网络防火墙相关内容
时间:2023-07-02 16:33:01 | 来源:营销百科
时间:2023-07-02 16:33:01 来源:营销百科
网络防火墙相关内容:按照新的国家标准防火墙有传统防火墙
[2]的功能,VPN的功能,入侵侦测防御的功能,安全网关的功能,数据审计的功能,以后还会有网闸的功能,除了VPN,争取一篇文章讲完。
拥有了这些功能的防火墙就是UTM,这篇文章将会一一讲解。
从网络的位置上划分防火墙分为个人防火墙和网络防火墙。个人防火墙后面单独讲。
首先防火墙是网络设备,所以防火墙拥有路由器的基本功能,只是没有那么快的速度。
防火墙拥有两大基本功能----包过滤和代理服务器。
包过滤
众所周知现在使用的是TCP/IP协议。在这个协议下实际上只有物理层,数据链路层,网络层3层。往上还有个传输层也就是TCP/UDP的传输方式,当然也有少量的协议比如ICMP.所以绝大部分应用程序网络包都会用TCP/UDP封装后发出。先不管应用程序的数据格式(也很难管,一千种应用程序基本上有一千多种私有协议)。防火墙只能从数据链路层和网络层出发来处理这些数据(MAC地址和IP地址、端口)最多再加上时间策略,这样基本的防火墙的包过滤功能就实现了。禁止XX IP访问YY IP,允许XX IP YY时间访问 ZZ IP。这个是初级包过滤功能。在cisco路由器有ACL访问控制列表就有这个功能。在linux的开源防火墙iptables也有这样的功能。
虽然初级包过滤解决了非法IP和MAC地址访问的问题,但是不能避免用户使用恶意代码危害内部系统,这样入侵侦测防御,数据审计的技术就应运而生。虽然大量的私有协议是没有办法全部识别的,常见的应用网络协议还是能够被分析的。比如HTTP协议,各个数据库sql语句的网络协议,POP3协议。入侵侦测防御的功能就是识别这些协议,判断输入的数据包中是否有恶意行为。入侵侦测与数据审计则是光记录的数据包并判断是否有恶意行为。入侵防御则是如果提前能够判断则阻断之后的数据包的通讯。什么样的数据包是包含的内容是恶意的,能够支持哪些网络协议包括私有协议,能否快速响应和处理新的威胁。这个是未来防火墙开发的重点。
入侵侦测防御,审计有开源的snort软件。里面集成了一部分规则库。每遇到一个网络包都会匹配规则如果命中就报警,否则就通过如果。显然规则过多处理起来比较慢,防火墙就会成为网络通讯的瓶颈,规则少则安全的防护程度比较低。这个就是黑名单策略的防火墙的阿格琉斯之踵。并且在遇到未知的恶意代码时入侵侦测防御没有防范能力的。snort,snortsam,iptables就能构成简单的防火墙和入侵侦测还有入侵防御系统,这三个都是在linux上开源的。
为了对付入侵侦测就有了数据包的碎片技术----把大的数据包切分成多个小数据包。一个好的防火墙是能够重组或者直接丢弃长度过小的数据包的。
从客户应用的角度出发防火墙还应该能够划分作用域。这个就是网闸干的事情。比如一个公司财务部门服务器只能允许财务部或者高管访问,甚至不允许运维人员通过防火墙的的外部访问(要访问就去机房里面访问)。网闸就是划分的网络的域,一般采用白名单策略。只有允许的访问才能通过,其余的都予以禁止。
好的防火墙还应该能够识别下载文件中的恶意代码比如木马文件。这个技术包过滤可以实现,更多的是在代理服务器上面实现。
代理服务器
对代理服务器好的解释是屏蔽了内网的结构,有效保护了内部主机。通俗说法就是对内部主机加上了防弹马甲。比如内部有一台windows2003的服务器。对外提供asp.net的网页服务。除了asp.net相关的安全性之外拿下网站也可以先拿下操作系统。如果有了一台linux的防火墙就必须先攻陷防火墙才能访问windows2003服务器。并且除了防火墙上开的asp.net的端口外是没有办法直接连接到2003服务器的其他端口的。
代理服务器对内部主机的保护是把外部用户直接到2003服务器的访问变成了用户链接防火墙,防火墙连接2003服务器的访问。对单个主机代理服务器能够提供系统安全保护,端口的天然过滤。对网络能够屏蔽内部网络结构。比如这时对服务器做DDOS攻击变成了对防火墙的DDOS攻击,虽然网络的吞吐能力下降了,内部主机受到的影响较小。
对保护病毒的文件的处理使用包过滤就显得力不从心了。毕竟病毒的特征码千变万化。不可能每一个数据包都采用大规模的规则去匹配。代理服务器的作用是替代主机把文件下载到防火墙里面。然后通过防火墙的杀毒软件来查杀文件。
开源的代理服务器有squid软件。开源的杀毒软件有ClamWin。
个人防火墙与网络防火墙
这里把防火墙单独拎出来讲。从宏观上来讲网络防火墙开发的难度比个人防火墙要低,速度要快,业务针对性要强。而个人防火墙则功能更强,开发难度更大,速度较慢。
比如大家都是各用各的PC机,上面拥有几十到几万种软件。都要安全就是个人防火墙干的事情了。首先个人防火墙为了阻止木马建立通讯要么使用傻瓜式的每次通讯的时候问用户某某软件需要访问某某IP是否允许,要么自己判断。事实上就算是专业人士也常常不懂。所以好的个人防火墙应该识别相当一部分的软件通讯情况。比如QQ,迅雷。这样协议少说也是几百种。
从另一个方面现在很多木马执行权限比防火墙要高,伪装性也高。权限高的使用内核的网络通讯,单纯只监听socket的防火墙是没法发现通讯的。所以好的个人防火墙应该监控内核关键API函数和系统运行的进程。这一点和杀毒软件越来越接近。
网络防火墙如果是处理提供有限功能的服务器反倒是容易了。比如一个JSP的服务器。对外只有8080端口。那么防火墙处理起来比较简单。只用分析一下HTTP协议和服务器运维的内容就行了。别的一律禁止。
到此为止除了VPN技术以外防火墙所有的功能都介绍完了。