防火墙概述:

目前保护网络安全的主要手段就是构建防火墙

基本思想:

让所有对系统的访问通过某一点,并保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构,它设置在可信的内部网络或不可信任的外界之间,可以实施比较广泛的安全政策来控制信息流,防止不可预料的潜在入侵破坏。

防火墙的作用

确保Intenet用户的所交换信息的安全,防火墙位于内部网络Web站点与Intenet之间的一个路由器或一台计算机

安全策略有以下两种:

凡是没有被列为允许访问的服务都是被禁止的

凡是没有被列为禁止访问的服务都是被允许的

防火墙分类:

根据具体的实现技术,防火墙常被分为包过滤防火墙、代理服务器防火墙和状态检测防火墙。

1.包过滤防火墙

基本原理:

通过配置ACL实现数据包的过滤。

实现过滤主要是基于数据包中IP层所承载上层协议的协议号、源/目的IP地址、源/目的端口号和报文传递的方向等信息。

优缺点:
这种技术实现起来最为简单

但是要求管理员定义大量的规则,而当规则定义多了之后,往往会影响设备的转发性能。

2.代理服务器防火墙

代理服务器的功能主要在应用层实现。

基本原理:

当代理服务器收到一个客户的连接请求时,先核实该请求,然后将处理后的请求转发给真实服务器,在接受真实服务器应答并做进一步处理后,再将回复交给发出请求的客户。代理服务器在外部网络和内部网络之间,发挥了中间转接的作用。

优缺点:

使用代理服务器防火墙的好处是可以提供用户级的身份认证、日志记录和账号管理,彻底分开外部与内部网络

但是所有内部网络的主机均需通过代理服务器主机才能获得互联网上的资源,因此会造成使用上的不便,而且代理服务器很有可能会成为系统的“瓶颈”

3.状态检测防火墙 ----最好的防火墙技术

基本原理:

状态检测防火墙是包过滤防火墙的扩展,它不仅把数据包作为独立单元进行ACL检查和过滤,同时也考虑前后数据包的应用层关联性。

状态检测防火墙使用各种状态表来监控 TCP/UDP会话,由ACL表决定哪些会话允许建立,只有与被允许会话相关联的数据包才被转发。同时状态防火墙针对TCP/UDP会话,分析数据包的应用层状态信息,过滤不符合当前应用层状态的数据包。

优点:

状态检测防火墙结合了包过滤防火墙和代理防火墙的优点,不仅速度快,而且安全性高。

防火墙的安全区域:

安全区域(Zone)是防火墙产品所引入的一个安全概念,是其区别于路由器的主要特征。

路由器:基于端口对数据流进行安全检查

防火墙产品:基于安全区域

  • 一个安全区域包括一个或多个端口的组合,具有一个安全级别。
  • 在设备内部,安全级别通过 0~100 的数字来表示,数字越大表示安全级别越高,
  • 不存在两个具有相同安全级别的区域。
  • 只有当数据在分属于两个不同安全级别的区域(或区域包含的端口)之间流动的时候,才会激活防火墙的安全规则检查功能。
  • 数据在属于同一个安全区域的不同端口间动时不会引起任何检查。

在防火墙上保留四个安全区域,如下:

●非受信区(Untrust):低级的安全区域,其安全优先级为5

●非军事化区(DMZ):中度级别的安全区域,其安全优先级为50

●受信区(Trust):较高级别的安全区域,其安全优先级为85

● 本地区域(Local);最高级别的安全区域,其安全优先级为100

如有必要,还可以自定义安全区域并制定优先级

安全区域的具体应用:

Trust区域所属端口连接用户要保护的网络;

Untrust区域所属端口连接外部网络:

DMZ区域所属端口连接用户向外部提供服务的部分网络;

防火墙设备本身发起的连接即是从Local区域发起的连接。---不需要与端口相关联

相应的所有对防火墙设备本身的访同都属于向Local区域发起访问连接。

不同级别的安全区域间的数据流动将激发防火墙进行安全策略的检查,并且可以为不同流动方向设置不同的安全策略。

区域间的数据流的两个方向:

入方向(Inbound):数据由低级别的安全区域向高级别的安全区域传输的方向

出方向(Outbound):数据由高级别的安全区域向低级别的安全区域传输的方向

在防火墙上,判断数据传输是出方向还是入方向,总是相对高安全级别的一侧而言---需要配置明确过滤规则