本文详细介绍了防火墙的基本概念、功能,包括过滤非安全访问、网络访问限制、审计、带宽控制等。同时,讨论了防火墙的安全风险,如旁路攻击、功能缺陷、单点故障等。防火墙的实现技术主要包括包过滤、状态检测、应用服务代理和网络地址转换。最后,提到了NAT技术在解决IP地址不足问题和提高网络安全方面的作用。
📒博客主页:开心星人的博客主页
🔥系列专栏:Try to Hack
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年7月26日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
🍫防火墙简介
防火墙位于可信和不可信网络之间,通过设置一系列安全规则对两个网络之间的通信数据包进行访问控制,检测网络交换的信息,防止对重要信息资源的非法存取和访问,以达到保护内部可信网络的目的。
防火墙一般部署在网络边界,以对可信的内部网络和不可信的internet外网进行过滤和阻断。
防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。
🍫防火墙功能
1、过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络 降低被保护网络受非法攻击的风险。
2、限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的 Mail FTP WWW 服务器等可让外部网访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。
3、网络访问审计。防火墙是外部网络与受保护网络之间的唯一网络通道,可以记录所有通过它的访问,并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用入侵检测和网络攻击取证。
4、网络带宽控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务 (QoS)保障。
5、协同防御。防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全。
6、作为部署网络地址转换NAT设备。防火墙部署在网络边界,可以作为部署网络地址转换NAT(Network Address Translator)的设备,通过NAT防火墙可以用来缓解地址空间短缺的问题。
🍫防火墙安全风险
(1) 网络安全旁路。防火墙只能对通过它的网络通信包进行访问控制,而未经过它的网络通信就无能为力。例如,如果允许从内部网络直接拨号访间外部网,则防火墙就失效,攻击者通过用户拨号连接直接访问内部网,绕过防火墙控制,造成潜在的攻击途径。
(2) 防火墙功能缺陷,导致一些网络威胁无法阻断。防火墙的安全功能存在脆弱点,使得一些网络安全威胁可以通过防火墙的安全规则控制,主要安全缺陷如下。
- 防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈,因为己有的病毒、操作系统以及加密和压缩二进制文件的种类太多,以致不能指望防火墙逐个扫描每个文件查找病毒,只能在每台主机上安装反病毒软件。
- 防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击效果。防火墙对此无能为力。
- 防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制。例如 http tunnel 等。
(3) 防火墙安全机制形成单点故障和特权威胁。防火墙处于不同网络安全区域之间,所有区域之间的通信都经过防火墙,受其控制,从而形成安全特权。一旦防火墙自身的安全管理失效,就会对网络造成单点故障和网络安全特权失控。
(4) 防火墙无法有效防范内部威胁。处于防火墙保护的内网用户一旦操作失误,网络攻击者就能利用内部用户发起主动网络连接,从而可以躲避防火墙的安全控制。
(5) 防火墙效用受限于安全规则。防火墙依赖于安全规则更新,特别是采用黑名单策略的防火墙,一旦安全规则更新不及时,极易导致防火墙的保护功能失效。
🍫防火墙实现技术
防火墙的实现技术主要有包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等。
包过滤
包过滤是在 IP 层实现的防火墙技术,包过滤根据包的源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中的数据区内容的智能型包过滤器。基千包过滤技术的防火墙,简称为包过滤型防火墙 (Packet Filter)
包过滤的控制依据是规则集,包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源 IP 地址、目的 IP 地址、源端口号、目的端口号、协议类型 (UDP TCP ICMP) 、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。
该规则的作用在于只允许内、外网的邮件通信,其他的通信都禁止。
状态检查技术
基于状态的防火墙通过利用 TCP 会话和 UDP“ 伪“会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的 TCP 连接或UDP 流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙。
(1) 接收到数据包。
(2) 检查数据包的有效性,若无效,则丢掉数据包并审计。
(3) 查找会话表;若找到,则进一步检查数据包的序列号和会话状态,如有效,则进行地址转换和路由,转发该数据包; 否则,丢掉数据包并审计。
(4) 当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包;否则,丢掉该数据包并审计。
应用服务代理
应用级网关即代理服务器
应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的网络通信连接”中间人”的角色,代理防火墙代替受保护网络的主机向外部网发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机。
代理服务器按照所代理的服务可以分为 FTP 代理、 Telnet 代理、 Http 代理、 Socket 代理、邮件代理等。代理服务器通常由一组按应用分类的代理服务程序和身份验证服务程序构成。每个代理服务程序用到一个指定的网络端口,代理客户程序通过该端口获得相应的代理服务。例如, IE 浏览器支持多种代理配置,包括 Http FTP Socks 等。
受保护的内部用户对外部网络访问时,首先需要通过代理服务器的认可,才能向外提出请求,而外网的用户只能看到代理服务器,从而隐藏了受保护网络的内部结构及用户的计算机信息。因而,代理服务器可以提高网络系统的安全性。
优点:
- 不允许外部主机直接访问内部主机;
- 支持多种用户认证方案;
- 可以分析数据包内部的应用命令;
- 可以提供详细的审计记录。
缺点:
- 速度比包过滤慢;
- 对用户不透明;
- 与特定应用协议相关联,代理服务器并不能支待所有的网络协议。
网络地址转换技术
NAT(Network Address Translation) ,“网络地址转换”。 NAT术主要是为了解决公开地址不足而出现的,它可以缓解少量因特网 IP 地址和大量主机之间的矛盾。
NAT 技术用在网络安全应用方面,则能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,从而提高了内部网络的安全性。
基于 NAT 技术的防火墙上配置有合法的公共 IP 地址集,当内部某一用户访问外网时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。
实现网络地址转换的方式主要有:
静态 NAT (StaticNAT) 、NAT池(pooledNAT) 和端口 NAT (PAT) 三种类型。
静态 NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
NAT 池则是在外部网络中配置合法地址集,采用动态分配的方法映射到内部网络。
PAT 则是把内部地址映射到外部网络的一个 IP 地址的不同端口上。
目前,许多路由器产品都具有 NAT功能。开源操作系统 Linux 自带的 IPtables 防火墙支持地址转换技术。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
