一、基本特征
1.内外部网络之间的一切网络数据流都必须经过防火墙
2.只有符合安全策略的数据流的数据才能通过防火墙
3.防火墙本身就应该具备非常强的抗攻击和免疫力
4.应用层防火墙应该具备更精细的防护能力
5.数据库防火墙应该具备针对数据库恶意攻击的阻断能力
二、主要优点
1.防火墙具有强化安全策略的能力。
2.防火墙可以有效对Internet上的活动进行记录。
3.防火墙具有限制暴露用户点的能力,可以用来隔开网络中的网段,有效防止其中某一网段的出现问题时影响其他网段。
4.防火墙是一个检查站。所有输入输出的信息都必须通过防火墙的检查,确认安全才能通过,可疑的访问全都会被拒绝于门外。
三、基本功能
1.对进出网络的数据进行过滤
2.管理用户进出访问网络的行为
3.封堵禁止的业务
4.记录所有通过防火墙信息内容和活动
5.对网络攻击行为进行检测和告警
四、防火墙的分类
按照防火墙的实现方式可将防火墙分为下列几种:
1.包过滤防火墙:包过滤防火墙比较简单,但缺乏灵活性。而且包过滤防火墙每个包通过时都需要进行策略检查,一旦策略过多会导致性能的急剧下降。
2.代理型防火墙:安全性高,但开发成本也很高,如果每个应用都开发一个的代理服务的话是很难做到的。所以代理型防火墙需要针对某些业务应用,不适合很丰富的业务。
3.状态检测防火墙:属于高级通信过滤,在状态检测防火墙中,会维护着一个会话表项,通过Session表项就能判断连接是否合法访问,现在主流的防火墙产品多为状态检测防火墙。
五、防火墙的工作原理
防火墙的原理是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问。对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种,硬件防火墙和软件防火墙,都能起到保护作用并筛选出网络上的攻击者。防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务,包过滤技术是一种简单、有效的安全控制技术。它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。
但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址。目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
5.1 工作原理图
六、防火墙在网络隔离中的作用
1.通过过滤不安全的服务而降低风险,能够通过访问控制策略过滤非法的访问,提高内部网络安全性。
2.保护网络免受基于路由的攻击 能够限制恶意的访问。
3.强化网络安全策略 。
4.对网络存取和访问进行监控审计 ,具有日志记录功能。
5.利用防火墙对内部网络的划分,实现内部网重点或敏感网段的隔离。
七、防火墙中的包过滤技术
1.概念
??包过滤技术,是工作在TCP/IP协议的网络层,也叫分组过滤,它是根据数据
IP包头信息对网络流量进行处理的一种访问控制技术。即通过包头信息来制定过滤的规则,当这些包到达以后,就根据这些规则来判定这些包是放弃还是接收。
2.包过滤规则
??分组过滤是一种访问控制机制,它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。
3.分组过滤技术可以处理网络层的数据包
??
7.1 过滤规则表
(1) 因此依据源IP地址、目标IP地址、源端口、目标端口、包类型等IP包头信息,允许或拒绝IP包通过
●允许:允许包通过防火墙
●禁止:禁止包通过防火墙
(2) 例如:
??●第一条规则表示从源IP为10.1.1.*的网络中到任意一个IP地址都可以通过防火墙。
??●第二条规则表示,从任意一个主机到达10.1.1.2且源端口号大于1023,目的端口为80的TCP数据包可以通过防火墙。
??●最后一条表示凡是没有受到规则约束的消息都会被防火墙所抛弃。
八、包过滤的过程
所有未经授权的防火墙数据流量到达包过滤防火墙的时候,由于规则的限制会被抛弃,而经过授权的用户流量则可以通过防火墙。
8.1 过滤包过程图
1.制定包过滤规则应注意的问题
(1)最常用的规则放在前面,可以减少查询开销
(2)按从最特殊的规则到最一般的规则的顺序创建 便于规则的创立者或者用户明白规则表的含义
(3)配置过滤规则必须注意协议的双向性,即有些协议可以从外部向内部访问,也可以从内部向外部访问。
(4) “往内”与“往外”的含义,第一个指的是外网数据到达内网,第二个指的是内网数据到达外网。
(5) 规则表通常都有一条默认规则 ,往往在最后,比如说“如果之前的的规则都不通过,最后一条该如何处理这个访问”
2.包过滤技术的优缺点
(1)包过滤技术的优点
●包过滤技术的优点在于简单、易于使用,实现成本低。
●处理开销小,因为包过滤规则只处理IP包,因此对使用该技术的防火墙系统的性能影响不大。
(2)分组过滤技术的缺点
●当过滤规则较多时,对过滤规则表的管理和维护较为麻烦
●无法识别入侵
●无法识别恶意代码
●易遭受IP地址欺骗
(3)状态监测技术
?上面介绍过,包过滤技术虽然较简单,但是安全性能比较低。
?状态检测技术是指除了根据IP包的信息以外还要根据协议数据历史信息(状态信息)来实现包过滤功能的访问控制技术。
?状态检测技术也叫状态包过滤技术,顾名思义,状态检测既要根据IP包头信息也要根据协议的状态信息来制定过滤规则。
3.状态的含义
?在TCP/IP协议中,状态是指协议过去执行的历史信息。
?例如,对于TCP而言,要进行数据通信,必须建立三次握手,包含了三种状态信息,即SYN,ACK,SYNACK消息,这三种消息具有时间和顺序的关系,首先,三次握手的发起者,先向对方发送一条SYN消息,随后就会受到一条ACK消息,最后会发送一条SYNACK消息。我们可以对这种具有先后顺序的消息记录下来,就形成了TCP的三次握手的状态信息。
?因此对于使用TCP进行数据传输的应用来说,TCP的三次握手所建立的连接信息就是其状态。在TCP/IP协议族中,有些协议是有状态的协议(如TCP协议等),有些协议是无状态协议(如UDP协议等)。
?状态检测技术是工作在传输层,即它要处理传输层的数据包,所以状态包过滤除考虑IP头信息外,还将结合协议的状态来制定过滤规则 。
九、状态包过滤技术的优缺点
1.状态检测技术的优点
(1)安全性好
(2)灵活性强
(3)扩展性好
(4)应用范围广
2.状态检测技术的缺点
(1)计算开销大,因为需要对状态信息进行记录和查询
(2)处理速度慢
(3)规则管理复杂
十、防火墙的限制
防火墙并非万能,它仍然有许多在网上不能防范的攻击。现总结如下:
1.防火墙无法防范通过防火墙以外的其它途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在(如通过MODEM拨号),内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。这就为从后门攻击创造了极大的可能。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。
2.防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。
3.也不能防范这样的攻击:伪装成超级用户或诈称新雇员的攻击。
4.防火墙不能有效地防范像病毒这类东西的入侵。对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,只要一引导计算机就对病毒进行扫描。
5.最后一点是,防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。后面我们将会看到,在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式,并能减少数据驱动型攻击的威胁。
十一、防火墙的厂商介绍
1.防火墙/UTM/安全网关/下一代防火墙
天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、360、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光
2.入侵检测/防御
启明星辰、绿盟科技、网御星云、360、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全
3.无线入侵检测/防御
360、北京锐云通信、山东闻道通信
4.VPN
深信服、天融信、蓝盾、360、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、南京易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信
5.上网行为管理
360、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、H3C、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技
6.网络安全审计
天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多
7.网络流量控制
360、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信(IP-Guard)、东华软件、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络
8.网络流量分析
科来公司、东华软件、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络
来源:x594238758
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!