概述
防火牆(Fire Wall) :網絡安全的第一道防線,是位於兩個信任程度不同的網絡之間(如企業內部網絡和Internet 之間)的設備,它對兩個網絡之間的通信進行控制,通過強制實施統一的安全策略,防止對重要信息資源的非法存取和訪問以達到保護系統安全的目的。
防火牆 = 硬件 + 軟件 + 控制策略
功能
- 限定內部用戶訪問特殊站點。
- 防止未授權用戶訪問內部網絡。
- 允許內部網絡中的用戶訪問外部網絡的服務和資源而不泄漏內部網絡的數據和資源。
- 記錄通過防火牆的信息內容和活動。
- 對網絡攻擊進行監測和報警。
防火牆不能做什麼
除了懂得防火牆能保護什麼非常重要外,懂得防火牆不能保護什麼也是同等重要:
① 不能防範不經過防火牆的攻擊。
② 不能防範來自內部的威脅,例如來自一個心懷不滿的僱員的報復或者一個僱員的誤操作
③ 不能防止受病毒感染的軟件或木馬文件的傳輸。
④ 不安全的防火牆、配置不合理的防火牆、防火牆在網絡中的位置不當等,會使防火牆形同虛設。
例如,員工接收了一封包含木馬的郵件,木馬是以普通程序的形式放在了附件裏,防火牆不能避免該情況的發生。
總體來說,除了不能防止物理故障等錯誤外,防火牆本身 並不能防範經過授權 的東西,如內部員工的破壞等。
防火牆種類
邊界防火牆
◼ 處於外部不可信網絡( 包括因特網、廣域網和其他公司的專用網) 與內部可信網絡之間,控制來自外部不可信網絡對內部可信網絡的訪問,防範來自外部網絡的非法攻擊。同時,保證了DMZ 區服務器的相對安全性和使用便利性。
◼ 這是目前防火牆的最主要應用
內部防火牆
✓ 處於內部不同可信等級安全域之間,起到隔離內網關鍵部門、子網或用戶的目的。
防火牆的基本原理
防火牆能分析任何協議的報文。基於它的分析,防火牆可以採取各種行動。
防火牆實現數據流控制的功能是通過預先設定安全規則來實現的。 安全規則 由 匹配條件和 處理方式 兩個部分組成: 如果滿足這個條件,將執行這種動作。
防火牆的基本策略
沒有明確允許的行爲都是禁止的
◼ “ 默認拒絕 ” 原則
◼ 當防火牆採用這條基本策略時,規則庫主要由處理方式爲 Accept的規則構成
◼ 通過防火牆的信息逐條與規則進行匹配,只要與其中任何一條匹配,則允許通過,如果不能與任何一條規則匹配則認爲該信息不能通過防火牆。
沒有明確禁止的行爲都是允許的
◼ “默認允許”原則
◼ 基於該策略時,防火牆中的規則主要由處理手段爲Reject 或Drop的 的規則組成
◼ 通過防火牆的信息逐條與規則進行匹配,一旦與規則匹配就會被防火牆丟棄或禁止,如果信息不能與任何規則匹配,則可以通過防火牆。
前者比較嚴格,後者則相對寬容。可以靈活結合這兩者進行規則制訂。
防火牆分類方式
如果按照防火牆的應用形式,可分爲 硬件防火牆與軟件防火牆
硬件防火牆可以是一臺獨立的硬件設備(如Cisco PIX ,ASA );也可以在一臺路由器上,經過配置成爲一臺具有安全功能的防火牆。
軟件防火牆是運行在服務器主機上的一個軟件(如ISA Server 2002 )。 硬件防火牆在功能和性能上都優於軟件防火牆 ,但是 成本較高 。
按照防火牆工作的層次劃分:
如果按照防火牆工作的層次來劃分,可分爲包過濾防火牆(網絡層)、代理型(應用網關型)防火牆或混合型防火牆 (後面會具體介紹)
防火牆技術
包過濾防火牆
包過濾方式是一種 通用、廉價和有效的安全手段 。通用即適用於各種網絡服務;廉價因爲絕大部分路由器都提供了數據 包過濾的 功能,這類防火牆多數是 集成在路由器上面 的。有效是因爲它能滿足大部分企業的安全需求。
包過濾技術
包過濾防火牆工作在 網絡層和傳輸層 ,它根據通過防火牆的 每個數據包的首部信息 來決定是將該數據包發往 目的地址 還是丟棄。
大多數包過濾型防火牆只是針對性地分析數據包信息頭的部分域。
ACL 訪問控制列表
工作原理
ACL 是網絡設備處理數據包轉發的一組規則 。
ACL 採用包過濾技術,在路由器中讀取第三層和第四層數據包中的頭部信息, 如源IP地 地址、目的IP 地址、源端口號、目的端口號等 ,然後根據網絡工程師預先定義好的ACL 規則,對數據包進行過濾,從而達到訪問控制的目的。
實現訪問控制列表的核心技術是 包過濾
通過分析IP 數據包包頭信息,進行判斷(這裏假設IP所承載的上層協議爲TCP)
訪問控制列表(ACL) 由 由 多條判斷語句 組成。 每條語句給出一個條件和處理方式(通過或拒絕)。
路由器對收到的數據包按照判斷語句的書寫次序進行檢查,當遇到相匹配的條件時,就按照指定的處理方式進行處理。
因此,ACL 中各語句的書寫次序非常重要,如果一個數據包和某判斷語句的條件相匹配時,該數據包的匹配過程就結束了, 剩下的條件語句被忽略
acl語句
通配符掩碼(反掩碼)
應用acl規則(Cisco命令)
擴展acl配置
標準ACL只能控制源IP地址,不能控制到端口。
要控制第四層的端口,需要使用擴展ACL配置。
注意:該配置將會極大限制局域網和外網間的應用,它會拒絕除 Web 和 FTP 外的所有應用(包括 ICMP 、DNS 、電子郵件等),也會拒絕那些沒有使用標準端口的 Web 和 FTP 應用。
應用代理防火牆技術
❖ 採用應用代理技術的防火牆工作在 應用層 。應用層代理使得網絡管理員能夠實現比包過濾更加嚴格的安全策略。
❖ 應用層代理不用依靠包過濾工具來管理進出防火牆的數據流,而是 通過對每一種應用服務編制專門的代理程序,實現監視和控制應用層信息流的作用 。
❖ 防火牆可以代理 HTTP 、 FTP 、 SMTP 、 POP3 、Telnet 等協議,使得內網用戶可以在安全的情況下實現瀏覽網頁、收發郵件、遠程登錄等應用。
❖代理防火牆通常包含高級應用檢測能力,允許防火牆檢測尖端的應用層攻擊,比如緩衝區溢出攻擊和 SQL
代理防火牆缺點
代理防火牆最大缺點是 速度相對比較慢 ,當用戶對內外部網絡網關的吞吐量要求比較高時, 代理防火牆就會成爲內外部網絡之間的瓶頸。 而且, 代理防火牆需要爲不同的網絡服務建立專門的代理服務,用戶不能使用代理防火牆不支持的服務。