防火墻與物理隔離概念簡介

1、防火墻技術：包過濾防火墻：一個包過濾防火墻通常是一臺有能力過濾某些內容數(shù)據(jù)包的路由器。包過濾防火墻能夠檢查的信息包括第三層信息(IP)，有時也包括第四層的信息(端口)。例如，帶有擴展ACL的Cisco路由器能過濾第三層和第四層的信息。1.過濾操作當執(zhí)行數(shù)據(jù)包時，包過濾規(guī)則被定義在防火墻上。這些規(guī)則用來匹配數(shù)據(jù)包內容以決定哪些包被允許和哪些包被拒絕。當拒絕流量時，可以采用兩個操作：通知流量的發(fā)送者其數(shù)據(jù)將丟棄，或者沒有任何通知直接丟棄這些數(shù)據(jù)。2.過濾信息u 第三層的源和目的地址u 第三層的協(xié)議信息u 第四層的協(xié)議信息u 發(fā)送或接收流量的接口3.包過濾防火墻的優(yōu)點u 實現(xiàn)包過濾幾乎不再需要任何費

2、用u 能以更快的速度處理數(shù)據(jù)包u 易于匹配絕大多數(shù)網絡層和傳輸層報文頭的域信息，在實施安全測率提供許多靈活性。4.包過濾防火墻的局限性u 可能比較復雜，不已于配置u 不能阻止應用層攻擊u 只對某些類型的TCP/IP攻擊比較敏感(不能阻止TCP SYN泛洪和IP欺騙)u 不支持用戶的連接認證u 只有有限的認證功能u 任何直接經過路由的數(shù)據(jù)包都有被用作數(shù)據(jù)驅動式攻擊的潛在危險u 隨著過濾器數(shù)目的增加，路由的吞吐量會下降5.包過濾防火墻的應用環(huán)境u 作為第一線防御(邊界路由器)u 在要求最低安全性并考慮成本的SOHO網絡中u 當用包過濾就能完全實現(xiàn)安全策略且不存在認證問題時狀態(tài)檢測防火墻：采用狀態(tài)檢

3、測包過濾技術，是在傳統(tǒng)的包過濾上的功能擴展。1.過濾操作當內網主機A連接Web主機B時，它使用源端口為5000，目的端口為80的TCP報文，并在控制域中使用SYN標記，當這個包經過防火墻時，防火墻將這個規(guī)則加入狀態(tài)表。 B接到請求后，他使用SYN/ACK來響應主機A，當這個報文到達防火墻時，防火墻首先訪問狀態(tài)表以查看該連接是否已經存在。然后對該報文進行操作。 當連接終止時，狀態(tài)防火墻通過檢查TCP控制標記獲此信息，從而動態(tài)的將此連接從狀態(tài)表或者規(guī)則過濾表中刪除。2.狀態(tài)檢測防火墻的優(yōu)點u 狀態(tài)防火墻了解連接的各個狀態(tài)，因此可以在連接終止后及時阻止此后來自外部設備的該連接的流量，防止偽造流量通過

4、。u 狀態(tài)防火墻無須為了允許正常通信而打開更大范圍的端口u 狀態(tài)防火墻通過使用狀態(tài)表能夠阻止更多類型的Dos攻擊u 狀態(tài)防火墻具有更強的日志功能3.狀態(tài)檢測防火墻的局限性u 無狀態(tài)的協(xié)議：在處理無狀態(tài)信息協(xié)議時會出現(xiàn)問題，如：UDP，ICMP等。u 多個應用連接： u 狀態(tài)表的大?。籂顟B(tài)防火墻忙于建立和維護狀態(tài)表，如果監(jiān)控的連接多，成本開銷大。u 檢測的層次僅限于網絡層與傳輸層，無法對應用層內容進行檢測。4.應用環(huán)境u 作為防御的主要形式u 作為防御的第一線智能設備（帶狀態(tài)能力的便捷路由）u 在需要比包過濾更嚴格的安全控制，而不用增加太多成本的情況下應用網關防火墻(Application Ga

