《防火墙技术介绍》由会员分享,可在线阅读,更多相关《防火墙技术介绍(5页珍藏版)》请在金锄头文库上搜索。
1、厂応見rfF rff if * * kX 3 tf-_F防火墙技术在互联网日趋庞大的今天,全世界到底存在多少个网络用户,我们无从得知, 但可以肯定的是,在这些网络用户中,存在着不少怀有恶意的黑客,这就像在一 个大城市中,会有一部分人是罪犯。在这种情形下,最安全的方法就是锁上门, 以此来保护自己的利益不受侵害。如果有人敲门,在让他进门之前,你必须有能 力判断来者的身份,对那些看起来危险的人,不应该让他进门。防火墙的检测功 能就与此类似,实时检查传来的包,并判断哪一个具有潜在的危险性。防火墙概念及原理防火墙是提供信息安全服务,实现网络和信息安全的基础设施。具体是指设 置在内部可信网络和外部不可信网
2、络之间或网络安全区域之间的安全网关。它是 不同网络或网络安全区域之间信息的唯一出入口,能根据企业的安全政策监视和 抛弃应用层的网络流量,且本身具有较强的抗攻击能力。一般情况下,防火墙保护网络包括在阻止非授权用户访问敏感数据的同时允 许合法用户无妨碍地访问网络资源。实际上可以将防火墙理解为一个实时的网络监视器和过滤器,它监视并分析 每一个通过防火墙的数据报文或应用请求,对可信赖的报文或应用请求允许通 过,对有害的或可疑的报文或应用请求禁止其通过。防火墙具有处理高速、操作 简便、逻辑漏洞少、安全系数高等特点,在当前互联网上黑客横行的情况下可以 用较少的投资获得比较可观的安全效应。防火墙的构建一般防
3、火墙的构建,不外是以下的几种类型:Inter net企业内部网防火墙网络架构一InternetS金业服务器群纽防火墙防火墙网络架构二Internet介订|/内胡;网防火墙的分类防火墙可根据技术防范的方式和侧重点的不同而分为很多种类型,但总体来 讲可分为包过滤、应用级网关和代理服务等几大类型。数据包过滤型防火墙:数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的 依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通 过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因 素,或它们的组合来确定是否允许该数据
4、包通过。只有满足过滤逻辑的数据包才 被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因 为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数 路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全 要求。所根据的信息来源于IP、TCP或UDP包头。包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层 和传输层,与应用层无关。但其弱点也是明显的:因为过滤判别的只有网络层和 传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤 规则的数目是有限制的,且随着规则
5、数目的增加,性能会受到很大地影响;由于 缺少上下文关联信息,不能有效地过滤如UDP、RPC 一类的协议;另外,大多数 过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素 质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较 深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。应用级网关型防火墙应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤 和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过 滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网 关通常安装
6、在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特 点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防 火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。代理服务型防火墙代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit LevelGat eways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包 过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火 墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链
7、接”,由两 个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服 务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当 发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信 流的作用。同时也常结合过滤器的功能。它工作在3SI模型的最高层,掌握着应 用系统中可用作安全决策的全部信息。复合型防火墙由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结 合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构:在该结
8、构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火 墙上过滤规则的设置,使堡垒机成为In terne t上其它节点所能到达的唯一节点, 这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个 分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。 在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火 墙的安全基础。防火墙在网络中的部署一般来说,防火墙置于内部可信网络和外部不可信网络之间。防火墙作为一 个阻塞点来监视和抛弃应用层的网络流量。防火
9、墙也可运行于网络层和传输层, 它在此处检查接受和送出包的IP和TCP报头,并丢弃一些包,这些包是基于已 编程的检测规则的。防火墙责任重大,不仅要承担所有的检测任务,而且要决定 是否进行其他的安全检查。它是内部网络仅有的一层保护。如果这些保护失败(或 者被入侵者绕过,或者保护层崩溃),内部网络就处于危险的状态。究竟在什么地方安装防火墙才能达到对网络流量进行监控的目的呢?应该将防火墙安装在公司内部网络与外部Internet的唯一接口处,以阻挡 来自外部网络的入侵。如果公司拥有规模较大的内部网络,并且设置有虚拟局域网(VLAN),则应该 在各个VLA N之间设置防火墙,防止机密信息向外泄漏。公网连接的总部与各分支机构之间也应该设置防火墙。如果有条件,还应该 将总部与各分支机构组成虚拟专用网(VPN)。总之,安装防火墙有一个基本原则,那就是:无论是内部网络之间还是内部 网络与外部公网之间的连接处,只要存在恶意侵入的可能,都应该安装防火墙, 做到防患于未然。
