1. 防火牆概念
定義:防火牆(
firewall
)是一種用來加強網路之間訪問控制的特殊網路互連裝置,是一種非常有效的網路安全模型。
核心思想:在不安全的網際網環境中構造乙個相對安全的子網環境。
目的:都是為了在被保護的內部網與不安全的非信任網路之間設立唯一的通道,以按照事先制定的策略控制資訊的流入和流出,監督和控制使用者的操作。
2. 防火牆的功能 (
1)網路安全的屏障;(
2)過濾不安全的服務(兩層含義):內部提供的不安全服務和內部訪問外部的不安全服務。 (
3)阻斷特定的網路攻擊;(聯動技術的產生)
--例如和入侵檢測技術聯動 (
4)部署
nat(網路位址轉換)機制; (
5)提供了監視區域網安全和預警的方便端點。提供包括安全和統計資料在內的審計資料,好的防火牆還能靈活設定各種報**式。
3. 防火牆的分類(個人防火牆、軟體防火牆、一般硬體防火牆和純硬體防火牆的特點、典型應用) (
1)個人防火牆:是安裝在個人
pc上的軟體,而不是放置在網路邊界,因此,個人防火牆關心的不是乙個網路到另外乙個網路的安全,而是單個主機和與之相連線的主機或網路之間的安全。 (
2)軟體防火牆:作為網路防火牆的軟體防火牆具有比個人防火牆更強的控制功能和更高的效能。 (
3)一般硬體防火牆:一般都採用
pc架構(就是一台嵌入式主機),使用的各個配件都量身定製。但是,這種防火牆使用的作業系統核心一般是固定的,是不可公升級的,因此新發現的漏洞對防火牆來說可能是致命的(4
)純硬體防火牆:採用專用晶元(非
x86晶元)來處理防火牆核心策略的一種硬體防火牆,也稱為晶元級防火牆。最大的亮點:高效能,非常高的併發連線數和吞吐量;採用
asic
晶元的方法在國外比較流行,國內採用的是
np技術。 以上
4種都屬於邊界防火牆(
perimeter firewall
),它無法對內部網路實現有效地保護。
4. 防火牆的侷限性 (
1)只能防範經過其本身的非法訪問和攻擊,對繞過防火牆的訪問和攻擊無能為力;(
2)不能解決來自內部網路的攻擊和安全問題; (
3)不能防止受病毒感染的檔案的傳輸;(
4)不能防止策略配置不當或錯誤配置引起的安全威脅; (
5)不能防止自然或人為的故意破壞;不能防止本身安全漏洞的威脅。
5. 資料報過濾
[網路層
]
●工作原理:
①系統在網路層檢查資料報,與應用層無關。
②依據在系統內設定的過濾規則
(通常稱為訪問控制表—
access control list
)對資料流中每個資料報包頭中的引數或它們的組合進行檢查,以確定是否允許該資料報進出內部網路。 ●
優點:邏輯簡單,**便宜,易於安裝和使用,網路效能和透明性好。 ●
主要缺點:①安全控制的力度只限於源位址、目的位址和埠號等,不能儲存與傳輸或與應用相關的狀態資訊,因而只能進行較為初步的安全控制,安全性較低;②資料報的源位址、目的位址以及埠號等都在資料報的頭部,很有可能被竊聽或假冒。
6. **服務
[應用層
]
●工作過程:當使用者需要訪問**伺服器另一側的主機時,對符合安全規則的連線,**伺服器會代替主機響應,並重新向主機發出乙個相同的請求。當此連線請求得到回應並建立起連線之後,內部主機同外部主機之間的通訊將通過**程式把相應連線進行對映來實現。對於使用者而言,似乎是直接與外部網路相連。 ●
優點:①內部網路拓撲結構等重要資訊不易外洩,減少黑客攻擊時所必需的必要資訊;②可以實施使用者認證、詳細日誌、審計跟蹤和資料加密等功能和對具體協議及應用的過濾,同時當發現被攻擊跡象時會向網路管理員發出警報,並保留攻擊痕跡,安全性較高。 ●
主要缺點:①
針對不同的應用層協議必須有單獨的應用**,也不能自動支援新的網路應用;②
有些**還需要相應的支援**的客戶
/ 伺服器軟體;使用者可能還需要專門學習程式的使用方法才能通過**訪問
internet
;③效能下降。
7. 狀態檢測
[檢測引擎
]
狀態檢測防火牆採用了乙個在閘道器上執行網路安全策略的軟體引擎,稱之為檢測模組。檢測模組在不影響網路正常工作的前提下,採用抽取相關資料的方法對網路通訊的各層實施監測,並動態地儲存起來作為以後制定安全決策的參考。
●工作過程:
①對新建的應用連線,狀態檢測檢查預先設定的安全規則,允許符合規則的連線;請求資料報通過,並記錄下該連線的相關資訊,生成狀態表。
②對該連線的後續資料報,只要符合狀態表,就可以通過。
●主要優點:① 高安全性(工作在資料鏈路層和網路層之間;「狀態感知」能力);② 高效性(對連線的後續資料報直接進行狀態檢查);③ 應用範圍廣(支援基於無連線協議的應用)
●主要缺點:在阻止ddos攻擊、病毒傳播問題以及高階應用入侵問題(如實現應用層內容過濾)等方面顯得力不從心。
8. nat(網路位址轉換)
[網路層]●
作用:①隱藏內部網路的
ip位址;②解決位址緊缺問題。 ●
分類及比較
(1)按實現方式:snat和dnat--靜態(static)網路位址轉換和動態(dynamic)網路位址轉換
比較:靜態位址翻譯:不需要維護位址轉換狀態表,功能簡單,效能較好;
動態轉換和埠轉換(pat):必須維護乙個轉換表,以保證能對返回的資料報進行正確的反向轉換,功能強大,但是需要的資源較多。
(2)按資料流向:snat和dnat--源(source)網路位址轉換和目標(destination)網路位址轉換
9. 網路安全產品的系統化:以防火牆為核心,各個產品相互分離,但是通過某種通訊方式形成乙個整體(防火牆聯動技術) --
本資料由
heki
總結整理
網路安全筆記之防火牆
lesson5 防火牆 u 防火牆可在鏈路層 網路層 應用層上實現隔離。可以基於物理的,基於邏輯的 防火牆可以用於內部網路不通的安全域之間 防火牆是被動防禦裝置。預先設定策略。u 防火牆的功能 網路安全的屏障 過濾不安全的服務 內部提供的不安全符合和內部訪問外部的不安全服務 隔斷特定的網路攻擊 聯動...
網路安全 硬體防火牆ASA
狀態防火牆 英語 stateful firewall 一種能夠提供狀態資料報檢查 stateful packet inspection,縮寫為spi 或狀態檢視 stateful inspection 功能的防火牆,能夠持續追蹤穿過這個防火牆的各種網路連線 例如tcp與udp連線 的狀態。這種防火牆...
網路安全 防火牆系統
支援透明 路由和混合三種工作模式。支援基於物件的網路訪問控制,包括網路層 應zz用層等多層次的訪問控制 支援url 指令碼 關鍵字 郵件等多種形式的內容過濾。支援多種網路位址轉換 nat 方式。支援多種認證方式,如本地認證 證書認證 radius認證 tacacs securld ldap 域認證等...