防火牆(firewall),也稱防護牆,是由check point創立者gil shwed於2023年發明並引入國際網際網路(us5606668(a)1993-12-15)。它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。——搜狗百科
定義:在linux系統下,包過濾功能是內置於核心的(作為乙個核心模組,或者直接內建),同時還有一些可以運用於資料報之上的技巧,不過最常用的依然是檢視包頭以決定包的命運。
工作機制:包過濾防火牆將對每乙個接收到的包做出允許或拒絕的決定。具體地講,它針對每乙個資料報的包頭,按照包過濾規則進行判定,與規則相匹配的包依據路由資訊繼續**,否則就丟棄。包過濾(ip層實現)根據資料報的源ip位址、目的ip位址、協議型別(tcp包、udp包、icmp包)、源埠、目的埠等包頭資訊及資料報傳輸方向等資訊來判斷是否允許資料報通過。其核心技術就是控制訪問列表
優點:速度比較快,能夠處理的併發連線比較多
缺點:①無法關聯資料報之間的關係,需要設定額外的規則(導致路由器的過濾規則的設定和配置複雜繁瑣)
②無法適應多通道協議,如果額外的連線都是固定埠,可以設定額外的規則
③通常不檢查應用層資料(無法發現基於應用層的攻擊)
④無法阻止ip欺騙
⑤實施的是靜態的、固定的控制,不能跟蹤tcp狀態
⑥不支援使用者認證
定義:這種防火牆通過一種**(proxy)技術參與到乙個tcp連線的全過程。從內部發出的資料報經過這樣的防火牆處理後,就好像是源於防火牆外部網絡卡一樣,從而可以達到隱藏內部網結構的作用。這種型別的防火牆被網路安全專家和**公認為是最安全的防火牆。
「應用協議分析」技術工作在osi模型的最高層——應用層上,在這一層裡能接觸到的所有資料都是最終形式,也就是說,防火牆「看到」的資料和我們看到的是一樣的,而不是乙個個帶著位址埠協議等原始內容的資料報,因而它可以實現更高階的資料檢測過程。整個**防火牆把自身對映為一條透明線路,在使用者方面和外界線路看來,它們之間的連線並沒有任何阻礙,但是這個連線的資料收發實際上是經過了**防火牆轉向的,當外界資料進入**防火牆的客戶端時,「應用協議分析」模組便根據應用層協議處理這個資料,通過預置的處理規則(沒錯,又是規則,防火牆離不開規則)查詢這個資料是否帶有危害,由於這一層面對的已經不再是組合有限的報文協議,甚至可以識別類似於「get> /sql.asp?id=1 and> 1」的資料內容,所以防火牆不僅能根據資料層提供的資訊判斷資料,更能像管理員分析伺服器日誌那樣「看」內容辨危害。而且由於工作在應用層,防火牆還可以實現雙向限制,在過濾外部網路有害資料的同時也監控著內部網路的資訊,管理員可以配置防火牆實現乙個身份驗證和連線時限的功能,進一步防止內部網路資訊洩漏的隱患。最後,由於**防火牆採取是**機制進行工作,內外部網路之間的通訊都需先經過**伺服器審核,通過後再由**伺服器連線,根本沒有給分隔在內外部網路兩邊的計算機直接會話的機會,可以避免入侵者使用「資料驅動」攻擊方式(一種能通過包過濾技術防火牆規則的資料報文,但是當它進入計算機處理後,卻變成能夠修改系統設定和使用者資料的惡意**)滲透內部網路,可以說,「應用**」是比包過濾技術更完善的防火牆技術。優點:採用**機制工作,內外部通訊需要經過**伺服器審核,可以實現更高階的資料檢測過程。
缺點:①處理速度比較慢,能夠處理的併發數比較少 ②公升級困難
定義:狀態檢測防火牆在網路層有乙個檢查引擎截獲資料報並抽取出與應用層狀態有關的資訊,並以此為依據決定對該連線是接受還是拒絕。這種技術具有較好的適應性和擴充套件性。狀態檢測防火牆克服了包過濾防火牆和應用**伺服器的侷限性,不僅僅檢測「to」和「from」的位址,而且不要求每個訪問的應用都有**。
工作機制:這是第三代防火牆技術,能對網路通訊的各層實行檢測。同包過濾技術一樣,它能夠檢測通過ip位址、埠號以及tcp標記,過濾進出的資料報。它允許受信任的客戶機和不受信任的主機建立直接連線,不依靠與應用層有關的**,而是依靠某種演算法來識別進出的應用層資料,這些演算法通過己知合法資料報的模式來比較進出資料報,這樣從理論上就能比應用級**在過濾資料報上更有效。狀態監視器的監視模組支援多種協議和應用程式,可方便地實現應用和服務的擴充。此外,它還可監測rpc和udp埠資訊,而包過濾和**都不支援此類埠。這樣,通過對各層進行監測,狀態監視器實現網路安全的目的。目前,多使用狀態監測防火牆,它對使用者透明,在osi最高層上加密資料,而無需修改客戶端程式,也無需對每個需在防火牆上執行的服務額外增加乙個**。
