1、概述
防火墙是由硬件和软件组成的系统,它处于安全网络和不安全网络之间,根据由系统管理员设置的访问控制规则,对数据流进行过滤。
防火墙对数据流的处理方式有三种:1、允许通过 2、拒绝通过(会发送提示)3、丢弃数据包(发送者只能等待回应直至通信超时)
防火墙要求:
1、所有进出网络的数据流都必须经过防火墙
2、只允许经过授权的数据流通过防火墙
3、防火墙自身对入侵是免疫的
堡垒主机:把暴露在外的网关主机称作堡垒主机
DMZ非军事区:网关所在的网络叫做DMZ
2、网络地址转换NAT
优点:1、满足IP功能供需 2、隐藏内部网络拓扑结构
静态NAT:内部网络地址与外部IP地址一一对应
动态NAT:内部网络地址大于外部IP地址数量
NAT路由器有个IP转换表
3、静态包过滤FW
- 在网络层
- 检查:源/目的IP、源/目的端口、应用或协议
| 优点 | 缺点 |
| 1、对网络性能有较小影响 | 1、安全性低 |
| 2、成本较低 | 2、缺少状态感知能力 |
| 3、易遭受IP欺骗攻击 | |
| 4、创建访问控制规则比较困难 |
4、动态包过滤FW
- 相比较于静态包过滤,它具有状态感知的能力
- 工作在网络层、高级在传输层
- 能收集更多状态信息
- 检查:源/目的IP、源/目的端口、应用或协议
- 与静态不同:对外出的数据包身份进行记录,此后若有相同连接的数据包进入FW,则直接允许这些数据包通过
- 可以处理TCP的ACK
- 实现方式:1、实时改变普通包过滤的规则集 2、类似于电路级网关的方式重新与外部网络进行连接
| 优点 | 缺点 |
| 1、对网络性能有较小影响 | 1、只在网络层检查TCP、IP |
| 2、安全性高于静态FW | 2、没有对净荷进行过滤 |
| 3、具有状态感知能提高性能 | 3、易遭受IP欺骗攻击 |
| 4、难于创建规则 | |
|
5、需遵循三次握手,否则DoS |
5、应用级网关
- 应用级网关只能对特定服务的数据流进行过滤
- 需要为特定的应用程序编写特定的代理程序
| 优点 | 缺点 |
| 1、安全性高 | 1、灵活性差 |
| 2、具有认证 | 2、配置复杂 |
| 3、具有日志 | 3、性能不高 |
6、状态检测FW
- 基于连接的状态检测机制,将属于同一连接的所有包作为一个数据流的整体看待
- 潜在地具有全部7层上过滤数据包的能力
- 但是许多只运行在网络层,作为动态包过滤
| 优点 | 缺点 |
| 1、具有动态包过滤所有优点 | 1、单线程、性能受影响 |
| 2、更高安全性 | 2、CS结构会造成不安全结果 |
| 3、没有打破CS模型 |
7、防火墙体系结构
1. 双重宿主主机体系结构,双重宿主主机是一种防火墙,这种防火墙主要有2个接口,分别连接着内部网络和外部网络,位于内外网络之间,阻止内外网络之间的IP通信,禁止一个网络将数据包发往另一个网络。两个网络之间的通信通过应用层数据共享和应用层代理服务的方法来实现,一般情况下都会在上面使用代理服务器,内网计算机想要访问外网的时候,必需先经过代理服务器的验证。这种体系结构是存在漏洞的,比如双重宿主主机是整个网络的屏障,一旦被黑客攻破,那么内部网络就会对攻击者敞开大门,所以一般双重宿主机会要求有强大的身份验证系统来阻止外部非法登陆的可能性
2. 屏蔽主机体系结构,防火墙由一台过滤路由器和一台堡垒主机构成,防火墙会强迫所有外部网络对内部网络的连接全部通过包过滤路由器和堡垒主机,堡垒主机就相当于是一个代理服务器,也就是说,包过滤路由器提供了网络层和传输层的安全,堡垒主机提供了应用层的安全,路由器的安全配置使得外网系统只能访问到堡垒主机,这个过程中,包过滤路由器是否正确配置和路由表是否收到安全保护是这个体系安全程度的关键,如果路由表被更改,指向堡垒主机的路由记录被删除,那么外部入侵者就可以直接连入内网
3. 屏蔽子网体系结构,这是最安全的防火墙体系结构,如下图所示,由两个包过滤路由器和一个堡垒主机构成,与屏蔽主机体系结构相比,它多了一层防护体系就是周边网络,周边网络相当与是一个防护层介于外网和内网之间,周边网络内经常放置堡垒主机和对外开放的应用服务器,比如web服务器。下图中虚线框起来的地方就是屏蔽子网体系结构的防火墙,称为DMZ,通过DMZ网络直接进行信息传输是被严格禁止的,外网路由器负责管理外部网到DMZ网络的访问,为了保护内部网的主机,DMZ只允许外部网络访问堡垒主机和应用服务器,把入站的数据包路由到堡垒主机。不允许外部网络访问内网。内部路由器可以保护内部网络不受外部网络和周边网络侵害,内部路由器值允许内部网络访问堡垒主机,然后通过堡垒主机的代理服务器来访问外网。外部路由器在DMZ向外网的方向只接受由堡垒主机向外网的连接请求。在屏蔽子网体系结构中,堡垒主机位于周边网络,为整个防御系统的核心,堡垒主机运行应用级网关,比如各种代理服务器程序,如果堡垒主机遭到了入侵,那么有内部路由器的保护,可以使得其不能进入内部网络
版权声明:本文为博主原创文章,转载请附上博文链接!