防火墻的類(lèi)型

1、6.2防火墻的類(lèi)型、防火墻技術(shù)可以根據(jù)防火墻的方式和工作重點(diǎn)分為很多類(lèi)型， 總體上，檢查數(shù)據(jù)流內(nèi)的每個(gè)報(bào)文分組的源地址、目的地地址、要使用的通訊端口號(hào)、連接協(xié)議狀態(tài)等要素，或它們的組合，以：數(shù)據(jù)包過(guò)濾防火墻應(yīng)用代理防火墻電路級(jí)閘道器防火墻狀態(tài)監(jiān)視防火墻另外，還有可以分析報(bào)文分組中的數(shù)據(jù)區(qū)域的內(nèi)容的知識(shí)分子二烯烴的報(bào)文分組過(guò)濾器。 基于數(shù)據(jù)包過(guò)濾技術(shù)的防火墻簡(jiǎn)稱為數(shù)據(jù)包過(guò)濾型防火墻。 6.2.1數(shù)據(jù)包過(guò)濾防火墻、基于數(shù)據(jù)包過(guò)濾技術(shù)的防火墻、數(shù)據(jù)包過(guò)濾型防火墻，簡(jiǎn)稱結(jié)構(gòu)如圖所示。 數(shù)據(jù)包過(guò)濾技術(shù)是防火墻的基本功能，取決于數(shù)據(jù)傳輸?shù)囊话憬Y(jié)構(gòu)，在數(shù)據(jù)結(jié)構(gòu)內(nèi)使用的報(bào)文分組首部包含IP地址信息和在連接協(xié)議

2、處使用的通訊端口信息，并可以根據(jù)這些個(gè)的信息來(lái)決定是否將數(shù)據(jù)傳輸給目的地。數(shù)據(jù)包過(guò)濾技術(shù)依賴于管理者設(shè)定的規(guī)則庫(kù)，規(guī)則庫(kù)的創(chuàng)建包括： 1、發(fā)行報(bào)文分組的源地址和目標(biāo)地址的信息2 .接收?qǐng)?bào)文分組的源地址和目標(biāo)地址3 .相關(guān)的網(wǎng)絡(luò)連接協(xié)議(TCP、UDP等)4.使用的通訊端口， 例如，諸如HTTP使用的80通訊端口、第一代：靜態(tài)數(shù)據(jù)包過(guò)濾之類(lèi)的防火墻基于定義的過(guò)濾規(guī)則對(duì)每個(gè)報(bào)文分組進(jìn)行化學(xué)基檢查，以確定是否匹配數(shù)據(jù)包過(guò)濾規(guī)則。 篩選規(guī)則是根據(jù)報(bào)文分組標(biāo)頭資訊建立的。 第二代：像動(dòng)態(tài)數(shù)據(jù)包過(guò)濾這樣的防火墻采用動(dòng)態(tài)設(shè)置過(guò)濾規(guī)則的方法，避免了靜態(tài)數(shù)據(jù)包過(guò)濾的所有問(wèn)題，然后發(fā)展為報(bào)文分組狀態(tài)監(jiān)測(cè)技術(shù)。 使

3、用此技術(shù)的防火墻會(huì)跟蹤所有建立的連接，并根據(jù)需要?jiǎng)討B(tài)地在過(guò)濾規(guī)則中添加或更新條目。 一個(gè)數(shù)據(jù)包過(guò)濾防火墻需要兩個(gè)通訊端口。 一個(gè)通訊端口連接到不信任的網(wǎng)絡(luò)(如網(wǎng)際網(wǎng)絡(luò))，另一個(gè)通訊端口連接到信任的網(wǎng)絡(luò)(如內(nèi)部網(wǎng)絡(luò))。 防火墻設(shè)置規(guī)則必須控制不可靠的通訊端口流向不可靠的通訊端口，還是控制不可靠的通訊端口流向不可靠的通訊端口，以確定信息流是否通過(guò)，如圖所示。 2、數(shù)據(jù)包過(guò)濾技術(shù)過(guò)程，HTTP、DNS、SMTP，由圖可知，在典型的網(wǎng)絡(luò)結(jié)構(gòu)中，HTTP、DNS、SMTP內(nèi)部網(wǎng)絡(luò)通過(guò)數(shù)據(jù)包過(guò)濾防火墻分為服務(wù)器區(qū)和子網(wǎng)區(qū)。 創(chuàng)建規(guī)則庫(kù)。 規(guī)則庫(kù)包含最常見(jiàn)的網(wǎng)絡(luò)服務(wù)的保密工作規(guī)則，如客制化現(xiàn)有網(wǎng)絡(luò)狀況的保密

