防火牆技術

將本地網路連線到internet之後，internet上的計算機就能自由訪問本地網路中的計算機了。顯然，由於本地網路屬於同乙個組織，本地網路中的計算機相互之間都可以信任，而外部internet上的計算機可能來自任意地方，因此不可信任。如何給可信任的本地網路中的計算機提供資源，而不給其他internet上的計算機提供訪問或入侵的機會，同時又不妨礙本地網路中的計算機正常訪問internet，就成為了建立內部網路的乙個要求。

當然，針對每個計算機進行設定，也可以達到遮蔽外部網路訪問的目的。然而這樣做一方面不太方便，對每個計算機都要進行設定，另一方面不太安全，內部網路中不是每台計算機使用的作業系統都具備良好的保護措施，而外部網路中的計算機可以通過這些不安全的作業系統進入內部網路，提供了攻擊的途徑。因此更好的辦法是御入侵者於網路之外，在內部網路和外部網路中架設乙個防火牆，所有的訪問都需要經過它進行驗證，對內部網路提供了保護作用。

包過濾技術

為了對內部網路提供保護，就有必要對通過防火牆的資料報進行檢查，例如檢查其源位址和目的位址、埠位址、資料報的型別等，根據這些資料來判斷這個資料報是否為合法資料報，如果不符合預定義的規則，就不將這個資料報傳送到其目的計算機中去。由於包過濾技術要求內外通訊的資料報必須通過使用這個技術的計算機，才能進行過濾，因而包過濾技術必須用在路由器上。因為只有路由器才是連線多個網路的橋梁，所有網路之間交換的資料報都得經過它，所以路由器就有能力對每個資料報進行檢查。

通常的路由器都支援基本的包過濾能力，路由器在**ip資料報的時候，預設狀態並不涉及資料報中的內容，只是按照ip包的目的位址和本身的路由表進行**。為了使得它進行包過濾，就必須定義一系列過濾規則，使得路由器能進行過濾。通常情況下，過濾能針對ip位址、埠位址、連線型別等進行設定，還能夠針對資料報進行**，將資料報**到合適的計算機中。

在包過濾的條件下，內部網路的計算機還是直接和外部計算機相通訊的。由於這是直接在ip層工作，可以適合所有的應用服務，靈活性和效率都較高。但也存在缺點，比如不能了解應用協議的具體形式，也不能提供清晰的日誌記錄等。

**服務

**服務是另一種防火牆技術，與包過濾不同，它直接和應用服務程式打交道。它不會讓資料報直接通過，而是自己接收了資料報，並對其進行分析。當**程式理解了連線請求之後，它將自己啟動另乙個連線，向外部網路傳送同樣的請求，然後將返回的資料傳送回那個提出請求的內部網計算機。

雖然**伺服器不必連線到兩個網路上就能提供**服務，然而要想通過**伺服器限制網路之間的通訊，提供**服務的計算機必須連線到兩個網路上，所有的網路之間通訊都需要通過它的**才行，而不能直接連線到internet上。因此**伺服器也不能開啟包**能力，如果**伺服器同時也是路由器，那麼內部計算機就可以通過它的路由能力而非**能力在不同的網路之間通訊，**伺服器就起不到防火牆的作用。除非特定情況下，才能設定路由能力，此時也應該配置了更嚴格的包過濾規則，以保護網路安全。

在有**服務的情況下，內部網路的計算機必須配置具體的**服務使用的**伺服器，它只同**伺服器打交道，而由**伺服器傳送請求並返回結果。**伺服器必須要了解它要**的服務，並為每一種服務都提供詳細的訪問日誌記錄，並能針對不同的使用者進行認證。

一般來講，由於**伺服器要針對乙個請求啟動乙個**服務連線，因此**伺服器效率不高，但是如果針對具體的服務應用，可以在**伺服器上配置大量的緩衝區，通過緩衝區可以提高其工作效率，提供更高的效能。例如對於使用http**伺服器時，**伺服器就能在緩衝區中查詢到同樣的資料，因而不必再次訪問internet，減少了對寶貴的internet 頻寬的占用。**伺服器不僅是乙個防火牆技術，它還能用來提高訪問internet的效率。

