概述
防火墙(Fire Wall) :网络安全的第一道防线,是位于两个信任程度不同的网络之间(如企业内部网络和Internet 之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。
防火墙 = 硬件 + 软件 + 控制策略
功能
- 限定内部用户访问特殊站点。
- 防止未授权用户访问内部网络。
- 允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。
- 记录通过防火墙的信息内容和活动。
- 对网络攻击进行监测和报警。
防火墙不能做什么
除了懂得防火墙能保护什么非常重要外,懂得防火墙不能保护什么也是同等重要:
① 不能防范不经过防火墙的攻击。
② 不能防范来自内部的威胁,例如来自一个心怀不满的雇员的报复或者一个雇员的误操作
③ 不能防止受病毒感染的软件或木马文件的传输。
④ 不安全的防火墙、配置不合理的防火墙、防火墙在网络中的位置不当等,会使防火墙形同虚设。
例如,员工接收了一封包含木马的邮件,木马是以普通程序的形式放在了附件里,防火墙不能避免该情况的发生。
总体来说,除了不能防止物理故障等错误外,防火墙本身 并不能防范经过授权 的东西,如内部员工的破坏等。
防火墙种类
边界防火墙
◼ 处于外部不可信网络( 包括因特网、广域网和其他公司的专用网) 与内部可信网络之间,控制来自外部不可信网络对内部可信网络的访问,防范来自外部网络的非法攻击。同时,保证了DMZ 区服务器的相对安全性和使用便利性。
◼ 这是目前防火墙的最主要应用
内部防火墙
✓ 处于内部不同可信等级安全域之间,起到隔离内网关键部门、子网或用户的目的。
防火墙的基本原理
防火墙能分析任何协议的报文。基于它的分析,防火墙可以采取各种行动。
防火墙实现数据流控制的功能是通过预先设定安全规则来实现的。 安全规则 由 匹配条件和 处理方式 两个部分组成: 如果满足这个条件,将执行这种动作。
防火墙的基本策略
没有明确允许的行为都是禁止的
◼ “ 默认拒绝 ” 原则
◼ 当防火墙采用这条基本策略时,规则库主要由处理方式为 Accept的规则构成
◼ 通过防火墙的信息逐条与规则进行匹配,只要与其中任何一条匹配,则允许通过,如果不能与任何一条规则匹配则认为该信息不能通过防火墙。
没有明确禁止的行为都是允许的
◼ “默认允许”原则
◼ 基于该策略时,防火墙中的规则主要由处理手段为Reject 或Drop的 的规则组成
◼ 通过防火墙的信息逐条与规则进行匹配,一旦与规则匹配就会被防火墙丢弃或禁止,如果信息不能与任何规则匹配,则可以通过防火墙。
前者比较严格,后者则相对宽容。可以灵活结合这两者进行规则制订。
防火墙分类方式
如果按照防火墙的应用形式,可分为 硬件防火墙与软件防火墙
硬件防火墙可以是一台独立的硬件设备(如Cisco PIX ,ASA );也可以在一台路由器上,经过配置成为一台具有安全功能的防火墙。
软件防火墙是运行在服务器主机上的一个软件(如ISA Server 2002 )。 硬件防火墙在功能和性能上都优于软件防火墙 ,但是 成本较高 。
按照防火墙工作的层次划分:
如果按照防火墙工作的层次来划分,可分为包过滤防火墙(网络层)、代理型(应用网关型)防火墙或混合型防火墙 (后面会具体介绍)
防火墙技术
包过滤防火墙
包过滤方式是一种 通用、廉价和有效的安全手段 。通用即适用于各种网络服务;廉价因为绝大部分路由器都提供了数据 包过滤的 功能,这类防火墙多数是 集成在路由器上面 的。有效是因为它能满足大部分企业的安全需求。
包过滤技术
包过滤防火墙工作在 网络层和传输层 ,它根据通过防火墙的 每个数据包的首部信息 来决定是将该数据包发往 目的地址 还是丢弃。
大多数包过滤型防火墙只是针对性地分析数据包信息头的部分域。
ACL 访问控制列表
工作原理
ACL 是网络设备处理数据包转发的一组规则 。
ACL 采用包过滤技术,在路由器中读取第三层和第四层数据包中的头部信息, 如源IP地 地址、目的IP 地址、源端口号、目的端口号等 ,然后根据网络工程师预先定义好的ACL 规则,对数据包进行过滤,从而达到访问控制的目的。
实现访问控制列表的核心技术是 包过滤
通过分析IP 数据包包头信息,进行判断(这里假设IP所承载的上层协议为TCP)
访问控制列表(ACL) 由 由 多条判断语句 组成。 每条语句给出一个条件和处理方式(通过或拒绝)。
路由器对收到的数据包按照判断语句的书写次序进行检查,当遇到相匹配的条件时,就按照指定的处理方式进行处理。
因此,ACL 中各语句的书写次序非常重要,如果一个数据包和某判断语句的条件相匹配时,该数据包的匹配过程就结束了, 剩下的条件语句被忽略
acl语句
通配符掩码(反掩码)
应用acl规则(Cisco命令)
扩展acl配置
标准ACL只能控制源IP地址,不能控制到端口。
要控制第四层的端口,需要使用扩展ACL配置。
注意:该配置将会极大限制局域网和外网间的应用,它会拒绝除 Web 和 FTP 外的所有应用(包括 ICMP 、DNS 、电子邮件等),也会拒绝那些没有使用标准端口的 Web 和 FTP 应用。
应用代理防火墙技术
❖ 采用应用代理技术的防火墙工作在 应用层 。应用层代理使得网络管理员能够实现比包过滤更加严格的安全策略。
❖ 应用层代理不用依靠包过滤工具来管理进出防火墙的数据流,而是 通过对每一种应用服务编制专门的代理程序,实现监视和控制应用层信息流的作用 。
❖ 防火墙可以代理 HTTP 、 FTP 、 SMTP 、 POP3 、Telnet 等协议,使得内网用户可以在安全的情况下实现浏览网页、收发邮件、远程登录等应用。
❖代理防火墙通常包含高级应用检测能力,允许防火墙检测尖端的应用层攻击,比如缓冲区溢出攻击和 SQL
代理防火墙缺点
代理防火墙最大缺点是 速度相对比较慢 ,当用户对内外部网络网关的吞吐量要求比较高时, 代理防火墙就会成为内外部网络之间的瓶颈。 而且, 代理防火墙需要为不同的网络服务建立专门的代理服务,用户不能使用代理防火墙不支持的服务。