全国服务热线 :0755-26406096

产品推荐
  • TRITON APX Enterprise Core
  • 深信服(sangfor)上网行为管理AC
  • 深信服(sangfor)下一代防火墙NGAF
  • 深信服(sangfor)SSL VPN
  • 深信服(sangfor)广域网优化WOC
  • 深信服(sangfor)应用交付AD
  • Polycom(宝利通)ReaIPresence Group550高清视频会议终端
  • polycom(宝利通) HDX7000 宝利通高清视频终端
联系我们
深圳市望升信息技术有限公司
售前电话:0755-26406096
售后电话:0755-86549081
地址:深圳市南山区科技园中钢大厦M-6栋4楼
Email:hel@wangshenginfo.com
邮编:518057
电话:0755-26406096
传真:0755-26649834
您现在的位置: 首页   新闻资讯   信息安全 信息安全

防火墙技术解析

文章来源:多媒体会议室 发布日期:2016年03月03日    浏览次数:566

  一提到网络安全人们首先想到的是防火墙。防火墙系统针对的是来自系统外部的攻击,一旦外部入侵者进入了系统,他们便不受任何阻挡。认证手段也与此类似,一旦入侵者骗过了认证系统,便成为了内部人员。

  防火墙的基本类型有:包过滤型、代理服务型和状态包过滤型复合型。


(一)包过滤型防火墙

  包过滤(Packet Filter)通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一种保安机制,它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。

  网络中的应用虽然很多,但其最终的传输单位都是以数据包的形式出现,这种做法主要是因为网络要为多个系统提供共享服务。例如,文件传输时,必须将文件分割为小的数据包,每个数据包单独传输。每个数据包中除了包含所要传输的数据(内容),还包括源地址、目标地址等。

  数据包是通过互联网络中的路由器,从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处,然后路由器查询自身的路由表,若有去往目的的路由,则将该包发送到下一个路由器或直接发往下一个网段;否则,将该包丢掉。与路由器不同的是,包过滤防火墙,除了判断是否有到达目的网段的路由之外,还要根据一组包过滤规则决定是否将包转发出去。

  1、工作机制

  包过滤技术可以允许或禁止某些包在网络上传递,它依据的是以下的判断:

  对包的目的地址作出判断

  对包的源地址作出判断

  对包的传送协议(端口号)作出判断

  一般地,在进行包过滤判断时不关心包的具体内容。包过滤只能让我们进行类似以下情况的操作,比如:不让任何工作站从外部网用Telnet登录、允许任何工作站使用SMTP往内部网发电子邮件。

  但包过滤不能允许我们进行如下的操作,如:允许用户使用FTP,同时还限制用户只可读取文件不可写入文件、允许某个用户使用Telnet登录而不允许其他用户进行这种操作。

  包过滤系统处于网络的IP层和TCP层,而不是应用层,所以它无法在应用层的具体操作进行任何过滤。以FTP为例,FTP文件传输协议应用中包含许多具体的操作,如读取操作、写入操作、删除操作等。再有,包过滤系统不能识别数据包中的用户信息。

  2、性能特点

  因为包过滤防火墙工作在IP和TCP层,所以处理包的速度要比代理服务型防火墙快

  提供透明的服务,用户不用改变客户端程序

  因为只涉及到TCP层,所以与代理服务型防火墙相比,它提供的安全级别很低

  不支持用户认证,包中只有来自哪台机器的信息却不包含来自哪个用户的信息

  不提供日志功能

  包过滤防火墙的典型代表是早期的CISCO PIX防火墙。


(二)代理服务型防火墙

  代理服务(Proxy Service)系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机,与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同,就逻辑拓扑而言,代理服务型防火墙要比包过滤型更安全。

  由于内部网络和外部网络在网络层是断开的,所以要实现内外网络之间的应用通讯就必须在网络层之上。代理系统是工作在应用层,代理系统是客户机和真实服务器之间的中介,代理系统完全控制客户机和真实服务器之间的流量,并对流量情况加以记录。目前,代理服务型防火墙产品一般还都包括有包过滤功能。

