防火牆技術（一）

目前，保障網路安全的有效措施主要有：防火牆、身份認證、加密、數字簽名和內容檢查等。

防火牆是指設定在不同網路或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網路的資訊流，且本身具有較強的抗攻擊能力。它是提供資訊保安服務、實現網路和資訊保安的基礎設施。

在邏輯上，防火牆是乙個分離器，乙個限制器，也是乙個分析器，有效地監控了內部網和internet之間的任何活動，保證了內部網路的安全。

新一代的防火牆甚至可以阻止內部人員將敏感資料向外傳輸。

防火牆由軟體和硬體構成，軟體可以是專門軟體、共享軟體或免費軟體，而硬體是支援軟體的任何硬體。

防火牆的型別：

1）網路級防火牆

2）應用閘道器防火牆

網路級防火牆：一般是具有很強報文過濾能力的路由器，使用網路級防火牆，可以設定許多變數來允許或拒絕對站點的訪問。這些變數包括：

1）源位址

2）協議

3）埠號

4）內容

基於路由器的防火牆非常流行，因為容易實現（只需插入機器並提供一些規則）。而且，大多數新路由器很好的承擔了處理雙工介面的工作（在防火牆中來自外部的ip報文將被轉換成內部使用的真正協議的報文）。

基於路由器的防火牆是乙個邊界解決方案。即，路由器是外部裝置，避免了打擾內部正常工作的可能。

基於路由器的防火牆的缺點：

1）許多路由器對欺騙性的攻擊很脆弱；

2）當使用者過多的嚴格強調過濾的時候，路由器的效能會迅速下降。

3）某些路由器的日誌支援能力很差，這意味著使用者需額外的軟體和硬體來協助路由器完成連線。

防火牆的安全防護效能是由防火牆、使用者設定的規則和計算機系統本身共同保證的。

應用－**防火牆（應用閘道器）

當乙個遠端使用者連線到乙個允許應用閘道器的網路時，閘道器**連線。在這樣的連線中，ip報文不再向前**進入網路內部；相反，ip報文發生某種轉換，閘道器充當秘道和直譯器。

優勢：能阻止ip報文無限制的進入網路；

缺點：它們的開銷比較大且影響了閘道器內部網路的工作。

**必須為每乙個網路應用進行配置，這些應用包括ftp、telnet、http、電子郵件、新聞等。另外，內部使用者必須是具有**帳號的客戶。

確信資訊系統防火牆工具包

tis （trusted information systems）確信資訊系統

fwtk （firewall tool kit）防火牆工具包

這個包對非商業應用免費，包括對下列服務的**：

1）telnet

2）ftp

3）rlogin

4）傳送email

6）x windows系統

對於每乙個這樣的**，系統管理員必須指定規則，編輯如下三個檔案：

/etc/services確定支援哪些服務及服務允許在哪個埠上。

/etc/inetd.confinetd的配置檔案。指定當外部請求某一特定服務時啟用哪個特定服務程式。

/usr/local/etc/netperm-tablefwtk檔案。指定誰可以使用所提供的服務。

對訪問許可可以使用兩種方案：沒有特別允許的訪問被拒絕；沒有特別禁止的訪問得到允許。

用fwtk接受或拒絕訪問非常容易，使用者可使用位址和主機的大範圍掩碼來拒絕訪問，也可以用星號來代表乙個完整的位址範圍（http-gw是http的**）：

一般來說，防火牆越是工作在osi模型的上層，其對資料報所能檢查的資訊就越多。因此該防火牆所消耗的處理器工作週期就越多；防火牆結構所所檢查的資料報越是靠近osi模型的上層，該防火牆結構所提供的安全保護等級就越高，因為在高層上能夠獲得更多的資訊用於安全

防火牆的三種形式：

1）包過濾防火牆

對所有進出計算機系統的資料報進行檢查，獲得資料報頭的內容，了解資料報的傳送位址、目的位址、使用協議、tcp或者udp的埠資訊等，再將檢查到的內容與使用者設定的規則相比較，根據規則的匹配結果決定是否允許資料報的進出。

優點：對使用者透明，效率也很高。

缺點：管理複雜，無足夠的記錄和報警機制、無法對連線進行全面控制、對拒絕服務攻擊、緩衝區溢位攻擊等高層次的攻擊手段無能為力。只陷於對傳送位址、目標位址和埠進行初步的安全控制。

包過濾的乙個重要侷限是它不能分辨好的和壞的使用者，而只能區分好的包和壞的包。以前包過濾只能工作在黑白分明的安全策略的網中，即內部人是好的，外部人是壞的。

擴充套件包過濾技術，結合包過濾與智慧型決策系統的防火牆系統。有stateful protocol inspection（協議狀態檢測）等。

在包過濾器所使用的預設規則的定義上，有兩類思想：易於使用和安全第一。

「易於使用」：喜歡定義一條預設規則，即「允許一切」，該規則允許所有資料流，除非它被一條更高階規則明確拒絕。

「安全第一」：喜歡定義一條預設規則，即「拒絕一切」，除非資料流得到某條更高階規則的允許。

包過濾規則的配置可能很困難，因為這些規則是按照一定順序進行檢查的。在把包過濾規則輸入到規則庫時，必須特別小心，即使管理員設法按照一定的先後次序建立了一些規則，包過濾器還有乙個內在的限制：