優點:① 安全性好
狀態檢測防火牆工作在資料鏈路層和網路層之間,它從這裡擷取資料報,因為資料鏈路層是網絡卡工作的真正位置,網路層是協議棧的第一層,這樣防火牆確保了擷取和檢查所有通過網路的原始資料報。防火牆擷取到資料報就處理它們,首先根據安全策略從資料報中提取有用資訊,儲存在記憶體中;然後將相關資訊組合起來,進行一些邏輯或數**算,獲得相應的結論,進行相應的操作,如允許資料報通過、拒絕資料報、認證連線、加密資料等。狀態檢測防火牆雖然工作在協議棧較低層,但它檢測所有應用層的資料報,從中提取有用資訊,如ip位址、埠號等,這樣安全性得到很大提高。②.效能高效
狀態檢測防火牆工作在協議棧的較低層,通過防火牆的所有的資料報都在低層處理,而不需要協議棧的上層處理任何資料報,這樣減少了高層協議頭的開銷,執行效率提高很多;另外在這種防火牆中一旦乙個連線建立起來,就不用再對這個連線做更多工作,系統可以去處理別的連線,執行效率明顯提高。③ 擴充套件性好
狀態檢測防火牆不像應用閘道器式防火牆那樣,每乙個應用對應乙個服務程式,這樣所能提供的服務是有限的,而且當增加乙個新的服務時,必須為新的服務開發相應的服務程式,這樣系統的可擴充套件性降低。狀態檢測防火牆不區分每個具體的應用,只是根據從資料報中提取出的資訊、對應的安全策略及過濾規則處理資料報,當有乙個新的應用時,它能動態產生新的應用的新的規則,而不用另外寫**,所以具有很好的伸縮性和擴充套件性。④配置方便,應用範圍廣
狀態檢測防火牆不僅支援基於tcp的應用,而且支援基於無連線協議的應用,如rpc、基於udp的應用(dns 、wais、缺點:archie等)等。對於無連線的協議,連線請求和應答沒有區別,包過濾防火牆和應用閘道器對此類應用要麼不支援,要麼開放乙個大範圍的udp埠,這樣暴露了內部網,降低了安全性。狀態檢測防火牆實現了基於udp應用的安全,通過在udp通訊之上保持乙個虛擬連線來實現。防火牆儲存通過閘道器的每乙個連線的狀態資訊,允許穿過防火牆的udp請求包被記錄,當udp包在相反方向上通過時,依據連線狀態表確定該udp包是否被授權的,若已被授權,則通過,否則拒絕。如果在指定的一段時間內響應資料報沒有到達,連線超時,則該連線被阻塞,這樣所有的攻擊都被阻塞.狀態檢測防火牆可以控制無效連線的連線時間,避免大量的無效連線占用過多的網路資源,可以很好的降低dos和ddos攻擊的風險。
①回程資料報可以直接放行,不需要設定額外的規則
② 流量只檢測第乙個報文,後續的報文命中會話直接**,後續包處理速度快
防火牆分為4類區域,每一類區域會有各自的優先順序,優先順序越高,越安全。
1.local區域,優先順序100,防火牆自身所屬區域
2.trust區域,優先順序85,一般連接受信任網路
3.untrust區域,優先順序5,一般連線不受信任的網路
4.dmz區域,優先順序50,隔離區,必須公開的伺服器(諸如web伺服器、ftp伺服器等)
網路安全筆記之防火牆
lesson5 防火牆 u 防火牆可在鏈路層 網路層 應用層上實現隔離。可以基於物理的,基於邏輯的 防火牆可以用於內部網路不通的安全域之間 防火牆是被動防禦裝置。預先設定策略。u 防火牆的功能 網路安全的屏障 過濾不安全的服務 內部提供的不安全符合和內部訪問外部的不安全服務 隔斷特定的網路攻擊 聯動...
網路安全 硬體防火牆ASA
狀態防火牆 英語 stateful firewall 一種能夠提供狀態資料報檢查 stateful packet inspection,縮寫為spi 或狀態檢視 stateful inspection 功能的防火牆,能夠持續追蹤穿過這個防火牆的各種網路連線 例如tcp與udp連線 的狀態。這種防火牆...
網路安全 防火牆系統
支援透明 路由和混合三種工作模式。支援基於物件的網路訪問控制,包括網路層 應zz用層等多層次的訪問控制 支援url 指令碼 關鍵字 郵件等多種形式的內容過濾。支援多種網路位址轉換 nat 方式。支援多種認證方式,如本地認證 證書認證 radius認證 tacacs securld ldap 域認證等...