2021-11-11 17:56:20
首先,什么是防火墙?防火墙是指一个由软件和硬件组成的安全屏障,用于将内部网络与外部网络、公共网络和专业网络隔离开来。防火墙可以保护内部网免受非法用户的入侵和大多数网络攻击。防火墙主要由四部分组成:匹配规则、验证工具、包过滤和应用网关。所有从内网和内网流出的数据都必须经过防火墙检测,只有符合安全规则的数据才能通过防火墙。
包过滤防火墙
首先,它是最基本的包过滤防火墙。包过滤防火墙将包头信息与特征数据库中的信息进行比较。如果不比较特征码,则认为数据包是安全的,数据包通过。否则,数据包将被丢弃。
常见的网络防火墙类型
包过滤在IP层实现,通过检查数据包的源IP地址、目的IP地址、源端口号、目的端口号、网络协议类型等信息,可以判断数据包的安全包过滤。
您还可以过滤服务类型,并且您可以知道特定的服务被过滤。因为大多数服务都在TCP/UDP端口上,所以您只需要丢弃特定的端口数据包。
包过滤通常由路由器或主机过滤,路由器或主机列在常见的思科路由设备上。您可以通过配置访问控制列表来控制数据包。
优势:
-因为只检查数据的包头,所以相对容易实现,适用于规模较小、不太复杂的网络站点。
-过滤路由器主要工作在IP层,所以数据包的处理速度比代理服务器快。
-过滤路由器为用户提供透明服务,用户无需配置,也称为透明网关。
-价格更便宜。
缺点:
-显然,因为是透明服务,所以包过滤网关不支持身份验证。
-特征库只能匹配现有攻击,不能解决新的网络攻击。
-如果允许外部网络用户访问内部网络中的主机,那么他基本上可以访问所有主机。
-过于依赖单个组件来保护系统,如果它未能包含在匹配库中,那么所有保护都将不复存在。
-只能防止外部IP伪装成内部IP,但不能防止外部IP伪装成外部IP,也不能防止DNS被欺骗。
应用程序代理(网关)防火墙
代理防火墙包括OSI七层的应用层,主要在应用层实现。代理人充当中间人。数据包不是直接发送到服务器,而是首先流入浏览器和服务器之间的代理。代理服务器将信息传输到服务器。从服务器收到响应后,代理服务器将信息返回给浏览器。代理服务器也可以用于缓存页面。在从互联网下载特定页面之前,代理服务器会从缓存中取出页面。内部网络和外部网络之间没有直接联系。由于应用代理防火墙主要在应用层实现,因此可以对网络上层的数据包进行认证,从而通过安全规则,丢弃剩余的。它允许网关复制和传输通过的数据包,防止可信服务器和客户端与不可信主机建立直接联系。代理防火墙还可以隐藏内部网的结构。内部网主机只能通过将服务的IP地址指向代理主机来访问网络资源。
优势
-应用程序代理提供身份验证、用户和密码身份验证。
-内容过滤,例如上面提到的Unicode攻击,应用程序代理(网关)防火墙可以发现这种攻击并阻止它。此外,还有常见的MIME类型的Java Applet、JavaScript、ActiveX和电子邮件,可过滤80个端口,以及Subject、To、From等。
-因为突破了OSI的四层,可以提供详细的日志功能,可以记录应用层的一些相关命令。
缺点:
-速度慢,因为所有连接都需要代理服务器进行分析、转换和转发,所以速度慢。
-一个明显的缺点是唤醒网络协议和应用系统都需要新的应用代理。
状态检测防火墙
状态检测防火墙在网络层有一个检测引擎,用于拦截数据包并提取与应用层状态相关的信息,这些信息被用作连接是通过还是被拒绝的基础。状态检测技术最适合为UDP协议提供有限的支持。
它将所有通过防火墙的UDP数据包都视为虚拟连接,当反向回复数据包到达时,就认为已经建立了虚拟连接。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,不仅检测“到”和“从”的地址,而且不要求每个被访问的应用都有代理。
这是第三代防火墙技术,可以检测网络通信的所有层。像包过滤技术一样,它可以检测通过IP的数据。
址、端口号以及TCP标记,过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。优点:
