匯總防火墻三大主要功能
產(chǎn)品資訊2020年04月10日
分享
防火墻是保證網(wǎng)絡(luò)安全最重要的防線(xiàn)之一,防火墻的主要功能的實(shí)現(xiàn)都使用下述的三種技術(shù)方法。
1、包過(guò)濾
包過(guò)濾功能(Packert Filtering)拒絕接受從未授權(quán)的主機(jī)發(fā)送的TCP/IP包,并拒絕接受使用未授權(quán)的服務(wù)的連接請(qǐng)求。
互聯(lián)網(wǎng)絡(luò)上,所有信息都是以數(shù)據(jù)包的形式來(lái)傳輸?shù)模瑪?shù)據(jù)包中包含發(fā)送方的IP地址和接收方的IP地址。數(shù)據(jù)包過(guò)濾就是將所有通過(guò)的數(shù)據(jù)包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出,并按照預(yù)先設(shè)定的過(guò)濾原則過(guò)濾數(shù)據(jù)包,那些不符合規(guī)定的數(shù)據(jù)包會(huì)被防火墻丟棄,以保證內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全。
包過(guò)濾防火墻通常是基于訪(fǎng)問(wèn)控制來(lái)實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息(源IP地址、封裝協(xié)議、端口號(hào)等)判定與過(guò)濾規(guī)則相匹配與否以決定取舍。建立這類(lèi)防火墻需要按照如下步驟進(jìn)行:建立安全策略、寫(xiě)出所允許的和禁止的服務(wù)、將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式、用相應(yīng)的句法重寫(xiě)邏輯表達(dá)式并設(shè)置之。包過(guò)濾防火墻主要用來(lái)防止外來(lái)攻擊,或是限制內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些外部的資源。如果是防止外部攻擊,針對(duì)典型攻擊的過(guò)濾規(guī)則,大體有:
(1)源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks)。對(duì)入侵者假冒內(nèi)部主機(jī),從外部傳輸一個(gè)源IP地址為內(nèi)部網(wǎng)絡(luò)IP地址的數(shù)據(jù)包的這類(lèi)攻擊,防火墻只需把來(lái)自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包丟棄即可。
(2)殘片攻擊(Tiny Fragment Attacks)。入侵者使用TCP/IP數(shù)據(jù)包分段特性,創(chuàng)建極小的分段并強(qiáng)行將TCP/IP頭信息分成多個(gè)數(shù)據(jù)包,以繞過(guò)用戶(hù)防火墻的過(guò)濾規(guī)則。攻擊者期望防火墻只檢查第一個(gè)分段而允許其余的分段通過(guò)。目前,大多數(shù)防火墻已經(jīng)實(shí)現(xiàn)了碎片的重組功能,可以進(jìn)行相應(yīng)的過(guò)濾設(shè)置。
(3)針對(duì)FTP服務(wù)的過(guò)濾。由于FTP服務(wù)分為數(shù)據(jù)通道和命令通道,而且有正常模式和被動(dòng)模式之分,因此普通數(shù)據(jù)包過(guò)濾防火墻無(wú)法進(jìn)行恰當(dāng)?shù)脑O(shè)置,對(duì)于具有狀態(tài)檢測(cè)功能的防火墻,則可以輕易地實(shí)現(xiàn)。例如,使用Linux下面的iptables,可以利用relate關(guān)鍵來(lái)匹配FTP服務(wù)及其相關(guān)的動(dòng)態(tài)連接。
(4)URL過(guò)濾、病毒過(guò)濾等。目前一些包過(guò)濾防火墻還具有這些擴(kuò)展功能。在實(shí)現(xiàn)時(shí),這些防火墻通常需要審查數(shù)據(jù)包的內(nèi)容,以發(fā)現(xiàn)可疑的字段,然后進(jìn)行訪(fǎng)問(wèn)控制設(shè)置。這些功能通常按照實(shí)現(xiàn)方式的不同,可以分為按照數(shù)據(jù)包的過(guò)濾和按照會(huì)話(huà)的過(guò)濾。在按照數(shù)據(jù)包的過(guò)濾方式中,只是對(duì)各個(gè)數(shù)據(jù)包進(jìn)行檢查,這樣的檢查機(jī)制,很容易被繞過(guò);按照會(huì)話(huà)重組,則不大容易被欺騙,但是代價(jià)則是在性能上的犧牲。
