既然上次開了這個系列,索性就把這個信息安全這一塊的主流技術都介紹一遍好了。上篇博客講了密碼學,今天就來說說防火牆技術。
防火牆技術
防火牆技術是位於兩個新人程度不同的網絡之間的軟件或者硬件設備的組合,實質上是一種控制隔離技術。它要求:
- 所有進出網絡的數據流都應該通過它,並且所有穿過它的數據流都必須通過安全策略的審計和授權。
- 記錄有關連接的信息和服務器的通信量。
- 記錄試圖闖入者的任何企圖,以便管理員的檢測和跟蹤。
防火牆本身不是一個單獨的計算機程序或者設備,而是能夠提供安全策略及其實現方式的完整的系統。
防火牆的主要作用
- 限制人們從一個特定點進入
- 防止入侵者接近其他的防禦設施
- 限制人們從一個特點點離開
設置防火牆的目的都是爲了在內部網與外部網之間設立唯一的通道,不讓那些來自不受保護的網絡上的多餘的未授權的信息進入專用網絡,而仍能允許本地網絡上的用戶訪問Internet,並能簡化網絡的安全管理。
防火牆技術的分類
一、技術分類
目前防火牆使用的技術主要有數據包過濾、應用網關和代理服務。
-
數據包過濾技術
數據包過濾是最早使用的一種防火牆技術,它工作在網絡層和傳輸層,把這兩層的數據作爲監控對象。包過濾截獲所有流經的IP包,從其IP數據包包頭信息、傳輸層協議包頭以及應用層協議數據中獲取過濾所需的相關信息。系統內設置有訪問控制表包過濾防火牆根據控制表的過濾規則,對每個接收和發送的IP包應用這些規則,然後決定是傳送此包還是丟棄此包。防火牆一般會配置成雙向過濾,過濾規則基於網絡包中所包含的信息,比如源IP地址、目的IP地址;目的端口號,源端口號;IP協議棧和接口等。
可以抵禦的攻擊手段:能阻止一種類型的IP欺騙,即外部主機僞裝內部主機的IP。
在實際應用中,通常把包過濾防火牆作爲網絡的第一道安全防線!
優點:- 對於一個小型的、不太複雜的站點,包過濾比較容易實現。
- 因爲過濾 路由器工作在IP層和TCP層,所以處理包的速度比代理服務器快。
- 過濾路由器爲用戶提供了一種透明的服務,用戶不需要改變 客戶端的任何應用程序,也不需要用戶學習任何新的東西。
- 過濾 路由器在價格上一般比代理服務器便宜。
缺點:
- 一些包過濾網關不支持有效的 用戶認證。
- 規則表很快會變得很大而且複雜,規則很難測試。隨着表的增大和複雜性的增加,規則結構出現漏洞的可能 性也會增加。
- 這種防火牆最大的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題,會使得網絡大門敞開,而用戶甚至可能還不知道。
- 在一般情況下,如果外部用戶被允許訪問內部 主機,則它就可以訪問內部網上的任何主機。
- 包過濾 防火牆只能阻止一種類型的IP欺騙,即外部 主機僞裝內部主機的IP,對於外部主機僞裝外部主機的IP欺騙卻不可能阻止,而且它不能防止DNS欺騙。
-
應用網關
應用網關防火牆在網絡的應用層完成協議過濾和轉發功能。它針對特定的網絡應用協議使用指定的數據過濾邏輯,並在過濾的同時對數據包進行必要的登記、統計和分析,形成日誌報告。數據包過濾防火牆和應用網關防火牆的共同點是僅依靠特定的邏輯來判斷是否允許數據包通過。一旦滿足邏輯,防火牆內外的計算機就會直接建立聯繫,防火牆外部的用戶便有可能直接瞭解內部網的結構和運行狀態。因此,這種方式不能有效地組織非法訪問和攻擊。
可以抵禦的攻擊手段:可以防止一些不被允許的網絡服務和不常用的應用程序與內部網絡建立聯繫,造成內網敏感信息泄漏。 -
代理服務
