• 防火墻的工作技術分類與基礎原理

    四種技術介紹
    服務器君一共花費 10.098 ms 進行了 4 次數據庫查詢,努力地為您提供了這個頁面。
    廣告很萌的

    防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,有選擇地接受外部訪問,對內部強化設備監管、控制對服務器與外部網絡的訪問,在被保護網絡和外部網絡之間架起一道屏障,以防止發生不可預測的、潛在的破壞性侵入。

    防火墻有兩種,硬件防火墻和軟件防火墻,他們都能起到保護作用并篩選出網絡上的攻擊者。在這里主要給大家介紹一下我們在企業網絡安全實際運用中所常見的硬件防火墻。

    防火墻技術分類

    防火墻技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。

    包過濾技術是一種簡單、有效的安全控制技術,它通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規則,對通過設備的數據包進行檢查,限制數據包進出內部網絡。包過濾的最大優點是對用戶透明,傳輸性能高。但由于安全控制層次在網絡層、傳輸層,安全控制的力度也只限于源地址、目的地址和端口號,因而只能進行較為初步的安全控制,對于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段,則無能為力。

    狀態檢測是比包過濾更為有效的安全控制方法。對新建的應用連接,狀態檢測檢查預先設置的安全規則,允許符合規則的連接通過,并在內存中記錄下該連接的相關信息,生成狀態表。對該連接的后續數據包,只要符合狀態表,就可以通過。這種方式的好處在于:由于不需要對每個數據包進行規則檢查,而是一個連接的后續數據包(通常是大量的數據包)通過散列算法,直接進行狀態檢查,從而使得性能得到了較大提高;而且,由于狀態表是動態的,因而可以有選擇地、動態地開通1024號以上的端口,使得安全性得到進一步地提高。

    1. 包過濾技術

    包過濾防火墻一般在路由器上實現,用以過濾用戶定義的內容,如IP地址。包過濾防火墻的工作原理是:系統在網絡層檢查數據包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴展能力強。但是,包過濾防火墻的安全性有一定的缺陷,因為系統對應用層信息無感知,也就是說,防火墻不理解通信的內容,所以可能被黑客所攻破。

    包過濾防火墻工作原理圖

    包過濾防火墻工作在網絡層,對數據包的源及目地IP具有識別和控制作用,對于傳輸層,也只能識別數據包是TCP還是UDP及所用的端口信息。現在的路由器、Switch Router以及某些操作系統已經具有用Packet Filter控制的能力。?

    由于只對數據包的IP地址、TCP/UDP協議和端口進行分析,包過濾防火墻的處理速度較快,并且易于配置。?

    包過濾防火墻具有根本的缺陷:?

    1. 不能防范黑客攻擊。包過濾防火墻的工作基于一個前提,就是網管知道哪些IP是可信網絡,哪些是不可信網絡的IP地址。但是隨著遠程辦公等新應用的出現,網管不可能區分出可信網絡與不可信網絡的界限,對于黑客來說,只需將源IP包改成合法IP即可輕松通過包過濾防火墻,進入內網,而任何一個初級水平的黑客都能進行IP地址欺騙。?
    2. 不支持應用層協議。假如內網用戶提出這樣一個需求,只允許內網員工訪問外網的網頁(使用HTTP協議),不允許去外網下載電影(一般使用FTP協議)。包過濾防火墻無能為力,因為它不認識數據包中的應用層協議,訪問控制粒度太粗糙。?
    3. 不能處理新的安全威脅。它不能跟蹤TCP狀態,所以對TCP層的控制有漏洞。如當它配置了僅允許從內到外的TCP訪問時,一些以TCP應答包的形式從外部對內網進行的攻擊仍可以穿透防火墻。?

    綜上可見,包過濾防火墻技術面太過初級,就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他(她)進入一樣,難以履行保護內網安全的職責。?

    2. 應用網關防火墻

    應用網關防火墻檢查所有應用層的信息包,并將檢查的內容信息放入決策過程,從而提高網絡的安全性。然而,應用網關防火墻是通過打破客戶機/服務器模式實現的。每個客戶機/服務器通信需要兩個連接:一個是從客戶端到防火墻,另一個是從防火墻到服務器。另外,每個代理需要一個不同的應用進程,或一個后臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。所以,應用網關防火墻具有可伸縮性差的缺點。

    應用網關防火墻工作原理圖

    應用代理網關防火墻徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火墻對外網的訪問,然后再由防火墻轉發給內網用戶。所有通信都必須經應用層代理軟件轉發,訪問者任何時候都不能與服務器建立直接的TCP連接,應用層的協議會話過程必須符合代理的安全策略要求。?

    應用代理網關的優點是可以檢查應用層、傳輸層和網絡層的協議特征,對數據包的檢測能力比較強。?

    缺點也非常突出,主要有:?