事實(shí)上,隨著防火墻的發(fā)展,已經(jīng)越來(lái)越多地融合了入侵檢測(cè)技術(shù)。但是,由于防火墻對(duì)于穩(wěn)定性、效率等都有著很?chē)?yán)格的要求,因此二者的融合方式以及具體的方法,都還在不斷的研究之中。
2、網(wǎng)路地址翻譯
網(wǎng)絡(luò)地址翻譯(Network Address Translation,NAT),NAT 也稱(chēng)為 IP 偽裝(IP Masquerading)。防火墻在接收到數(shù)據(jù)包后,將源地址或者是目的地址修改后發(fā)送,主要是為了解決IP地址不足問(wèn)題。此外,由于使用網(wǎng)絡(luò)地址翻譯導(dǎo)致網(wǎng)絡(luò)外部無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)內(nèi)部的未經(jīng)授權(quán)的服務(wù),因此從一定意義來(lái)說(shuō)可以有效地保護(hù)網(wǎng)絡(luò)內(nèi)部的系統(tǒng)。
NAT主要是通過(guò)防火墻、路由器等網(wǎng)絡(luò)邊緣設(shè)備來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包流入防火墻時(shí),系統(tǒng)會(huì)檢查該數(shù)據(jù)包是否符合用戶(hù)設(shè)定的NAT規(guī)則,如果找到符合的規(guī)則,系統(tǒng)會(huì)按照規(guī)則對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)換,同時(shí)建立一條NAT進(jìn)程,當(dāng)有數(shù)據(jù)包返回時(shí),將檢查進(jìn)程表,進(jìn)行相應(yīng)的處理。
3、代理服務(wù)
代理服務(wù)(Proxy Service),代理服務(wù)器從客戶(hù)端接到請(qǐng)求后,訪(fǎng)問(wèn)需要訪(fǎng)問(wèn)的服務(wù)器,并將結(jié)果返回給客戶(hù)端,這種技術(shù)通常能夠提供更為強(qiáng)大的訪(fǎng)問(wèn)控制。
代理服務(wù)器接收客戶(hù)請(qǐng)求后會(huì)檢查驗(yàn)證其合法性,如其合法,代理服務(wù)器像一臺(tái)客戶(hù)機(jī)一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶(hù)。它將內(nèi)部系統(tǒng)與外界隔離開(kāi)來(lái),從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過(guò),而其他所有服務(wù)都完全被封鎖住。
代理服務(wù)器非常適合那些根本就不希望外部用戶(hù)訪(fǎng)問(wèn)企業(yè)內(nèi)部的網(wǎng)絡(luò),而也不希望內(nèi)部的用戶(hù)無(wú)限制地使用或?yàn)E用互聯(lián)網(wǎng)絡(luò)。采用代理服務(wù)器,可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來(lái),內(nèi)部的用戶(hù)需要驗(yàn)證和授權(quán)之后才可以去訪(fǎng)問(wèn)因特網(wǎng)。
以上我們簡(jiǎn)要介紹了防火墻相關(guān)的一些知識(shí),事實(shí)上,作為目前網(wǎng)絡(luò)安全研究上一個(gè)重要的組成方面,防火墻正在迅速的發(fā)展之中。出現(xiàn)了很多具有新功能的防火墻系統(tǒng),如基于內(nèi)容的檢測(cè)、透明模式等。了解更多您可以注冊(cè)成為河姆渡弱電安防平臺(tái)會(huì)員,我們將定期為您推薦相關(guān)內(nèi)容。
包過(guò)濾功能(Packert Filtering)拒絕接受從未授權(quán)的主機(jī)發(fā)送的TCP/IP包,并拒絕接受使用未授權(quán)的服務(wù)的連接請(qǐng)求。
互聯(lián)網(wǎng)絡(luò)上,所有信息都是以數(shù)據(jù)包的形式來(lái)傳輸?shù)模瑪?shù)據(jù)包中包含發(fā)送方的IP地址和接收方的IP地址。數(shù)據(jù)包過(guò)濾就是將所有通過(guò)的數(shù)據(jù)包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出,并按照預(yù)先設(shè)定的過(guò)濾原則過(guò)濾數(shù)據(jù)包,那些不符合規(guī)定的數(shù)據(jù)包會(huì)被防火墻丟棄,以保證內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全。
