[笔记] 计算机网络安全:(5)防火墙原理与设计
目录
5.1 防火墙概述
5.1.1 防火墙概述
- 防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全和不可信赖的。
- 防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。
- 两个安全域之间通信流的唯一通道,内外网之间的所有数据流都要流经防火墙
- 防火墙根据访问控制规则决定进出网络的行为
防火墙的功能
-
根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。
-
限制外部未授权的用户进入内部网络,过滤掉不安全的服务和非法用户
-
限制内部用户访问特殊站点或不安全的服务
-
防止入侵者接近内部网络
-
5.1.2 防火墙对数据流的处理方式
- 允许数据流通过
- 拒绝数据流通过,并向发送者回复一条消息,提示发送者该数据流 已被拒绝
- 将数据流丢弃,不对这些数据包进行任何处理,也不会向发送者发送任何提示信息。发送者只能等到超时才知道发送不成功
5.1.3 防火墙须满足的要求
- 所有进出网络的数据流都必经防火墙
- 只允许经过授权的数据流通过防火墙
- 防火墙自身对入侵是免疫的
5.1.4 防火墙的分类
- 从形态角度分类
- 硬件防火墙:专门设计的网络设备,安装了防火墙软件,本质上还是软件在进行控制
- 软件防火墙:运行在一台或多台计算机之上的特别软件从保护对象角度分类
- 从保护对象角度分类
- 网络防火墙:保护整个网络
- 单机/个人防火墙:保护单台主机
- 从实现技术角度分类
- 分组过滤防火墙(Packet Filtering)
- 作用在网络层和传输层,根据包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过
- 状态检测防火墙(Status Detection)
- 直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。
- 应用代理防火墙(Application Proxy)
- 也叫应用网关(Application Gateway),它作用在应用层,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用
- 分组过滤防火墙(Packet Filtering)
网络层次模型与防火墙类型的关系
默认策略(两种)
- 默认接受:是指除非明确地指定禁止某个分组,否则分组是可以通过的。
- 默认拒绝:除非明确地指定允许某个分组通过,否则分组是不可以通过的。
- 从安全的角度讲,默认拒绝应该是更安全的
5.1.5 防火墙的特性分析
- 防火墙是Internet安全的最基本组成部分,但仅采用防火墙并不能给整个网络提供全局的安全性
- 无法防御内部攻击
- 对绕过防火墙的连接却无能为力。
- 防火墙必须允许一些重要服务通过,但是也为攻击者提供了攻击内部网络的机会。
- 防火墙自身的安全性比普通主机更高,凡是与防火墙的功能实现不相关但又可能给防火墙自身带来安全威胁的网络服务和程序,都应从防火墙中去掉。
采用防火墙保护内部网有以下优点
- 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客和网络破坏者等)进入内部网
- 可以集中实施相关安全策略,增强保密性和强化私有权
- 在防火墙上可以很方便地监视网络的安全性,并产生报警。
- 防火墙是审计和记录Internet使用量的一个最佳地方。
5.1.6 防火墙的发展史
| 迭代 | 技术 |
|---|---|
| 第1代 | 包过滤 |
| 第2代 | 电路级网关 |
| 第3代 | 应用级网关 |
| 第4代 | 动态包过滤 |
| 第5代 | 内核代理,自适应代理 |
| 第6代 | 统一威胁管理UTM |
5.2 常用防火墙技术
5.2.1 静态包过滤防火墙
特点
- 采用过滤模块实现
- 较高的安全性
- 直接使用路由器软件过滤
- 无需购买专门设备
- 减少投资
操作
- 接收每个到达的数据包
- 对数据包采用过滤规则,对数据包的IP头和传输字段内容进行检查
- 如果没有规则与数据包头信息匹配,则对数据包施加默认规则。
工作层次
静态包过滤防火墙是最原始的防火墙,静态数据包过滤发生在网络层/ 传输层上
原理
- 作用在网络层和传输层,根据分组头部源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。
- 其核心是安全策略即过滤规则的设计,过滤过程就是根据过滤规则对数据包进行检查。
- 过滤位置:在网络入口处、网络出口处对数据包过滤
- 一般来说,不保留前后连接信息,利用分组过滤技术很容易实现允许或禁止访问。
- 方式单一,逐包检查,注意策略一致性问题
检查内容
对于静态包过滤防火墙来说,决定接收还是拒绝数据包,取决于对数据包中IP头和协议头等特定域的检查和判定
- 数据源地址
- 源端口号
- 目的地址
- 目的端口号
- 应用或协议
实例1
| Interface | src | sport | des | dport |
|---|---|---|---|---|
| 1 | 130.33.0.0 | * | * | * |
| 1 | * | * | * | 21 |
| 1 | * | * | 193.77.21.9 | * |
| 2 | * | * | * | 80 |
- 拒绝来自130.33.0.0的数据包,这是一种保守策略
- 拒绝来自外部网络的Telnet服务(端口号为23)的数据
- 拒绝试图访问内网主机193.77.21.9的数据包
- 禁止HTTP服务(端口号为80)的数据包输出
实例2
| 规则 | 方向 | src | des | protocal | sport | dport | ACK | 动作 |
|---|---|---|---|---|---|---|---|---|
| A | 出 | 172.46.23.45 | * | TCP | >1023 | 23 | 任意 | 允许 |
| B | 入 | * | 172.45.23.45 | TCP | 23 | >1023 | 是 | 允许 |
配置
- 必须用设备提供商可支持的语法重写这些表达式
- 必须用逻辑表达式清楚地表述数据包的类型
- 管理员必须明确企业网络的安全策略
过滤规则制定的策略
- 按地址过滤:源IP、目的IP
- 防地址欺骗
- 对外部地址取消信任
- 按
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
