防火墙基础及分类
目錄
?
0x00 防火墻的使用目的
0x01 個人防火墻具備的功能
0x02 如何選擇防火墻
0x03 防火墻分類??
?
0x00 防火墻的使用目的
??? 通常應用防火墻的目的有以下幾方面:
??? 1)限制他人進入內部網絡;
??? 2)過濾掉不安全的服務和非法用戶;
??? 3)防止入侵者接近你的防御設施;
??? 4)限定人們訪問特殊站點;
??? 5)為監視局域網安全提供方便。
?
?
0x01 個人防火墻一般具有以下功能:
?? 1)數據包過濾
? 過濾技術(Ip Filtering or packet filtering)?的原理在于監視并過濾網絡上流入流出的Ip包,拒絕發送可疑的包。
??? 在互聯網這樣的信息包交換網絡上,所有往來的信息都被分割成許許多多一定長度的信息包,包頭信息中包括IP源地址、IP目標地址、內裝協議(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目標端口、ICMP消息類型、包的進入接口和出接口。當這些包被送上互聯網時,防火墻會讀取接收者的IP并選擇一條物理上 的線路發送出去,信息包可能以不同的路線抵達目的地,當所有的包抵達后會在目的地重新組裝還原。包過濾式的防火墻會檢查所有通過信息包里的IP地址,并按照系統管理員所給定的過濾規則過濾信息包。如果防火墻設定某一IP為危險的話,從這個地址而來的所有信息都會被防火墻屏蔽掉。
???2)防火墻的安全規則
安全規則就是對你計算機所使用局域網、互聯網的內制協議設置,從而達到系統的最佳安全狀態。 個人防火墻軟件中的安全規則方式可分為兩種:
?? 一種是定義好的安全規則。就是把安全規則定義成幾種方案,一般分為低、中、高三種。這樣不懂網絡協議的用戶,就可以根據自己的需要靈活的設置不同的安全方案。例如:ZoneAlarm防火墻。
?? 還有一種用戶可以自定義安全規則。也就是說,在你非常了解網絡協議的情況下,你就可以根據自已所需的安全狀態,單獨設置某個協議。
?? 3)事件日記
這是每個防火墻軟件所不能少的主要的功能。記錄著防火墻軟件監聽到發生的一切事件,比如入侵者的來源、協議、端口、時間等等。記錄的事件是由防火墻的功能來決定的。
0x02 如何選擇防火墻?
??個人認為選用防火墻,不一定非要用最好的,因為個人防火墻主要是針對個人用戶的實用性來制作的,除了以上幾種功能外,還集成一些工具,比如說追蹤主機名或IP地址、檢測特洛伊木馬、偽裝等等。根據自己不同的需要來選用,在不斷地學習中淘汰一些簡單的防火墻。本人把用戶大概分成五種:
??? 1)不了解網絡協議的用戶,只是為了游覽網頁。你可以使用傻瓜式防火墻。例如:Intrusion Detector、Intruder Alert' 99
??? 2)如果你上網是為了聊天或者經常受到攻擊的用戶,那么你就可以選用:ProtectX、LockDown2000兩個防火墻,它們都有追蹤IP的功能。如果你受到攻擊,立即可以追蹤。
??? 3)經常遭遇到掃描的用戶,使用Internet Firewall 2000、AnalogX、NetAlert。這兩個防火墻可以封鎖或監視你的對外開放端口.
?4)在局域網環境中上網的用戶,那么防火墻必須支持?NETBIOS設置功能。例如:AtGuard、Zone Alarm、conseal pc firewall、天網防火墻、BlackICE。
??? 5)自己對網絡協議運用自如的用戶。Norton Internet Security 2000 V2.0 Personal Firewall與AtGuard防火墻都有非常詳細的自定義網絡協議。
??? 這里說明一下,上面所說的五種用戶分類,不是必須按照這樣的分類使用的,只不 過它們有那種分類的功能特點。比如說,Zone Alarm、天網防火墻,這兩個防火墻也對普通用戶提供了安全規則方案,不了解網絡協議的用戶也可以運用自如。
?
0x03 防火墻分類
1)從軟、硬件形式上分
?
?
?
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
?
(1)軟件防火墻。
軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,他們都基于PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。?值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
2)?從防火墻技術分
?
防火墻技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packet filtering)型。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網絡服務采取特殊的處理方式,適用于所有網絡服務;之所以廉價, 是因為大多數路由器都提供數據包過濾功能,所以這類防火墻多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火墻技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。
包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網絡層和傳 輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上 下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。
(2)應用代理(Application Proxy)型。
應用代理型防火墻是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網絡通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。
?
在代理型防火墻技術的發展過程中,它也經歷了兩個不同的版本:第一代應用網關型代理防火和第二代自適應代理防火墻。
代理類型防火墻的最突出的優點就是安全。由于它工作于最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡另外代理型防火墻采取是一種代理機制,它可以為每一種應用服務建立一個專門的代理,所以內外部網絡之間的通信不是直接的,而都需先經過代理服務器審核,通過后再由代理服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。
?代 理防火墻的最大缺點是速度相對比較慢,當用戶對內外部網絡網關的吞吐量要求比較高時,代理防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的 網絡服務建立專門的代理服務,在自己的代理程序為內、外部網絡用戶建立連接時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。
3)從防火墻結構分
?
從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統的防火墻,獨立于其它網絡設備,它位于網絡邊界。
這種防火墻其實與一臺計算機結構差不多(如下圖),同樣包括CPU、 內存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡,因為它需要 連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序,如包過濾程序和代理服務器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。 雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質,決定了它要具備非常高的穩定性、實用性,具備非常高的系統吞吐性能。正因如此,看似與PC機差不多的配置,價格甚遠。
隨著防火墻技術的發展及應用需求的提高,原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統,這種防火墻,俗稱“分布式防火墻”。
原來單一主機的防火墻由于價格非常昂貴,僅有少數大型企業才能承受得起,為了降低企業網絡投資,現在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻,大大降低了網絡設備購買成本。
分布式防火墻再也不只是位于網絡邊界,而是滲透于網絡的每一臺主機,對整個內部網絡的主機實施保護。在網絡服務器中,通常會安裝一個用于防火墻系統管理軟件,在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡?,這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的,都需要嚴格過濾。而不是傳統邊界防火墻那樣,僅對外部網絡發出的通信請求“不信任”。
4)按防火墻的應用部署位置分
?
按防火墻的應用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。?邊界防火墻是最為傳統的,它們于內、外部網絡的邊界,所起的作用的對內、外部網絡實施隔離,保護邊界內部網絡。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。
個人防火墻安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶,通常為軟件防火墻,價格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統,由若干個軟、硬件組件組成,分布于內、外部網絡邊界和內部各主機之間,既對內、外部網絡之間通信進行過濾,又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
5)按防火墻性能分
?
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網絡邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應用代理所產生的延時也越小,對整個網絡通信性能的影響也就越小。
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
轉載于:https://www.cnblogs.com/-qing-/p/10631845.html
總結
- 上一篇: AIX使用RPM
- 下一篇: Chapter4:菜单File-Sett