【電腦知識(shí)】：防火墻的工作技術(shù)分類(lèi)與基礎(chǔ)原理是什么？

【電腦知識(shí)】：防火墻的工作技術(shù)分類(lèi)與基礎(chǔ)原理是什么？

　　今天小編為大家介紹的是防火墻的工作技術(shù)分類(lèi)與基礎(chǔ)原理，下面我們一起來(lái)看看吧!

　　簡(jiǎn)介

　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，有選擇地接受外部訪問(wèn)，對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對(duì)服務(wù)器與外部網(wǎng)絡(luò)的訪問(wèn)，在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。防火墻有兩種，硬件防火墻和軟件防火墻，他們都能起到保護(hù)作用并篩選出網(wǎng)絡(luò)上的攻擊者。

　　防火墻技術(shù)分類(lèi)

　　防火墻技術(shù)經(jīng)歷了包過(guò)濾、應(yīng)用代理網(wǎng)關(guān)、再到狀態(tài)檢測(cè)三個(gè)階段。

　　包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無(wú)能為力。

　　狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。這種方式的好處在于：由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過(guò)散列算法，直接進(jìn)行狀態(tài)檢查，從而使得性能得到了較大提高;而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開(kāi)通1024號(hào)以上的端口，使得安全性得到進(jìn)一步地提高。

　　1. 包過(guò)濾技術(shù)

　　包過(guò)濾防火墻一般在路由器上實(shí)現(xiàn)，用以過(guò)濾用戶定義的內(nèi)容，如IP地址。包過(guò)濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無(wú)關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。但是，包過(guò)濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無(wú)感知，也就是說(shuō)，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。

　　包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，對(duì)數(shù)據(jù)包的源及目地IP具有識(shí)別和控制作用，對(duì)于傳輸層，也只能識(shí)別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。現(xiàn)在的路由器、Switch Router以及某些操作系統(tǒng)已經(jīng)具有用Packet Filter控制的能力。

　　由于只對(duì)數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進(jìn)行分析，包過(guò)濾防火墻的處理速度較快，并且易于配置。

　　包過(guò)濾防火墻具有根本的缺陷：

　　不能防范黑客攻擊。包過(guò)濾防火墻的工作基于一個(gè)前提，就是網(wǎng)管知道哪些IP是可信網(wǎng)絡(luò)，哪些是不可信網(wǎng)絡(luò)的IP地址。但是隨著遠(yuǎn)程辦公等新應(yīng)用的出現(xiàn)，網(wǎng)管不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限，對(duì)于黑客來(lái)說(shuō)，只需將源IP包改成合法IP即可輕松通過(guò)包過(guò)濾防火墻，進(jìn)入內(nèi)網(wǎng)，而任何一個(gè)初級(jí)水平的黑客都能進(jìn)行IP地址欺騙。 不支持應(yīng)用層協(xié)議。假如內(nèi)網(wǎng)用戶提出這樣一個(gè)需求，只允許內(nèi)網(wǎng)員工訪問(wèn)外網(wǎng)的網(wǎng)頁(yè)(使用HTTP協(xié)議)，不允許去外網(wǎng)下載電影(一般使用FTP協(xié)議)。包過(guò)濾防火墻無(wú)能為力，因?yàn)樗徽J(rèn)識(shí)數(shù)據(jù)包中的應(yīng)用層協(xié)議，訪問(wèn)控制粒度太粗糙。 不能處理新的安全威脅。它不能跟蹤TCP狀態(tài)，所以對(duì)TCP層的控制有漏洞。如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問(wèn)時(shí)，一些以TCP應(yīng)答包的形式從外部對(duì)內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿透防火墻。

　　綜上可見(jiàn)，包過(guò)濾防火墻技術(shù)面太過(guò)初級(jí)，就好比一位保安只能根據(jù)訪客來(lái)自哪個(gè)省市來(lái)判斷是否允許他(她)進(jìn)入一樣，難以履行保護(hù)內(nèi)網(wǎng)安全的職責(zé)。

　　2. 應(yīng)用網(wǎng)關(guān)防火墻

　　應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶機(jī)/服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)/服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。

　　應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問(wèn)變成防火墻對(duì)外網(wǎng)的訪問(wèn)，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問(wèn)者任何時(shí)候都不能與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過(guò)程必須符合代理的安全策略要求。