4、工作規(guī)則。 要?jiǎng)?chuàng)建規(guī)則庫(kù)，必須執(zhí)行以下操作：連接協(xié)議類(lèi)型、源地址、目標(biāo)地址、源通訊端口、目標(biāo)通訊端口，以及匹配報(bào)文分組和規(guī)則庫(kù)。 因?yàn)楝F(xiàn)在，數(shù)據(jù)包過(guò)濾是防火墻的基本功能之一。 大多數(shù)現(xiàn)代IP路由軟件或去老虎鉗通訊端口數(shù)據(jù)包過(guò)濾功能，并通過(guò)去差?yuàn)W爾特傳輸所有報(bào)文分組。 ipf、ipfw和ipfwadm是著名的自由篩選軟件，在Linux執(zhí)行操作系統(tǒng)平臺(tái)上運(yùn)行。 數(shù)據(jù)包過(guò)濾的控制依據(jù)是規(guī)則定徑套，典型的過(guò)濾規(guī)則表現(xiàn)形式由規(guī)則編號(hào)、匹配條件、匹配操作三部分組成，數(shù)據(jù)包過(guò)濾規(guī)則形式因使用的軟件和防火墻設(shè)備而有所不同， 典型的數(shù)據(jù)包過(guò)濾防火墻有源IP地址、目標(biāo)IP地址、源通訊端口號(hào)、目標(biāo)通訊端口號(hào)、手板模

5、型(UDP匹配操作有拒絕、轉(zhuǎn)發(fā)、審計(jì)三種。 表1是數(shù)據(jù)包過(guò)濾型防火墻過(guò)濾規(guī)則表，這些個(gè)規(guī)則的作用是只行政許可內(nèi)外網(wǎng)的郵件通訊，禁止其他通訊。 表1是防火墻過(guò)濾規(guī)則表，特別是對(duì)用戶數(shù)據(jù)包過(guò)濾型防火墻是透明的，需要注意，當(dāng)合法用戶出出進(jìn)進(jìn)到網(wǎng)絡(luò)時(shí)，它對(duì)于用戶而言并不感覺(jué)不那么容易使用。 在實(shí)際的網(wǎng)絡(luò)保密工作管理中，數(shù)據(jù)包過(guò)濾技術(shù)經(jīng)常用于網(wǎng)絡(luò)接入控制。 以Cisco IOS為例，說(shuō)明報(bào)文分組過(guò)濾器的作用。Cisco IOS有兩種網(wǎng)站數(shù)據(jù)庫(kù)規(guī)則格式：標(biāo)準(zhǔn)IP網(wǎng)站數(shù)據(jù)庫(kù)表和擴(kuò)展IP網(wǎng)站數(shù)據(jù)庫(kù)表，它們之間的主要區(qū)別在于接入控制條件不同。 標(biāo)準(zhǔn)IP網(wǎng)站數(shù)據(jù)庫(kù)表只能基于IP報(bào)文分組的源地址進(jìn)行化學(xué)基。 標(biāo)準(zhǔn)I

6、P接入控制定規(guī)則的格式為assess-list-mumber deny|pernitsourcesource-wild card日志，擴(kuò)展IP網(wǎng)站數(shù)據(jù)庫(kù)定規(guī)則的格式為3360 assess-list-mumber deny | pernitprotocolsource-wildcardsource-qualifiersdestinationdestination -通用卡目標(biāo)- qualifiers日志。* deny表示如果通過(guò)了Cisco IOS過(guò)濾器的報(bào)文分組的條件一致，則禁止該報(bào)文分組的通過(guò)* permit表示如果通過(guò)了Cisco IOS過(guò)濾器的報(bào)文分組的條件一致，則行政許可該報(bào)文分組的

7、通過(guò)* source表示源的IP地址。 * source-wildcard表示發(fā)送報(bào)文分組的男公關(guān)的IP地址反掩碼。 1表示忽略，0表示需要匹配，any表示任何源的IP報(bào)文分組。 * destination表示目標(biāo)IP地址。 *目標(biāo)通配符表示傳入報(bào)文分組的男公關(guān)IP地址的反掩碼。 *協(xié)議表示IP、ICMP、UDP、TCP等連接協(xié)議選項(xiàng)。 log表示記錄符合規(guī)則條件的網(wǎng)絡(luò)報(bào)文分組。 使用Cisco路由組防止DDoS攻擊的示例如下所示。 配置信息如下： thetrinooddossystemsaccess -列表170 denytcpanyanyeq 27665日志訪問(wèn)-列表170 denyudp

