網絡防火墻相關內容

時間：2023-07-02 16:33:01 | 來源：營銷百科

時間：2023-07-02 16:33:01 來源：營銷百科

網絡防火墻相關內容：按照新的國家標準防火墻有傳統(tǒng)防火墻^[2]的功能，VPN的功能，入侵偵測防御的功能，安全網關的功能，數據審計的功能，以后還會有網閘的功能，除了VPN，爭取一篇文章講完。

擁有了這些功能的防火墻就是UTM，這篇文章將會一一講解。

從網絡的位置上劃分防火墻分為個人防火墻和網絡防火墻。個人防火墻后面單獨講。

首先防火墻是網絡設備，所以防火墻擁有路由器的基本功能，只是沒有那么快的速度。

防火墻擁有兩大基本功能----包過濾和代理服務器。

包過濾

眾所周知現在使用的是TCP/IP協(xié)議。在這個協(xié)議下實際上只有物理層，數據鏈路層，網絡層3層。往上還有個傳輸層也就是TCP/UDP的傳輸方式，當然也有少量的協(xié)議比如ICMP.所以絕大部分應用程序網絡包都會用TCP/UDP封裝后發(fā)出。先不管應用程序的數據格式（也很難管，一千種應用程序基本上有一千多種私有協(xié)議）。防火墻只能從數據鏈路層和網絡層出發(fā)來處理這些數據（MAC地址和IP地址、端口）最多再加上時間策略，這樣基本的防火墻的包過濾功能就實現了。禁止XX IP訪問YY IP,允許XX IP YY時間訪問 ZZ IP。這個是初級包過濾功能。在cisco路由器有ACL訪問控制列表就有這個功能。在linux的開源防火墻iptables也有這樣的功能。

雖然初級包過濾解決了非法IP和MAC地址訪問的問題，但是不能避免用戶使用惡意代碼危害內部系統(tǒng)，這樣入侵偵測防御，數據審計的技術就應運而生。雖然大量的私有協(xié)議是沒有辦法全部識別的，常見的應用網絡協(xié)議還是能夠被分析的。比如HTTP協(xié)議，各個數據庫sql語句的網絡協(xié)議，POP3協(xié)議。入侵偵測防御的功能就是識別這些協(xié)議，判斷輸入的數據包中是否有惡意行為。入侵偵測與數據審計則是光記錄的數據包并判斷是否有惡意行為。入侵防御則是如果提前能夠判斷則阻斷之后的數據包的通訊。什么樣的數據包是包含的內容是惡意的，能夠支持哪些網絡協(xié)議包括私有協(xié)議，能否快速響應和處理新的威脅。這個是未來防火墻開發(fā)的重點。

入侵偵測防御，審計有開源的snort軟件。里面集成了一部分規(guī)則庫。每遇到一個網絡包都會匹配規(guī)則如果命中就報警，否則就通過如果。顯然規(guī)則過多處理起來比較慢，防火墻就會成為網絡通訊的瓶頸，規(guī)則少則安全的防護程度比較低。這個就是黑名單策略的防火墻的阿格琉斯之踵。并且在遇到未知的惡意代碼時入侵偵測防御沒有防范能力的。snort,snortsam,iptables就能構成簡單的防火墻和入侵偵測還有入侵防御系統(tǒng)，這三個都是在linux上開源的。

為了對付入侵偵測就有了數據包的碎片技術----把大的數據包切分成多個小數據包。一個好的防火墻是能夠重組或者直接丟棄長度過小的數據包的。

從客戶應用的角度出發(fā)防火墻還應該能夠劃分作用域。這個就是網閘干的事情。比如一個公司財務部門服務器只能允許財務部或者高管訪問，甚至不允許運維人員通過防火墻的的外部訪問（要訪問就去機房里面訪問）。網閘就是劃分的網絡的域，一般采用白名單策略。只有允許的訪問才能通過，其余的都予以禁止。

好的防火墻還應該能夠識別下載文件中的惡意代碼比如木馬文件。這個技術包過濾可以實現，更多的是在代理服務器上面實現。

代理服務器

對代理服務器好的解釋是屏蔽了內網的結構，有效保護了內部主機。通俗說法就是對內部主機加上了防彈馬甲。比如內部有一臺windows2003的服務器。對外提供asp.net的網頁服務。除了asp.net相關的安全性之外拿下網站也可以先拿下操作系統(tǒng)。如果有了一臺linux的防火墻就必須先攻陷防火墻才能訪問windows2003服務器。并且除了防火墻上開的asp.net的端口外是沒有辦法直接連接到2003服務器的其他端口的。

代理服務器對內部主機的保護是把外部用戶直接到2003服務器的訪問變成了用戶鏈接防火墻，防火墻連接2003服務器的訪問。對單個主機代理服務器能夠提供系統(tǒng)安全保護，端口的天然過濾。對網絡能夠屏蔽內部網絡結構。比如這時對服務器做DDOS攻擊變成了對防火墻的DDOS攻擊，雖然網絡的吞吐能力下降了，內部主機受到的影響較小。

對保護病毒的文件的處理使用包過濾就顯得力不從心了。畢竟病毒的特征碼千變萬化。不可能每一個數據包都采用大規(guī)模的規(guī)則去匹配。代理服務器的作用是替代主機把文件下載到防火墻里面。然后通過防火墻的殺毒軟件來查殺文件。

開源的代理服務器有squid軟件。開源的殺毒軟件有ClamWin。

個人防火墻與網絡防火墻

這里把防火墻單獨拎出來講。從宏觀上來講網絡防火墻開發(fā)的難度比個人防火墻要低，速度要快，業(yè)務針對性要強。而個人防火墻則功能更強，開發(fā)難度更大，速度較慢。

比如大家都是各用各的PC機，上面擁有幾十到幾萬種軟件。都要安全就是個人防火墻干的事情了。首先個人防火墻為了阻止木馬建立通訊要么使用傻瓜式的每次通訊的時候問用戶某某軟件需要訪問某某IP是否允許，要么自己判斷。事實上就算是專業(yè)人士也常常不懂。所以好的個人防火墻應該識別相當一部分的軟件通訊情況。比如QQ,迅雷。這樣協(xié)議少說也是幾百種。

從另一個方面現在很多木馬執(zhí)行權限比防火墻要高，偽裝性也高。權限高的使用內核的網絡通訊，單純只監(jiān)聽socket的防火墻是沒法發(fā)現通訊的。所以好的個人防火墻應該監(jiān)控內核關鍵API函數和系統(tǒng)運行的進程。這一點和殺毒軟件越來越接近。

網絡防火墻如果是處理提供有限功能的服務器反倒是容易了。比如一個JSP的服務器。對外只有8080端口。那么防火墻處理起來比較簡單。只用分析一下HTTP協(xié)議和服務器運維的內容就行了。別的一律禁止。

到此為止除了VPN技術以外防火墻所有的功能都介紹完了。