5、teway Firewall)：通常稱為代理防火墻或簡稱為應用網關，它是在應用層處理信息。應用網關防火墻可以支持一個應用，也可以支持有限數(shù)量的多個應用，這些應用通常包括E-mail，Web服務，DNS，F(xiàn)TP等1.認證過程現(xiàn)在很多AGF在對用戶進行一次身份認證后，使用存儲在數(shù)據(jù)庫中的授權信息來確認該用戶對各個資源的訪問權限，而不需要用戶為每個想訪問的資源進行單獨的認證。2.認證方式 一個AGF可以使用多種方式來認證，包括用戶名和口令，令牌卡信息，網絡層源地址以及生物信息等。傳輸認證信息時必須加密，一般加密的方式為SSH。3.應用級網關防火墻的類型u 連接網關防火墻（CGF，Connection

6、 Gateway Firewall）：這種防火墻比CTP要安全，但是CGF可能會引入明顯的延遲，尤其是當CGF要處理大量連接的時候。u 直通代理防火墻（CTP，Cut-Through Prixy）：當外部A想要訪問內部服務器B時，CTF截獲該請求并認證A，認證后，這個連接和其他被認證的連接被添加到過濾規(guī)則表中。而從這以后，任何從往B的流量都有過濾規(guī)則在網絡層和傳輸層上處理。所以，這種方式不能檢測出應用層攻擊。.應用網關的優(yōu)點u 認證個人而非設備u 使黑客進行欺騙和實施Dos攻擊比較困難u 能夠監(jiān)控和過濾應用層的信息u 能夠提供詳細的日志.應用網關的局限性u 用軟件處理數(shù)據(jù)包u 支持的應用比較有

7、限u 有時要求特定的客戶端軟件應用網關的主要局限性在于它屬于處理密集性過程，這將占用大量的CPU和內存資源，另外，詳盡的日志功能會占用大量的硬盤存儲空間，可以通過兩種方法來解決這個問題：Ø 使用CTPØ 將AGF設置成只監(jiān)控關鍵應用.應用網關防火墻的應用環(huán)境u CGF通常被用作主要的過濾設備（此時邊界路由可能用作或不用做第一線防御設備）u CTP通常被用作邊界防御設備u 應用代理用來減輕CGF上的日志過載并監(jiān)控和記錄其他類型的流量分布式防火墻：.工作機制分布式防火墻由安全策略管理服務器Server以及客戶端防火墻Client組成?？蛻舳朔阑饓ぷ髟诟鱾€從服務器、工作站、個人

8、計算機上，根據(jù)安全策略文件的內容，依靠包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢查，保護計算機在正常使用網絡時不會受到惡意的攻擊，提高了網絡安全性。而安全策略管理服務器則負責安全策略、用戶、日志、審計等的管理。該服務器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負責管理系統(tǒng)日志、多主機的統(tǒng)一管理，使終端用戶“零”負擔。病毒防火墻：在防火墻上內置反病毒技術，綜合的防火墻，虛擬專用網和內容過濾等安全功能。.防火墻功能特點：u 系統(tǒng)在網絡邊緣阻攔病毒u 系統(tǒng)提供了一道安全防線，使得在它后面的所有主機都受到保護。u 系統(tǒng)減輕了郵件服務器的負荷，因為受到感染的郵件在到達郵件服務器前就已經被刪除。u 系

9、統(tǒng)利用專用的平臺，而不是標準主機。她由ASIC加速處理。防火墻體系：雙宿網關防火墻：它擁有兩個連接到不同網絡上的網絡接口，例如：一個網口連接到外部不可信任網絡上，另一個接口連接到內部可信任網絡上。這種防火墻最大的特點是IP層通信是被阻斷的，兩個網絡之間通信可以通過應用層數(shù)據(jù)共享或者應用層代理服務來完成。1.雙宿網關防火墻的特性：u 安全至關重要（唯一通道），其用戶口令控制安全是關鍵u 必須支持很多用戶的訪問（中轉站），其性能非常重要2.雙宿網關防火墻的局限性u 雙重宿主主機是個開內外網絡的唯一屏障，一旦它被入侵，內部網絡便向入侵者敞開。屏蔽主機防火墻：屏蔽主機體系結構是由防火墻和內部網絡的堡壘

10、主機承擔安全責任，它強迫所有的外部主機與一個堡壘主機相連，而不是讓他們與內網主機直接相連。一般由包過濾路由器和堡壘主機構成。屏蔽主機防火墻的點：u 安全性更高，雙重保護：實現(xiàn)了網絡層安全(包過濾)和應用層安全（代理服務）屏蔽主機防火墻的局限性：u 包過濾路由能否正確配置是安全與否的關鍵。如果路由器被損壞，堡壘主機將被穿過，整個網絡對侵襲者是開放的。屏蔽子網體系結構防火墻：它使用兩個包過濾路由器和一個堡壘主機。本質上與屏蔽主機體系結構一樣，但添加了額外的一層保護體系周邊網絡。如下圖所示：堡壘主機是用戶網絡上最容易受到侵襲的機器。通過在周邊網絡上隔離堡壘主機，能減少在堡壘主機被褥前的影響。1.非軍