包過(guò)濾防火墻通常是基于訪(fǎng)問(wèn)控制來(lái)實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息(源IP地址、封裝協(xié)議、端口號(hào)等)判定與過(guò)濾規(guī)則相匹配與否以決定取舍。建立這類(lèi)防火墻需要按照如下步驟進(jìn)行:建立安全策略、寫(xiě)出所允許的和禁止的服務(wù)、將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式、用相應(yīng)的句法重寫(xiě)邏輯表達(dá)式并設(shè)置之。包過(guò)濾防火墻主要用來(lái)防止外來(lái)攻擊,或是限制內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些外部的資源。如果是防止外部攻擊,針對(duì)典型攻擊的過(guò)濾規(guī)則,大體有:
(1)源IP地址欺騙式攻擊(Source IP Address Spoofing Attacks)。對(duì)入侵者假冒內(nèi)部主機(jī),從外部傳輸一個(gè)源IP地址為內(nèi)部網(wǎng)絡(luò)IP地址的數(shù)據(jù)包的這類(lèi)攻擊,防火墻只需把來(lái)自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包丟棄即可。
(2)殘片攻擊(Tiny Fragment Attacks)。入侵者使用TCP/IP數(shù)據(jù)包分段特性,創(chuàng)建極小的分段并強(qiáng)行將TCP/IP頭信息分成多個(gè)數(shù)據(jù)包,以繞過(guò)用戶(hù)防火墻的過(guò)濾規(guī)則。攻擊者期望防火墻只檢查第一個(gè)分段而允許其余的分段通過(guò)。目前,大多數(shù)防火墻已經(jīng)實(shí)現(xiàn)了碎片的重組功能,可以進(jìn)行相應(yīng)的過(guò)濾設(shè)置。
(3)針對(duì)FTP服務(wù)的過(guò)濾。由于FTP服務(wù)分為數(shù)據(jù)通道和命令通道,而且有正常模式和被動(dòng)模式之分,因此普通數(shù)據(jù)包過(guò)濾防火墻無(wú)法進(jìn)行恰當(dāng)?shù)脑O(shè)置,對(duì)于具有狀態(tài)檢測(cè)功能的防火墻,則可以輕易地實(shí)現(xiàn)。例如,使用Linux下面的iptables,可以利用relate關(guān)鍵來(lái)匹配FTP服務(wù)及其相關(guān)的動(dòng)態(tài)連接。
(4)URL過(guò)濾、病毒過(guò)濾等。目前一些包過(guò)濾防火墻還具有這些擴(kuò)展功能。在實(shí)現(xiàn)時(shí),這些防火墻通常需要審查數(shù)據(jù)包的內(nèi)容,以發(fā)現(xiàn)可疑的字段,然后進(jìn)行訪(fǎng)問(wèn)控制設(shè)置。這些功能通常按照實(shí)現(xiàn)方式的不同,可以分為按照數(shù)據(jù)包的過(guò)濾和按照會(huì)話(huà)的過(guò)濾。在按照數(shù)據(jù)包的過(guò)濾方式中,只是對(duì)各個(gè)數(shù)據(jù)包進(jìn)行檢查,這樣的檢查機(jī)制,很容易被繞過(guò);按照會(huì)話(huà)重組,則不大容易被欺騙,但是代價(jià)則是在性能上的犧牲。
事實(shí)上,隨著防火墻的發(fā)展,已經(jīng)越來(lái)越多地融合了入侵檢測(cè)技術(shù)。但是,由于防火墻對(duì)于穩(wěn)定性、效率等都有著很?chē)?yán)格的要求,因此二者的融合方式以及具體的方法,都還在不斷的研究之中。
2、網(wǎng)路地址翻譯
網(wǎng)絡(luò)地址翻譯(Network Address Translation,NAT),NAT 也稱(chēng)為 IP 偽裝(IP Masquerading)。防火墻在接收到數(shù)據(jù)包后,將源地址或者是目的地址修改后發(fā)送,主要是為了解決IP地址不足問(wèn)題。此外,由于使用網(wǎng)絡(luò)地址翻譯導(dǎo)致網(wǎng)絡(luò)外部無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)內(nèi)部的未經(jīng)授權(quán)的服務(wù),因此從一定意義來(lái)說(shuō)可以有效地保護(hù)網(wǎng)絡(luò)內(nèi)部的系統(tǒng)。
