浅谈防火墙技术
最新的防火墙技术是基于状态检查的,提供“动态包过滤”的功能。基于状态检查的动态包过滤是一种新型的防火墙技术,就象代理防火墙和包过滤路由器的交叉产物。下面就由小编跟大家谈谈防火墙技术的知识吧。
浅谈防火墙技术一:
一、防火墙概述
防火墙是指一种将内部网络和外部网络分开的方法,实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信,以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度,它对两个网络之问传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之问的通信是否被允许:其中被保护的网络称为内部网络,未保护的网络称为外部网络或公用网络。应用防火墙时,首先要明确防火墙的缺省策略,是接受还是拒绝。如果缺省策略是接受,那么没有显式拒绝的数据包可以通过防火墙;如果缺省策略是拒绝,那么没有显式接受的数据包不能通过防火墙。显然后者的安全性更高。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络问不受欢迎的信息交换,而允许那些可接受的通信。从逻辑上讲,防火墙是分离器、限制器、分析器;从物理上讲,防火墙由一组硬件设备(路由器、主计算机或者路由器、主计算机和配有适当软件的网络的多种组合)和适当的软件组成。
二、防火墙的基本类型
防火墙的基本类型包括包过滤、网络地址转化—NAT、应用代理和状态检测。
1.包过滤
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3.应用代理
应用代理完全接管了用户与服务器的访问,把用户主机与服务器之间的数据包的交换通道给隔离起来。应用代理不允许外部主机连接到内部的网络,只允许内部主机使用代理服务器访问Internet主机,同时只有被认为””可信任的””代理服务器才可以允许通过应用代理。在实际的应用中,应用代理的功能是由代理服务器来完成的。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
4.状态检测
防火墙技术是网络安全领域应用较普遍的一种技术,传统上防火墙基本分为两大类,即包过滤防火墙和应用网关防火墙,这两种防火墙由于其受限的地方,逐渐不能适应当前的需求,因此新一代的防火墙Stateful-inspection防火墙应运而生,这种防火墙既继承了传统防火墙的优点,又克服了传统防火墙的缺点,是一种革新式的防火墙。
Stateful-inspection防火墙是新一代的防火墙技术,由Check Point公司引入。它监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包,然后分析这些数据包,并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。和应用网关不同,Stateful-inspection防火墙使用用户定义的过滤规则,不依赖预先的应用信息,执行效率比应用网关高,而且它不识别特定的应用信息,因此不用对不同的应用信息制定不同的应用规则,伸缩性好
三、防火墙的发展趋势
1.新需求引发的技术走向
防火墙技术的发展离不开社会需求的变化,着眼未来,防火墙技术有的新需求如下:远程办公的增长:企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
2.黑客攻击引发的技术走向
防火墙作为内网的贴身保镖。黑客攻击的特点也决定了防火墙的技术走向。数据包的深度检测:IT业界权威机构Gagner认为代理不是阻止未来黑客攻击的关键,但是防火墙应能分辨并阻止数据包的恶意行为。包检测的技术方案需要增加签名检测等新的功能,以查找已经的攻击,并分辨出哪些是正常的数据流,哪些是异常数据流。协同性:从黑客攻击事件分析,对外提供Web等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护网络安全的任务。目前主要支持和IDS的联动和认证服务器进行联动。
现有防火墙技术仍无法给我们一个相当安全的网络。攻击时的变数太大,所以对网络安全的需求对防火墙提出了更高的要求,在防火墙目前还不算长的生命周期中,虽然问题不断,但是防火墙也从具有普通的过滤功能,逐步丰富了自身的功能,担当了更重的任务。未来,防火墙将成为网络安全技术中不可缺少的一部分。
浅谈防火墙技术二:
一、防火墙的概念
防火墙是网络安全工具中最早成熟、最早产品化的。网络防火墙一般定义为两个网络间执行访问控制策略的一个或一组系统。防火墙现在已成为许多组织将其内部网介入外部网所必需的安全措施了。特别意义上说,防火墙是部件和系统的汇集器,它置于两个网络之间,并具有如下特性:所有从内部通向外部的通信业务都必须经过它;只有被预定本地安全策略授权的信息流才被允许通过;该系统自身具有很高的抗攻击能力。简言之,防火墙是由于保护可信网络免受非可信网络的威胁,同时仍允许双方通信。
二、防火墙的功能
本质上来讲,防火墙认为是两个网络间的隔断,只允许所选定的一些形式的通信通过。防火墙另外一个重要特征是它自身抵抗攻击的能力:防火墙自身应当不易被攻入,因为攻入防火墙就给攻击者进入内部网一个立足点。从安全需求看,理想的防火墙应具备以下功能:能够分析进出网络的数据;能够通过识别、认证和授权对进出网络的行为进行访问控制;能够封堵安全策略禁止的业务;能够审计跟踪通过的信息内容和活动;能够对网络入侵行为进行检测和报警。
三、防火墙的类型
1.应用网关(也称为基于代理的)防火墙
它通常被配置为“双宿主网关”,具有两个网络接口卡,同时介入内部和外部网。由于网关可以与两个网络通信,它是安装传递数据软件的理想位置。这种软件就成为“代理”,通常是为其所提供的服务定制的。代理服务不允许字节连接,而是与代理服务器通信。各个应用代理在用户和服务之间处理所有的通信,能够对通过它的数据进行详细的审计追踪。代理级防火墙具有以下主要优点:代理服务可以识别并实施高层协议,如http和ftp等;代理服务包含通过防火墙服务器的通信信息;通过提供透明服务,可以让使用代理的用户感觉在直接与外部通信。
2.基于状态检查的动态包过滤防火墙
目前,最新的防火墙技术是基于状态检查的,提供“动态包过滤”的功能。基于状态检查的动态包过滤是一种新型的防火墙技术,就象代理防火墙和包过滤路由器的交叉产物。对终端用户来讲,它看起来只工作在网络层,但事实上该防火墙同代理防火墙一样可在应用层检查流经的通信。它能够监视活动连接的状态并根据这些信息决定哪些包允许通过防火墙,对通过安全边界的数据使用虚连接。如果一个相应包产生并返回给原请求者,则虚连接建立并允许该包通过防火墙,该连接终止即断开此虚连接,相当于动态地更改安全规则库。
四、防火墙的体系结构
1.屏蔽路由器(ScreeningRouter)
屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻击后很难发现,而且不能识别不同的用户。
2.双穴主机网关(DualHomedGateway)
双穴主机网关是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。与屏蔽路由器相比,双穴主机网关堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出,一旦黑客侵入堡垒主机并使其只具有路由功能,任何网上用户均可以随便访问内部网。
3.被屏蔽主机网关(ScreenedGatewy)
屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器,网关的基本控制策略由安装在上面的软件决定。如果攻击者没法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。
4.被屏蔽子网(ScreenedSubnet)
被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个DNS,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。