1.五大基本功能

  • 过滤进出网络的数据包,如IP地址过滤、UDP端囗过滤、ACK检查过滤等
  • 管理进出网络的访问行为
  • 封堵某些禁止的访问行为
  • 记录通过防火墙的信息内容和活动
  • 对网络攻击进行检测和告警

2.理想的防火墙应具有的特性

  • 所有内部网络和外部网络之间传输的数据都必须通过防火墙
  • 防火墙本身不受各种攻击影响
  • 只有被授权的合法数据,即防火墙系统中全策略允许的数据,可以通过防火墙

3.体系结构

  • 包过滤
  • 双宿网关
  • 屏蔽主机
  • 屏蔽子网

4.包过滤防火墙

  • 优点
    — 过滤路由器为用户提供了一种透明的服务,用户不用改变客户端程序或改变自己的行为。不必对用户进行培训和在每台主机上安装特定的软件。
  • 缺点
    防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管理员需要对各种因特网服务、包头格式以及每个域的意义有非常深入的理解。
    — 随着过滤器数目的增加,路由器的吞吐量会下降,路由器不仅必须对每个数据包作出转发决定,还必须将所有的过滤器规则施用给每个数据包,这样就消耗CPU时间并影响系统的性能。

5.双宿主机防火墙

  • 缺点
    — 系统应尽量限制用户的数量,由于双重宿主主机是外部用户访问内部网络系统的中间转接点, 因此其主机的性能非常重要。
    — 双宿网关主机是唯一的隔开内网和外网之间的屏障,如果入侵者得到了双宿网关主机的访问权, 内部网络就会被人侵。

6.屏蔽主机防火墙

  • 缺点
    屏蔽主机体系结构存在堡垒主机被绕过的可能,堡垒主机与其他内部主机之间没有任何保护网络安全的措施,一旦堡垒主机被攻破,内部网将完全暴露。

7.关键技术

  • 包过滤技术
  • 代理技术
  • 状态检查技术
  • 加密技术
  • 虚拟网技术
  • 安全审计技术
  • 安全内核技术
  • 身份认证技术
  • 负载平衡技术
  • 内容安全技术

8.包过滤技术

  • 检查内容
    — IP源地址
    — IP目的地址
    — 协议类型(TCP包、UDP包、ICMP包)
    — TCP或UDP的源端口
    — TCP或UDP的目标端口
    — TCP报头中的ACK位
    — TCP的序列号、确认号、IP校验和等
  • 优点
    — 对用户完全透明,很多路由器可以作数据包过滤,因此不需要专门添加设备。
  • 缺点
    — 包过滤规则难于配置,一旦配置也难于检验。
    处理能力有限,随着过滤数目的增加,将降低吞吐量。

9.代理技术

  • 分为客户代理和服务器代理,在内部网和外部网间起中间转接作用
  • 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略。(如不允许咙据通过)
  • 优点
    — 支持可靠的用户认证并提供详细的注册信息
  • 缺点
    — 性能低

10.电路级网关技术

  • 也是一种代理,对数据包只起转发作用,并不进行任何附加的包处理或过滤

11.状态检测技术

  • 通过抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。
  • 但基于状态检查技术防火墙配置非常复杂,而且会降低网络的速度

12.防火墙的缺点

  • 限制了有用的网络服务
  • 无法防护内部网络用户的攻击
  • 无法防范通过防火墙以外的其他途径的攻击
  • 不能完全防范传送已感染病毒的软件或文件
  • 无法防范数据驱动型攻击
  • 不能防备新的网络安全问题

13.攻击方法

  • 针对防火墙的攻击可以分为三种
    — 防火墙探测
    — 绕过防火墙的攻击:地址欺骗、由内到外连接
    — 破坏性攻击
  • 常用的防火墙探测技术
    — 利用防火墙对探测数据包的返回信息。
    — 利用工具,例如Traceroute、FirewaIking、Hpinging和NMAPing,分析其返回结果,可以判定和定位防火墻,并能探测出该防火墙开放的端囗等信息。

14.防水墙

  • 用于内网防泄漏产品,是一种防止内部信息泄漏的安全产品,网络、外设接囗、存储介质和打印机构成信息泄漏的全部途径。