當前位置:首頁 » 網路連接 » 在計算機網路通訊領域中防火牆
擴展閱讀
手機被流氓軟體霸屏 2024-11-28 10:47:43
蘋果一鍵安裝一個軟體 2024-11-28 10:36:16

在計算機網路通訊領域中防火牆

發布時間: 2024-05-25 08:50:14

1. 在計算機網路系統中,防火牆技術的原理是什麼

什麼是防火牆?
防火牆就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網路的世界裡,要由防火牆過濾的就是承載通信數據的通信包。

天下的防火牆至少都會說兩個詞:Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟體模塊;有的乾脆就是獨立的一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護(比如SMTP或者HTTP協議等)。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆,因為他們的工作方式都是一樣的:分析出入防火牆的數據包,決定放行還是把他們扔到一邊。

所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個防火牆,防火牆的一端有台UNIX計算機,另一邊的網段則擺了台PC客戶機。

2. 網路防火牆的作用是什麼

防火牆(Firewall)是指一個由軟體或硬體設備組合而成,處於企業或網路群體電腦與外界通道之間,用來加強網際網路與內部網之間安全防範的一個或一組系統。它控制網路內外的信息交流,提供接入控制和審查跟蹤,是一種訪問控制機制。
一般防火牆具備以下特點:
廣泛的服務支持。通過將動態的、應用層的過濾能力和認證相結合,可實現WWW瀏覽、HTIP服務、FIP服務等;通過對專用數據的加密支持,保證通過Internet進行的虛擬專用網商務活動不受破壞;客戶端認證只允許指定的用戶訪問內部網路或選擇服務,是企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分;反欺騙。欺騙是從外部獲取網路訪問權的常用手段,它使數據包好象來自網路內部。防火牆能監視這樣的數據包並能扔掉它們。
防火牆的設置有兩條原則:一是「凡是未被准許的就是禁止的」。另一條策略與此正好相反,它堅持「凡是未被禁止的就是允許的」。防火牆先是轉發所有的信息,起初這堵牆幾乎不起作用,如同虛設;然後再逐項剔除有害的內容,被禁止的內容越多,防火牆的作用就越大。在此策略下,網路的靈活性得到完整地保留。但是就怕漏過的信息太多,使安全風險加大,並且網路管理者往往疲於奔命,工作量增大。
正因為安全領域中有許多變動的因素,所以安全策略的制定不應建立在靜態的基礎上。在制定防火牆安全規則時,應符合「可適應性的安全管理」模型的原則,即:
安全=風險分析+執行策略+系統實施+漏洞監測+實時響應從而滿足綜合性與整體性相結合的要求。
現有的防火牆技術主要有兩大類:數據包過濾技術和代理服務技術。第一類是數據包過濾技術(PacketFilter)。它是在網路層對數據包實施有選擇的放行。第二類是代理服務技術(ProXyService)。這是一種基於代理伺服器的防火牆技術,通常由兩部分構成--客戶與代理伺服器連接,代理伺服器再與外部伺服器連接,而內部網路與外部網路之間沒有直接的連接關系。
防火牆是有其局限性的:
防火牆不能防止繞過防火牆的攻擊。比如,一個企業內聯網設置了防火牆,但是該網路的一個用戶基於某種理由另外直接與網路的服務提供商連接,繞過了企業內聯網的保護,為該網留下了一個供人攻擊的後門,成了一個潛在的安全隱患。
防火牆經不起人為因素的攻擊。由於防火牆對網路安全實施單點挖掘,因此可能受到黑客們的攻擊。像企業內聯網由於管理原因造成的人為破壞,防火牆是無能為力的。
防火牆不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網路不受病毒的攻擊。任何防火牆不可能對通過的數據流中每一個文件進行掃描檢查病毒。
目前市場上很多流行的安全設備都屬於靜態安全技術范疇,如防火牆和系統外殼等外圍保護設備。外圍保護設備針對的是來自系統外部的攻擊,一旦外部侵入者進入了系統,他們便不受任何阻擋。認證手段也與此類似,一旦侵入者騙過了認證系統,那麼侵入者便成為系統的內部人員。傳統防火牆的缺點在於無法做到安全與速度同步提高,一旦考慮到安全因素而對網路數據流量進行深入檢測和分析,那麼網路傳輸速度勢必受到影響。
靜態安全技術的缺點是需要人工來實施和維護,不能主動跟蹤侵入者。傳統的防火牆產品就是典型的這類產品。其高昂的維護費用和對網路性能的影響,任何人都無法迴避。系統管理員需要專門的安全分析軟體和技術來確定防火牆是否受到攻擊。
針對靜態安全技術的不足,許多世界網路安全和管理專家都提出了各自的解決方案,如NAI為傳統的防火牆技術做出了重要的補充和強化,其最新的防火牆系統GauntletFirewa113.0forwindowsNT包含了NAI技術專家多年來的研究成果「自適應代理技術」等。

3. 簡述計算機網路安全技術中「防火牆」(firewall)的基本功能及技術分類。

一 防火牆基本原理

首先,我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾,和狀態檢測的包過濾,應用層代理防火牆。但是他們的基本實現都是類似的。

