文档介绍:防火墙基础知识
防火墙的概念
防火墙是指隔离在本地网络与外界网络系统之间的防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络平安模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与平安区就会降到不能忍受的程度。)
防火墙的主要技术
包过滤技术
代理效劳技术
主动检测技术
包过滤技术
包过滤事实上基于路由器的技术,由路由器的对IP包进展选择,允许或拒绝该数据包通过。
为了过滤,必须要制定一些过滤规那么〔访问控制表〕,过滤的根据有(只考虑IP包):
源、目的IP地址
源、目的端口:FTP、HTTP、DNS等
数据包协议类型:TCP、UDP、ICMP等
数据包流向:in或out
数据包流经网络接口:Eth0、Eth1
包过滤防火墙工作示意图
设置实例
包过滤优缺点
优点:
简单
较强的透明性
过滤路由器速度快,效率高。
包过滤优缺点
缺点:
配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协议有深入的了解,否那么容易出现因配置不当带来的问题;
过滤判别的只有网络层和传输层的有限信息,因而各种平安要求不能得到充分满足;
由于数据包的地址及端口号都在数据包的头部,不能彻底防止地址欺骗;
允许外部客户和内部主机的直接连接;
不提供用户的鉴别机制。
Application-level Gateway
代理效劳技术
代理效劳技术
也称为应用级网关它不让数据包直接通过,而是自己接收数据,并对其进展分析。“可信赖〞的效劳才能通过。
代理效劳器必须了解所要代理的效劳,并为每一种效劳提供详细的访问日志记录,能针对不同的使用者进展认证。
常用的代理效劳器有HTTP代理,FTP代理等。
应用级网关防火墙工作示意图
应用级网关防火墙的特点
应用网关代理的优点是易于配置,界面友好;不允许内外网主机的直接连接;可以提供比包过滤更详细的日志记录,例如在一个HTTP连接中,包过滤只能记录单个的数据包,无法记录文件名、URL等信息;可以隐藏内部IP地址;可以给单个用户授权;可以为用户提供透明的加密机制;可以与认证、授权等平安手段方便的集成。代理技术的缺点是:代理速度比包过滤慢;代理对用户不透明,给用户的使用带来不便,而且这种代理技术需要针对每种协议设置一个不同的代理效劳器。
一个Telnet应用代理的过程
用户首先Telnet到应用网关主机,并输入内部目标主机的名字〔域名、IP地址〕
应用网关检查用户的源IP地址等,并根据事先设定的访问规那么来决定是否转发或拒绝
然后用户必须进展是否验证〔如一次一密等高级认证设备〕
应用网关中的代理效劳器为用户建立在网关与内部主机之间的Telnet连接
代理效劳器在两个连接〔用户/应用网关,代理效劳器/内部主机〕之间传送数据
应用网关对本次连接进展日志记录
状态检测包过滤技术
启动一个监测程序对网络进展监控,当出现网络攻击时立即告警或切断相关连接。
用于平安性非常高的网络系统,消耗内存大。
防火墙的设计
防火墙的平安策略
〔1〕每一个没有明确允许的都被拒绝
常用,但操作困难,并有可能拒绝网络用户的正常需求与合法效劳
〔2〕每一个没有明确拒绝的都允许
很少考虑,因为这样的防火墙可能带来许多风险和平安问题。攻击者完全可以使用一种拒绝策略中没有定义的效劳而被允许并攻击网络
防火墙的分类
从使用技术上分
包过滤技术
代理效劳技术
状态检测技术
从实现形式分
软件防火墙
硬件防火墙
芯片级防火墙
防火墙的分类
从部署位置分
个人防火墙
网络防火墙
混合防火墙
防火墙技术的实现
Windows 防火墙的应用
拦截ping包
模拟器上访问控制列表的介绍
防火墙开展历程
第一阶段:基于路由器的防火墙
第二阶段:用户化的防火墙工具套
第三阶段:建立在通用操作系统上的防火墙
第四阶段:具有平安操作系统的防火墙
对防火墙产品开展的介绍
第一代防火墙产品的特点是:
利用路由器本身对分组的解析,以访问控制表〔access list〕方式实现对分组的过滤;
过滤判决的依据可以是:地址、端口号、IP旗标及其它
网络特征;
只有分组过滤的功能,且防火墙与路由器是一体的,对
平安要求低的网络可采用路由器附带防火墙功能的方法,
对平安性要求高的网络那么可单独利用一台路由器作防火墙。
第一阶段:基于路由器的防火墙
第一阶段:基于路由器的防火墙
第一代防火墙产品的缺乏之处为:
路由协议十分灵活,本身具有平安漏洞,外部网络要探寻内