8、anyeq 31335日志訪問(wèn)-列表170 denyudds thestachelel t 170 denytcpanyeq 16660日志訪問(wèn)列表170 denytcpanyeq 65000日志。 三重版v 3系統(tǒng)、訪問(wèn)列表170 denytcpanyeq 33270日志訪問(wèn)列表170 denytcpanyeq 39268日志。 thesubsevensystemsandsomevariantsaccess -列表170 denytcpanyanyrange 67116712日志訪問(wèn)-列表170 denytcpanyeq 6776日志訪問(wèn)70 denytcp t 170 denytcpany

9、anyeq 2222 log access-list 170 denytcpanyanyeq 7000 log，簡(jiǎn)而言之，數(shù)據(jù)包過(guò)濾現(xiàn)在可以解決網(wǎng)絡(luò)保密工作定問(wèn)題，例如， 當(dāng)前的個(gè)人防火墻以及Windows 2000和Windows XP提供了TCP、UDP等連接協(xié)議的過(guò)濾通訊端口，用戶根據(jù)自各兒的保密工作需要，通過(guò)設(shè)置過(guò)濾規(guī)則來(lái)控制對(duì)本地的外部網(wǎng)站數(shù)據(jù)庫(kù)： 表示使用Windows 2000系統(tǒng)附帶的數(shù)據(jù)包過(guò)濾功能過(guò)濾139通訊端口，防止基于RPC的漏洞攻擊。Windows 2000過(guò)濾器配置映像、數(shù)據(jù)包過(guò)濾防火墻的優(yōu)缺點(diǎn)、數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單、價(jià)格低廉，安裝和使用方便，網(wǎng)絡(luò)性能和透明性好

10、，負(fù)載低，通過(guò)率高，對(duì)用戶透明產(chǎn)水量管理好。 使網(wǎng)絡(luò)解老虎鉗具有很多脆弱性，只能在跨通訊端口層或網(wǎng)絡(luò)層檢測(cè)數(shù)據(jù)，在應(yīng)用層無(wú)法檢測(cè)數(shù)據(jù)。 可以禁止和通過(guò)向內(nèi)的HTTP請(qǐng)求，但無(wú)法判斷該請(qǐng)求是違法的還是合法的。 許多Web服務(wù)都有緩沖區(qū)漏洞通過(guò)在復(fù)雜網(wǎng)絡(luò)中難以管理的非授權(quán)訪問(wèn)防火墻，可以攻擊男公關(guān)上的軟件和配置漏洞報(bào)文分組的源地址、目標(biāo)地址和IP通訊端口號(hào)位于報(bào)文分組的開(kāi)頭，很可能被竊聽(tīng)或冒充。 沒(méi)有使用者身份驗(yàn)證反應(yīng)歷程。 應(yīng)用本代理或本代理服務(wù)是本代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)進(jìn)行信息交換的程序計(jì)程儀。 確認(rèn)來(lái)自內(nèi)部用戶的請(qǐng)求并發(fā)送到外部服務(wù)器，將來(lái)自外部服務(wù)器的響應(yīng)發(fā)送回云同步給用戶。 應(yīng)用

11、服務(wù)代理防火墻充當(dāng)保護(hù)網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)男公關(guān)和外部網(wǎng)絡(luò)男公關(guān)的網(wǎng)絡(luò)通訊連接“中間人”，代理防火墻代替保護(hù)網(wǎng)絡(luò)的男公關(guān)向外部網(wǎng)絡(luò)發(fā)送服務(wù)請(qǐng)求，并將外部服務(wù)請(qǐng)求響應(yīng)的結(jié)果返回到保護(hù)網(wǎng)絡(luò)的男公關(guān)。 采用6.2.2應(yīng)用代理防火墻、在線代理服務(wù)技術(shù)的防火墻簡(jiǎn)稱為在線代理服務(wù)器，提供應(yīng)用級(jí)網(wǎng)絡(luò)保密工作接入控制。本代理服務(wù)器可以按本代理服務(wù)分為FTP本代理、TELENET、HTTP本代理、套接口本代理、郵件本代理等。在線代理服務(wù)通常由一組按應(yīng)用程序劃分的代理服務(wù)程序和認(rèn)證服務(wù)程序組成。 每個(gè)本代理服務(wù)計(jì)程儀程序都應(yīng)用于指定的網(wǎng)絡(luò)通訊端口，并且本代理客戶機(jī)程序計(jì)程儀程序從其通訊端口獲取適當(dāng)?shù)谋敬矸?wù)。 受保護(hù)

