防火墙的基础知识大全
什么是防火墙? 防火墙是使用一段"代码墙"把你的电脑和internet分隔开。它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。下面就让小编带你去看看关于防火墙的基础知识大全吧,希望能帮助到大家!
都0202了,这些防火墙的知识你还不懂吗?
硬件防火墙的原理
软件防火墙及硬件防火墙中还有的其他功能,例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)等等的功能。
也就是说硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。
它的安全和稳定,直接关系到整个内部网络的安全。
因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
4种类型
(1)包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。
包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
(2)应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
(3)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。
这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。
可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(图 3)
(4)复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC 架构,把防病毒、内容过滤整合到防火墙里,其中还包括IDS功能,多单元融为一体,是一种新突破。
常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。
它在网络边界实施OSI 第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。(图 4)
四类防火墙的对比
包过滤防火墙
包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
应用网关防火墙
不检查IP、 TCP 报头,不建立连接状态表,网络层保护比较弱。
状态检测防火墙
不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
复合型防火墙
可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
防火墙术语
网关
在两个设备之间提供转发服务的系统。
网关是互联网应用程序在两台主机之间处理流量的防火墙。
这个术语是非常常见的。
DMZ非军事化区
为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。
防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,Internet和DMZ。
吞吐量
网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。
吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。
最大连接数
和吞吐量一样,数字越大越好。
但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。
防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。
数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。
SSL
SSL(Secure Sockets Layer)是由 Netscape 公司开发的一套Internet 数据安全协议。
它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输SSL协议位于TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。
网络地址转换
网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP 地址域技术,从而为终端主机提供透明路由。
NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。
在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
堡垒主机
一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
硬件防火墙和软件防火墙对比
成本对比
硬件防火墙是软硬件一体的,用户购买后不需要再投入其他费用。
一般硬件防火墙的报价在1万到2万之间。
软件防火墙有三方面的成本开销:
软件的成本、安装软件的设备成本以及设备上操作系统的成本。
Windows Server 2003 价格在4400-6000 之间。
备注:综合以上的成本,要配置一套 软件防火墙按最小的网络要求,其成本在1万左右。
稳定性与安全性对比
稳定性和安全性比较稳定性能的优劣主要来自于防火墙运行平台即操作系统上。
硬件防火墙一般使用经过内核编译后的Linu__ ,凭借Linu__本身的高可靠性和稳定性保证了防火墙整体的稳定性。
Linu__ 永远都不会崩溃,其稳定性是由于它没有像其他操作系统一样内核庞大且漏洞百出。
系统的稳定性主要取决于系统设计的结构。
计算机硬件的结构自从1981设计开始就没有作特别大的改动,而连续向后兼容性使那些编程风格极差的应用软件勉强移植到Windows的最新版本,这种将就的软件开发模式极大地阻碍了系统稳定性的发展。
最令人注目的Linu__开放源代码的开发模式,它保证了任何系统的漏洞都能被及时发现和修正。
Linu__ 采取了许多安全技术措施,包括对读、写进行权限控制、带保护的子系统、审计跟踪、核心授权等,这为网络多用户环境中的用户提供了必要的安全保障。
软件防火墙一般要安装在windows 平台上,实现简单,但同时由于windows 本身的漏洞和不稳定性带来了软件防火墙的安全性和稳定性的问题。
虽然 Microsoft 也在努力的弥补这些问题,Windows 2003 server本身的漏洞就比前期的Windows NT少了很多,但与Linu__ 比起来还是漏洞倍出。
在病毒侵害方面,从linu__发展到如今,Linu__ 几乎不感染病毒。
而作为Windows平台下的病毒我们就不必多说了,只要是使用过电脑的人都有感受。
如果遭遇广泛传播的ARP欺骗病毒,容易造成了内网不稳定、网络时断时序、经常掉线,无法开展正常的工作,使得很多的网络管理人员束手无策。
软硬件防火墙的吞吐量和包转发率比较
吞吐量和报文转发率是关系防火墙应用的主要指标。
