防火墙(Firewall)系统作为采用访问控制过滤技术的代表产品已经被越来越多的用户认可,其作为网络安全最基本、最经济、最有效的手段之一,通常部署在内、外俩个网络(或多个网络)或者俩个网络安全区域的边界处(数据中心边界等),对经过防火墙系统的数据进行检测,判断其是否符合定制的通信策略,决定是否进行数据转发,有效地对内、外网络实施隔离,严格保护内部网络不受非授权信息的入侵和访问。防火墙也可以实现内、外网或不同信任域之间的网络隔离与访问控制。
防火墙的形式可以是硬件、软件、软件即服务(SaaS)等。
一、基本定义
防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。
通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,而计算机系统的内部中具有的日志功能,其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。
物理上:在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
逻辑上:防火墙是一个分离器,一个限制器,也是一个分析器。
二、功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
1、网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2、强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3、监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4、防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务性的企业内部网络技术体系VPN(虚拟专用网)。
5、日志记录与事件通知
进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知,提供网络是否受到威胁的信息。
三、主要类型
(1)过滤型防火墙
过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。
(2)应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OSI的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。
(3)复合型防火墙
综合了包过滤防火墙技术以及应用代理防火墙技术的优点,譬如发过来的安全策略是包过滤策略,那么可以针对报文的报头部分进行访问控制;如果安全策略是代理策略,就可以针对报文的内容数据进行访问控制,因此复合型防火墙技术综合了其组成部分的优点,同时摒弃了两种防火墙的原有缺点,大大提高了防火墙技术在应用实践中的灵活性和安全性。
四、关键技术
1、包过滤技术
防火墙的包过滤技术一般只应用于OSI7层的模型网络层的数据中,其能够完成对防火墙的状态检测,从而预先可以把逻辑策略进行确定。逻辑策略主要针对地址、端口与源地址,通过防火墙所有的数据都需要进行分析,如果数据包内具有的信息和策略要求是完全相符的,则其数据包就能够顺利通过,如果是不相符的,则其数据包就被迅速拦截。计算机数据包传输的过程中,一般都会分解成为很多由目和地质等组成的一种小型数据包,当它们通过防火墙的时候,尽管其能够通过很多传输路径进行传输,而最终都会汇合于同一地方,在这个目地点位置,所有的数据包都需要进行防火墙的检测,在检测合格后,才会允许通过,如果传输的过程中,出现数据包的丢失以及地址的变化等情况,则就会被抛弃。
2、代理服务器技术
代理服务器是防火墙技术引用比较广泛的功能,根据其计算机的网络运行方法可以通过防火墙技术设置相应的代理服务器,从而借助代理服务器来进行信息的交互。在信息数据从内网向外网发送时,其信息数据就会携带着正确IP,非法攻击者能够分局信息数据IP作为追踪的对象,来让病毒进入到内网中,如果使用代理服务器,则就能够实现信息数据IP的虚拟化,非法攻击者在进行虚拟IP的跟踪中,就不能够获取真实的解析信息,从而代理服务器实现对计算机网络的安全防护。另外,代理服务器还能够进行信息数据的中转,对计算机内网以及外网信息的交互进行控制,对计算机的网络安全起到保护。
五、安全区域
防火墙主要分为4个区域分别是:trust(85)、dmz(50)、untrust(5)和local(100),防火墙的安全区域按照安全级别的不同从1到100划分安全级别,数字越大表示安全级别越高。管理员还可以自定义安全区域实现更细粒度的控制。防火墙上的接口必须加入安全区域才能处理流量。
六、安全策略
- 首先,它有最基本的“防暴”的能力,能够抵御一些最基本的网络攻击和DDoS泛洪流量的攻击。
- 然后,就是门禁系统的核心——预设的安全策略。通过预先设定好的规则,允许什么样的流量通过,或者不允许什么样的流量通过。条件包括传统的IP地址和端口,也可以包括流量所属的应用程序、流量发起的用户、所在的地理位置、甚至当前的时间是工作时间还是周末等等,对于满足这些条件的流量,防火墙就可以指定是允许它通过还是不允许它通过。
- 如果门禁系统允许流量通过,防火墙的功能并没有完结,还可以进一步对流量做进一步的“搜身检查”,比如入侵检测、反病毒、网页过滤、数据防泄漏等等,这些都是进一步的内容安全检查。如果发现了风险,防火墙可以按照既定设置拦截流量,或者发出告警事件。
流量一般都是有两个方向,比如用户上网的时候,向网站发出的访问请求,在网站看来,是“入方向”,网站返回给用户的流量则是“出方向”。所以,流经防火墙的流量,也都是有两个方向。
网络里的数据流量,它并不是像水流一样连续的,所有的数据都被分成一个一个的报文,有点像快递包裹,所以防火墙看到的是大量的报文在两个方向上快速流淌、经过。
六、性能指标
1、吞吐量
吞吐量是指在没有数据帧丢失的情况下,防火墙能够接受并转发的最大速率。
2、延时
延时是指发送端口发出数据包经过防火墙到接收端口收到该数据包的时间间隔。
3、丢包率
是指在正常稳定的网络状态下,应该被转发,但由于缺少资源而没有被转发的数据包占全部数据包的百分比。
4、并发连接数
它是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。反应出防火墙对多个连接的访问控制能力和连接状态跟踪能力,这个参数直接影响到防火墙所能支持的最大信息点数。
七、部署方式
1、透明模式:最简单的网络由客户端和服务器组成,客户端和服务器处于同一网段。为了安全方面的考虑,在客户端和服务器之间增加了防火墙设备,对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端,用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。
2、路由模式:在路由模式下,防火墙所有使用的接口均需要配置ip地址,并且需要在防防火墙的路由表内,根据网络结构情况添加相应的路由规则,同时其他连接防火墙的路由设备需要编写指向防火墙的路由策略。
3、混合模式:可以理解为透明模式和路由模式同时采用时的部署方式。
参考技术文档:
https://info.support.huawei.com/info-finder/encyclopedia/zh/%E9%98%B2%E7%81%AB%E5%A2%99.html
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
