防火墙工作原理

防火墙工作原理

今天在看到python黑客攻击相关书籍中了解到电脑防火墙方面的知识,从而查了很多资料现整理如下:

信息系统通常位于防火墙的内侧,处于防火墙保护之下。防火墙主要是通过掌控IP与端口阻止非法入侵。

默认情况下,所有的IP和端口都要被禁止访问。

实际,防火墙却需要为Web服务开放80端口(HTTP协议)与443端口(HTTPS协议),HTTP协议支持常规Web服务,HTTPS协议支持SSL,用于实现加密通信。有时还需要开放21端口,提供对FTP协议的支持,实现远程传输文件。

  • 设置规则:设置需要特殊对待的IP与端口信息。
  • 非法访问:未设置的IP或端口访问时,被断定为非法访问。
  • 正常访问:开放的端口可以通过防火墙进入内网

特别的,由于FTP与远程登录服务本身带有安全漏洞,一般建议禁用

防火墙技术

防火墙技术分为三大类:

  • “包过滤”(PacketFiltering)
  • “应用代理”(ApplicationProxy)
  • “状态监视

包过滤

包过滤是最早使用的一种防火墙技术,先是“静态包过滤”,后来发展为“动态包过滤”。
过滤路由器会更加仔细地检查数据包,除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包。

过滤策略
拒绝来自某主机或某网段的所有连接。
允许来自某主机或某网段的所有连接。
拒绝来自某主机或某网段的指定端口的连接。
允许来自某主机或某网段的指定端口的连接。
拒绝本地主机或本地网络与其它主机或其它网络的所有连接。
允许本地主机或本地网络与其它主机或其它网络的所有连接。
拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。
允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。
基本过程

1、包过滤规则必须被包过滤设备端口存储起来。
2、当包到达端口时,对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。
3、包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。
4、若一条规则阻止包传输或接收,则此包便不被允许。
5、若一条规则允许包传输或接收,则此包便可以被继续处理。
6、若包不满足任何一条规则,则此包便被阻塞。

应用代理技术

应用代理(Application Proxy)技术是指在web服务器上或某一台单独主机上运行代理服务器软件,对网络上的信息进行监听和检测,并对访问内网的数据进行过滤,从而起到隔断内网与外网的直接通信的作用,保护内网不受破坏。
同样,外部网络的数据也不能直接进入内网,而是要经过代理的处理之后才能到达内部网络。
可以说,“应用代理”是比包过滤技术更完善的防火墙技术。

功能

1.检查包内容。
2.根据IP地址、时间、服务类型允许或否定连接。
3.监视FTP、HTTP等服务的方向。
4.记录所有的会话数据。
5.提供自动地址隐藏。

应用代理对某些IP级或网络级的攻击仍是软弱的。当实现VPN时,基于这种结构的防火墙也应包括某种包过滤的机制以防止从已暴露IP地址的VPN通道发起的攻击

状态监视技术

传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。

状态检测技术原理
  • 通信信息
    即所有7层协议的当前信息。防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。防火墙先在低协议层上检查数据包是否满足企业的安全策略,对于满足的数据包,再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志,因此具有更全面的安全性。
  • 通信状态
    即以前的通信信息。对于简单的包过滤防火墙,如果要允许FTP通过,就必须作出让步而打开许多端口,这样就降低了安全性。状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出的数据包的状态信息。
  • 应用状态
    即其他相关应用的信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用,它比代理服务器支持的协议和应用要多得多;并且,它能从应用程序中收集状态信息存入状态表中,以供其他应用或协议做检测策略。
  • 操作信息
    即在数据包中能执行逻辑或数学运算的信息。状态监测技术,采用强大的面向对象的方法,基于通信信息、通信状态、应用状态等多方面因素,利用灵活的表达式形式,结合安全规则、应用识别知识、状态关联信息以及通信数据,构造更复杂的、更灵活的、满足用户特定安全要求的策略规则。

你可能感兴趣的:(网络)