代理服務是針對數據包過濾防火牆和應用網關防火牆的缺點而引入的。它將所有跨越防火牆的網絡通信鏈路分爲兩段,然後用代理服務器以軟件方式來實現防火牆內外計算機系統間應用層的連接。
![圖1]()
可低於的攻擊手段:可有效阻止非法訪問和攻擊。
通常較爲理想的防火牆不依賴於一種技術,而是把數據包過濾技術和代理服務器技術結合起來使用,實現二者在網絡安全性、性能和透明度方面的優勢互補。從而獲得更高的網絡安全性能和系統性能。
二、結構分類
從應用體系 結構的角度,防火牆可以分爲 雙宿主主機結構、屏蔽主機體系結構和屏蔽子網體系結構。
- 雙宿主主機體系結構
雙宿主主機有 兩個接口:一個接口與內部網絡連接;另一個 接口與外部網絡連接。內外網絡之間不可直接通信,但可以通過應用層代理(在主機中運行代理服務器 )的方式通信。雙宿主主機防火牆結構簡單,易於實現。但也十分脆弱,一旦被入侵,內部網絡便向入侵者敞開大門。
![圖2]()
- 屏蔽主機體系結構
屏蔽主機體系結構使用一個屏蔽路由器和一個堡壘主機構成防火牆。堡壘主機是一種被加固的可以防禦 進攻的計算機。屏蔽路由器應保證所有的輸入信息必須先送往堡壘主機,並且只接收來自堡壘主機的輸出信息。內部網絡上的其他站點也只能訪問堡壘主機。如果屏蔽路由器被穿過,整個兒網絡將對入侵者開放。
![圖3]()
- 屏蔽子網體系結構
屏蔽子網體系結構增加一個把內部網與因特網隔離的周邊網絡(也稱爲非軍事區,DMZ),從而進一步增強堡壘主機的安全性。它通過使用周邊網絡隔離堡壘主機能夠削弱外部網絡對堡壘主機的攻擊。
![圖4]()
非軍事化區域DMZ是網絡管理員爲了保證網絡安全的同時,又要保持與外界的通信所採取的一種措施。DMZ是公司網絡的一部分,但是它被放置在防火牆的外部,是進入網絡的入口。我們通常將那些經常需要與外界Internet進行連接,爲外部提供訪問的服務器,比如web服務器,E-mail服務器等放置在DMZ區域。這樣既能保證外部的訪問需求,又能避免外部網絡頻繁訪問內網而造成的安全問題。
防火牆的優點
- 防火牆定義一個遏制點用於把未授權用戶阻止在受保護的網絡之外 ,阻止潛在安全威脅的服務進入或離開網絡,並且提供各種防止IP假冒攻擊和路由攻擊。使用遏制點簡化了安全管理,因爲單系統或多系統的安全性被鞏固了。
- 防火牆提供了監視安全相關事件的場所。防火牆系統可以執行審計和警告。
- 防火牆是一個可以用於一些與安全性不想關的互聯網功能的便利平臺。
- 防火牆可以作爲IPsec平臺。
防火牆的缺點
- 防火牆不能阻止那些繞開防火牆的攻擊。
- 防火牆不能完全防止內部威脅。
- 一個安全性不當的無線局域網可能會受到來自該系統外的訪問。
- 筆記本電腦,掌上電腦(PDA),或者掌上存儲設備可能會被使用中的網絡外部利用、感染,然後再被接入到內網和在內網中被使用。
- 防火牆不能防止感染了病毒的軟件或者文件的傳輸。
- 防火牆不能防止數據驅動式的攻擊。
最後再來一個小問題:畫圖並簡述使用公鑰加密的對稱密鑰分發過程
【分析】
題目意思就是要對對稱密鑰進行分發,而爲了保證對稱密鑰的安全,所以採用公鑰對對稱密鑰進行加密,防止對稱密鑰進行泄漏。其分發過程如下圖所示:
當Bob與Alice進行通信時,
- 準備消息,即需要傳輸的對稱密鑰
- 利用一次性傳統會話密鑰對要傳輸的對稱密鑰進行加密
- 利用Alice的公鑰,使用公鑰加密的方法對會話密鑰進行加密
- 把加密的會話密鑰附在消息上,一塊發送給Alice
歡迎關注微信公衆號:蜂蜜橘子!有關電子產品和考研的話題都可以聊,歡迎來找我玩耍!
