1.五大基本功能
- 过滤进出网络的数据包,如IP地址过滤、UDP端囗过滤、ACK检查过滤等
- 管理进出网络的访问行为
- 封堵某些禁止的访问行为
- 记录通过防火墙的信息内容和活动
- 对网络攻击进行检测和告警
2.理想的防火墙应具有的特性
- 所有内部网络和外部网络之间传输的数据都必须通过防火墙
- 防火墙本身不受各种攻击影响
- 只有被授权的合法数据,即防火墙系统中全策略允许的数据,可以通过防火墙
3.体系结构
- 包过滤
- 双宿网关
- 屏蔽主机
- 屏蔽子网
4.包过滤防火墙
- 优点
— 过滤路由器为用户提供了一种透明的服务,用户不用改变客户端程序或改变自己的行为。不必对用户进行培训和在每台主机上安装特定的软件。 - 缺点
— 防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管理员需要对各种因特网服务、包头格式以及每个域的意义有非常深入的理解。
— 随着过滤器数目的增加,路由器的吞吐量会下降,路由器不仅必须对每个数据包作出转发决定,还必须将所有的过滤器规则施用给每个数据包,这样就消耗CPU时间并影响系统的性能。
5.双宿主机防火墙
- 缺点
— 系统应尽量限制用户的数量,由于双重宿主主机是外部用户访问内部网络系统的中间转接点, 因此其主机的性能非常重要。
— 双宿网关主机是唯一的隔开内网和外网之间的屏障,如果入侵者得到了双宿网关主机的访问权, 内部网络就会被人侵。
6.屏蔽主机防火墙
- 缺点
— 屏蔽主机体系结构存在堡垒主机被绕过的可能,堡垒主机与其他内部主机之间没有任何保护网络安全的措施,一旦堡垒主机被攻破,内部网将完全暴露。
7.关键技术
- 包过滤技术
- 代理技术
- 状态检查技术
- 加密技术
- 虚拟网技术
- 安全审计技术
- 安全内核技术
- 身份认证技术
- 负载平衡技术
- 内容安全技术
8.包过滤技术
- 检查内容
— IP源地址
— IP目的地址
— 协议类型(TCP包、UDP包、ICMP包)
— TCP或UDP的源端口
— TCP或UDP的目标端口
— TCP报头中的ACK位
— TCP的序列号、确认号、IP校验和等 - 优点
— 对用户完全透明,很多路由器可以作数据包过滤,因此不需要专门添加设备。 - 缺点
— 包过滤规则难于配置,一旦配置也难于检验。
— 处理能力有限,随着过滤数目的增加,将降低吞吐量。
9.代理技术
- 分为客户代理和服务器代理,在内部网和外部网间起中间转接作用。
- 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略。(如不允许咙据通过)
- 优点
— 支持可靠的用户认证并提供详细的注册信息 - 缺点
— 性能低
10.电路级网关技术
- 也是一种代理,对数据包只起转发作用,并不进行任何附加的包处理或过滤。
11.状态检测技术
- 通过抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。
- 但基于状态检查技术防火墙配置非常复杂,而且会降低网络的速度。
12.防火墙的缺点
- 限制了有用的网络服务
- 无法防护内部网络用户的攻击
- 无法防范通过防火墙以外的其他途径的攻击
- 不能完全防范传送已感染病毒的软件或文件
- 无法防范数据驱动型攻击
- 不能防备新的网络安全问题
13.攻击方法
- 针对防火墙的攻击可以分为三种
— 防火墙探测
— 绕过防火墙的攻击:地址欺骗、由内到外连接
— 破坏性攻击 - 常用的防火墙探测技术
— 利用防火墙对探测数据包的返回信息。
— 利用工具,例如Traceroute、FirewaIking、Hpinging和NMAPing,分析其返回结果,可以判定和定位防火墻,并能探测出该防火墙开放的端囗等信息。
14.防水墙
- 用于内网防泄漏产品,是一种防止内部信息泄漏的安全产品,网络、外设接囗、存储介质和打印机构成信息泄漏的全部途径。