1、概述
防火牆是由硬件和軟件組成的系統,它處於安全網絡和不安全網絡之間,根據由系統管理員設置的訪問控制規則,對數據流進行過濾。
防火牆對數據流的處理方式有三種:1、允許通過 2、拒絕通過(會發送提示)3、丟棄數據包(發送者只能等待迴應直至通信超時)
防火牆要求:
1、所有進出網絡的數據流都必須經過防火牆
2、只允許經過授權的數據流通過防火牆
3、防火牆自身對入侵是免疫的
堡壘主機:把暴露在外的網關主機稱作堡壘主機
DMZ非軍事區:網關所在的網絡叫做DMZ
2、網絡地址轉換NAT
優點:1、滿足IP功能供需 2、隱藏內部網絡拓撲結構
靜態NAT:內部網絡地址與外部IP地址一一對應
動態NAT:內部網絡地址大於外部IP地址數量
NAT路由器有個IP轉換表
3、靜態包過濾FW
- 在網絡層
- 檢查:源/目的IP、源/目的端口、應用或協議
| 優點 | 缺點 |
| 1、對網絡性能有較小影響 | 1、安全性低 |
| 2、成本較低 | 2、缺少狀態感知能力 |
| 3、易遭受IP欺騙攻擊 | |
| 4、創建訪問控制規則比較困難 |
4、動態包過濾FW
- 相比較於靜態包過濾,它具有狀態感知的能力
- 工作在網絡層、高級在傳輸層
- 能收集更多狀態信息
- 檢查:源/目的IP、源/目的端口、應用或協議
- 與靜態不同:對外出的數據包身份進行記錄,此後若有相同連接的數據包進入FW,則直接允許這些數據包通過
- 可以處理TCP的ACK
- 實現方式:1、實時改變普通包過濾的規則集 2、類似於電路級網關的方式重新與外部網絡進行連接
| 優點 | 缺點 |
| 1、對網絡性能有較小影響 | 1、只在網絡層檢查TCP、IP |
| 2、安全性高於靜態FW | 2、沒有對淨荷進行過濾 |
| 3、具有狀態感知能提高性能 | 3、易遭受IP欺騙攻擊 |
| 4、難於創建規則 | |
|
5、需遵循三次握手,否則DoS |
5、應用級網關
- 應用級網關只能對特定服務的數據流進行過濾
- 需要爲特定的應用程序編寫特定的代理程序
| 優點 | 缺點 |
| 1、安全性高 | 1、靈活性差 |
| 2、具有認證 | 2、配置複雜 |
| 3、具有日誌 | 3、性能不高 |
6、狀態檢測FW
- 基於連接的狀態檢測機制,將屬於同一連接的所有包作爲一個數據流的整體看待
- 潛在地具有全部7層上過濾數據包的能力
- 但是許多隻運行在網絡層,作爲動態包過濾
| 優點 | 缺點 |
| 1、具有動態包過濾所有優點 | 1、單線程、性能受影響 |
| 2、更高安全性 | 2、CS結構會造成不安全結果 |
| 3、沒有打破CS模型 |
7、防火牆體系結構
1. 雙重宿主主機體系結構,雙重宿主主機是一種防火牆,這種防火牆主要有2個接口,分別連接着內部網絡和外部網絡,位於內外網絡之間,阻止內外網絡之間的IP通信,禁止一個網絡將數據包發往另一個網絡。兩個網絡之間的通信通過應用層數據共享和應用層代理服務的方法來實現,一般情況下都會在上面使用代理服務器,內網計算機想要訪問外網的時候,必需先經過代理服務器的驗證。這種體系結構是存在漏洞的,比如雙重宿主主機是整個網絡的屏障,一旦被黑客攻破,那麼內部網絡就會對攻擊者敞開大門,所以一般雙重宿主機會要求有強大的身份驗證系統來阻止外部非法登陸的可能性
2. 屏蔽主機體系結構,防火牆由一臺過濾路由器和一臺堡壘主機構成,防火牆會強迫所有外部網絡對內部網絡的連接全部通過包過濾路由器和堡壘主機,堡壘主機就相當於是一個代理服務器,也就是說,包過濾路由器提供了網絡層和傳輸層的安全,堡壘主機提供了應用層的安全,路由器的安全配置使得外網系統只能訪問到堡壘主機,這個過程中,包過濾路由器是否正確配置和路由表是否收到安全保護是這個體系安全程度的關鍵,如果路由表被更改,指向堡壘主機的路由記錄被刪除,那麼外部入侵者就可以直接連入內網
3. 屏蔽子網體系結構,這是最安全的防火牆體系結構,如下圖所示,由兩個包過濾路由器和一個堡壘主機構成,與屏蔽主機體系結構相比,它多了一層防護體系就是周邊網絡,周邊網絡相當與是一個防護層介於外網和內網之間,周邊網絡內經常放置堡壘主機和對外開放的應用服務器,比如web服務器。下圖中虛線框起來的地方就是屏蔽子網體系結構的防火牆,稱爲DMZ,通過DMZ網絡直接進行信息傳輸是被嚴格禁止的,外網路由器負責管理外部網到DMZ網絡的訪問,爲了保護內部網的主機,DMZ只允許外部網絡訪問堡壘主機和應用服務器,把入站的數據包路由到堡壘主機。不允許外部網絡訪問內網。內部路由器可以保護內部網絡不受外部網絡和周邊網絡侵害,內部路由器值允許內部網絡訪問堡壘主機,然後通過堡壘主機的代理服務器來訪問外網。外部路由器在DMZ向外網的方向只接受由堡壘主機向外網的連接請求。在屏蔽子網體系結構中,堡壘主機位於周邊網絡,爲整個防禦系統的核心,堡壘主機運行應用級網關,比如各種代理服務器程序,如果堡壘主機遭到了入侵,那麼有內部路由器的保護,可以使得其不能進入內部網絡
版權聲明:本文爲博主原創文章,轉載請附上博文鏈接!