找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1838|回复: 0

第一次亲密接触网络防火墙

[复制链接]
发表于 2009-6-2 21:23:52 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
随着Internet的普及,触网的企业是与日俱增,但是网上黑客猖獗,一旦企业内部网连上Internet之后,如果你不采取任何安全措施,就会裸露在外、任人宰割,所以网络安全最首要的任务,就是如何防止黑客通过Internet非法入侵,于是防火墙技术就应运而生了。
  一、防火墙是什么?
  众所周知,Internet上信息传输的基本单位是数据包,所有的Internet通信都是通过数据包交换来完成的,而每个数据包都包含一个目标IP地址、端口号,以及源IP地址和端口号,其中IP地址与Internet上一台电脑对应,而端口号则和机器上的某种服务或会话相关联。
  防火墙(下图1)就是用一段"代码墙"把电脑和Internet分隔开,它时刻检查出入防火墙的所有数据包,决定拦截或是放行这个包。通俗地讲,防火墙就象是设在局域网与外界之间的哨卡,所有出入网络的信息都要途经防火墙,接受防火墙的“盘查”,防火墙只会给“榜上有名”的数据“放行”。
   [img]/qzone/newblog/v5/editor/css/loading.gif[/img]
  防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备、就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
  二、使用防火墙的优越性
  防火墙作为屏障,可以时刻抗击来自各种线路的攻击,阻止非法用户侵入内部网,限定局域网访问WEB站点和Internet服务权限;时刻监视网络安全,受到攻击时产生报警;对通过的信息记录在册、使我们对黑客的攻击能“有案可查”;防火墙一般有路由器功能,采用的NAT(网络地址转换)技术可使整个局域网对外只占用一个IP地址,节约了IP地址资源;防火墙还可以记录整个局域网的上网流量,据此查出带宽瓶颈、记录上网连接的费用情况
 三、 防火墙的种类
  防火墙从诞生到现在,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。
  如果从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,后一种结构如下所示:内部网络<----->过滤器(Filter)<---->路由器(Router)<---->Internet
  如果从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。
  1、特殊设计的硬件防火墙
  这种防火墙基于硬件、性能最强,是防火墙中的“极品”,一般采用专门芯片。它采用的技术称为“状态检查”:与包过滤类似、首先在网络层拦截数据包,然后检查数据包,把该数据包与良性数据包已知状态进行比较,放过合格的数据包。典型产品有Cisco公司的Pix Firewall、美国NetScreen-100硬件防火墙等。
  这种防火墙速度极快,大大快于其他类型防火墙,常用于对速度和安全性要求高的场合,例如保护和隔离局域网内某服务器。它安全性能最好,采用举世无双的安全算法,能对黑客完全隐藏IP地址,让你连攻击的目标都找不到!而且还能支持所有的Internet服务,有记录、核对功能,配置方便(一般几分钟完成),不要求日常管理。不过因为性能超群,其价格一般较贵。
  2、电路层网关
  电路层网关是一种仅依赖于TCP连接、简单进行中继的硬件设备,并不对通过的信息进行任何审查、过滤或协议管理,其主要作用是隐藏内部要保护网络的IP地址等信息,一般被安装在代理服务器与内部网主机之间,使代理服务器增强为混合网关。它对进入网络的信息进行应用层安全检查或代理服务,而让内部网透明访问Internet,如果你要求内部不能泄密、就不能安装它。
  3、包过滤型防火墙(固件防火墙)
  包过滤型防火墙(如下图2)是嵌有防火墙固件的路由器,可以对数据包进行过滤。它在OSI的3、4层按事先定好的过滤条件对数据包中信息(源地址、目的地址、所用端口等)进行检查,让合格的数据通过,过滤分为与服务相关与无关两种方式。
  与服务相关的过滤能据特定服务控制数据的流动。例如Telnet服务器在TCP的23号端口监听远端连接,如果要阻塞Telnet服务,只需把包过滤路由器设置成丢弃所有TCP端口号=23的数据包。与服务无关的过滤可以抵御源IP地址欺骗、源路由、极小数据段式攻击,这几种攻击都很难用基本的包头信息来识别,因为它们都与服务无关。
  包过滤型防火墙可以实现网络层安全,对用户和应用透明。通过它的信息都无需先进行用户名、口令的登录,由于它对流量的影响较小,在使用时你不会感到它的存在。它配置简单方便、价格低廉,一般用于局域网的第一道防线。
  4、应用级网关(即代理服务器/软件防火墙)
  应用层网关(下图2),又称“代理服务器”,其上运行代理服务器软件,是一种软件防火墙,可以定义比包过滤防火墙更严格的安全策略。