　　應(yīng)用代理網(wǎng)關(guān)的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)。

　　缺點(diǎn)也非常突出，主要有：

　　難于配置。由于每個(gè)應(yīng)用都要求單獨(dú)的代理進(jìn)程，這就要求網(wǎng)管能理解每項(xiàng)應(yīng)用協(xié)議的弱點(diǎn)，并能合理的配置安全策略，由于配置繁瑣，難于理解，容易出現(xiàn)配置失誤，最終影響內(nèi)網(wǎng)的安全防范能力。 處理速度非常慢。斷掉所有的連接，由防火墻重新建立連接，理論上可以使應(yīng)用代理防火墻具有極高的安全性。但是實(shí)際應(yīng)用中并不可行，因?yàn)閷?duì)于內(nèi)網(wǎng)的每個(gè)Web訪問(wèn)請(qǐng)求，應(yīng)用代理都需要開(kāi)一個(gè)單獨(dú)的代理進(jìn)程，它要保護(hù)內(nèi)網(wǎng)的Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、郵件服務(wù)器，及業(yè)務(wù)程序等，就需要建立一個(gè)個(gè)的服務(wù)代理，以處理客戶端的訪問(wèn)請(qǐng)求。這樣，應(yīng)用代理的處理延遲會(huì)很大，內(nèi)網(wǎng)用戶的正常Web訪問(wèn)不能及時(shí)得到響應(yīng)。

　　總之，應(yīng)用代理防火墻不能支持大規(guī)模的并發(fā)連接，在對(duì)速度敏感的行業(yè)使用這類(lèi)防火墻時(shí)簡(jiǎn)直是災(zāi)難。另外，防火墻核心要求預(yù)先內(nèi)置一些已知應(yīng)用程序的代理，使得一些新出現(xiàn)的應(yīng)用在代理防火墻內(nèi)被無(wú)情地阻斷，不能很好地支持新應(yīng)用。

　　在IT領(lǐng)域中，新應(yīng)用、新技術(shù)、新協(xié)議層出不窮，代理防火墻很難適應(yīng)這種局面。因此，在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中，代理防火墻正被逐漸疏遠(yuǎn)。

　　但是，自適應(yīng)代理技術(shù)的出現(xiàn)讓?xiě)?yīng)用代理防火墻技術(shù)出現(xiàn)了新的轉(zhuǎn)機(jī)，它結(jié)合了代理防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在不損失安全性的基礎(chǔ)上將代理防火墻的性能提高了10倍。

　　3. 狀態(tài)檢測(cè)防火墻

　　狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。可以這樣說(shuō)，狀態(tài)檢測(cè)包過(guò)濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。

　　我們知道，Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議，根據(jù)TCP協(xié)議，每個(gè)可靠連接的建立需要經(jīng)過(guò)“客戶端同步請(qǐng)求”、“服務(wù)器應(yīng)答”、“客戶端再應(yīng)答”三個(gè)階段，我們最常用到的Web瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過(guò)這三個(gè)階段。這反映出數(shù)據(jù)包并不是獨(dú)立的，而是前后之間有著密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，引出了狀態(tài)檢測(cè)技術(shù)。

　　狀態(tài)檢測(cè)防火墻摒棄了包過(guò)濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)監(jiān)測(cè)對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完整的對(duì)傳輸層的控制能力。

　　網(wǎng)關(guān)防火墻的一個(gè)挑戰(zhàn)就是能處理的流量，狀態(tài)檢測(cè)技術(shù)在大為提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度。狀態(tài)監(jiān)測(cè)技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類(lèi)網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。

　　任何一款高性能的防火墻，都會(huì)采用狀態(tài)檢測(cè)技術(shù)。

　　4. 復(fù)合型防火墻

　　復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過(guò)濾整合到防火墻里，其中還包括IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過(guò)濾與防火墻結(jié)合起來(lái)，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。

　　四類(lèi)防火墻的對(duì)比包過(guò)濾防火墻：包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)，包過(guò)濾防火墻不建立連接狀態(tài)表，前后報(bào)文無(wú)關(guān)，應(yīng)用層控制很弱。應(yīng)用網(wǎng)關(guān)防火墻：不檢查IP、TCP報(bào)頭，不建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)比較弱。狀態(tài)檢測(cè)防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報(bào)文相關(guān)，應(yīng)用層控制很弱。復(fù)合型防火墻：可以檢查整個(gè)數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)強(qiáng)，應(yīng)用層控制細(xì)，會(huì)話控制較弱。

　　好了今天小編的介紹就到這里了，希望對(duì)大家有所幫助!如果你喜歡記得分享給身邊的朋友哦!

相關(guān)文章：

1.防火墻的分類(lèi)及原理

2.防火墻是什么?工作原理又是什么?

3.【電腦知識(shí)】:防火墻的三種工作模式是什么?

4.詳解路由器的工作原理