防火墻技術(shù)淺析

2013-10-14 16:27:25 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

防火墻概念作為現(xiàn)代技術(shù)層面上非常好的一個(gè)網(wǎng)絡(luò)安全屏障，防火墻是由硬件和軟件設(shè)備組合而成的，人們往往將其設(shè)置在受保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間從而可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的保護(hù)。在設(shè)計(jì)防火墻系統(tǒng)的過程中，阻塞點(diǎn)

防火墻概念

    作為現(xiàn)代技術(shù)層面上非常好的一個(gè)網(wǎng)絡(luò)安全屏障，防火墻是由硬件和軟件設(shè)備組合而成的，人們往往將其設(shè)置在受保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間從而可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的保護(hù)。在設(shè)計(jì)防火墻系統(tǒng)的過程中，阻塞點(diǎn)、最小特權(quán)、故障安全狀態(tài)、縱深防御、最薄弱的環(huán)節(jié)簡(jiǎn)化等原則是我們一定要遵循的。

    2 防火墻的分類及其優(yōu)缺點(diǎn)

    2.1包過濾防火墻

    包過濾防火墻可以對(duì)經(jīng)過網(wǎng)絡(luò)的包的包頭進(jìn)行查詢，從而決定包的未來(lái)定向。通過包過濾防火墻，有些包被丟棄，有些包經(jīng)過，有些包被用來(lái)進(jìn)行其它的處理。

    包過濾防火墻具有以下優(yōu)點(diǎn)：所有經(jīng)過的網(wǎng)絡(luò)數(shù)據(jù)包都會(huì)由其實(shí)現(xiàn)低層次的控制；每個(gè)IP數(shù)據(jù)包都進(jìn)行領(lǐng)域檢查；如果經(jīng)過網(wǎng)絡(luò)的包帶有欺騙性源IP地址的，那么它就會(huì)被防火墻識(shí)別并丟棄；為了實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間進(jìn)行訪問，我們必須經(jīng)由包過濾防火墻；路由器數(shù)據(jù)包中通常包含包過濾，所以不需要另外添加系統(tǒng)進(jìn)行處理。

    包過濾防火墻有以下缺點(diǎn)：很難進(jìn)行配置，因?yàn)榘^濾防火墻具有復(fù)雜性的特性，可能導(dǎo)致一些必要規(guī)則的建立被人忘記，也可能導(dǎo)致不能正確的進(jìn)行配置；人們可能會(huì)使用其他的一些方法使得防火墻不能察覺。

    2.2狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻

    狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻通過試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和數(shù)據(jù)包，從而使防火墻使用一個(gè)額外的準(zhǔn)則，以確定是否允許和拒絕通信。

    狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻有以下優(yōu)點(diǎn)：它基于遵守包中信息過濾規(guī)則，并檢測(cè)IP數(shù)據(jù)包的所有字段；確定源IP地址偽造數(shù)據(jù)包的能力：根據(jù)應(yīng)用程序信息并推斷出該包所處的狀態(tài)信息；記錄所有通過網(wǎng)絡(luò)的包的信息。

    狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻有以下缺點(diǎn)：記錄的所有的信息，測(cè)試和分析可能導(dǎo)致的網(wǎng)絡(luò)延時(shí)，在同一時(shí)間，如果有很多連接在被使用，或網(wǎng)絡(luò)中正在運(yùn)行大流量的軟件的時(shí)候會(huì)顯得更加明易。

    2.3應(yīng)用程序代理防火墻

    應(yīng)用代理防火墻可以接受來(lái)自內(nèi)部網(wǎng)絡(luò)特定的用戶應(yīng)用程序的通信，然后創(chuàng)建一個(gè)單獨(dú)的Web服務(wù)器的公共訪問。由于內(nèi)網(wǎng)用戶不能實(shí)現(xiàn)與外部服務(wù)器的直接通信，使得所有的內(nèi)部網(wǎng)絡(luò)均拒絕服務(wù)器的訪問。

    應(yīng)用程序代理防火墻有以下優(yōu)點(diǎn)：指定連接控制；通過對(duì)某些協(xié)議請(qǐng)求的蔓延，減少不必要的網(wǎng)絡(luò)服務(wù)；代理防火墻的大部分記錄，包括地址和時(shí)間的連接。

    應(yīng)用代理防火墻有以下缺點(diǎn)：用戶的系統(tǒng)的設(shè)定有特定的范圍，這根據(jù)應(yīng)用程序的不同而有所不同；在網(wǎng)絡(luò)中某些部位根本不支持代理連接的使用。

2.4 NAT

    NAT是經(jīng)常用于居民區(qū)、小型會(huì)議室的協(xié)議，通過NAT協(xié)議內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址可以被轉(zhuǎn)換到一個(gè)大家都知道的地址并轉(zhuǎn)發(fā)到Internet上。

    NAT有如下優(yōu)點(diǎn)：外界沒有任何途徑可以獲得任何內(nèi)部人的IP地址；當(dāng)公共IP地址資源不足時(shí)，通過NAT的使用，只需要一個(gè)單獨(dú)的IP地址即可實(shí)現(xiàn)所有的訪問；如果所有傳入的數(shù)據(jù)包沒有特定的NAT的話，就會(huì)將其丟棄，在這種情況下，它可以實(shí)現(xiàn)對(duì)基本的包過濾防火墻安全機(jī)制的啟用。

    NAT有如下缺點(diǎn)：雖然它在一定程度上起到保護(hù)內(nèi)部網(wǎng)絡(luò)的安全的目的，但它也有很多局限，如果內(nèi)部網(wǎng)絡(luò)的木馬使用一些外部連接做NAT，那么它就會(huì)非常容易的實(shí)現(xiàn)對(duì)防火墻的穿越。

    2.5個(gè)人防火墻

    個(gè)人防火墻可以運(yùn)行在用戶的計(jì)算機(jī)上，用于保護(hù)個(gè)人電腦系統(tǒng)的安全，它和狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻使用相似的方法來(lái)保護(hù)電腦免受攻擊。

    個(gè)人防火墻有如下優(yōu)點(diǎn)：提高了保護(hù)水平，從而節(jié)約了設(shè)備；外部攻擊和內(nèi)部攻擊都很攻克個(gè)人防火墻；由于個(gè)人防火墻的使用，使得公共網(wǎng)絡(luò)系統(tǒng)中的單一系統(tǒng)得到了相應(yīng)的保護(hù)。個(gè)人防火墻有如下缺點(diǎn)：個(gè)人防火墻的主要缺點(diǎn)是只有一個(gè)外網(wǎng)可以連接的接口，這使得個(gè)人防火墻本身可能是脆弱的。

    3 防火墻技術(shù)

    3.1包過濾技術(shù)

    包過濾技術(shù)是網(wǎng)絡(luò)監(jiān)控和過濾的IP數(shù)據(jù)包流入和流出的原則，不執(zhí)行對(duì)可疑包的發(fā)送。根據(jù)不同協(xié)議的要求，路由器在端口對(duì)數(shù)據(jù)包進(jìn)行歸類和劃分的能力被稱為包過濾。由于因特網(wǎng)和內(nèi)聯(lián)網(wǎng)的大部分連接使用路由器作必要的內(nèi)部和外部的通訊端口，所以路由器生產(chǎn)廠商在路由器的基礎(chǔ)上額外使其增加了IP過濾功能，我們把這種路由器也稱為數(shù)據(jù)包過濾或篩選路由器。通常情況下，我們使用的防火墻就是這樣一種簡(jiǎn)單的可以過濾包的路由器，只要配置合理，還是相對(duì)比較安全的。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