防火墙原理入门.pdf

防火墙相关知识 防火墙原理入门 防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外 界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许 授权的数据通过，而且防火墙本身也必须能够免于渗透。 防火墙的五大功能 一般来说，防火墙具有以下几种功能： 1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2．可以很方便地监视网络的安全性，并报警。 3．可以作为部署 NAT（Network Address Translation，网络地址变换）的地点，利用 NAT技术，将有限的 IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短 缺的问题。 4．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门 提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提 供部门级的计费。 两种防火墙技术的对比 包过滤防火墙 优点 价格较低 性能开销小，处理速度较快 缺点 定义复杂，容易出现因配置不当带来问题 允许数据包直接通过，容易造成数据驱动式攻击的潜在危险 代理防火墙 内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令， 对来往的数据包进行安全化处理 速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用 5．可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和 FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区 （DMZ）。 防火墙的两大分类 尽管防火墙的发展经过了上述的几代，但是按照防火墙对内外来往数据的处理方法，大 致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙（应用层网关防火墙）。前者以以 色列的 Checkpoint 防火墙和Cisco 公司的 PIX 防火墙为代表，后者以美国 NAI 公司的 Gauntlet防火墙为代表。 1．包过滤防? 第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包 过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP源地址、IP 目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤 类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的 数据包，禁止其他的数据包。 图1 简单包过滤防火墙 第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。 这种技术后来发展成为所谓包状态监测（StatefulInspection）技术。采用这种技术的防火 墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更绿 跄俊? 图2 动态包过滤防火墙 2． 代理防火墙 第一代：代理防火墙 代理防火墙也叫应用层网关（ApplicationGateway）防火墙。这种防火墙通过一种代理 （Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后， 就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火 墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个 客户的连接意图时，它们将核实客户请求，并经过特定的安全化的Proxy应用程序处理连接 请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后， 将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间 转接的作用。 代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过 Proxy 的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防 火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入 侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏 洞的。就像你要向一个陌生的重要人物递交一份声明一样，如果你先将这份声明交给你的律 师，然后律师就会审查你的声