   [img]/qzone/newblog/v5/editor/css/loading.gif[/img]
  与包过滤路由器不同,代理服务器允许信息内外流动、但不允许直接交换数据包。代理服务器在提供代理服务前一般都要求附加认证、且每种代理在用户访问前一般都要授权,通过配置代理来限制外界对内部网的访问。如果网管没有为某种应用安装代理程序,则该项服务就不会支持且不能通过防火墙系统转发,在代理服务器上安装有限的代理服务,可以减少攻击。
  代理服务器提供的审计、记录功能是发现和终止黑客攻击的有力武器;在代理服务器上任何代理发生问题、或出现脆弱性,只需简单的卸出、而不会影响其它代理的工作;代理服务除读取初始化配置文件外、一般不进行磁盘操作、这使得黑客很难在代理服务器上安装特洛伊马等危险程序.
四、防火墙技术管窥
  1、包过滤技术
  包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
  包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。使用包过滤技术时,要特别注意一般应用的数据通信大多都是双向的,在设置过滤规则时必须予以考虑。
  2、状态检测
  状态检测与包过滤相类似的,是更为有效的安全控制方法。对于新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。
  状态检测的优点是:由于不需要对每个数据包进行规则检查,而是对一个连接的后续数据包通过散列算法、直接进行状态检查,从而使得性能得到了较大提高;而且由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。此外,部分状态检测型防火墙还支持多种用户认证方式,提供了应用级的安全认证手段,增加了某些应用的代理功能,使得安全控制力度更为细致。
  3、代理服务
  代理服务是运行于内部网络与外部网络之间的主机上的一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序进行连接映射。由于代理机制完全阻断了内部网络与外部网络的直接联系,保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。
  缺点:代理服务器的应用也受到诸多限制。例如当一项新的应用加入时,如果代理服务程序不予支持,则此应用不能使用;其次代理服务器的处理性能也远不及状态检测高.
五、防火墙的选购
  1、按需选购
  选购时首先要弄清楚这款防火墙具有哪些功能,然后根据你需要的功能来选择防火墙产品。通常一个防火墙产品应有以下的基本功能:
  ◆先进的认证手段或挂钩程序,可以安装认证方法;
  ◆能运用过滤技术允许和禁止服务,集中和过滤拨入访问,可以根据数据包的性质(例如目标/源IP地址、协议类型、源/目的TCP/UDP端口等)进行包过滤;拥有界面友好、易于编程的IP过滤语言。
  ◆支持FTP和Telnet等服务代理,包含NNTP、XWindow、HTTP和Gopher等代理服务程序
  ◆具有精简日志的能力,可以记录网络流量和可疑的活动。
  许多企业对有防火墙会有特殊的要求,例如有的希望防火墙应该有网络地址转换功能(NAT,隐藏网络的IP,使黑客无法直接攻击)、双重DNS、虚拟专用网络(VPN)、特殊控制需求等功能,这时候你就应该选择满足上述要求的防火墙。
  2、安全检查功能完备的
  优秀的防火墙应该为用户提供完整的安全检查功能,为用户管理时记录、改进和追踪等等安全操作提供便利,因为防火墙并不能有效地杜绝所有的恶意封包,例如用合法掩护非法的情形仍需用户自己去发现,这时候一个完备的安全检查功能就显得很重要了。
  3、使用要方便的
  优秀的防火墙,应该管理和使用极其容易,建议选购使用方便的防火墙。例如一个防火墙如果有设定困难、需要具备完整知识、不易除错等缺点,就会给用户带来负担,也增加了管理防火墙的工作量。
  4、自身安全措施完备的
  由于防火墙也是网络上的主机,因此其自身也存在着安全问题,如果防火墙连自身安全都不能保证,那么即使它的控制功能极强,也不可能保证网络的安全。建议选购自身安全保护措施完备的产品。由于防火墙主机上要先运行操作系统,然后才执行防火墙软件,所以操作系统的安全决定了防火墙本身是否安全,优秀的防火墙通常都会堵住操作系统上的各种安全隐患,弥补操作系统的各种不足。
  最后应该选购售后服务完善的防火墙,因为新产品的安全性也只是相对的,时间一长就会有人研究新的破解方法,所以好的防火墙产品还应该拥有完善及时的售后服务体系,保证用户能及时堵住新的安全漏洞。
  
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|小黑屋|维修人员 ( 鲁ICP备17033090号 )

GMT+8, 2024-12-23 13:23 , Processed in 0.220681 second(s), 16 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表