網(wǎng)絡(luò)的安全性成為當今最熱門的話題之一�,很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻����。隨著科技的發(fā)展�,防火墻也逐漸被大眾所接受。但是�,由于防火墻是屬于高科技產(chǎn)物�����,許多的人對此還并不是了解的十分透徹�。而這篇文章就是給大家講述了防火墻工作的方式,以及防火墻的基本分類����,并且討論了每一種防火墻的優(yōu)缺點�����。
一、防火墻的基本分類
1.包過濾防火墻
第一代防火墻和最基本形式防火墻檢查每一個通過的網(wǎng)絡(luò)包����,或者丟棄��,或者放行,取決于所建立的一套規(guī)則�。這稱為包過濾防火墻���。
本質(zhì)上�,包過濾防火墻是多址的����,表明它有兩個或兩個以上網(wǎng)絡(luò)適配器或接口。例如���,作為防火墻的設(shè)備可能有兩塊網(wǎng)卡(NIC),一塊連到內(nèi)部網(wǎng)絡(luò)����,一塊連到公共的Internet���。防火墻的任務(wù)�����,就是作為“通信警察”����,指引包和截住那些有危害的包。
包過濾防火墻檢查每一個傳入包,查看包中可用的基本信息(源地址和目的地址、端口號�、協(xié)議等)����。然后����,將這些信息與設(shè)立的規(guī)則相比較。如果已經(jīng)設(shè)立了阻斷telnet連接,而包的目的端口是23的話����,那么該包就會被丟棄�����。如果允許傳入Web連接,而目的端口為80,則包就會被放行�。
多個復雜規(guī)則的組合也是可行的����。如果允許Web連接���,但只針對特定的服務(wù)器���,目的端口和目的地址二者必須與規(guī)則相匹配,才可以讓該包通過��。
最后��,可以確定當一個包到達時,如果對該包沒有規(guī)則被定義,接下來將會發(fā)生什么事情了�。通常�,為了安全起見��,與傳入規(guī)則不匹配的包就被丟棄了���。如果有理由讓該包通過���,就要建立規(guī)則來處理它����。
建立包過濾防火墻規(guī)則的例子如下:
對來自專用網(wǎng)絡(luò)的包�,只允許來自內(nèi)部地址的包通過,因為其他包包含不正確的包頭部信息。這條規(guī)則可以防止網(wǎng)絡(luò)內(nèi)部的任何人通過欺騙性的源地址發(fā)起攻擊����。而且����,如果黑客對專用網(wǎng)絡(luò)內(nèi)部的機器具有了不知從何得來的訪問權(quán)����,這種過濾方式可以阻止黑客從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊。
在公共網(wǎng)絡(luò)�,只允許目的地址為80端口的包通過���。這條規(guī)則只允許傳入的連接為Web連接����。這條規(guī)則也允許與Web連接使用相同端口的連接����,所以它并不是十分安全����。
丟棄從公共網(wǎng)絡(luò)傳入的包,而這些包都有你的網(wǎng)絡(luò)內(nèi)的源地址�,從而減少IP欺騙性的攻擊��。
丟棄包含源路由信息的包,以減少源路由攻擊��。要記住�,在源路由攻擊中,傳入的包包含路由信息����,它覆蓋了包通過網(wǎng)絡(luò)應(yīng)采取得正常路由���,可能會繞過已有的安全程序�����。通過忽略源路由信息,防火墻可以減少這種方式的攻擊�。
2.狀態(tài)/動態(tài)檢測防火墻
狀態(tài)/動態(tài)檢測防火墻��,試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和包,這樣防火墻就可以使用一組附加的標準�����,以確定是否允許和拒絕通信�����。它是在使用了基本包過濾防火墻的通信上應(yīng)用一些技術(shù)來做到這點的�����。
當包過濾防火墻見到一個網(wǎng)絡(luò)包��,包是孤立存在的����。它沒有防火墻所關(guān)心的歷史或未來。允許和拒絕包的決定完全取決于包自身所包含的信息����,如源地址��、目的地址、端口號等���。包中沒有包含任何描述它在信息流中的位置的信息,則該包被認為是無狀態(tài)的�����;它僅是存在而已�。
一個有狀態(tài)包檢查防火墻跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態(tài)��,防火墻還記錄有用的信息以幫助識別包���,例如已有的網(wǎng)絡(luò)連接�、數(shù)據(jù)的傳出請求等。
例如���,如果傳入的包包含視頻數(shù)據(jù)流,而防火墻可能已經(jīng)記錄了有關(guān)信息�,是關(guān)于位于特定IP地址的應(yīng)用程序最近向發(fā)出包的源地址請求視頻信號的信息����。如果傳入的包是要傳給發(fā)出請求的相同系統(tǒng)�,防火墻進行匹配,包就可以被允許通過��。
