《防火墙技术概述》由会员分享,可在线阅读,更多相关《防火墙技术概述(14页珍藏版)》请在金锄头文库上搜索。
1、防火墙技术概述摘 要:防火墙是一种广泛使用的网络安全技术。本文主要介绍了几种防火墙技术以及防火墙的体系结构和它们的优缺点。关键词:防火墙 网络安全 Internet一、什么是防火墙对防火墙明确定义来自 AT&T 的两位工程师 Willam Cheswick 和 steven Beellovin,他们将防火墙定义为置于两个网络之间的一组构件或一个系统,它具有以下属性:(1):双向流通信息必须经过它;(2):只有被预定本定安全策略授权的信息流才被允许通过;(3):该系统本身具有很高的抗攻击性能;简言之:防火墙是在内部网与外部网之间实施安全防范的系统,它用于保护可信网络免受非可信网络的威胁,同时,仍
2、允许双方通信,目前,许多防火墙都用于 Internet 内部网之间(如图示) ,但在任何网间和企业网内部均可使用防火墙。防火墙内部网防火墙结构图二、防火墙的分类:防火墙的产生和发展已经历了相当一段时间,根据不同的标准,其分类方法也各不相同。按防火墙发展的先后顺序可分为;包过滤型(pack Filter)防火墙(也叫第一代防火墙) 。复合型(Hybrid)防火墙(也叫第二代防火墙) ;以及继复合型因特网防火墙之后的第三代防火墙;在第三代防火中最具代表性的有:IGA(Internet Gateway Appciance)防毒墙;Sonic wall 防火墙以及 Cink Tvust Cyberwa
3、ll 等。按防火墙在网络中的位置可分为:边界防火墙,分布式防火墙,分布式防火墙又包括主机防火墙,络防火墙。按实现手段可分为:硬件防火墙,软件防火墙,以及软硬兼施的防火墙。三、防火墙的技术防火墙的种类多种多样,在不同的发展阶段,采用的技术也各不相同,采用不同的技术,因而也就产生了不同类型的防火型。防火墙所采用的技术主要有:1、屏蔽路由技术最简单和最流行的防火墙形式是“屏蔽路由器” 。多数商业路由器具有内置的限制目的地间通信的能力。屏蔽路由器一般只在网络层工作(有的还包括传输层) ,采用包过滤或虚电路技术,包过滤通过检查每个网络包,取得其头信息,一般包括:到达的物理网络接口,源地址,目标地址,传输
4、层类型( ) ,源端口和目的端口。根据这些信息,判别是否规则集中的某条目匹配,并对匹配包执行规则中指定的动作(禁止或允许) 。包括滤系统通常可以重置网络包地址,从而流出的通信包看来不同于其原始主机地址转换() ,通过可以隐藏内部网络拓朴和地址表,而虚电路技术的核心是验证通信包是一个连接中的数据包(两个传输层之间的虚电路) 。首先,它检查每个连接的建立以确保其发生在合法的握手之后。并且,在握手完成前不转发数据包,系统维护一个有效连接表(包括完整的会话状态和序列信息) ,当网络包信息与虚电路表中的某一入口匹配时才允许包含数据的网络包通过。当连接终止后,它在表中的入口就被删除,从而两个会话层之间的虚
5、电路也就被关闭了。屏蔽路由器类型的防火墙的优点:性能要优于其他类型的防火墙,因为它执行较少的计算。并且,可以很容易地以硬件方式实现。规则设置简单,通过禁止内部计算机和特定 Internet 贺源的连接,单一规则即可保护整个网络。不需对客户端计算机进行专门的配置。 通过,可以对外部用户屏蔽内部。 其缺点是:无法识别到应用层协议,也无法对协议子集进行约束。处理包内信息的能力有限。通常不能提供其他附加功能,如 http 的目标缓存,过滤以及认证。无法约束由内部主机到防火墙服务器上的信息,只能控制什么信息可以过去,从而入侵者可能防问到防火墙主机的服务,从而带来安舍隐患,没有或缺乏审计追踪,从而也就缺乏