硬件防火墙的硬件设备是经专业厂商定制的,在定制之初就充分考虑了吞吐量的问题,在这一点上远远胜于软件防火墙。
因为软件防火墙的硬件是用户自己选择的很多情况下都没有考虑吞吐量的问题,况且windows系统本身就很耗费硬件资源,其吞吐量和处理大数据流的能力远不及硬件防火墙,这一点是不言而喻的。
吞吐量太小的话,防火墙就是网络的瓶颈,会带来网络速度慢、上网带宽不够等等问题。
防火墙工作原理上的比较
软件防火墙一般可以是包过滤机制。
包过滤过滤规则简单,只能检查到第三层网络层,只对源或目的IP做检查,防火墙的能力远不及状态检测防火墙,连最基本的黑客攻击手法IP伪装都无法解决,并且要对所经过的所有数据包做检查,所以速度比较慢。
硬件防火墙主要采用第四代状态检测机制。
状态检测是在通信发起连接时就检查规则是否允许建立连接,然后在缓存的状态检测表中添加一条记录,以后就不必去检查规则了只要查看状态监测表就OK了,速度上有了很大的提升。
因其工作的层次有了提高,其防黑功能比包过滤强了很多,状态检测防火墙跟踪的不仅是包中包含的信息。
为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。
例如,如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP 地址的应用程序最近向发出包的源地址请求视频信号的信息。
如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。
硬件防火墙比软件防火墙在实现的机制上有很大的不同,也带来了软硬件防火墙在防黑能力上很大差异。
在对内网的控制方面比较
软件防火墙由于本身的工作原理造成了它不具备内网具体化的控制管理,比如,不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能针对具体的IP 和MAC 做上网控制等,其主要的功能在于对外。
硬件防火墙在基于状态检测的机制上,安全厂商又可以根据市场的不同需求开发应用层过滤规则,来满足对内网的控制,能够在高层进行过滤,做到了软件防火墙不能做到的很多事。
尤其是ARP病毒,硬件防火墙针对其入侵的原理,都做了相应的策略,彻底解除了ARP病毒的危害。
现在的网络安全(防火墙 )已经不仅仅局限于对外的防止黑客攻击上,更多的企业内部网络经常存在诸如上网速度慢、时断时序、邮件收发不正常等问题。
我们分析其主要的原因,在于内网用户的使用问题,很多的用户上班时间使用BT下载、浏览一些不正规的网站,这样都会引起内网的诸多问题,比如病毒,很多病毒传播都是使用者不良行为而造成的。
所以说内网用户的控制和管理是非常必要的。
防火墙基础知识
防火墙的分类
防火墙有很多种分类方法:根据采用的核心技术,按照应用对象的不同,或者按照实现方法的不同。
每种分类方法都各有特点,例如,基于具体实现方法分类,可以分为三种类型:
一、软件防火墙
防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙与其他的软件产品一样,需要先在计算机上安装并做好配置后方可使用。使用这类防火墙,需要网络管理人员对使用的操作系统平台比较熟悉。
二、硬件防火墙
由计算机硬件、通用操作系统和防火墙软件组成。在定制的计算机硬件上,采用通用计算机系统、Flash盘、网卡组成的硬件平台上运行Linu__,FreeBSD和Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。其特点是开发成本低、性能实用,而且稳定性和扩展性较好。但是由于此类防火墙依赖操作系统内核,因此受到操作系统本身安全性的影响,处理速度较慢。
三、专用防火墙
采用特别优化设计的硬件体系结构,使用专用的操作系统。此类防火墙在稳定性和传输性方面有着得天独厚的优势,速度快、处理能力强、性能高。由于采用专用操作系统,因而容易配置和管理,本身漏洞也比较少,但是扩展能力有限,价格也较高。由于专用防火墙系列化程度好,用户可以根据应用环境选择合适的产品
防火墙功能
防火墙可以监控进出网络的通信量,从而仅让安全的或者经过审核的网络数据进入内部网络,同时抵制对企业构成威胁的数据。防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使网络管理员强化网络安全政策。
防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务及哪些外部服务可以被内部人员访问。防火墙只允许授权的数据通过,同时防火墙本身也必须能够免于渗透。一般来说,防火墙具有以下几种功能:
允许网络管理员定义网络边界来防止非法用户进入内部网络,过滤掉不安全服务和非法用户。防火墙在公司私有网络和分网间建立网络边界,强制所有进出流量都通过这些网络边界,从而在较少的地方来实现安全目的。网络边界的另一个名字叫做检查点。
很方便地监视网络的安全性,并及时报警。防火墙还能够强制记录日志,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有来自外部网络的流量。优秀的防火墙应该设置合理的安全策略。
可以作为部署NAT(Network Address Translation,网络地址变换)的位置。利用NAT技术可以将有限的外网IP地址与内部IP地址对应起来,有效缓解地址空间短缺的问题。
是审计和记录网络使用费用的合适地点,也可以查出潜在的带宽瓶颈位置。
限定用户访问特殊站点。
防止入侵者接近自己的防御设施。
可以设置某独立网段,并在此部署WWW服务器和厂丁尸服务器,作为向外部发布内部信息的地点,这就是经常提到的停火区(DMZ)。
防火墙局限性
即使拥有最先进的防火墙,如果没有良好的管理,网络也会面临很大的威胁。由于互联网的开放性,即使具有许多防范功能的防火墙也可能无法抵挡网络攻击。简单而言,防火墙具有如下局限性:
没有经过防火墙的数据,防火墙无法检查。
防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,但绝大多数公司会因为不方便而不要求防火墙防内。
防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,只能按照对其配置的规则进行有效的工作,而不能自作主张。
防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存放在安全的地方。
防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,就不能防止利用该协议中的缺陷进行的攻击。
防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙无法发现并阻止这种攻击。
防火墙不能防止被病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒软件,也没有一种软件可以查杀所有的病毒。
防火墙不能防止数据驱动式的攻击。当表面看来无害的文件被拷贝到内部网的主机上并执行时,可能会发生数据驱动式的攻击。
防火墙不能防止内部的泄密行为。防火墙内部的合法用户主动泄密,防火墙是无能为力的。