一個狀態(tài)/動態(tài)檢測防火墻可截斷所有傳入的通信�,而允許所有傳出的通信��。因為防火墻跟蹤內(nèi)部出去的請求�,所有按要求傳入的數(shù)據(jù)被允許通過��,直到連接被關(guān)閉為止��。只有未被請求的傳入通信被截斷。
如果在防火墻內(nèi)正運行一臺服務(wù)器,配置就會變得稍微復雜一些���,但狀態(tài)包檢查是很有力和適應(yīng)性的技術(shù)。例如,可以將防火墻配置成只允許從特定端口進入的通信,只可傳到特定服務(wù)器�。如果正在運行Web服務(wù)器���,防火墻只將80端口傳入的通信發(fā)到指定的Web服務(wù)器�����。
狀態(tài)/動態(tài)檢測防火墻可提供的其他一些額外的服務(wù)有:
將某些類型的連接重定向到審核服務(wù)中去。例如,到專用Web服務(wù)器的連接�����,在Web服務(wù)器連接被允許之前����,可能被發(fā)到SecutID服務(wù)器(用一次性口令來使用)。
拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信,如帶有附加可執(zhí)行程序的傳入電子消息��,或包含ActiveX程序的Web頁面���。
跟蹤連接狀態(tài)的方式取決于包通過防火墻的類型:
TCP包�����。當建立起一個TCP連接時,通過的第一個包被標有包的SYN標志�����。通常情況下���,防火墻丟棄所有外部的連接企圖�,除非已經(jīng)建立起某條特定規(guī)則來處理它們。對內(nèi)部的連接試圖連到外部主機��,防火墻注明連接包,允許響應(yīng)及隨后再兩個系統(tǒng)之間的包����,直到連接結(jié)束為止����。在這種方式下��,傳入的包只有在它是響應(yīng)一個已建立的連接時���,才會被允許通過���。
UDP包�。UDP包比TCP包簡單��,因為它們不包含任何連接或序列信息���。它們只包含源地址��、目的地址、校驗和攜帶的數(shù)據(jù)。這種信息的缺乏使得防火墻確定包的合法性很困難�,因為沒有打開的連接可利用��,以測試傳入的包是否應(yīng)被允許通過����?墒牵绻阑饓Ω櫚臓顟B(tài)���,就可以確定。對傳入的包��,若它所使用的地址和UDP包攜帶的協(xié)議與傳出的連接請求匹配��,該包就被允許通過���。和TCP包一樣�,沒有傳入的UDP包會被允許通過��,除非它是響應(yīng)傳出的請求或已經(jīng)建立了指定的規(guī)則來處理它�。對其他種類的包�,情況和UDP包類似。防火墻仔細地跟蹤傳出的請求��,記錄下所使用的地址��、協(xié)議和包的類型���,然后對照保存過的信息核對傳入的包�,以確保這些包是被請求的�����。
3.應(yīng)用程序代理防火墻
應(yīng)用程序代理防火墻實際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信�。相反�,它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信,然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨的連接����。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信�����,所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分��。
另外��,如果不為特定的應(yīng)用程序安裝代理程序代碼,這種服務(wù)是不會被支持的,不能建立任何連接�����。這種建立方式拒絕任何沒有明確配置的連接�����,從而提供了額外的安全性和控制性�。
例如,一個用戶的Web瀏覽器可能在80端口����,但也經(jīng)��?赡苁窃1080端口,連接到了內(nèi)部網(wǎng)絡(luò)的HTTP代理防火墻�����。防火墻然后會接受這個連接請求����,并把它轉(zhuǎn)到所請求的Web服務(wù)器。
這種連接和轉(zhuǎn)移對該用戶來說是透明的�����,因為它完全是由代理防火墻自動處理的���。
代理防火墻通常支持的一些常見的應(yīng)用程序有:
HTTP���、HTTPS/SSL���、SMTP�、POP3�����、IMAP�、NNTP�����、TELNET��、FTP、IRC
應(yīng)用程序代理防火墻可以配置成允許來自內(nèi)部網(wǎng)絡(luò)的任何連接,它也可以配置成要求用戶認證后才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制��,為安全性提供了額外的保證��。如果網(wǎng)絡(luò)受到危害���,這個特征使得從內(nèi)部發(fā)動攻擊的可能性大大減少���。