NAT主要是通過(guò)防火墻、路由器等網(wǎng)絡(luò)邊緣設(shè)備來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包流入防火墻時(shí),系統(tǒng)會(huì)檢查該數(shù)據(jù)包是否符合用戶(hù)設(shè)定的NAT規(guī)則,如果找到符合的規(guī)則,系統(tǒng)會(huì)按照規(guī)則對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)換,同時(shí)建立一條NAT進(jìn)程,當(dāng)有數(shù)據(jù)包返回時(shí),將檢查進(jìn)程表,進(jìn)行相應(yīng)的處理。
3、代理服務(wù)
代理服務(wù)(Proxy Service),代理服務(wù)器從客戶(hù)端接到請(qǐng)求后,訪(fǎng)問(wèn)需要訪(fǎng)問(wèn)的服務(wù)器,并將結(jié)果返回給客戶(hù)端,這種技術(shù)通常能夠提供更為強(qiáng)大的訪(fǎng)問(wèn)控制。
代理服務(wù)器接收客戶(hù)請(qǐng)求后會(huì)檢查驗(yàn)證其合法性,如其合法,代理服務(wù)器像一臺(tái)客戶(hù)機(jī)一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶(hù)。它將內(nèi)部系統(tǒng)與外界隔離開(kāi)來(lái),從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過(guò),而其他所有服務(wù)都完全被封鎖住。
代理服務(wù)器非常適合那些根本就不希望外部用戶(hù)訪(fǎng)問(wèn)企業(yè)內(nèi)部的網(wǎng)絡(luò),而也不希望內(nèi)部的用戶(hù)無(wú)限制地使用或?yàn)E用互聯(lián)網(wǎng)絡(luò)。采用代理服務(wù)器,可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來(lái),內(nèi)部的用戶(hù)需要驗(yàn)證和授權(quán)之后才可以去訪(fǎng)問(wèn)因特網(wǎng)。
以上我們簡(jiǎn)要介紹了防火墻相關(guān)的一些知識(shí),事實(shí)上,作為目前網(wǎng)絡(luò)安全研究上一個(gè)重要的組成方面,防火墻正在迅速的發(fā)展之中。出現(xiàn)了很多具有新功能的防火墻系統(tǒng),如基于內(nèi)容的檢測(cè)、透明模式等。了解更多您可以注冊(cè)成為河姆渡弱電安防平臺(tái)會(huì)員,我們將定期為您推薦相關(guān)內(nèi)容。
相關(guān)閱讀
一周排行榜
- 觀(guān)點(diǎn)大咖說(shuō) | 未來(lái),超級(jí)城市應(yīng)該是怎樣的?
- 如何選擇斷路器?斷路器產(chǎn)品推薦
- 詳解三大智能建筑系統(tǒng)化施工注意事項(xiàng)
- 八大弱電安防工程解決方案及拓?fù)鋱D匯總
- 觀(guān)點(diǎn)大咖說(shuō)丨智慧的結(jié)構(gòu)——構(gòu)筑屬于你的智慧產(chǎn)業(yè)
- 車(chē)牌識(shí)別系統(tǒng)怎么破解?車(chē)牌自動(dòng)識(shí)別停車(chē)漏洞如何解決?
- 交換機(jī)是什么?交換機(jī)的作用、價(jià)格以及品牌排行
- 交換機(jī)的功能和作用是什么?
- 華為三層交換機(jī)配置教程
- 路由器如何設(shè)置?有幾種使用方法?
熱門(mén)活動(dòng)
工具推薦
-
工程設(shè)計(jì)計(jì)算器
-
河姆渡方案館
熱點(diǎn)推薦
- 1匯總防火墻三大主要功能
- 1樓宇對(duì)講產(chǎn)品的應(yīng)用分類(lèi)
- 1LED顯示屏單元板的質(zhì)量如何檢測(cè)
- 1交換機(jī)有哪些不同的連接方式?
- 1什么是應(yīng)用級(jí)防火墻?應(yīng)用級(jí)防火墻有什么作用
- 1什么是網(wǎng)絡(luò)級(jí)防火墻|網(wǎng)絡(luò)防火墻特點(diǎn)介紹
- 1樓宇對(duì)講產(chǎn)品智能化現(xiàn)狀分析
- 1匯總智能電網(wǎng)的具體應(yīng)用
- 1樓宇對(duì)講產(chǎn)品主要分類(lèi)
- 1詳解樓宇對(duì)講產(chǎn)品技術(shù)發(fā)展歷程
