《2020年(工作分析)网络工作原理分析与应用》由会员分享,可在线阅读,更多相关《2020年(工作分析)网络工作原理分析与应用(8页珍藏版)》请在金锄头文库上搜索。
1、防火墙技术与工作原理1.防火墙技术术语解释防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象,真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的,在图标中有一个二极管图标。而二极管我们知道,它具有单向导电性,这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总
2、是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的通信通过,也可以说具有“单向导通”性。防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢
3、?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。2.防火墙工作原理及应用随着计算机网络技术的发展,网络安全事故在逐年增多,防火墙是一种行之有效的网络安全机制,它在网络内部和外部之间实施安全防范的系统。通过防火墙能够定义一个接入访问控制要求并且保证仅当流量或数据匹配这个要求的时候才能穿越防火墙或者接入被保护的系统。从根本上说,防火墙偶能力执行以下工作:管理和控制网络流量;认证接入;担当中间媒介;保护资源;报告和记录事件。防火
4、墙是一个访问控制策略强制执行点,而无论其设计和实施有多么复杂。防火墙通过检查所接收到的数据和跟踪链接判定什么样的数据应该被允许,什么样的数据应该被拒绝,另外,防火墙也可以作为对被保护主机发起的中间媒介和代理,同时提够了一套接入访问认证方法去更好的保证只有被许可的访问才能被允许接入。通过正确的实施和配置防火墙来升级安全策略去最小化威胁所造成的风险。尽管防火墙不能阻止所有的攻击,但是它仍然是保护资源的最好方式之一,并且不可否认的是,通过防火墙来保护资源肯定优于不使用防火墙,我们需要了解不同类型的防火墙安全策略和如何去构建一个高效的安全策略。无可厚非,在配置防火墙之前最重要的事情便是选择防火墙的放置
5、位置。一个周密有效的设计方案是成功保护网络资源最重要的一步。对于放置的位置选择,通常是将防火墙放置在被保护网络资源的前方会起到一定程度的保护作用,但是如果通过详细了解需要保护的资源的情况与防火墙的自身功能后进行方案设计及实施,将会更加全面地保护网络不受侵害,更好的发挥防火墙在网络中的作用。总而言之,需要做预先的设计工作以使防火墙安置在能够发挥其效率并符合整体网络策略的位置。A防火墙技术原理及分类:1防火墙系统的工作原理因实现技术不同,大致可分为三种。包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则,通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉
6、,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如UDP和RPC难以有效的过滤。代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查
7、站”就是代理服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。代理服务器是针对某种应用服务而写的,工作在应用层。优点:它将内部用户和外界隔离开来,使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比,代理技术是一种更安全的技术。缺点:在应用支持方面存在不足,执行速度较慢。状态监视技术是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤 进出的数据包。它允许受信任的客户机和不受
8、信任的主机建立直接连接,不依靠 与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通 过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在 过滤数据包上更有效。 状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理1。2从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火
9、墙和硬件防火墙以及芯片级防火墙。软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。硬件防火墙是指针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的
10、操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。硬件防火墙是指针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。芯片级防火墙基于专
11、门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。B防火墙系统:这里,我们不把防火墙理解为一台设备,而把它理解为用来控制进出于被保护网络的数据流的设备所组成的系统。这样,通过防火墙的层次化设计使其可以不依赖其他设备的情况下实现所有的过滤功能。防火墙系统层次取决于选择单一防火墙架构或者双重防火墙架构的实施2。在单一防火墙架构的情况下,防火墙系统可以由3个层次组成:外部路由器;外
12、部路由器与防火墙间网络分段区域;DMZ分段区域。在防火墙系统的最外层,外部路由器是第一个可以控制数据流进入和离开网络的控制点。唯一应该允许穿过外部路由器的数据流应该为目的地是防火墙或受防火墙保护的资源。这样做有两个目的,第一,因为只有应该转发给防火墙的数据才会现在在此分段区域中,也就是使监控防火墙与外部路由器间分段区域的数据流变得简单;第二,能够保护防火墙使其不去接受未被允许的流量,尤其当一些情况下防火墙存在一些安全漏洞容易被某些数据流攻击时,使这些攻击数据在外部路由器便被丢弃,保证防火墙的正常运行。需要注意的是除了保护防火墙和保护内部资源之外,路由器自己也要作相应设置来使外部威胁不会直接威胁
13、到路由器本身。外部路由器与内部防火墙间的分段区域是第一个需要放置入侵检测 系统和入侵防御系统的地方。因为只有被明确允许的数据流才会穿越路由器到达此分段区域,入侵检测系统和入侵防御系统可以配置成当它检测到未被允许的流量时,便发出警报。这将在某些外部路由器失去过滤功能的时候产生警告信息。防火墙本身工作在下一层,它要配置入站以及出站方向的过滤来使得只有DMZ或内部分段区域需要的数据才允许通过。允许数据从外部源访问内部源的情况是一定要避免的。在DMZ分段区域内的资源应该同时被基于主机的防火墙、基于主机及网络的入侵检测系统和入侵防御所保护。通过实施以上措施,服务器本身便可以明确禁止或允许某些流量进入。这
14、一步有效地提供单独并且不同的过滤层:外部路由器、防火墙和主机自己来保护在DMZ分段区域中的资源。最后,内部网络被实施了过滤策略的外部路由器、防火墙以及防火墙和内部网络之间的入侵检测系统和入侵防御保护起来,其中入侵检测系统和入侵防御保护起来用来支持标识并且监控所有来自于防火墙的流量。C高效防火墙的设计:在防火墙的高可用性(HA)和冗余通常以两种工作方式工作:活动/被动容错机制;活动/活动容错机制。无论哪一种容错方式,防火墙HA在这两种方式中的配置是一样的。在活动/被动系统中,一天防火墙会主动传输流量,同时另一台防火墙完全被动,而不会传输任何流量。如果活动防火墙应为某些愿意而瘫痪后,被动防火墙将成
15、为活动防火墙,以允许流量能持续的传输。在活动/活动系统中,每一台防火墙都能传输流量,而通常定义了不同的安全侧重点。该侧重点是指在任何给定时间,物理上的防火墙所负责执行的功能和策略规则。每一台防火墙都是其各自DMZ分段区域中的活动防火墙,防火墙1用于DMZ1,防火墙2用于DMZ2。如果由于某些原因导致防火墙2瘫痪,那么原来指向DMZ2的流量将重新定向到防火墙1,即这些流量将直接传递到DMZ1中。要重点注意到是,大多数情况下,在活动/活动配置下的防火墙是不能同时穿越同样的流量。举例来说,防火墙1和防火墙2不能同时执行同样的策略规则来在同一个DMZ分段区域允许流量。其中一台防火墙是主防火墙,用来处理所有的流量,如图中防火墙1和DMZ1,另一台防火墙是从防火墙,只在主防火墙瘫痪以后才处理流量,如图中防火墙2和DMZ2。在活动/活动配置中的主要优势在于不会让整体防火墙以及相关硬件闲置,除非是坏掉了。活动/活动配置同时还能允许你实施基本的负载均衡,支持让一台防火墙处理一部分流量负载,另一台防火墙处理另一部分。