    • 難于配置。由于每個應用都要求單獨的代理進程,這就要求網管能理解每項應用協議的弱點,并能合理的配置安全策略,由于配置繁瑣,難于理解,容易出現配置失誤,最終影響內網的安全防范能力。?
    • 處理速度非常慢。斷掉所有的連接,由防火墻重新建立連接,理論上可以使應用代理防火墻具有極高的安全性。但是實際應用中并不可行,因為對于內網的每個Web訪問請求,應用代理都需要開一個單獨的代理進程,它要保護內網的Web服務器、數據庫服務器、文件服務器、郵件服務器,及業務程序等,就需要建立一個個的服務代理,以處理客戶端的訪問請求。這樣,應用代理的處理延遲會很大,內網用戶的正常Web訪問不能及時得到響應。?

    總之,應用代理防火墻不能支持大規模的并發連接,在對速度敏感的行業使用這類防火墻時簡直是災難。另外,防火墻核心要求預先內置一些已知應用程序的代理,使得一些新出現的應用在代理防火墻內被無情地阻斷,不能很好地支持新應用。?

    在IT領域中,新應用、新技術、新協議層出不窮,代理防火墻很難適應這種局面。因此,在一些重要的領域和行業的核心業務應用中,代理防火墻正被逐漸疏遠。?

    但是,自適應代理技術的出現讓應用代理防火墻技術出現了新的轉機,它結合了代理防火墻的安全性和包過濾防火墻的高速度等優點,在不損失安全性的基礎上將代理防火墻的性能提高了10倍。?

    3. 狀態檢測防火墻

    狀態檢測防火墻基本保持了簡單包過濾防火墻的優點,性能比較好,同時對應用是透明的,在此基礎上,對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包,不關心數據包狀態的缺點,在防火墻的核心部分建立狀態連接表,維護了連接,將進出網絡的數據當成一個個的事件來處理。可以這樣說,狀態檢測包過濾防火墻規范了網絡層和傳輸層行為,而應用代理型防火墻則是規范了特定的應用協議上的行為。

    狀態檢測防火墻工作原理圖

    我們知道,Internet上傳輸的數據都必須遵循TCP/IP協議,根據TCP協議,每個可靠連接的建立需要經過“客戶端同步請求”、“服務器應答”、“客戶端再應答”三個階段,我們最常用到的Web瀏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包并不是獨立的,而是前后之間有著密切的狀態聯系,基于這種狀態變化,引出了狀態檢測技術。

    狀態檢測防火墻摒棄了包過濾防火墻僅考查數據包的IP地址等幾個參數,而不關心數據包連接狀態變化的缺點,在防火墻的核心部分建立狀態連接表,并將進出網絡的數據當成一個個的會話,利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態,因此提供了完整的對傳輸層的控制能力。

    網關防火墻的一個挑戰就是能處理的流量,狀態檢測技術在大為提高安全防范能力的同時也改進了流量處理速度。狀態監測技術采用了一系列優化技術,使防火墻性能大幅度提升,能應用在各類網絡環境中,尤其是在一些規則復雜的大型網絡上。

    任何一款高性能的防火墻,都會采用狀態檢測技術。

    4. 復合型防火墻

    復合型防火墻是指綜合了狀態檢測與透明代理的新一代的防火墻,進一步基于ASIC架構,把防病毒、內容過濾整合到防火墻里,其中還包括VPN、IDS功能,多單元融為一體,是一種新突破。常規的防火墻并不能防止隱蔽在網絡流量里的攻擊,在網絡界面對應用層掃描,把防病毒、內容過濾與防火墻結合起來,這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描,實現了實時在網絡邊緣布署病毒防護、內容過濾等應用層服務措施。

    復合型防火墻工作原理圖

    四類防火墻的對比

    • 包過濾防火墻:包過濾防火墻不檢查數據區,包過濾防火墻不建立連接狀態表,前后報文無關,應用層控制很弱。
    • 應用網關防火墻:不檢查IP、TCP報頭,不建立連接狀態表,網絡層保護比較弱。
    • 狀態檢測防火墻:不檢查數據區,建立連接狀態表,前后報文相關,應用層控制很弱。
    • 復合型防火墻:可以檢查整個數據包內容,根據需要建立連接狀態表,網絡層保護強,應用層控制細,會話控制較弱。
更多 推薦條目

Welcome to NowaMagic Academy!

現代魔法 推薦于 2013-02-27 10:23   

本章最新發布
隨機專題
  1. [移動開發] Android里的ContentValues 2 個條目
  2. [PHP程序設計] httpd.conf設置相關 3 個條目
  3. [移動開發] 刷機與root相關 2 個條目
  4. [PHP程序設計] PHP數組的遍歷 7 個條目
  5. [Python程序設計] urls.py設置技巧 8 個條目
  6. [Python程序設計] Django數據庫模型 6 個條目
  7. [運維管理] 路由器與交換機 4 個條目
  8. [PHP程序設計] 編程范式初探 3 個條目
  9. [移動開發] Android抽屜導航NavigationDrawer 5 個條目
  10. [數據庫技術] 數據庫范式篇 5 個條目
  11. [智力開發與知識管理] 超越整體性學習 5 個條目
  12. [移動開發] Layout_weight屬性解析 5 個條目
窗口 -- [博客]
燃烧吧足球登陆