4.NAT
討論到防火墻的主題���,就一定要提到有一種路由器��,盡管從技術(shù)上講它根本不是防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個IP地址轉(zhuǎn)換到一個公共地址發(fā)到Internet上��。
NAT經(jīng)常用于小型辦公室��、家庭等網(wǎng)絡(luò),多個用戶分享單一的IP地址����,并為Internet連接提供一些安全機制����。
當內(nèi)部用戶與一個公共主機通信時�,NAT追蹤是哪一個用戶作的請求,修改傳出的包����,這樣包就像是來自單一的公共IP地址�����,然后再打開連接。一旦建立了連接�����,在內(nèi)部計算機和Web站點之間來回流動的通信就都是透明的了���。
當從公共網(wǎng)絡(luò)傳來一個未經(jīng)請求的傳入連接時,NAT有一套規(guī)則來決定如何處理它���。如果沒有事先定義好的規(guī)則,NAT只是簡單的丟棄所有未經(jīng)請求的傳入連接����,就像包過濾防火墻所做的那樣�。
可是����,就像對包過濾防火墻一樣����,你可以將NAT配置為接受某些特定端口傳來的傳入連接,并將它們送到一個特定的主機地址����。
5.個人防火墻
現(xiàn)在網(wǎng)絡(luò)上流傳著很多的個人防火墻軟件�,它是應(yīng)用程序級的���。個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件��,它可以直接在用戶的計算機上運行����,使用與狀態(tài)/動態(tài)檢測防火墻相同的方式�,保護一臺計算機免受攻擊。通常���,這些防火墻是安裝在計算機網(wǎng)絡(luò)接口的較低級別上,使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信�����。
一旦安裝上個人防火墻���,就可以把它設(shè)置成“學習模式”����,這樣的話,對遇到的每一種新的網(wǎng)絡(luò)通信���,個人防火墻都會提示用戶一次,詢問如何處理那種通信����。然后個人防火墻便記住響應(yīng)方式,并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。
例如,如果用戶已經(jīng)安裝了一臺個人Web服務(wù)器����,個人防火墻可能將第一個傳入的Web連接作上標志�,并詢問用戶是否允許它通過��。用戶可能允許所有的Web連接����、來自某些特定IP地址范圍的連接等�,個人防火墻然后把這條規(guī)則應(yīng)用于所有傳入的Web連接。
基本上,你可以將個人防火墻想象成在用戶計算機上建立了一個虛擬網(wǎng)絡(luò)接口。不再是計算機的操作系統(tǒng)直接通過網(wǎng)卡進行通信�,而是以操作系統(tǒng)通過和個人防火墻對話�,仔細檢查網(wǎng)絡(luò)通信���,然后再通過網(wǎng)卡通信�����。
二�����、各類防火墻的優(yōu)缺點
1.包過濾防火墻
使用包過濾防火墻的優(yōu)點包括:
防火墻對每條傳入和傳出網(wǎng)絡(luò)的包實行低水平控制。
每個IP包的字段都被檢查�����,例如源地址、目的地址����、協(xié)議��、端口等��。防火墻將基于這些信息應(yīng)用過濾規(guī)則���。
防火墻可以識別和丟棄帶欺騙性源IP地址的包�����。
包過濾防火墻是兩個網(wǎng)絡(luò)之間訪問的唯一來源。因為所有的通信必須通過防火墻,繞過是困難的�。
包過濾通常被包含在路由器數(shù)據(jù)包中���,所以不必額外的系統(tǒng)來處理這個特征����。
使用包過濾防火墻的缺點包括:
配置困難�����。因為包過濾防火墻很復雜�,人們經(jīng)常會忽略建立一些必要的規(guī)則��,或者錯誤配置了已有的規(guī)則����,在防火墻上留下漏洞���。然而����,在市場上,許多新版本的防火墻對這個缺點正在作改進,如開發(fā)者實現(xiàn)了基于圖形化用戶界面(GUI)的配置和更直接的規(guī)則定義�。
為特定服務(wù)開放的端口存在著危險��,可能會被用于其他傳輸��。例如��,Web服務(wù)器默認端口為80,而計算機上又安裝了RealPlayer�����,那么它會搜尋可以允許連接到RealAudio服務(wù)器的端口����,而不管這個端口是否被其他協(xié)議所使用,RealPlayer正好是使用80端口而搜尋的�����。就這樣無意中�����,RealPlayer就利用了Web服務(wù)器的端口��。
可能還有其他方法繞過防火墻進入網(wǎng)絡(luò),例如撥入連接��。但這個并不是防火墻自身的缺點���,而是不應(yīng)該在網(wǎng)絡(luò)安全上單純依賴防火墻的原因��。
