Author:残风
防火墙功能:
内外网络隔离:
u 截取IP包,根据安全策略控制其进/出
u 双向网络地址转换(NAT)
u 基于一次性口令对移动访问进行身份识别和控制
u IP MAC捆绑,防止IP地址的滥用
安全记录:
u 通信事件记录
u 操作事件记录
u 违规事件记录
u 异常情况告警
安全公理/定理/推理:
公理:所有的程序都有缺陷(墨菲定理)
大程序定理:大程序的缺陷甚至比它包含的内容还多
推理:一个安全相关程序有安全性缺陷
定理:只要不运行这个程序,那么这个程序有缺陷,也无关紧要
推理:只要不运行这个程序,那么这个程序有安全性漏洞,也无关紧要
定理:对外暴露的计算机,应尽可能少地运行程序,且运行的程序也尽可能的小
推论:防火墙基本法则:防火墙必须配置尽肯能的小,才能降低风险。
ACL访问控制列表:
应用在路由器接口的指令列表;指定哪些数据包可以接受,哪些需要拒绝
ACL用途:
a. 限制网路流量,提高网络性能
b. 提供对通信流量的控制手段
c. 提供网络访问的基本呢安全手段
d. 在路由器(交换机)接口处,决定哪种类型的通信浏览被转发,哪种被阻塞
ACL分类:
标准IP ACL根据报文的源地址测试
扩展IP ACL可以测试IP报文的源,目的地址,协议,端口号
标准ACL:
ACL配置:
Router(config)# access-list access-list-number {permit | deny} {test conditions}
Router(config)# {protocol } access-group access-list-number {in | out }
建议设置ACL的位置:
在靠近源地址的网络接口上设置扩展ACL
在靠近目的地址的安络接口上设置标准ACL
防火墙的分类:
1. 包过滤防火墙
基本思想
对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包
一般配置成双向的
如何过滤
过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址,IP协议域,源和目标端口号
过滤器一般建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
优点:
a. 实现简单
b. 对用户透明
c. 效率高
缺点:
a. 正确制定规则并不容易
b. 不可能引入认证机制
一般Router实现包过滤防火墙。
路由器的访问控制列表是网络安全保障的第一关卡。
访问控制列表提供了一种机制,它可以控制和过滤路由器不同接口去往不同方向的信息流。
2. 应用网关防火墙(代理防火墙)
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。
3. 状态监测防火墙