│ │---路由器-----網卡│防火牆│網卡│----------內部網路│ │

防火牆一般有兩個以上的網路卡,一個連到外部(router),另一個是連到內部網路。當打開主機網路轉發功能時,兩個網卡間的網路通訊能直接通過。當有防火牆時,他好比插在網卡之間,對所有的網路通訊進行控制。

說到訪問控制,這是防火牆的核心了:),防火牆主要通過一個訪問控製表來判斷的,他的形式一般是一連串的如下規則:

1 accept from+ 源地址,埠 to+ 目的地址,埠+ 採取的動作

2 deny ...........(deny就是拒絕。。)

3 nat ............(nat是地址轉換。後面說)

防火牆在網路層(包括以下的煉路層)接受到網路數據包後,就從上面的規則連表一條一條地匹配,如果符合就執行預先安排的動作了!如丟棄包。。。。

但是,不同的防火牆,在判斷攻擊行為時,有實現上的差別。下面結合實現原理說說可能的攻擊。

二 攻擊包過濾防火牆

包過濾防火牆是最簡單的一種了,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。他根據數據包的源IP地址;目的IP地址;TCP/UDP源埠;TCP/UDP目的埠來過濾!!很容易受到如下攻擊:

1 ip 欺騙攻擊:

這種攻擊,主要是修改數據包的源,目的地址和埠,模仿一些合法的數據包來騙過防火牆的檢測。如:外部攻擊者,將他的數據報源地址改為內部網路地址,防火牆看到是合法地址就放行了:)。可是,如果防火牆能結合介面,地址來匹配,這種攻擊就不能成功了:(

2 d.o.s拒絕服務攻擊

簡單的包過濾防火牆不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火牆受到d.o.s攻擊,他可能會忙於處理,而忘記了他自己的過濾功能。:)你就可以饒過了,不過這樣攻擊還很少的。!

3 分片攻擊

這種攻擊的原理是:在IP的分片包中,所有的分片包用一個分片偏移欄位標志分片包的順序,但是,只有第一個分片包含有TCP埠號的信息。當IP分片包通過分組過濾防火牆時,防火牆只根據第一個分片包的Tcp信息判斷是否允許通過,而其他後續的分片不作防火牆檢測,直接讓它們通過。

這樣,攻擊者就可以通過先發送第一個合法的IP分片,騙過防火牆的檢測,接著封裝了惡意數據的後續分片包就可以直接穿透防火牆,直接到達內部網路主機,從而威脅網路和主機的安全。

4 木馬攻擊

對於包過濾防火牆最有效的攻擊就是木馬了,一但你在內部網路安裝了木馬,防火牆基本上是無能為力的。

原因是:包過濾防火牆一般只過濾低埠(1-1024),而高埠他不可能過濾的(因為,一些服務要用到高埠,因此防火牆不能關閉高埠的),所以很多的木馬都在高埠打開等待,如冰河,subseven等。。。
但是木馬攻擊的前提是必須先上傳,運行木馬,對於簡單的包過濾防火牆來說,是容易做的。這里不寫這個了。大概就是利用內部網路主機開放的服務漏洞。

早期的防火牆都是這種簡單的包過濾型的,到現在已很少了,不過也有。現在的包過濾採用的是狀態檢測技術,下面談談狀態檢測的包過濾防火牆。狀態檢測技術最早是checkpoint提出的,在國內的許多防火牆都聲稱實現了狀態檢測技術。

可是:)很多是沒有實現的。到底什麼是狀態檢測?

一句話,狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。

原先的包過濾,是拿一個一個單獨的數據包來匹配規則的。可是我們知道,同一個tcp連接,他的數據包是前後關聯的,先是syn包,-》數據包=》fin包。數據包的前後序列號是相關的。

如果割裂這些關系,單獨的過濾數據包,很容易被精心夠造的攻擊數據包欺騙!!!如nmap的攻擊掃描,就有利用syn包,fin包,reset包來探測防火牆後面的網路。!

相反,一個完全的狀態檢測防火牆,他在發起連接就判斷,如果符合規則,就在內存登記了這個連接的狀態信息(地址,port,選項。。),後續的屬於同一個連接的數據包,就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息,都被丟棄了。這樣這些攻擊數據包,就不能饒過防火牆了。

說狀態檢測必須提到動態規則技術。在狀態檢測里,採用動態規則技術,原先高埠的問題就可以解決了。實現原理是:平時,防火牆可以過濾內部網路的所有埠(1-65535),外部攻擊者難於發現入侵的切入點,可是為了不影響正常的服務,防火牆一但檢測到服務必須開放高埠時,如(ftp協議,irc等),防火牆在內存就可以動態地天加一條規則打開相關的高埠。等服務完成後,這條規則就又被防火牆刪除。這樣,既保障了安全,又不影響正常服務,速度也快。!
一般來說,完全實現了狀態檢測技術防火牆,智能性都比較高,一些掃描攻擊還能自動的反應,因此,攻擊者要很小心才不會被發現。

但是,也有不少的攻擊手段對付這種防火牆的。