防火墙不能防止本身的安全漏洞的威胁。防火墙有时无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。
可以阻断攻击,但不能消灭攻击源。
不能抵抗最新的未设置策略的攻击漏洞。
在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈。
大多数防火墙无法阻止针对服务器合法开放端口的攻击。
分布式防火墙体系结构
分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安全防护。分布式防火墙是一个完整的系统,而不是单一的产品。根据其需要完成的功能,分布式防火墙体系结构包含如下部分:
网络防火墙(Network Firewall)这一部分有的公司采用的是纯软件方式,而有的还可以提供相应的硬件支持。网络防火墙用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,网络防火墙增加了一种针对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。
主机防火墙(Host Firewall)同样也有纯软件和硬件两种,用于保护网络中的服务器和桌面机。这也是传统边界防火墙所不具有的,算是对传统边界防火墙在安全体系方面的一个完善。该类防火墙作用在同一内部子网之间的工作站与服务器之间,确保内部网络服务器的安全。这样一来,防火墙的作用不仅用于内部网与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间的防护。
中心管理(Central Management)这是防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙安全防护的灵活性,具备了可管理性。
分布式防火墙特点
分布式防火墙的技术具有以下几个主要特点:
采用主机驻留方式,驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。
采用嵌入操作系统内核,这主要是针对目前的纯软件式分布式防火墙来说的。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为了自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在检查所有数据包之后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。
类似于个人防火墙,但分布式防火墙与个人防火墙之间有着本质的差别。首先个人防火墙的安全策略由系统使用者自己设置,全面功能和管理都在本机上实现,其目标是防止主机以外的任何外部用户攻击;而分布式防火墙的安全策略由整个系统管理员统一安排和设置,除了对主机起到保护作用外,还对该主机的对外访问加以控制,并且这种安全机制是主机使用者不可见和不可改动的。其次,个人防火墙直接面向个人用户,而分布式防火墙体系中的主机防火墙是面向企业级用户的,与分布式防火墙其他产品共同构成一个企业级应用方案,形成一个安全策略中心进行统一管理,所以在一定程度上也面对整个网络。
防火墙基础知识讲解
什么是防火墙?
防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离。通常,防火墙可以保护内部/私有局域网免受外部攻击,并防止重要数据泄露。在没有防火墙的情况下,路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制,而防火墙不仅能够监控流量,还能够阻止未经授权的流量。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
除了将内部局域网与外部Internet隔离之外,防火墙还可以将局域网中的普通数据和重要数据进行分离,所以也可以避免内部入侵。
防火墙的工作原理
防火墙有硬件防火墙和软件防火墙这两种类型,硬件防火墙允许您通过端口的传输控制协议(TCP)或用户数据报协议(UDP)来定义阻塞规则,例如禁止不必要的端口和IP地址的访问。软件防火墙就像互连内部网络和外部网络的代理服务器,它可以让内部网络不直接与外部网络进行通信,但是很多企业和数据中心会将这两种类型的防火墙进行组合,主要是因为这样做可以更加有效地提升网络的安全性。
硬件防火墙如何选择
一、网络吞吐量
因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的,所以在流量比较高时,要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时,甚至发生死机。所以网络吞吐量指标非常重要,它体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的延时代价。如果防火墙对网络造成较大的延时,给用户造成较大的损失。
选购防火墙的时候第一个要看的指标就是防火墙的吞吐量。当然,这个吞吐量也不是越大越好。因为吞吐量越大的话,防火墙的价格也就越高。要根据企业的实际情况,如现在接入互联网的带宽等因素,来选择的合适的带宽。
二、协议的优先级。
现在视频应用在企业中使用是越来越广泛。如视频会议系统、语音电话等等在企业中都很普及。而这些应用都会占用企业比较大的带宽。如果企业带宽跟不上的话,这些应用的质量将会受到很大的影响,如通话的质量可能会时断时续。就好像手机信号差一样。虽然可以通过提高互联网的接入速度来改善这种情况,但是这不是首选方案。因为增加带宽需要企业花费比较大的投资。故最理想的解决方案是对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中,要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。
三、具有一定的扩展性。
企业的网络不可能永远的一成不变。随着企业规模的扩大,公司内部的网络会不断的升级,以符合企业日益发展的需要。那么如何考虑呢?
一是为了后续扩展的需要,最好能够购买那些模块化设计的防火墙。如此的话,后续增添其他功能的话,只需要购买模块即可。而不需要更换整个硬件防火墙。也就是说选择的硬件防火墙系统最好是一个可随意伸缩的模块化解决方案,包括从最基本的包过滤器到带加密功能型包过滤器,最终到一个独立的应用网关的等等。只有如此,才能轻松面对企业信息化应用的升级。
二是考虑网络接口的问题。通常情况下防火墙最基本的配置有两个网络接口:内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不可信赖的网络,而内部网络接口连接的是得到信任的网络。在内部网部署时,连接到外部的接口可能需要和公司的主要部分连接,这时可能比外部网络的信任度高,但又稍微低于内部网络的信任度。但是随着公司因特网商业需求的复杂化,只有两个接口的防火墙明显具有局限性,可能无法满足企业业务方面的需求。如企业可能出于安全的需要,以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑,在防火墙选购时,还需要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。