2.狀態(tài)/動態(tài)檢測防火墻
狀態(tài)/動態(tài)檢測防火墻的優(yōu)點有:
檢查IP包的每個字段的能力����,并遵從基于包中信息的過濾規(guī)則����。
識別帶有欺騙性源IP地址包的能力。
包過濾防火墻是兩個網(wǎng)絡(luò)之間訪問的唯一來源���。因為所有的通信必須通過防火墻,繞過是困難的����。
基于應(yīng)用程序信息驗證一個包的狀態(tài)的能力�, 例如基于一個已經(jīng)建立的FTP連接��,允許返回的FTP包通過�����。
基于應(yīng)用程序信息驗證一個包狀態(tài)的能力,例如允許一個先前認證過的連接繼續(xù)與被授予的服務(wù)通信���。
記錄有關(guān)通過的每個包的詳細信息的能力����;旧����,防火墻用來確定包狀態(tài)的所有信息都可以被記錄�����,包括應(yīng)用程序?qū)Π恼埱�����,連接的持續(xù)時間,內(nèi)部和外部系統(tǒng)所做的連接請求等���。
狀態(tài)/動態(tài)檢測防火墻的缺點:
狀態(tài)/動態(tài)檢測防火墻唯一的缺點就是所有這些記錄����、測試和分析工作可能會造成網(wǎng)絡(luò)連接的某種遲滯,特別是在同時有許多連接激活的時候,或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時�?墒�,硬件速度越快����,這個問題就越不易察覺,而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。
3.應(yīng)用程序代理防火墻
使用應(yīng)用程序代理防火墻的優(yōu)點有:
指定對連接的控制,例如允許或拒絕基于服務(wù)器IP地址的訪問,或者是允許或拒絕基于用戶所請求連接的IP地址的訪問�。
通過限制某些協(xié)議的傳出請求��,來減少網(wǎng)絡(luò)中不必要的服務(wù)。
大多數(shù)代理防火墻能夠記錄所有的連接,包括地址和持續(xù)時間��。這些信息對追蹤攻擊和發(fā)生的未授權(quán)訪問的事件事很有用的���。
使用應(yīng)用程序代理防火墻的缺點有:
必須在一定范圍內(nèi)定制用戶的系統(tǒng)�,這取決于所用的應(yīng)用程序。
一些應(yīng)用程序可能根本不支持代理連接。
4.NAT
使用NAT的優(yōu)點有:
所有內(nèi)部的IP地址對外面的人來說是隱蔽的�����。因為這個原因�,網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺特定的計算機發(fā)起攻擊。
如果因為某種原因公共IP地址資源比較短缺的話,NAT可以使整個內(nèi)部網(wǎng)絡(luò)共享一個IP地址�����。
可以啟用基本的包過濾防火墻安全機制�����,因為所有傳入的包如果沒有專門指定配置到NAT�����,那么就會被丟棄�。內(nèi)部網(wǎng)絡(luò)的計算機就不可能直接訪問外部網(wǎng)絡(luò)。
使用NAT的缺點:
NAT的缺點和包過濾防火墻的缺點是一樣的����。雖然可以保障內(nèi)部網(wǎng)絡(luò)的安全����,但它也是一些類似的局限。而且內(nèi)網(wǎng)可以利用現(xiàn)流傳比較廣泛的木馬程序可以通過NAT做外部連接,就像它可以穿過包過濾防火墻一樣的容易。
注意:現(xiàn)在有很多廠商開發(fā)的防火墻���,特別是狀態(tài)/動態(tài)檢測防火墻,除了它們應(yīng)該具有的功能之外也提供了NAT的功能。
5.個人防火墻
個人防火墻的優(yōu)點有:
增加了保護級別�����,不需要額外的硬件資源���。
個人防火墻除了可以抵擋外來攻擊的同時����,還可以抵擋內(nèi)部的攻擊。
個人防火墻是對公共網(wǎng)絡(luò)中的單個系統(tǒng)提供了保護。例如一個家庭用戶使用的是Modem或ISDN/ADSL上網(wǎng)����,可能一個硬件防火墻對于他來說實在是太昂貴了���,或者說是太麻煩了�����。而個人防火墻已經(jīng)能夠為用戶隱蔽暴露在網(wǎng)絡(luò)上的信息,比如IP地址之類的信息等��。
個人防火墻的缺點:
個人防火墻主要的缺點就是對公共網(wǎng)絡(luò)只有一個物理接口��。要記住,真正的防火墻應(yīng)當監(jiān)視并控制兩個或更多的網(wǎng)絡(luò)接口之間的通信���。這樣一來的話,個人防火墻本身可能會容易受到威脅���,或者說是具有這樣一個弱點,網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則���。
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