6、报警机制。由于对众多网络服务的“广泛“支持所造成的复杂性,很难对规则有效性进行测试。综上所述:屏蔽路由技术往往比较脆弱,因为它还要依赖其背后主机上应用软件的正确配置。因此,在使用此类型的防火墙时,通常配合其他系统使用。、2、基于代理的(也称应用网关)防火墙壁技术它通常被配置为“双宿主网关” ,具有两个网络接口卡,同时接入内部和外部网。由于网关可以与两个网络通信,它是安装传递数据软件的理想位置。这种软件就称为“代理” ,通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务通信,而是与代理服务器通信(用户的默认网关指向代理服务器) 。各个应用代理在用户和服务之间处理所有的通信。能够对通过它
7、的数据进行详细的审计追踪,许多专家也认为它更加安全,因为代理软件可以根据防火墙后面的主机的脆弱性来制定,以专门防范已知的攻击。如图所示应用层传输层外部网链路层内部网物理层代理服务原理结构代理防火墙的主要优点:代理服务可以识别并实施高层的协议,如 http 和 ftp 等。代理服务包含通过防火墙服务器的通信信息,可以提供源于部分传输层,全部应用层和部分会话层的信息。代理服务可以用于禁止防问特定的网络服务,而允许其他服务的使用。 代理服务能处理数据包通过提供透明服务,可以让使用代理的用户感觉在直接与外部通信。 代理服务还可以提供屏蔽路由器不具备的附加功能。代理防火墙的主要缺点代理服务有性能上的延迟
8、,因为流入数据需要被处理两次(应用程序和其代理)代理防火墙一般需要客户端的修改或设置,因此,配置过程繁琐。代理由于通常需要附加的口令和认证而造成延迟,可以会给用户带来不便。应用级防火墙一般不能提供 UDP,RPC 等特殊协议类的代理。应用层有时会忽略那些底层的网络包信息。3、包过滤技术系统按照一定的信息过滤规则,对进出内部网络的信息进行限制,允许授权信息通过,而拒绝非授权信息通过。包过虎防火墙工作在网络层和逻辑链路层之间。截获所有流经的 IP 包,从其 IP 头、传输层协议头,甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较,执行其相关的动作。
9、其原理和结构如图之示:包过过例路由器网络层链路层物理层包过滤路结构4、动态防火墙技术它是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口,IP 地址的输入输出业务,因而限制了控制能力,并且由于网络的所有高位(102465535)端要么开放,要么关闭,使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则,使其适应不断改变的网络业务量。根据用户的不同要求,规则能被修改并接受或拒绝条件。具体地讲,动态防火墙技术并不是根据状态来对包进行有效性检查,而是通过为每个会话维护其状态信息,来提供一种防御措施和方法。它可分辨通讯是初始请求外部网内部网还是对请求的回应,即是否
10、是新的会话通讯,以实现“单向规则”即在过滤规则中可以只允许一个方向上的通迅。在该方向上的初始请求被允许和记录后,其连接的另一方向的回应也将被允许,这样不必在过滤规则中为其回应考虑,大大减少过滤规则的数量和复杂性。同时,它还为协议和服务的过滤提供了理想解决方案,能很好地实现“只允许内部访问外部”的策略,使内部网络更安全。从处部看,在没有合法的通讯时,除规则则允许外部访问的所有内部主机端口开放。并且当连接结束进,也随之关闭;而从内部看,除规则明确拒绝处,所有外部资源都是开放的,并且它还为一些针对 TCP 的攻击提供了在包过滤上进行防御的手段。动态防火墙技术的实现动态防火墙为了跟踪维护连接状态,它必
11、须对所有进出的数据包进行分析,从其传输层,应用层中提取相关的通讯和应用状态信息,根据其源和目的 IP 地址,传输层协议和源及目的端口来区分每一连接,并建立动态连接表为所有连接存储其状态和上下文信息;同时为检查后续通讯。应及时更新这些信息,当连接结束时,也应及时从连接表中删除其相应信息。其原理如图 3 示:客户机 服务器动态防火墙的结构 动态连接表是动态防火墙技术的核心,对所有进出的数据包,首先在动态连接表中查找相应的连接表项,若其存在,便可得到过滤结果,否则,查找相应过滤规则,并为某创建一连接表项。这样,就不必为每个数据包都在过滤规则中依次进行比较来查找响应规则,从而大大提高了过滤效率和网络通
