防火墻的原理及應(yīng)用
防火墻的知識(shí)對于一些非專業(yè)的朋友來講是一些很難懂,看起來很復(fù)雜的東西,但其實(shí)等你真正的去了解之后才發(fā)現(xiàn)這些其實(shí)別不是那么難,現(xiàn)在就由小編簡單的為大家介紹一下防火墻的原理及應(yīng)用。
防火墻的原理:
1、包過濾防火墻
包過濾是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過,依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯,檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的原地址、目標(biāo)地址、以及包所使用端口確定是否允許該類數(shù)據(jù)包通過。在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡(luò)上,所有往來的信息都被分割成許許多多一定長度的信息報(bào),包中包括發(fā)送者的IP地址和接受者的IP地址。當(dāng)這些包被送上互聯(lián)網(wǎng)時(shí),路由器會(huì)讀取接受者的IP并選擇一條物理上的線路發(fā)送出去,信息包可能以不同的路線抵達(dá)目的地,當(dāng)所有的包抵達(dá)后會(huì)在目的地重新組裝還原。包過濾式的防火墻會(huì)檢查所有通過信息包里的IP地址,并按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。如果防火墻設(shè)定某一IP為危險(xiǎn)的話,從這個(gè)地址而來的所有信息都被會(huì)防火墻屏蔽掉。這種防火墻的用法很多,比如國家有關(guān)部門可以通過包過濾防火墻來禁止國家用戶去訪問那些違反我國有關(guān)規(guī)定或者“有問題”的國外站點(diǎn),包過濾路由器的最優(yōu)優(yōu)點(diǎn)就是他對于用戶來說是透明的,也就是說不需要用戶名和密碼來登陸。這種防火墻速度快而且易于維護(hù),通常作為第一道防線。包過濾路由器的弊端也是很明顯的,通常它沒有用戶的使用記錄,這樣我們就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄,而攻擊一個(gè)單純的包過濾式的防火墻對于黑客來說是比較容易的,他們在這一方面已經(jīng)積了大量的經(jīng)驗(yàn)。“信息包沖擊”是黑客比較常用的一種攻擊手段,黑客們對包過濾式防火墻發(fā)出一系列信息包,不過這些包中的IP地址已經(jīng)被替換掉了,取而代之的是一串順序的IP地址。一旦有一個(gè)包通過了防火墻,黑客便可以用這個(gè)IP地址來偽裝他們發(fā)出的信息。在另一些情況下黑客們使用一種他們自己編織的路由器攻擊程序,這種程序使用路由器歇息來發(fā)送偽造的路由器信息,這樣所有的都會(huì)被重新路由到一個(gè)入侵者所指定的特別抵制。對付這種路由器的另一種技術(shù)被稱之為“同步淹沒”,這實(shí)際上是一種網(wǎng)絡(luò)炸彈。攻擊者向被攻擊的計(jì)算機(jī)發(fā)出許許多多個(gè)虛假的“同步請求”信號(hào)報(bào),當(dāng)服務(wù)器相應(yīng)了這種信號(hào)報(bào)后會(huì)等待請求發(fā)出者的回答,而攻擊者不做任何的相應(yīng)。如果服務(wù)器在45秒鐘里沒有收到反應(yīng)信號(hào)的話就會(huì)取消掉這次的請求。但是當(dāng)服務(wù)器在處理成千上萬各虛假請求時(shí),它便沒有時(shí)間來處理正常的用戶請求,處于這種攻擊下的服務(wù)器和死鎖沒什么兩樣。此種防火墻的缺點(diǎn)是很明顯的,通常它沒有用戶的使用記錄,這樣我們就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。此外,配置繁瑣也是包過濾防火墻的一個(gè)缺點(diǎn)。它阻擋別人進(jìn)入內(nèi)部網(wǎng)絡(luò),但也不告訴你何人進(jìn)入你的系統(tǒng),或者何人從內(nèi)部進(jìn)入網(wǎng)際網(wǎng)路。它可以組織外部對私有網(wǎng)絡(luò)的訪問,卻不能記錄內(nèi)部的訪問。包過濾另一個(gè)關(guān)鍵的弱點(diǎn)就是不能再用戶級(jí)別上進(jìn)行過濾,即不能鑒別不同的用戶和防止IP地址盜用。包過濾防火墻什么某種意義上的絕對安全的系統(tǒng)。
2、應(yīng)用網(wǎng)關(guān)防火墻
應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包,并將檢查的內(nèi)容信息放入決策過程,從而提高網(wǎng)絡(luò)的安全性。然而,應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)/服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)/服務(wù)器通信需要兩個(gè)鏈接:一個(gè)是從客戶端到防火墻,另一個(gè)是從防火墻到服務(wù)器。另外,每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程,或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序,對每個(gè)新的應(yīng)用必須添加對此應(yīng)用的服務(wù)程序,否則不能使用該服務(wù)。所以,應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。
3、狀態(tài)監(jiān)測防火墻
狀態(tài)監(jiān)測防火墻基本保持了簡單包過濾防火墻的優(yōu)點(diǎn),性能比較好,同時(shí)對應(yīng)用是透明的,在此基礎(chǔ)上,對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn),在防火墻的核心部分建立狀態(tài)連接表,維護(hù)了連接,將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理??梢院完査罚瑺顟B(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為,而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。
4、復(fù)合型防火墻
復(fù)合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻,進(jìn)一步基于ASIC架構(gòu),把防病毒、內(nèi)容過濾整合到防火墻里,其中還包裹、IDS功能,多單元融為一體,是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊,在網(wǎng)絡(luò)界面對應(yīng)用層掃描,把防病毒、內(nèi)容過濾與防火墻結(jié)合起來,這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描,實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。
防火墻的典型應(yīng)用:
1、防止網(wǎng)絡(luò)入侵
2、防止消息文件泄露
3、保護(hù)內(nèi)網(wǎng)安全
4、檢查出入網(wǎng)絡(luò)的鏈接,保護(hù)一些端口
5、防止計(jì)算機(jī)接收到非法包