11、事區(qū)（DMZ）的定義及作用：u 非軍事區(qū)（隔離區(qū)：DMZ）：網編網絡是一個防護層，在其上可以防止一些信息服務器，他們是犧牲主機，可能受到攻擊。所以被稱為DMZ。DMZ的作用：即使堡壘主機被入侵者控制，他仍可消除對內部的偵聽。2.堡壘主機的作用：u 堡壘主機位于周邊網絡，是整個防御體系的核心。u 堡壘主機可被認為是應用層網關，可以運行各種代理服務程序。u 對于出戰(zhàn)服務不一定要求所有的服務經過堡壘主機代理，但對于入站服務應要求所有的服務都通過堡壘主機。3.外部路由器（訪問路由器）作用：保護周邊網絡和內部網絡不受外部網絡的侵犯Ø 它把入站的數(shù)據(jù)包路由到堡壘主機Ø 防止部分IP欺騙

12、，它可分辨出數(shù)據(jù)包是否真正來自周邊網絡，而內部路由不可4.外部路由器（阻塞路由器）Ø 作用：保護內部網絡不受外部網絡和周邊網絡的侵害，它執(zhí)行大部分過濾工作Ø 外部路由器一般與內部路由器應用相同的規(guī)則5.屏蔽子網間體系結構的優(yōu)點：u 入侵者需要突破3個不同的設備才能入侵內部網絡u 只對外通告了DMZ區(qū)的網絡，保證內部網絡的不可見u 內部網絡用戶通過堡壘主機或代理服務器訪問外部網絡其他防火墻體系結構：防火墻的實現(xiàn)：軟件防火墻：軟件防火墻工作于系統(tǒng)接口與NDIS(Network Driver Interface Specification)之間，用于檢查和過濾NDIS發(fā)過來的數(shù)據(jù)

13、包。1.軟件防火墻的致命弱點：u 軟件防火墻的多樣性是一個嚴重的缺點，操作系統(tǒng)本身的缺陷可能成為軟件防火墻的致命弱點，而硬件防火墻的安全性則相對較高。u 從速度上來看，硬件防火墻的速度優(yōu)勢是明顯的，軟件防火墻由于操作系統(tǒng)的限制，很容易成為網絡的瓶頸，硬件防火墻則很好的消除了這個缺陷。u 軟件防火墻的安裝配置比較復雜，也不便于使用。硬件防火墻：1.intel X86架構：以其高靈活性和擴展性在百兆防火墻上獲得過巨大的成功，百兆級的處理能力正好在這種架構的范圍內。基于這個架構的防火墻受CPU處理能力和PCI總線速度的制約，很難滿足千兆防火墻愛你個高吞吐量，低時延的要求。2.ASIC架構：把指令或計

14、算機邏輯固化到硬件中，可以獲得很高的處理能力。能夠達到線速千兆，滿足骨干網絡應用的技術方案。但是，由于是固化硬件，所以缺乏靈活性，也不便于修改或升級。ASiC設計費用昂貴且風險較大。3.NP架構：采用微碼編程，具有以下特點：u 完全的可編程性u 簡單的編程模式u 最大化系統(tǒng)靈活性u 高處理能力u 高度功能集u 開放的編程接口u 第三方支持功能4.NP+ASIC架構：綜合了ASIC架構和NP架構的優(yōu)點，在提升安全靈活性的同時也保證防火墻的性能。物理隔離技術：指導思想：物理隔離的指導思想與防火墻絕然不同：防火墻的思路是在保障互聯(lián)互通的前提下，盡可能的安全，而無力隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。 物理隔離在安全上的要求：u 在物理傳導上使用內外網絡隔斷，確保外部網絡不能通過網絡連接而侵入內部網，同時防止內部網信息通過網絡連接泄漏到外部網。u 在物理輻射上隔斷內部網和外部網，確保內部網信息不會通過電磁輻射等方式泄漏到外部網絡。u 在物理存儲上隔斷兩個網絡環(huán)境，對于斷電后會遺失信