12、讯速度,动态包过滤记录连接表中Src port dst pohSrc port dst poh在连接表中查找但是,动态防火墙包过滤技术在实现中也有一些缺陷;它通过检查关键词来实现对应用协议和数据的过滤,但无法对跨分组的关键词进行检查,而且一旦过滤掉分组后,它只能简单地关闭连接,不会向源端传送任何错误信息。5、一种改进的防火墙技术(或称复合型防火墙技术)由于过滤型防火墙安全性不高,代理服务器型防火墙速度较慢,因而出现了一种综合上述两种技术优点的改进型防火墙技术,它保证了一定的安全性,又使通过它的信息传输速度不至于受到太大的影响,其系统结构如图 5 所示:复合型防火墙在上述防火墙结构中,对于那些从
13、内部网向外部网发出的请求,由于对内部网的安全威胁不大,因此可直接下外部网建立连接,对于那些从外部网向内部网提出的请求,先要通过包过滤型防火墙,在此经过初步安全检查, ,两次检查确定无疑后可接受其请求,否则,就需要丢弃或作其它处理。四 防火墙的功能评价如何评价防火墙是一个复杂的问题,因为用户在这方面有不同的需求,很难给出统一的标准,一般说来,防火墙的安全和性能(速度等)是最主要的指标,从安全需求来看,理想的防火墙应具有以下功能:1、访问控制通过防火墙的包内容设置:包过滤防火墙的过滤规则集由若干条规则组成,它应涵盖对所有出入防火墙的数据包的处理方法,对于没有明确定义的数据包,应该有一具缺省处理方法
14、;过滤规则应易于理解,易于编辑修改;同时应具备一致信检测机制,防止冲突。IP 包过滤的依据主要是根据 IP 包头部信息如源地址和目的地址进行过滤,如果 IP 头中的协议字段表明封装协议为ICMP、TCP 或 UDP,那么再根据 ICMP 头信息(类型和代码值) 、TCP 头信息(源端口和目的端口)或 UDP 头信息(源端口和目的端口)执行过滤,其他的还有 MAC 地址过滤。应用层协议过滤要求主要包括 FTP 过滤、基于 UDP的应用服务过滤要求以及动态包过滤技术等。在应用层提供代理支持:指防火墙是否支持应用层代理,如HTTP、FTP、TELNET、SNMP 等。代理服务在确认客户端连接请求有效
15、后接管在连接,代为服务器发出连接请求,代理服务器应根据服务器的应答,决定如何响应客户端请求,代理服务进程与服务器端的连接) 。为确认连接的唯一性与时效性,代理进程应当维护代理连接表或相关数据库(最小字段集合) ,为提供认证和授权,代理进程应当维护一个扩展字段集合。在传输层提供代理支持:指防火墙是否支持传输层代理服务。允许 FTP 命令防止某些类型文件通过防火墙:指是否支持 FTP 文件类型过滤。用户操作的代理类型;应用层高级代理功能,如 HTTP、POP3。支持网络地址转换(NAT):NAT 指将一个 IP 地址或映射到另一个 IP 地址域,从而为终端主机提供透明路由的方法。NAT 常用于私有
16、地址或与公有地域的转换以解决 IP 地址匮乏问题。在防火墙上实现 NAT 后,可以隐藏受保护网络的内容结构,在一定程度上提高了网络的安全性。支持硬件口令、智能卡:是否支持硬件口令、智能卡等,这是一种比较安全的身份认证技术。2、防御功能支持病毒扫描:是否支持防病毒功能,如扫描电子邮件中的 DOC 和 ZIP文件,FTP 中的下载或上载文件内容,以发现其中包含的危险信息。提供内容过滤:是否支持内容过滤,信息内容过滤指防火墙在HTTP、FTP、SMTP 等协议层,根据过滤条件,对信息流进行控制,防火墙控制的结果是;对允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指 URL、HTTP 携带的信息:Java Applet、javascript、ActiveX和电子邮件中的 Subject、To、From 域等。能防御的 DOS 攻击类型:拒绝服务攻击(DoS)就是攻击者过多地占
