5.7.3 防火墙技术

jay23

5.7.3                   防火墙技术

                   防火墙—是建立在内外网络边界上的过滤封锁机制，它认为内部网络是安全和可信赖的，而外部网络是不安全和不可信赖的。它的作用是防止未经授权的访问进入被保护的内部网络，通过边界控制强化内部网络的安全策略。
                   可把它想象为一对开关，其中一个阻止传输，一个允许传输。
                   在网络层，防火墙用来处理信息在内外网络边界的流动，它可以确定来自哪些地址的信息可以通过或禁止访问哪些目的地址的主机。
                   在传输层，这个连接可以被端到端加密。
                   在应用层，它可以进行用户级的身份认证、日志记录和帐号管理等。
                   防火墙技术是一套身份认证、加密、数字签名和内容检查集成一体的安全防范措施，所有来自Internet的传输信息和内网传出的信息都要穿过防火墙，由防火墙进行分析，以确保它们符合站点设定的安全策略，以提供一种内部节点或网络与Internet的安全屏障。
         1．防火墙的分类
                 1）包过滤型防火墙                               工作于网络层
                            可通过数据包头中的各项信息来控制网络间的互访，但无法控制传输的内容。
                            优点：对出入数据作低水平控制，每个IP地址包的内容（如：源地址、目的地址、协议、端口等）都会被检查，处理速度快，易于配置。
                            缺点：因为它不管应用层的数据，所以控制粒度较粗，不能防范黑客攻击
                   2）应用代理网关防火墙
应用代理网关防火墙彻底隔断内外网的直接通信，所有的通信都必须经应用层代理软件转发，应用层的协议会话过程必须符合代理的安全策略要求。
                            优点：可检查应用层、传输层和网络层的协议特征，对数据包的检测能力较强。
                            缺点：       难于配置
                                         处理速度慢
                   3）状态检测技术防火墙
　　　结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了10倍。
TCP连接要经过三次握手，反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种变化，引出了状态检测技术。
该类防火墙核心部分建立状态连接表，将进出的数据当成一个个会话，利用状态表跟踪每个会话状态，对每个包的的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的传输层控制能力。适用于规则复杂的大型网络。
         2．典型防火墙的体系结构
                  1）包过滤路由器
                            又称屏蔽路由器，是最简单也是最常用的防火墙，作用于网络层按设定的过滤规则对出入信息进行限制。
                            优点：速度快、实现简单
                            缺点：安全性、兼容性差，日志功能弱
                   2）双宿主主机
                            代理服务器软件 + 双网卡
                   3）屏蔽主机网关
                            应用网关服务器 +  包过滤路由器
                            优点：安全等级高、可提供公开信息服务的服务器如FTP，Web等。
                            缺点：配置复杂
                   4）被屏蔽子网
                            外部路由器 + 应用网关  +  内部路由器
                            应用网关居于两个包过滤器之间形成的“非军事区”（DMZ），形成最安全的防火墙系统。
                            优点：
                            A．   入侵者必须突破3个不同设备。
                            B．  内网在Internet上是“不可见”的，只有在DMZ网络上设定的系统才对Internet开放
                            C．  内网不能直接访问Internet，必须通过堡垒主机上的代理服务才能访问Internet
                            D．  包过滤路由器直接将数据引向DMZ网络上指定的系统，消除了双宿保垒主机的必要。
                            E．  比双宿保垒主机拥有更大的数据吞吐量
                            F．   由于DMZ网络与内网不同，NAT（网络地址变换）可以安装在堡垒主机上，避免在内网上重新编址或重新划分子网。