12、的內(nèi)部用戶網(wǎng)站數(shù)據(jù)庫(kù)到外部網(wǎng)絡(luò)時(shí)，首先需要在線代理服務(wù)器的批準(zhǔn)，向外部請(qǐng)求，但外部網(wǎng)絡(luò)的用戶只能看到在線代理服務(wù)器，隱藏了受保護(hù)的網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)和用戶的計(jì)算機(jī)信息。 由此，在線代理服務(wù)可以提高網(wǎng)絡(luò)系統(tǒng)的安全性，并且作為應(yīng)用代理閘道器的在線代理服務(wù)對(duì)應(yīng)于特定網(wǎng)際網(wǎng)絡(luò)服務(wù)。 通常，在線代理服務(wù)器在兩個(gè)網(wǎng)絡(luò)之間運(yùn)行，對(duì)客戶來(lái)說(shuō)就像真正的服務(wù)器，對(duì)外部來(lái)說(shuō)就像客戶端。 當(dāng)在線代理服務(wù)器收到用戶對(duì)某個(gè)站點(diǎn)的網(wǎng)站數(shù)據(jù)庫(kù)請(qǐng)求時(shí)，檢查是否滿足該請(qǐng)求，當(dāng)規(guī)則執(zhí)行用戶網(wǎng)站數(shù)據(jù)庫(kù)到該站點(diǎn)時(shí)，在線代理服務(wù)器像某個(gè)客戶機(jī)那樣在線代理該站點(diǎn)所需的信息，服務(wù)器通常， 具有存儲(chǔ)用戶頻繁網(wǎng)站數(shù)據(jù)庫(kù)的站點(diǎn)內(nèi)容的高速緩存區(qū)，當(dāng)下一

13、個(gè)用戶網(wǎng)站數(shù)據(jù)庫(kù)到同一站點(diǎn)時(shí)，服務(wù)器不需要重復(fù)獲取同一內(nèi)容，直接發(fā)布高速緩存區(qū)內(nèi)容即可，時(shí)間和網(wǎng)絡(luò)資源、應(yīng)用程序本代理型防火墻能夠隔離企業(yè)內(nèi)部互聯(lián)網(wǎng)和外聯(lián)網(wǎng)它在應(yīng)用層運(yùn)行，并了解應(yīng)用程序系統(tǒng)可以做出保密工作決策的所有信息。 保密工作管理者為了在內(nèi)部網(wǎng)絡(luò)用戶中進(jìn)行應(yīng)用級(jí)別的接入控制，如圖所示那樣大多安裝在線代理服務(wù)器。 方便本代理配置，本代理可生成各種查詢密碼，本代理可生成出出進(jìn)進(jìn)產(chǎn)水量，內(nèi)容可靈活完全控制，本代理可過(guò)濾數(shù)據(jù)內(nèi)容，本代理可為用戶提供透明的加密機(jī)制，代理可方便地與其他安全手段集成。 應(yīng)用在線代理防火墻的好處：與特定應(yīng)用協(xié)議關(guān)聯(lián)的在線代理服務(wù)對(duì)速度比數(shù)據(jù)包過(guò)濾慢的用戶不透明，并非所有

14、網(wǎng)絡(luò)連接協(xié)議都能通訊端口，每個(gè)服務(wù)代理可能需要不同的服務(wù)器。本代理可以幫助您提高基本協(xié)議的安全性應(yīng)用在線代理防火墻的缺點(diǎn)，電路級(jí)閘道器監(jiān)視信任客戶端或服務(wù)器與信任男公關(guān)之間的TCP握手信息，以確定會(huì)話是否有效。 電路級(jí)閘道器通過(guò)OSI模型的會(huì)話層過(guò)濾報(bào)文分組，使其高于數(shù)據(jù)包過(guò)濾防火墻。 實(shí)際上，電路級(jí)的閘道器并不作為獨(dú)立的產(chǎn)品存在，而是與其他應(yīng)用級(jí)的閘道器結(jié)合在一起。 此外，電路級(jí)的閘道器提供了重要的保密工作功能。 在在線代理服務(wù)器上，執(zhí)行一個(gè)稱為“地址轉(zhuǎn)發(fā)”的過(guò)程，將公司內(nèi)的所有IP地址映射到防火墻使用的安全I(xiàn)P地址。 6.2.3電路級(jí)閘道器防火墻、電路級(jí)閘道器可監(jiān)視信任客戶端或服務(wù)器與不信

