防火牆(firewall),也稱防護牆,是由check point 創立者gil shwed於1993 年發明並引入國際網際網路(us5606668(a)1993-12-15)。
它是一種位於內部網路與外部網路之間的網路安全系統。是一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。
在網路的世界裡,要由防火牆過濾的就是承載通訊資料的通訊包。
防火牆從誕生開始,已經歷了四個發展階段:
現階段常見的防火牆屬於具有安全作業系統的防火牆,例如neteye、netscreen、talentit等。
網路層防火牆
網路層防火牆可視為一種 ip 封包過濾器,運作在底層的tcp/ip協議堆疊上。可以以列舉的方式只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆(病毒除外,防火牆不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。
應用層防火牆
應用層防火牆是在 tcp/ip 堆疊的「應用層」上運作,您使用瀏覽器時所產生的資料流或是使用 ftp 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
資料庫防火牆
資料庫防火牆是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。基於主動防禦機制,實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。
資料庫防火牆通過sql協議分析,根據預定義的禁止和許可策略讓合法的sql操作通過,阻斷非法違規操作,形成資料庫的外圍防禦圈,實現sql危險操作的主動預防、實時審計。
資料庫防火牆面對來自於外部的入侵行為,提供sql注入禁止和資料庫虛擬補丁包功能。
linux 防火牆在企業應用中非常有用,舉例如下:
綜述,iptables 有兩種應用模式:主機防火牆,nat路由器。
對應下圖的位元組傳輸流程,可以分為以下幾層:
狀態檢測(stateful inspection):工作在2~4層,訪問控制方式與1同,但處理的物件不是單個資料報,而是整個連線,通過規則表和連線狀態表,綜合判斷是否允許資料報通過。
完全內容檢測(compelete content inspection):工作在2~7層,不僅分析資料報頭資訊、狀態資訊,而且對應用層協議進行還原和內容分析,有效防範混合型安全威脅。
netfilter是由rusty russell提出的linux 2.4核心防火牆框架,該框架既簡潔又靈活,可實現安全策略應用中的許多功能,如資料報過濾、資料報處理、位址偽裝、透明**、動態網路位址轉換(network address translation,nat),以及基於使用者及**訪問控制(media access control,mac)位址的過濾和基於狀態的過濾、包速率限制等。iptables/netfilter的這些規則可以通過靈活組合,形成非常多的功能、涵蓋各個方面,這一切都得益於它的優秀設計思想。netfilter/iptables 資料報過濾系統可以當成乙個整體,netfilter是核心的模組實現,iptables是對上層操作工具。
如果不嚴格的區分則在linux中 netfilter 和 iptables 都可以認為是指linux防火牆。
實際 iptables 是乙個管理核心包過濾的工具,可以用來配置核心包過濾**中的規則。執行於使用者空間。
區別在於:netfilter 是 linux的2.4版核心引入了一種全新的包過濾引擎,稱為netfilter。指的是linux核心中實現包過濾防火牆的內部結構,不以程式或檔案的形式存在,屬於「核心態」的防火牆功能體系。iptables指的是用來管理linux防火牆的命令程式,通常位於/sbin/iptables,屬於「使用者態」的防火牆管理體系。iptables是控制netfilter的工具,是linux 2.2版核心中比較老的命令ipchains的兄弟。
netfilter 所設定的規則是存放在核心記憶體中的,而 iptables 是乙個應用層的應用程式,它通過 netfilter 放出的介面來對存放在核心記憶體中的 xxtables(netfilter的配置表)進行修改。這個xxtables由表tables、鏈chains、規則rules組成,iptables在應用層負責修改這個規則檔案。類似的應用程式還有 firewalld 。
iptables 和 netfilter 的聯絡?
很多人一提到防火牆立馬就想到了是iptables,其實iptables並不是防火牆,他只是乙個軟體或者說是乙個工具,這個軟體可以編寫某些規則,將寫好的規則儲存到netfilter的規則資料庫中。因此,真正起到"防火"的功能是netfilter,並不是iptables。netfilter是核心中的乙個框架,這個框架裡面包含了4個表和5個鏈,這些鏈又包含了很多的規則。而資料報要比對的規則就是這個鏈中所定義的規則。
在下述的內容中我們就以iptables來稱呼linux防火牆了。
吞吐量:該指標直接影響網路的效能,吞吐量
時延:入口處輸入幀最後1個位元到達至出口處輸出幀的第1個位元輸出所用的時間間隔
丟包率:在穩態負載下,應由網路裝置傳輸,但由於資源缺乏而被丟棄的幀的百分比
背靠背:從空閒狀態開始,以達到傳輸介質最小合法間隔極限的傳輸速率傳送相當數量的固定長度的幀,當出現第乙個幀丟失時,傳送的幀數
併發鏈結數:併發連線數是指穿越防火牆的主機之間或主機與防火牆之間能同時建立的最大連線數
防火牆雖然是保護網路安全的基礎性設施,但是它還存在著一些不易防範的安全威脅:
首先防火牆不能防範未經過防火牆或繞過防火牆的攻擊。例如,如果允許從受保護的網路內部向外撥號,一些使用者就可能形成與internet 的直接連線。
防火牆基於資料報包頭資訊的檢測阻斷方式,主要對主機提供或請求的服務進行訪問控制,無法阻斷通過開放埠流入的有害流量,並不是對蠕蟲或者黑客攻擊的解決方案。
另外,防火牆很難防範來自於網路內部的攻擊或濫用。
什麼是防火牆
防火牆的概念 防火牆的功能 防火牆是網路安全的屏障 乙個防火牆 作為阻塞點 控制點 能極大地提高乙個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的nfs協議進出受保護網路,這樣外部的攻擊...
什麼是Web應用防火牆?
當web應用越來越為豐富的同時,web伺服器以其強大的計算能力 處理效能及蘊含的較 值逐漸成為主要攻擊目標。waf通過記錄分析黑客攻擊樣本庫及漏洞情況,使用數千台防禦裝置和骨幹網路以及安全替身 攻擊溯源等前沿技術,構建 應用級入侵防禦系統,解決網頁篡改 資料洩露和訪問不穩定等異常問題,保障 資料安全...
什麼是防火牆以及作用?
一 防火牆的基本概念 古時候,人們常在寓所之間砌起一道磚牆,一旦火災發生,它能夠防止火勢蔓延到別的寓所。現在,如果乙個網路接到了internet上面,它的使用者就可以訪問外部世界並與之通訊。但同時,外部世界也同樣可以訪問該網路並與之互動。為安全起見,可以在該網路和internet之間插入乙個中介系統...