|
常見防火墻的類型主要有三種:包過濾、電路層網關、應用層網關,每種都有各自的優缺點。
包過濾是第一代防火墻技術,它按照安全規則,檢查所有進來的數據包,而這些安全規則大都是基于低層協議的,如IP、TCP。如果一個數據包滿足以上所有規則,過濾路由器把數據向上層提交,或轉發此數據包,否則就丟棄此包。
包過濾的優缺點
優點:一個過濾路由器能協助保護整個網絡;數據包過濾對用戶透明;過濾路由器速度快、效率高。
缺點:不能徹底防止地址欺騙;一些應用協議不適合于數據包過濾;正常的數據包過濾路由器無法執行某些安全策略。
代理是一種較新型的防火墻技術,這種防火墻有時也被稱為應用層網關,這種防火墻的工作方式和過濾數據包的防火墻、以路由器為基礎的防火墻的工作方式稍有不同。它是基于軟件的。
電路層網關是建立應用層網關的一個更加靈活和一般的方法。雖然它們可能包含支持某些特定TCP/IP應用程序的代碼,但通常要受到限制。如果支持應用程序,那也很可能是TCP/IP應用程序。在電路層網關中,可能要安裝特殊的客戶機軟件,用戶可能需要一個可變用戶接口來相互作用或改變他們的工作習慣。
代理技術的優缺點
優點:代理易于配置;代理能生成各項記錄;代理能靈活、完全地控制進出的流量、內容;代理能過濾數據內容;代理能為用戶提供透明的加密機制;代理可以方便地與其他安全手段集成。
缺點:代理速度較路由器慢;代理對用戶不透明;對于每項服務代理可能要求不同的服務器;代理服務不能保證你免受所有協議弱點的限制;代理不能改進底層協議的安全性。
新型防火墻技術
我們的目標是設計并實現一種新型防火墻。這種防火墻既有包過濾的功能,又能在應用層進行代理。較前面分析的防火墻來說,具有先進的過濾和代理體系,能從數據鏈路層到應用層進行全方位安全處理。TCP/IP協議和代理的直接相互配合,使本系統的防欺騙能力和運行的健壯性都大大提高。
設計目標
我們設計新型防火墻的目標是綜合包過濾和代理技術,克服二者在安全方面的缺陷;能從數據鏈路層一直到應用層施加全方位的控制;實現TCP/IP協議的微內核,從而在TCP/IP協議層能進行各項安全控制;基于上述微內核,使速度超過傳統的包過濾防火墻;提供透明代理模式,減輕客戶端的配置工作;支持數據加密、解密(DES和RSA),提供對虛擬網VPN的強大支持;內部信息完全隱藏;產生一個新的防火墻理論。
TCP/IP協議處理
TCP/IP協議處理是本系統的難點和重點之一,非常復雜與龐大。實現TCP/IP的第一步必須能正確地理解定義、實現TCP/IP各協議的數據包格式。
數據鏈路層是TCP/IP協議的最低層,它的常規功能是對上層數據(IP或ARP)進行物理幀的封裝與拆封,當然還包括硬件尋址、管理等功能。在本系統中,數據鏈路層除了實現上述功能外,還增加了監聽網上數據、記錄硬件地址和直接讀寫網卡的功能。
從一般的概念來說,ARP和ICMP都屬于IP層,實際上,ICMP在IP層之上,利用IP層收、發數據包,而ARP/RARP則在IP層之下,它們本身并不使用IP層,而是直接在數據鏈路層上進行收發。
IP層的處理較復雜,且可做許多安全方面的工作。若在極端的情況下,我們可以修改IP報頭,增加安全機制(如認證)。考慮到系統的性能及兼容性,我們沒有選擇這種方法,而是利用了包過濾技術和ICMP、ARP提供的功能,提供安全機制。當然,隨著安全方面技術的發展,也許第一種方法會是一種好的選擇,但前提是路由器的支持。目前,大部分路由器只能處理常規的IP包(即IPV4),對于新出臺的IPV6(它提供了更多的選項,我們可在選項中增加安全機制),路由器還遠未支持。
我們在ARP協議上所做的工作主要想達到以下幾個目的:防止ARP欺騙(即MAC地址欺騙);有條件地禁止ARP工作;查詢主機硬件地址;提供ARP服務;檢測ARP報文。
利用上述幾項功能,我們能確保內部ARP欺騙的無效,查出欺騙的主機并記錄,尤其能防止ARP層的拒絕服務。我們通過主機級被動檢測、主機級主動檢測、服務器級檢測、網絡級檢測、查詢主機硬件地址、有條件地禁止ARP等機制實現以上功能。
ICMP是為了允許路由器向主機報告投遞出錯的原因和一些控制而設計的。但事實上,任何一臺主機都可以向任何其他機器發送ICMP報文,如Ping。
ICMP在本系統中的作用主要是:隱藏子網內主機信息和施加一些控制。ICMP雖然有一定的作用,如差錯報告,但也有更大的安全隱患。一般來講,對外部,ICMP應禁止(很多過濾路由器有此項功能)。
我們主要是采用了三種策略隱藏子網內主機信息:
◆對內部主機的ICMP包,雖然轉發,但改寫了ICMP包中的源IP地址,使外部不能看到內部的IP地址。
◆外部ICMP請求包一律拋棄。
◆對內部有請求時,才動態地接收外部主機的響應, 且一些ICMP危脅安全的響應也拋棄,如改變路由的ICMP包。
另外,我們可以借助ICMP來獲得一些參數和一些控制,如時鐘同步、地址掩碼,并可利用ICMP目的地不可達報文“優雅”地通知不受歡迎的主機。
IP是通信子網的最高層,它的主要任務是尋址和轉發。IP層最大的安全問題是IP欺騙,且很多上層的安全隱患源于IP欺騙,如DNS欺騙。IP層常用的安全措施是根據源地址、目的地址進行過濾,這一點已在很多路由器中得到應用。在本系統的IP層主要完成以下幾個功能:IP地址過濾;IP地址與MAC綁定,防止IP欺騙;為上層提供一種通道。
TCP/UDP存在數據包偽裝、SYN Flood攻擊等安全隱患。為避免上述情況,必須要增加一定的驗證措施,我們利用TCP的特征,設計了一種較有效的過濾手段,對TCP報文的有效性進行確認。
我們的產品不僅覆蓋了傳統包過濾防火墻的全部功能,而且在全面對抗IP欺騙、SYN Flood、ICMP、ARP等攻擊手段方面有顯著優勢,增強代理服務,并使其與包過濾相融合,再加上智能過濾技術,使新型防火墻的安全性提升到又一高度。
如果有需要服務器的租用與托管的敬請聯系QQ:1501281758(億恩星辰) 聯系電話:0371—63322220
本文出自:億恩科技【www.ibaoshan.net】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]
|
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
