防火牆技術原理

2021-08-29 03:06:53 字數 3234 閱讀 3978

防火牆(firewall),也稱防護牆,是由check point 創立者gil shwed於1993 年發明並引入國際網際網路(us5606668(a)1993-12-15)。

它是一種位於內部網路與外部網路之間的網路安全系統。是一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。

(**於網路)        

在網路的世界裡,要由防火牆過濾的就是承載通訊資料的通訊包

防火牆從誕生開始,已經歷了四個發展階段:

現階段常見的防火牆屬於具有安全作業系統的防火牆,例如neteye、netscreen、talentit等。

網路層防火牆可視為一種 ip 封包過濾器,運作在底層的tcp/ip協議堆疊上。可以以列舉的方式只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆(病毒除外,防火牆不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。

應用層防火牆是在 tcp/ip 堆疊的「應用層」上運作,您使用瀏覽器時所產生的資料流或是使用 ftp 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。

資料庫防火牆是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。基於主動防禦機制,實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。

資料庫防火牆通過sql協議分析,根據預定義的禁止和許可策略讓合法的sql操作通過,阻斷非法違規操作,形成資料庫的外圍防禦圈,實現sql危險操作的主動預防、實時審計。

資料庫防火牆面對來自於外部的入侵行為,提供sql注入禁止和資料庫虛擬補丁包功能。

linux 防火牆在企業應用中非常有用,舉例如下:

綜述,iptables 有兩種應用模式:主機防火牆,nat路由器。

對應下圖的位元組傳輸流程,可以分為以下幾層:

狀態檢測(stateful inspection):工作在2~4層,訪問控制方式與1同,但處理的物件不是單個資料報,而是整個連線,通過規則表和連線狀態表,綜合判斷是否允許資料報通過。

完全內容檢測(compelete content inspection):工作在2~7層,不僅分析資料報頭資訊、狀態資訊,而且對應用層協議進行還原和內容分析,有效防範混合型安全威脅。

(**於網路) 

(**於網路) 

netfilter是由rusty russell提出的linux 2.4核心防火牆框架,該框架既簡潔又靈活,可實現安全策略應用中的許多功能,如資料報過濾、資料報處理、位址偽裝、透明**、動態網路位址轉換(network address translation,nat),以及基於使用者及**訪問控制(media access control,mac)位址的過濾和基於狀態的過濾、包速率限制等。iptables/netfilter的這些規則可以通過靈活組合,形成非常多的功能、涵蓋各個方面,這一切都得益於它的優秀設計思想。netfilter/iptables 資料報過濾系統可以當成乙個整體,netfilter是核心的模組實現,iptables是對上層操作工具。 

如果不嚴格的區分則在linux中 netfilter 和 iptables 都可以認為是指linux防火牆。

實際 iptables 是乙個管理核心包過濾的工具,可以用來配置核心包過濾**中的規則。執行於使用者空間。

區別在於:netfilter 是 linux的2.4版核心引入了一種全新的包過濾引擎,稱為netfilter。指的是linux核心中實現包過濾防火牆的內部結構,不以程式或檔案的形式存在,屬於「核心態」的防火牆功能體系。iptables指的是用來管理linux防火牆的命令程式,通常位於/sbin/iptables,屬於「使用者態」的防火牆管理體系。iptables是控制netfilter的工具,是linux 2.2版核心中比較老的命令ipchains的兄弟。 

netfilter 所設定的規則是存放在核心記憶體中的,而 iptables 是乙個應用層的應用程式,它通過 netfilter 放出的介面來對存放在核心記憶體中的 xxtables(netfilter的配置表)進行修改。這個xxtables由表tables、鏈chains、規則rules組成,iptables在應用層負責修改這個規則檔案。類似的應用程式還有 firewalld 。

iptables 和 netfilter 的聯絡?

很多人一提到防火牆立馬就想到了是iptables,其實iptables並不是防火牆,他只是乙個軟體或者說是乙個工具,這個軟體可以編寫某些規則,將寫好的規則儲存到netfilter的規則資料庫中。因此,真正起到"防火"的功能是netfilter,並不是iptables。netfilter是核心中的乙個框架,這個框架裡面包含了4個表和5個鏈,這些鏈又包含了很多的規則。而資料報要比對的規則就是這個鏈中所定義的規則。

在下述的內容中我們就以iptables來稱呼linux防火牆了。

(**於網路) 

吞吐量:該指標直接影響網路的效能,吞吐量

時延:入口處輸入幀最後1個位元到達至出口處輸出幀的第1個位元輸出所用的時間間隔

丟包率:在穩態負載下,應由網路裝置傳輸,但由於資源缺乏而被丟棄的幀的百分比

背靠背:從空閒狀態開始,以達到傳輸介質最小合法間隔極限的傳輸速率傳送相當數量的固定長度的幀,當出現第乙個幀丟失時,傳送的幀數

併發鏈結數:併發連線數是指穿越防火牆的主機之間或主機與防火牆之間能同時建立的最大連線數

防火牆雖然是保護網路安全的基礎性設施,但是它還存在著一些不易防範的安全威脅:

首先防火牆不能防範未經過防火牆或繞過防火牆的攻擊。例如,如果允許從受保護的網路內部向外撥號,一些使用者就可能形成與internet 的直接連線。

防火牆基於資料報包頭資訊的檢測阻斷方式,主要對主機提供或請求的服務進行訪問控制,無法阻斷通過開放埠流入的有害流量,並不是對蠕蟲或者黑客攻擊的解決方案。

另外,防火牆很難防範來自於網路內部的攻擊或濫用。

參考:

防火牆技術

internet的發展給 結構 企事業單位帶來了革命性的改革和開放。他們正努力通過利用internet來提高辦事效率和市場反應速度,以便更具競爭力。通過internet,企業可以從異地取回重要資料,同時又要面對internet開放帶來的資料安全的新挑戰和新危險 即客戶 銷售商 移動使用者 異地員工和...

防火牆技術

將本地網路連線到internet之後,internet上的計算機就能自由訪問本地網路中的計算機了。顯然,由於本地網路屬於同乙個組織,本地網路中的計算機相互之間都可以信任,而外部internet上的計算機可能來自任意地方,因此不可信任。如何給可信任的本地網路中的計算機提供資源,而不給其他interne...

防火牆原理

防火牆原理 說實話這個詞聽過n 遍,但是很遺憾我就是從來沒有翻過,這完全是我個人的原因。我這個人就是這樣,別人的東西不給看,我就不看,一根筋的跟自己過不去也行。其實我也知道這也讓自己丟失了很多學習的機會,但我就是沒那個想法。現在大概也了解些防火牆的基本原理了 雖然還不是很明白 不過還是沒有試過。防火...