新聞中心

防火墻原理入門

作者: 時(shí)間:2011-10-14 來源:網(wǎng)絡(luò) 收藏

本文引用地址:http://butianyuan.cn/article/155617.htm

能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,而且防火墻本身也必須能夠免于滲透。

  防火墻的五大功能

  一般來說,防火墻具有以下幾種功能:

  1.允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。

  2.可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報(bào)警。

  3.可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的地點(diǎn),利用NAT技術(shù),將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來,用來緩解地址空間短缺的問題。

  4.是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況,查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門級(jí)的計(jì)費(fèi)。

  兩種防火墻技術(shù)的對(duì)比

  包過濾防火墻

  優(yōu)點(diǎn)

  價(jià)格較低

  性能開銷小,處理速度較快

缺點(diǎn)

  定義復(fù)雜,容易出現(xiàn)因配置不當(dāng)帶來問題

  允許數(shù)據(jù)包直接通過,容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)


  代理防火墻

  內(nèi)置了專門為了提高安全性而編制的Proxy應(yīng)用程序,能夠透徹地理解相關(guān)服務(wù)的命令,對(duì)來往的數(shù)據(jù)包進(jìn)行安全化處理

  速度較慢,不太適用于高速網(wǎng)(ATM或千兆位以太網(wǎng)等)之間的應(yīng)用

  5.可以連接到一個(gè)單獨(dú)的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開,并在此部署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來講,就是所謂的停火區(qū)(DMZ)。

  防火墻的兩大分類

  盡管防火墻的發(fā)展經(jīng)過了上述的幾代,但是按照防火墻對(duì)內(nèi)外來往數(shù)據(jù)的處理方法,大致可以將防火墻分為兩大體系:包過濾防火墻和代理防火墻(應(yīng)用層網(wǎng)關(guān)防火墻)。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。

  1.包過濾防?

  第一代:靜態(tài)包過濾

  這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包,以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”,即明確允許那些管理員希望通過的數(shù)據(jù)包,禁止其他的數(shù)據(jù)包。



  圖1 簡(jiǎn)單包過濾防火墻

第二代:動(dòng)態(tài)包過濾

  這種類型的防火墻采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法,避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測(cè)(Stateful Inspection)技術(shù)。采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤,并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更綠蹌俊?



  圖2 動(dòng)態(tài)包過濾防火墻

  2. 代理防火墻

  第一代:代理防火墻

  代理防火墻也叫應(yīng)用層網(wǎng)關(guān)(Application Gateway)防火墻。這種防火墻通過一種代理(Proxy)技術(shù)參與到一個(gè)TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。

  所謂代理服務(wù)器,是指代表客戶處理在服務(wù)器連接請(qǐng)求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí),它們將核實(shí)客戶請(qǐng)求,并經(jīng)過特定的安全化的Proxy應(yīng)用程序處理連接請(qǐng)求,將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上,然后接受服務(wù)器應(yīng)答,并做進(jìn)一步處理后,將答復(fù)交給發(fā)出請(qǐng)求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。

第二代:動(dòng)態(tài)包過濾

  這種類型的防火墻采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法,避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測(cè)(Stateful Inspection)技術(shù)。采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤,并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更綠蹌俊?



  圖2 動(dòng)態(tài)包過濾防火墻

  2. 代理防火墻

  第一代:代理防火墻

  代理防火墻也叫應(yīng)用層網(wǎng)關(guān)(Application Gateway)防火墻。這種防火墻通過一種代理(Proxy)技術(shù)參與到一個(gè)TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。

  所謂代理服務(wù)器,是指代表客戶處理在服務(wù)器連接請(qǐng)求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí),它們將核實(shí)客戶請(qǐng)求,并經(jīng)過特定的安全化的Proxy應(yīng)用程序處理連接請(qǐng)求,將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上,然后接受服務(wù)器應(yīng)答,并做進(jìn)一步處理后,將答復(fù)交給發(fā)出請(qǐng)求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。

第二代:動(dòng)態(tài)包過濾

  這種類型的防火墻采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法,避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測(cè)(Stateful Inspection)技術(shù)。采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤,并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更綠蹌俊?



  圖2 動(dòng)態(tài)包過濾防火墻


上一頁 1 2 下一頁

關(guān)鍵詞: 入門 原理 防火墻

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