防火墻基礎(chǔ)知識

1、 I In nt te er rn ne et t 信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻防火墻非信任網(wǎng)絡(luò)非信任網(wǎng)絡(luò) 防火墻是對黑客防范最嚴(yán)格防火墻是對黑客防范最嚴(yán)格,安全性也比安全性也比較強(qiáng)的一種方式。較強(qiáng)的一種方式。 下圖為一個典型防火墻系統(tǒng)下圖為一個典型防火墻系統(tǒng) 主機(jī)主機(jī)：連接到網(wǎng)絡(luò)的計算機(jī)系統(tǒng) 堡壘主機(jī)堡壘主機(jī)：一個連接內(nèi)部網(wǎng)絡(luò)又對外部網(wǎng)絡(luò)暴露的計算機(jī)系統(tǒng)，它的特性導(dǎo)致它容易被入侵。 周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)：為了增加一層安全控制，在外網(wǎng)系統(tǒng)和內(nèi)網(wǎng)系統(tǒng)之間增加的一個網(wǎng)絡(luò)。周邊網(wǎng)絡(luò)有時也稱為DMZ（非軍事區(qū)，得名于分隔朝鮮北方和南方的地區(qū)） 代理服務(wù)器代理服務(wù)器：代表內(nèi)部網(wǎng)絡(luò)和外部服務(wù)器進(jìn)行信息交換的程序。它

2、將被認(rèn)可的內(nèi)部用戶的請求送到外部服務(wù)器，并將外部服務(wù)器的響應(yīng)送回給用戶。包過濾技術(shù)代理服務(wù)技術(shù)主動檢測技術(shù)包過濾事實上基于路由器的技術(shù)，由路由器的對IP包進(jìn)行選擇，允許或拒絕該數(shù)據(jù)包通過。為了過濾，必須要制定一些過濾規(guī)則（訪問控制表），過濾的根據(jù)有(只考慮IP包)： 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP等 數(shù)據(jù)包流向：in或out 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：Eth0、Eth1優(yōu)點：簡單簡單較強(qiáng)的透明性過濾路由器速度快，效率高效率高。 應(yīng)用網(wǎng)關(guān)代理的優(yōu)點是易于配置，界面友好；不允許內(nèi)外網(wǎng)主機(jī)的直接連接；可以提供比包過濾更詳細(xì)的日志記錄，例

3、如在一個HTTP連接中，包過濾只能記錄單個的數(shù)據(jù)包，無法記錄文件名、URL等信息；可以隱藏內(nèi)部IP地址；可以給單個用戶授權(quán)；可以為用戶提供透明的加密機(jī)制；可以與認(rèn)證、授權(quán)等安全手段方便的集成。代理技術(shù)的缺點是：代理速度比包過濾慢；代理對用戶不透明，給用戶的使用帶來不便，而且這種代理技術(shù)需要針對每種協(xié)議設(shè)置一個不同的代理服務(wù)器。用戶首先Telnet到應(yīng)用網(wǎng)關(guān)主機(jī)，并輸入內(nèi)部目標(biāo)主機(jī)的名字（域名、IP地址）應(yīng)用網(wǎng)關(guān)檢查用戶的源IP地址等，并根據(jù)事先設(shè)定的訪問規(guī)則來決定是否轉(zhuǎn)發(fā)或拒絕然后用戶必須進(jìn)行是否驗證（如一次一密等高級認(rèn)證設(shè)備）應(yīng)用網(wǎng)關(guān)中的代理服務(wù)器為用戶建立在網(wǎng)關(guān)與內(nèi)部主機(jī)之間的Telnet連接代理服務(wù)器在兩個連接（用戶/應(yīng)用網(wǎng)關(guān)，代理服務(wù)器/內(nèi)部主機(jī)）之間傳送數(shù)據(jù)應(yīng)用網(wǎng)關(guān)對本次連接進(jìn)行日志記錄 啟動一個監(jiān)測程序?qū)W(wǎng)絡(luò)進(jìn)行監(jiān)控，當(dāng)出現(xiàn)網(wǎng)絡(luò)攻擊時立即告警或切斷相關(guān)連接。 用于安全性非常高的網(wǎng)絡(luò)系統(tǒng)，消耗內(nèi)存大。 防火墻的安全策略（1）每一個沒有明確允許的都被拒絕 常用，但操作困難，并有可能拒絕網(wǎng)絡(luò)用戶的正常需求與合法服務(wù)（2）每一個沒有明確拒絕的都允許 很少考慮，因為這樣的防火墻可能帶來許多風(fēng)險和安全問題。攻擊者完全可以使用一種拒絕策略中沒有定義的服務(wù)而被