絡上。

  任何一款高性能的防火墻,都會采用狀態(tài)檢測技術。

  4. 復合型防火墻

  復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻,進一步基于ASIC架構,把防病毒、內(nèi)容過濾整合到防火墻里,其中還包括IDS功能,多單元融為一體,是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡流量里的攻擊,在網(wǎng)絡界面對應用層掃描,把防病毒、內(nèi)容過濾與防火墻結合起來,這體現(xiàn)了網(wǎng)絡與信息安全的新思路。它在網(wǎng)絡邊界實施OSI第七層的內(nèi)容掃描,實現(xiàn)了實時在網(wǎng)絡邊緣布署病毒防護、內(nèi)容過濾等應用層服務措施。

  四類防火墻的對比包過濾防火墻:包過濾防火墻不檢查數(shù)據(jù)區(qū),包過濾防火墻不建立連接狀態(tài)表,前后報文無關,應用層控制很弱。應用網(wǎng)關防火墻:不檢查IP、TCP報頭,不建立連接狀態(tài)表,網(wǎng)絡層保護比較弱。狀態(tài)檢測防火墻:不檢查數(shù)據(jù)區(qū),建立連接狀態(tài)表,前后報文相關,應用層控制很弱。復合型防火墻:可以檢查整個數(shù)據(jù)包內(nèi)容,根據(jù)需要建立連接狀態(tài)表,網(wǎng)絡層保護強,應用層控制細,會話控制較弱。

  補充閱讀:防火墻主要使用技巧

  一、所有的防火墻文件規(guī)則必須更改。

  盡管這種方法聽起來很容易,但是由于防火墻沒有內(nèi)置的變動管理流程,因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改,會導致宕機嗎?這是一個相當高發(fā)的狀況。

  防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎,因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障,讓整個協(xié)議管理更加簡單和高效。

  二、以最小的權限安裝所有的訪問規(guī)則。

  另一個常見的安全問題是權限過度的規(guī)則設置。防火墻規(guī)則是由三個域構成的:即源(IP地址),目的地(網(wǎng)絡/子網(wǎng)絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個或者更多域內(nèi)指定打來那個的目標對象。當你出于業(yè)務持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡,這些規(guī)則就會變得權限過度釋放,因此就會增加不安全因素。服務域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

  三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。

  在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應用新產(chǎn)品和業(yè)務部門的過程中,我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。

  四、當服務過期后從防火墻規(guī)則中刪除無用的規(guī)則。

  規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題,因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務部門擅長讓你知道他們了解這些新規(guī)則,卻從來不會讓防火墻團隊知道他們不再使用某些服務了。了解退役的服務器和網(wǎng)絡以及應用軟件更新周期對于達成規(guī)則共識是個好的開始。運行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團隊。


防火墻的工作技術分類與基礎原理介紹相關文章:

1.防火墻的分類及原理

2.cisco路由器的工作原理

3.詳解路由器的工作原理

4.計算機網(wǎng)絡技術應用知識競賽試題(附答案)

5.wifi路由器工作原理

4041653