包過濾器僅檢查資料 ip頭和tcp頭，它不可能知道乙個真實的位址與乙個偽造的位址之間的差別。若乙個位址的出現滿足包過濾規則，並同時滿足其他規則的要求，則該資料報將被允許通過。

假設管理員細心建立了乙個規則，指示資料報過濾器丟棄所有發來的未知源位址的資料報。這條包過濾規則雖然使黑客訪問變得更加困難，但並非不可能。黑客只需用某個已知可信客戶機的位址替代某個惡意資料報的實際源位址就客達到目的。這一形式的攻擊通常叫ip位址欺騙（ip address spoofing），這種攻擊來對付包過濾防火牆非常有效。

2）狀態監測防火牆

與過濾型類似，又稱為動態過濾型技術。增加了控制連線的能力，通過狀態檢測，當有新建的連線時，會要求與預先設定的規則相匹配，如滿足要求，允許連線，並在記憶體中記錄下該連線的資訊，生成狀態表。對該連線的後續資料報，只要符合狀態表，就可以通過。

這種技術的效能和安全性都比較高，當需要開啟新的埠時，可通過檢測應用程式的資訊與安全規則，動態地開啟埠，並在傳輸結束時自動關閉埠，如結合使用者認證方式，能夠提**用級的安全認證手段，安全控制力度更為細緻。

3）應用級閘道器

即**伺服器，它適用於特定的網際網路服務，如超文字傳輸（http），遠端檔案傳輸（ftp）。關鍵是用乙個閘道器形式的**服務，進行連線動作攔截。**服務位於內部網路使用者和internet之間，由它來處理兩端間的連線方式，將使用者對網際網路絡的服務請求，依據已制定的安全規則向外提交。而且，對於使用者的網路服務請求，**伺服器並非全部提交給網際網路上真正的伺服器。因為它能根據安全規則和使用者的請求，判斷是否**執行該請求，有些請求可能會被否決。這種控制機制可以有效的控制整個連線的動作，不會被客戶或伺服器端欺騙。

**型防火牆技術相對比較安全，但處理效率較差，無法直接支援新的應用。

防火牆型別和osi七層模型的對應關係：

應用層閘道器：應用層、表示層

電路級閘道器：會話層、傳輸層

包過濾：網路層、鏈路層、物理層。

防火牆通常是建立在tcp/ip模型基礎上的，與osi模型有所區別。在乙個ip資料報中，最重要的區域有以下幾個：

1）ip頭

2）tcp頭

3）應用級頭

4）資料/淨荷頭

在ipv4的ip位址枯竭的情況下，提出了解決位址緊缺的一些方法：無類域間路由cidr、可變長子網掩碼vlsm、私有位址加網路位址翻譯nat等。

正因為如此，網路位址翻譯已成為包過濾網關類防火牆產品的一項基本功能，防火牆使用nat的另乙個優點就是隱藏了內部的網路拓撲，某種程度上提公升了網路的安全性。

靜態網路位址翻譯snat：指進行網路位址轉換時，是一一對定的關係。

動態網路位址翻譯dnat：不同於snat，可用的合法ip位址是乙個範圍，而內部網路位址的範圍大於合法ip的範圍，在做位址轉換時，如果合法ip都被占用，此時從內部網路的新的請求會由於沒有合法位址可以分配而失敗。改進它，引入了埠位址翻譯pat。

埠位址翻譯pat：指在進行網路位址翻譯時，改變的不僅僅時網路位址，還會改變協議埠，因此稱為埠位址翻譯。在動態網路位址翻譯的基礎上，不僅以位址作為唯一的標識，又增加了源或目的埠作為標識的一部分。進行位址翻譯時，優先還是nat，當合法ip位址分配完後，對於新來的連線會重複使用已經分配過的合法ip，要區別此次nat與上次nat的資料報，就是通過埠位址加以區分。考慮到埠可以使用的範圍為1024～65535，乙個合法的ip可以實現6萬多的nat連線，通常可以滿足幾千個使用者的需求。

源網路位址轉換snat：修改資料報中ip頭部的資料源位址，通常發生在使用私有位址的使用者在訪問網際網路時。

目標網路位址轉換dnat：修改資料報中ip頭部的資料目的位址，通常發生在防火牆之後的伺服器上。

靜態、動態荷埠位址翻譯側重的是從實現的方式對nat進行分類，而源位址、目標位址轉換側重的是從資料流向進行分類。

通常的邊界路由器也能實現位址轉換，但由於記憶體資源有限，在中型網路中使用路由器的nat功能是不現實的，後果是使用一段時間後，資源將耗盡，宕機。故nat一般都是在防火牆上實現的。

防火牆技術（一）

防火牆技術

防火牆技術

穿透防火牆技術

相關推薦