15、任男公關(guān)之間的TCP握手信息，以確定此會(huì)話是否合法。 電路級(jí)閘道器在OSI模型的會(huì)話級(jí)過(guò)濾報(bào)文分組。 電路級(jí)的閘道器還提供了重要的保密工作功能，即在線代理服務(wù)。 在線代理服務(wù)是在網(wǎng)際網(wǎng)絡(luò)防火墻閘道器中設(shè)置的專用應(yīng)用程序級(jí)查詢密碼。 此類(lèi)本代理服務(wù)使網(wǎng)絡(luò)管理員能夠行政許可或拒絕特定應(yīng)用程序或應(yīng)用程序的特定功能。 數(shù)據(jù)包過(guò)濾技術(shù)和代理防火墻通過(guò)特定的邏輯性確定是否行政許可特定的報(bào)文分組通過(guò)，如果滿足確定條件，則防火墻企業(yè)內(nèi)部互聯(lián)網(wǎng)防火墻網(wǎng)絡(luò)的結(jié)構(gòu)和運(yùn)行狀況將“暴露”到外部用戶， 除了引入在線代理服務(wù)的概念外，本代理服務(wù)還可以用于實(shí)現(xiàn)強(qiáng)大的數(shù)據(jù)流監(jiān)視、過(guò)濾、記錄和通訊端口等功能。本代理服務(wù)技術(shù)主要由

16、專用的計(jì)算機(jī)硬件(如工作站)負(fù)責(zé)處理。 閘道器在會(huì)話層上工作，不能檢查應(yīng)用層的報(bào)文分組電路級(jí)防火墻主要是抵抗話務(wù)量攻擊，對(duì)細(xì)小病毒、特洛伊病毒等的程序計(jì)程儀存取網(wǎng)絡(luò)無(wú)能為力，電路級(jí)網(wǎng)關(guān)防火墻的缺點(diǎn)，6.2.4狀態(tài)檢測(cè)防火墻， 與數(shù)據(jù)包過(guò)濾防火墻、電路級(jí)閘道器數(shù)據(jù)包過(guò)濾防火墻一樣，防火墻規(guī)則地檢查防火墻可以通過(guò)OSI網(wǎng)絡(luò)層的IP地址和通訊端口，并過(guò)濾出出進(jìn)進(jìn)報(bào)文分組。 與電路級(jí)的閘道器一樣，可以檢查SYN和ACK的標(biāo)記和序列是否與邏輯性有規(guī)律。 與應(yīng)用程序級(jí)別的閘道器一樣，您還可以在OSI應(yīng)用層檢查報(bào)文分組的內(nèi)容，以確保這些內(nèi)容符合公司的保密工作規(guī)則。 規(guī)則檢查防火墻集成了前三個(gè)特征，但與應(yīng)用程

17、序級(jí)別的閘道器不同，規(guī)則檢查防火墻不會(huì)打破客戶端/服務(wù)模型來(lái)分析應(yīng)用程序?qū)訑?shù)據(jù)識(shí)別算法上網(wǎng)站數(shù)據(jù)庫(kù)的應(yīng)用層數(shù)據(jù)，這些個(gè)算法采用已知的合法報(bào)文分組模式對(duì)網(wǎng)站數(shù)據(jù)庫(kù)報(bào)文分組進(jìn)行比較，包括6.2.5防火墻主要技術(shù)參數(shù)、防火墻主要功能類(lèi)指標(biāo)項(xiàng)， 評(píng)估防火墻性能指標(biāo)與防火墻采用的技術(shù)相關(guān)，根據(jù)現(xiàn)有的防火墻產(chǎn)品，防火墻性能方面的指標(biāo)主要有： * 最大吞吐量：防火墻可以達(dá)到的最大吞吐率傳輸速率，而沒(méi)有任何報(bào)文分組損失：檢查防火墻正常工作時(shí)，正常網(wǎng)絡(luò)話務(wù)量傳輸?shù)乃俣取?最大規(guī)則數(shù)：檢查添加大量網(wǎng)站數(shù)據(jù)庫(kù)規(guī)則后防火墻性能的變化。 云同步連接數(shù)防火墻每單位時(shí)間可建立的TCP連接數(shù)的上限(每秒連接數(shù))。 1 .防火墻性能指標(biāo)重要的是防火墻的自保密