-安全性高
状态检测防火墙工作在数据链路层和网络层之间,它从这里截取数据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的第一层,这样防火墙确保了截取和检查所有通过网络的原始数据包。防火墙截取到数据包就处理它们,首先根据安全策略从数据包中提取有用信息,保存在内存中;然后将相关信息组合起来,进行一些逻辑或数学运算,获得相应的结论,进行相应的操作,如允许数据包通过、拒绝数据包、认证连接、加密数据等。状态检测防火墙虽然工作在协议栈较低层,但它检测所有应用层的数据包,从中提取有用信息,如IP地址、端口号、数据内容等,这样安全性得到很大提高。
-高性能
状态检测防火墙工作在协议栈的较低层,通过防火墙的所有的数据包都在低层处理,而不需要协议栈的上层处理任何数据包,这样减少了高层协议头的开销,执行效率提高很多;另外在这种防火墙中一旦一个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。
-可扩展性强
状态检测防火墙不像应用网关式防火墙那样,每一个应用对应一个服务程序,这样所能提供的服务是有限的,而且当增加一个新的服务时,必须为新的服务开发相应的服务程序,这样系统的可扩展性降低。状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包,当有一个新的应用时,它能动态产生新的应用的新的规则,而不用另外写代码,所以具有很好的伸缩性和扩展性。
-便于配置,应用范围广
状态检测防火墙不仅支持基于TCP的应用,而且支持基于无连接协议的应用,如RPC、基于UDP的应用(DNS 、WAIS、 Archie等)等。对于无连接的协议,连接请求和应答没有区别,包过滤防火墙和应用网关对此类应用要么不支持,要么开放一个大范围的UDP端口,这样暴露了内部网,降低了安全性。
状态检测防火墙实现了基于UDP应用的安全,通过在UDP通信之上保持一个虚拟连接来实现。防火墙保存通过网关的每一个连接的状态信息,允许穿过防火墙的UDP请求包被记录,当UDP包在相反方向上通过时,依据连接状态表确定该UDP包是否被授权的,若已被授权,则通过,否则拒绝。如果在指定的一段时间内响应数据包没有到达,连接超时,则该连接被阻塞,这样所有的攻击都被阻塞.状态检测防火墙可以控制无效连接的连接时间,避免大量的无效连接占用过多的网络资源,可以很好的降低DOS和DDOS攻击的风险。
状态检测防火墙也支持RPC,因为对于RPC服务来说,其端口号是不定的,因此简单的跟踪端口号是不能实现该种服务的安全,状态检测防火墙通过动态端口映射图记录端口号,为验证该连接还保存连接状态、程序号等,通过动态端口映射图来实现此类应用的安全。
缺点;
-数据存在延迟,由于连接建立在复杂的协议分析机制上。
-不能分析高级协议中的数据。
-只检测第三层信息无法识别广告、木马、垃圾邮件等。
-最大的弊端只能识别已经存在的安全问题、对于新的安全问题无能为力。
最新一代防火墙(第五代防火墙)
1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
一体化安全网关UTM
UTM统一威胁管理,在防火墙基础上发展起来的,具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能,因此主要用于对性能要求不高的中低端领域。在中低端领域,UTM已经出现了代替防火墙的趋势,因为在不开启附加功能的情况下,UTM本身就是一个防火墙,而附加功能又为用户的应用提供了更多选择。在高端应用领域,比如电信、金融等行业,仍然以专用的高性能防火墙、IPS为主流。
企业级防火墙
大型企业一般都会选择混合型的防火墙,即集合包过滤、应用代理、状态检测,而且具备IDS、IPS、VPN、放垃圾邮件、支持IPV6和IPV4双协议、支持DDOS防护等功能的大型混合型防火墙。
以上就是常见的防火墙类型全部内容。
