网络安全笔记之防火墙

Lesson5 防火墙

u 防火墙可在链路层、网络层、应用层上实现隔离。可以基于物理的,基于逻辑的(防火墙可以用于内部网络不通的安全域之间)。

防火墙是被动防御装置。预先设定策略。

u 防火墙的功能:网络安全的屏障;过滤不安全的服务(内部提供的不安全符合和内部访问外部的不安全服务);隔断特定的网络攻击(联动技术,防火墙与其他网络安全设备(如IDS)一起生效,使有些主动性);部署NAT机制;监视网络安全和预警。

NAT作用:隐藏内部拓扑结构;节省IP地址;减少路由表项。防火墙是部署NAT的较好地点。

u 防火墙的分类

1、个人防火墙:安装在操作系统上,主要作用于本机与其他主机间。不是网络与网络之间。也属于软件防火墙。

2、软件防火墙:比个人防火墙有更强的功能。网络防火墙。如Check Point公司的FireWall-1.

3、一般硬件防火墙:采用PC架构(修改内核,嵌入式主机),功能较全,性能一般。

测试防火墙评测网基本参数

4、纯硬件防火墙:有专用的芯片,如ASCI芯片,NP技术(国内),处理防火墙的核心策略。高性能,有很高的并发连接数和吞吐量。

5、分布式防火墙:新体系结构。

u 防火墙的局限性:降低了网络服务的开放性和灵活性;削弱网络功能(在防火墙上附件各种信息服务(软件)的代理增大了网络管理开销,减慢了信息传输速率);对绕过防火墙的攻击,不能产生屏蔽;防火墙防外不防内,不能解决来自内部网络的攻击;

u 防火墙体系结构(决定防火墙功能、性能和使用范围)提供不同级别的安全,费用各不相同。

1、分组过滤路由:可由路由器实现或主机实现;允许内部主机和Internet直接通信。在分组过滤路由器上安装基于IP层的报文过滤软件。

危险性分布:路由器、被保护网络的所有主机、允许访问的各种服务类型

优:简单易安装;缺:在单机上实现,是网络的瓶颈,没有用户认证,无日志(无法区别使用相同IP地址的不同用户)

2、双宿主机

不使用分组过滤规则,内-外,需要代理(双宿主机)的认证,具有双网卡,放于被保护网络和Internet之间,完全阻断内-IP通信,内-外通信通关过应用层数据共享或应用层代理服务完成。代理服务更便于用户使用和管理。

堡垒主机上有防火墙软件有利于整体性能安全性的提高。

优:可身份认证、维护系统日志,安全审计;缺:仍然是网络的瓶颈,不适用于高灵活性要求的场合。

3、屏蔽主机

灵活易实现更安全。分组过滤路由器+堡垒主机构成。分组过滤路由器安装在外部网络,运行着网关软件的堡垒主机安装在内部网络。通过设计过滤规则,使所有来自外部Internet的通信只能到达内部的堡垒主机,不能与内网的其他主机直接通信。内部其他主机到外Internet的通信要先到达堡垒主机,由堡垒主机代理后发出

实现了网络层安全(包过滤)和应用层安全(堡垒主机上代理软件实现代理服务)。

关键:过滤路由器的配置,应严格保护过滤路由器的路由表(否则堡垒主要可能被绕过)。ICMP重定向可以改变路由路径使路径最优,可能被黑客利用重定向发往他所掌控的主机。

4、屏蔽子网

外部路由器+堡垒主机+内部路由器,内-外之间建立被隔离的子网,DMZ,堡垒主机、各种服务器,成为专门提供服务的场所。一般实现:两个分组过滤路由器放在子网两端,内-外网均可访问被屏蔽的子网DMZ,但禁止内-外穿过屏蔽子网进行通信

Lesson6 防火墙实现技术

u 数据包过滤

网络层过滤数据包,与应用层无关(不能控制传输数据的内容)

依据系统内部设置的ACL列表对数据流中每个数据包的包头中的数据(检查IP源,IP目的,协议类型,TCP/UDP源端口/目的端口,ICMP消息类型,TCP报头的ACK)或组合进行检查。

缺:只能初步的安全控制,不能保存于传输或与应用相关的状态信息,不能区分应用传输中的主动方和被动方;可能被或假冒;规则列表ACL创建困难。难于测试规则的正确性,有时要使用专门仪器测试。正确排列ACL中过滤规则很重要。通常在ACL表最后一条是“禁止所有”,实现除非明文允许进入的才进入。

u 代理服务

工作在应用层。先整合成应用层数据。如关键字过滤,URL过滤。运用于堡垒主机上的应用,堡垒主机上也设有过滤规则。如WWW代理,Email代理。

优:完全阻断内-外直接连接,隐藏内部拓扑结构;工作在ClientServer之间,可完全控制相互之间的会话,可进行用户认证,审计,详细日志。

缺:不同的服务必须有单独的应用层代理,需要一一设计,增大了管理复杂性。某些代理需要支持代理的客户端和服务端软件,增加了用户负担。工作在高层的第七层,处理效率比较低。

该技术主要用于整个局域网与Internet连接(一个组织。学校);进行与应用层相关的邮件过滤,URL过滤等。

u 状态检测

工作在数据链路层和网络层之间,可以检查OSI 所有7层的信息。

(状态)检测引擎:根据规则表,是否符合会话所处状态。可抽取OSI模型有用的7层信息,并可动态保存这些信息为以后安全策略的制定做参考。

动态状态表:相对于静态状态表,对外出数据包身份做标记,允许相同的连接进入。

状态检测的流程图(略)


状态检测优:高安全性,高效性(对连接的后续数据奥直接进行状态检查,而不是先进行很长的ACL规则检查),应用范围广(支持无连接的UDPRPC等)

缺:对DDoS攻击,病毒传播无能为力。

u 网络地址转换

NAT本身并不是一种有安全保证的方案,在包的最外层改变IP地址。故通常把NAT集成在防火墙中。

NAT是基于网络层的应用。NAT分类。

SNAT态网络地址转换或 网络地址转换

DNAT态网络地址转换或目标网络地址转换

静态网络地址转换:内部网络中每个主机被永久映射到一个合法的IP;

1:1,不需要维护地址转换状态表。

动态网络地址转换:内部网络地址范围大于合法IP的范围。

PAT端口地址转换:以解决动态网络转换时,外部合法IP不够分配的情况。

还是首先进行NAT转换,当不够时,在使用原来的IP +端口信息转换。

PAT大约可以支持64500个连接。65536-1024=64512

源NAT:修改数据报中IP头部中的源IP地址(多发生在内部使用私有地址的用户访问Internet时,将私有IP转换成合法IP)

目标NAT:修改数据报中IP头部中目的IP(多发生在防火墙之后的服务器上)


你可能感兴趣的:(网络安全)