快速搜索
[登录]
[注册]
标签
会员
安全治理 论坛
»
安全技术专题
»
边界安全
»
防火墙基础原理
安全管理专题
综合话题
风险管理
安全审计
安全体系
安全技术专题
综合话题
文档安全
终端安全
边界安全
数据安全
病毒治理
认证授权
审计监控
主机安全
技术扫描
认证培训专区
CISSP
CISP
ITIL
综合信息专区
安全沙龙
业界信息
闲言碎语
职业生涯
闲聊地带
广告专版
站务管理
新人报道
站务交流
版主会议
防火墙基础原理
[
5749
查看 /
22
回复 ]
返回列表
1
2
3
下一页
发送短消息
UID
93
精华
1
威望
14
金币
27 个
学币
0 个
查看公共资料
搜索帖子
huangzeyan
组别
新手上路
性别
积分
43
帖子
24
注册时间
2008-07-09
huangzeyan
2008-08-28 10:25
|
只看楼主
1
#
字体大小:
t
T
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。
1
、防火墙技术
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、
TCP
端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通
1024
号以上的端口,使得安全性得到进一步地提高。
2
、防火墙工作原理
(
1
)包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如
IP
地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
图
1
:包过滤防火墙工作原理图
(
2
)应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(图
2
)
图
2
:应用网关防火墙工作原理图
(
3
)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(图
3
)
图
3
:状态检测防火墙工作原理图
(
4
)复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于
ASIC
架构,把防病毒、内容过滤整合到防火墙里,其中还包括
VPN
、
IDS
功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施
OSI
第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。(图
4
)
图
4
:复合型防火墙工作原理图
3
、四类防火墙的对比
包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
应用网关防火墙:不检查
IP
、
TCP
报头,不建立连接状态表,网络层保护比较弱。
状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
4
、防火墙术语
网关
:在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。
DMZ
非军事化区
:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,
internet
和
DMZ
。
吞吐量
:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。
最大连接数
:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。
数据包转发率
:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。
SSL
:
SSL
(
Secure Sockets Layer
)是由
Netscape
公司开发的一套
Internet
数据安全协议,当前版本为
3.0
。它已被广泛地用于
Web
浏览器与服务器之间的身份认证和加密数据传输。
SSL
协议位于
TCP/IP
协议与各种应用层协议之间,为数据通讯提供安全支持。
网络地址转换
:网络地址转换(
NAT
)是一种将一个
IP
地址域映射到另一个
IP
地址域技术,从而为终端主机提供透明路由。
NAT
包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT
常用于私有地址域与公用地址域的转换以解决
IP
地址匮乏问题。在防火墙上实现
NAT
后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。如果反向
NAT
提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
堡垒主机
:一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
------
www.cnpaf.com
(中国协议分析网)
本主题由 版主 tinyguo 于 2008-8-31 17:47:54 执行 设置高亮 操作
TOP
发送短消息
UID
19
精华
1
威望
2
金币
39.5 个
学币
0 个
查看公共资料
搜索帖子
huwfly
组别
安全助理
性别
积分
75
帖子
68
注册时间
2008-03-11
huwfly
2008-08-28 17:58
|
只看该用户
2
#
字体大小:
t
T
回复:防火墙基础原理
总结的比较清晰,可以学习
TOP
发送短消息
UID
135
精华
0
威望
0
金币
96 个
学币
0 个
查看公共资料
搜索帖子
andrew2000
组别
版主
性别
积分
181
帖子
181
注册时间
2008-08-06
andrew2000
2008-08-28 21:31
|
只看该用户
3
#
字体大小:
t
T
回复:防火墙基础原理
有点复杂。。。。。
TOP
发送短消息
UID
182
精华
0
威望
0
金币
3 个
学币
0 个
查看公共资料
搜索帖子
wanglq
组别
新手上路
性别
积分
6
帖子
6
注册时间
2008-08-28
wanglq
2008-08-29 18:16
|
只看该用户
4
#
字体大小:
t
T
回复:防火墙基础原理
可以学习的好贴,Copy了!
TOP
发送短消息
UID
6
精华
5
威望
36
金币
155 个
学币
0 个
查看公共资料
搜索帖子
寒江雪
组别
安全专家
性别
积分
246
帖子
185
注册时间
2008-02-21
寒江雪
2008-08-31 23:59
|
只看该用户
5
#
字体大小:
t
T
回复:防火墙基础原理
综合的很好,值得学习!
TOP
发送短消息
UID
42
精华
0
威望
0
金币
60.5 个
学币
0 个
查看公共资料
搜索帖子
internet
组别
安全助理
性别
积分
126
帖子
126
注册时间
2008-04-07
internet
2008-09-02 17:49
|
只看该用户
6
#
字体大小:
t
T
回复:防火墙基础原理
现在主流的品牌用的是哪类技术?
TOP
发送短消息
UID
4
精华
8
威望
24
金币
78.5 个
学币
0 个
查看公共资料
搜索帖子
Solar
组别
超级版主
性别
积分
177
帖子
103
注册时间
2008-02-21
Solar
2008-09-02 20:23
|
只看该用户
7
#
字体大小:
t
T
回复:防火墙基础原理
不同类型的防火墙,对性能的影响也不同吧。楼主是否能介绍一下!
TOP
发送短消息
UID
135
精华
0
威望
0
金币
96 个
学币
0 个
查看公共资料
搜索帖子
andrew2000
组别
版主
性别
积分
181
帖子
181
注册时间
2008-08-06
andrew2000
2008-09-17 15:26
|
只看该用户
8
#
字体大小:
t
T
回复:防火墙基础原理
如果能够更通俗的话就更好了
TOP
发送短消息
UID
93
精华
1
威望
14
金币
27 个
学币
0 个
查看公共资料
搜索帖子
huangzeyan
组别
新手上路
性别
积分
43
帖子
24
注册时间
2008-07-09
huangzeyan
2008-09-17 17:06
|
只看楼主
9
#
字体大小:
t
T
回复 6F internet 的帖子
现在的防火墙已向统一威胁管理UTM的形式靠近,现阶段的功能先进的防火墙具备一些原本非防火墙的功能,或能够在防火墙上加入多种功能模块,用户可以以防火墙为硬件基础,实现其它的网络设备的功能,比如UTM提供了VPN,防病毒,防垃圾邮件,入侵防护检测等
TOP
发送短消息
UID
116
精华
0
威望
0
金币
9.5 个
学币
0 个
查看公共资料
搜索帖子
tangdijie
组别
新手上路
性别
积分
17
帖子
17
注册时间
2008-07-28
tangdijie
2008-09-19 13:40
|
只看该用户
10
#
字体大小:
t
T
回复:防火墙基础原理
学习,有难度,得咬咬
TOP
返回列表
1
2
3
下一页
上一主题
|
下一主题
发新主题
安全管理专题
综合话题
风险管理
安全审计
安全体系
安全技术专题
综合话题
文档安全
终端安全
边界安全
数据安全
病毒治理
认证授权
审计监控
主机安全
技术扫描
认证培训专区
CISSP
CISP
ITIL
综合信息专区
安全沙龙
业界信息
闲言碎语
职业生涯
闲聊地带
广告专版
站务管理
新人报道
站务交流
版主会议
安全体系
站务交流
业界信息
病毒治理
安全沙龙
综合话题
新人报道
主机安全
综合话题
终端安全
帖子标题
作者
我的资料