  1、工作机制

  代理服务型防火墙按如下标准步骤对接收的数据包进行处理:

  接收数据包

  检查源地址和目标地址

  检查请求类型

  调用相应的程序

  对请求进行处理

  下面,我们以一个外部网络的用户通过Telnet访问内部网络中的主机为例,详细介绍这些标准步骤。

  接收数据包

  外部网络的路由器将外部网络主机对内部网络资源的请求路由至防火墙的外部网卡。同样,内部网络中的主机通过内部网络中的路由选择信息将对外部网络资源的请求路由至防火墙的内部网卡。

  在本例中,当外部网络用户通过Telnet请求对内部网络中的主机进行访问时,路由信息将该请求传送至防火墙的外部网卡上。

  检查源地址和目标地址

  一旦防火墙接收到数据包,它必须确定如何处理该数据包。首先,防火墙检查数据包中的源地址并确定该包是由哪块网卡接收的。这样做是为了确定数据包是否有IP地址欺骗的行为,例如,如果发现从外部网卡接收的一个数据包中的源地址属于内部网络的地址范围,则表明这是地址欺骗行为,防火墙将拒绝继续对该包进行处理并将此事件记录到日志中。

  接下来,防火墙对包中的目标地址进行检查并确定是否需要对该包做进一步处理。这一点与包过滤类似,即检查是否允许对目标地址进行访问。

  本例中,Telnet的目标地址是内部网络的某台主机,防火墙是通过外部网卡收到该Telnet请求的,且发现请求包中没有地址欺骗行为,防火墙接收了该数据包。

  检查请求类型

  防火墙检查数据包的内容(请求的服务端口号)并对照防火墙中已配置好的各种规则,以便确定是否向数据包提供相应的服务。如果防火墙对所请求的端口号不提供服务,则将这一企图作为潜在的威胁记录下来并拒绝该请求。

  本例中,数据包的内容表明请求服务是Telnet,即请求端口号为23且防火墙的配置规则是支持这类请求的服务。

  调用相应的程序

  由于防火墙对所请求的服务提供支持,所以防火墙利用其他配置信息将该服务请求传送至相应的代理服务。

  本例中,防火墙将Telnet请求传送给Telnet代理进行处理。

  对请求进行处理

  现在代理服务以目的主机的身份并采用与应用请求相同的协议对请求进行响应。应用请求方认为它是与目标主机进行对话。

  然后,代理服务通过另一块网卡以自己真实的身份代替客户方,向目标主机发送应用请求。如果应用请求成功,则表明客户端至目标主机之间的应用连接成功地建立了。注意,与包过滤防火墙不同,代理服务型防火墙是通过两次连接实现客户机至目标主机之间的连接的,即客户机至防火墙、防火墙至目标主机。

  另外,通过对防火墙进行适当的配置,可以在防火墙替客户机向目标主机发送应用请求之前对客户方进行身份验证。验证方法包括SecureID、S/Key、RADIUS等。

  本例中,客户方现与防火墙建立Telnet连接,然后防火墙立即向客户方发出身份验证要求。若验证通过,则防火墙替客户方向目标主机发送应用请求;否则,防火墙断开它与客户方已建立的连接。

  2、性能特点

  提供的安全级别高于包过滤型防火墙

  代理服务型防火墙可以配置成唯一的可被外部看见的主机以保护内部主机免受外部攻击

  可以强制执行用户认证

  代理工作在客户机和真实服务器之间,完全控制会话,所以能提供较详细的审计日志

  代理的速度比包过滤慢

  代理服务型防火墙中的佼佼者AXENT Raptor完全是基于代理技术的软件防火墙。

  随着因特网络技术的发展,不论在速度上还是在安全上都要求防火墙技术也要更新发展,基于上下文的动态包过滤防火墙就是对传统的包过滤型和代理服务型防火墙进行了技术更新。

【推荐阅读】

望升官方微信

关注微信,了解“更多精彩”

电话:400-807-5518

地址:深圳市南山区高新园中区中钢大厦M-6栋4楼