常用的**伺服器有http**，ftp**等，所有的**服務能力都需要客戶軟體的支援，這也意味著當使用者要使用**功能的時候，需要設定客戶軟體，如瀏覽器，如果客戶軟體不支援**功能，就無法使用**伺服器。然而，為了減輕配置負擔、利用**伺服器的緩衝能力，可以設定一種透明**伺服器，這種方式不需要設定客戶軟體，通過設定路由器，將本來傳送到其他計算機的ip資料報，依據ip位址和埠**到**伺服器中。

網路位址翻譯

在tcp/ip開始開發的時候，沒有人會想象到它發展的如此之快。當前使用的ipv4位址空間為32位大小，因而位址資源已經十分緊張了。而下一代的ipv6還沒有得到大家的認可。freebsd雖然有支援ipv6的開發計畫，正由於整個internet上ipv6還沒有實施，因此freebsd還沒有將以開發的ipv6合併入正式發布的系統中去。

為了解決位址緊張的問題，提出了網路位址翻譯（network address translation,nat）的方法。nat能處理每個ip資料報，將其中的位址部分進行轉換，將對內部和外部ip進行直接對映，從一批可使用的ip位址池中動態選擇乙個位址分配給內部位址，或者不但轉換ip位址，也轉換埠位址，從而使得多個內部位址能共享乙個外部ip位址。

動態分配外部ip位址的方法只能有限的解決ip位址緊張的問題，而讓多個內部位址共享乙個外部ip位址的方式能更有效的解決ip位址緊張的問題。讓多個內部ip位址共享乙個外部ip位址，就必須轉換埠位址，這樣內部不同ip位址但具有同樣埠位址的資料報就能轉換為同乙個ip位址而埠位址不同，這種方法又被稱為埠位址轉換（port address translation, pat），或者稱為ip偽裝（ip masquerading）

網路位址翻譯也是乙個重要的防火牆技術，因為它對外隱藏了內部的網路結構，外部攻擊者無法確定內部計算機的連線狀態。並且不同的時候，內部計算機向外連線使用的位址都是不同的，給外部攻擊造成了困難。同樣nat也能通過定義各種對映規則，遮蔽外部的連線請求，並可以將連線請求對映到不同的計算機中。

網路位址翻譯都和ip資料報過濾一起使用，就構成一種更複雜的包過濾型的防火牆。僅僅具備包過濾能力的路由器，其防火牆能力還是比較弱，抵抗外部入侵的能力也較差，而和網路位址翻譯技術相結合，就能起到更好的安全保證。

主動監測技術

無論是包過濾，還是**服務，都是根據管理員預定義好的規則提供服務或者限制某些訪問。然而在提供網路訪問能力和防止網路安全方面，顯然存在矛盾，只要允許訪問某些網路服務，就有可能造成某種系統漏洞，然而如果限制太嚴厲，合法的網路訪問就受到不必要的限制。**型的防火牆的限制就在這個方面，必須為一種網路服務分別提供乙個**程式，當網路上的新型服務出現的時候，就不可能立即提供這個服務的**程式。事實上**伺服器一般只能**最常用的幾種網路服務，可提供的網路訪問十分有限。

為了在開放網路服務的同時也提供安全保證，必須有一種方法能監測網路情況，當出現網路攻擊時就立即告警或切斷相關連線。主動監測技術就是基於這種思路發展起來的，它維護乙個記錄各種攻擊模式的資料庫，並使用乙個監測程式時刻執行在網路中進行監控，當一旦發現網路中存在與資料庫中的某個模式相匹配時，就能推斷可能出現網路攻擊。由於主動監測程式要監控整個網路的資料，因此需要執行在路由器上，或路由器旁能獲得所有網路流量的位置。由於監測程式會消耗大量記憶體，並會影響路由器的效能，因此最好不在路由器上執行。

主動檢測方式作為網路安全的一種新興技術，由於需要維護各種網路攻擊的資料庫，因此需要乙個專業性的公司維護。理論上這種技術能在不妨礙正常網路使用的基礎上保護網路安全，然而這依賴於網路攻擊的資料庫和監測程式對網路資料的智慧型分析，而且在網路流量較大時，使用sniffing技術的監測程式可能會遺漏資料報資訊，因此這種技術主要用於要求較高，只用於對網路安全要求非常高的網路系統中，常用的網路並不需要使用這種方式。

防火牆技術

防火牆技術

穿透防火牆技術

防火牆技術（一）

防火牆技術

防火牆技術

穿透防火牆技術

防火牆技術（一）

相關推薦