防火墙是保证网络安全最重要的防线之一,防火墙的主要功能的实现都使用下述的三种技术方法。
1、包过滤
包过滤功能(Packert Filtering)拒绝接受从未授权的主机发送的TCP/IP包,并拒绝接受使用未授权的服务的连接请求。
互联网络上,所有信息都是以数据包的形式来传输的,数据包中包含发送方的IP地址和接收方的IP地址。数据包过滤就是将所有通过的数据包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤数据包,那些不符合规定的数据包会被防火墙丢弃,以保证内部网络系统的安全。
包过滤
防火墙通常是基于访问控制来实现的。它利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否以决定取舍。建立这类防火墙需要按照如下步骤进行:建立安全策略、写出所允许的和禁止的服务、将安全策略转化为数据包分组字段的逻辑表达式、用相应的句法重写逻辑表达式并设置之。包过滤防火墙主要用来防止外来攻击,或是限制内部用户访问某些外部的资源。如果是防止外部攻击,针对典型攻击的过滤规则,大体有:
(1)源IP地址欺骗式攻击(Source IP Address Spoofing Attacks)。对入侵者假冒内部主机,从外部传输一个源IP地址为内部网络IP地址的数据包的这类攻击,防火墙只需把来自外部端口的使用内部源地址的数据包丢弃即可。
(2)残片攻击(Tiny Fragment Attacks)。入侵者使用TCP/IP数据包分段特性,创建极小的分段并强行将TCP/IP头信息分成多个数据包,以绕过用户防火墙的过滤规则。攻击者期望防火墙只检查第一个分段而允许其余的分段通过。目前,大多数防火墙已经实现了碎片的重组功能,可以进行相应的过滤设置。
(3)针对FTP服务的过滤。由于FTP服务分为数据通道和命令通道,而且有正常模式和被动模式之分,因此普通数据包过滤防火墙无法进行恰当的设置,对于具有状态检测功能的防火墙,则可以轻易地实现。例如,使用Linux下面的iptables,可以利用relate关键来匹配FTP服务及其相关的动态连接。
(4)URL过滤、病毒过滤等。目前一些包过滤防火墙还具有这些扩展功能。在实现时,这些防火墙通常需要审查数据包的内容,以发现可疑的字段,然后进行访问控制设置。这些功能通常按照实现方式的不同,可以分为按照数据包的过滤和按照会话的过滤。在按照数据包的过滤方式中,只是对各个数据包进行检查,这样的检查机制,很容易被绕过;按照会话重组,则不大容易被欺骗,但是代价则是在性能上的牺牲。
事实上,随着防火墙的发展,已经越来越多地融合了入侵检测技术。但是,由于防火墙对于稳定性、效率等都有着很严格的要求,因此二者的融合方式以及具体的方法,都还在不断的研究之中。
2、网路地址翻译
网络地址翻译(Network Address Translation,NAT),NAT 也称为 IP 伪装(IP Masquerading)。防火墙在接收到数据包后,将源地址或者是目的地址修改后发送,主要是为了解决IP地址不足问题。此外,由于使用网络地址翻译导致网络外部无法访问网络内部的未经授权的服务,因此从一定意义来说可以有效地保护网络内部的系统。
NAT主要是通过防火墙、路由器等网络边缘设备来实现。当网络数据包流入防火墙时,系统会检查该数据包是否符合用户设定的NAT规则,如果找到符合的规则,系统会按照规则对数据包进行转换,同时建立一条NAT进程,当有数据包返回时,将检查进程表,进行相应的处理。
3、代理服务
代理服务(Proxy Service),代理服务器从客户端接到请求后,访问需要访问的服务器,并将结果返回给客户端,这种技术通常能够提供更为强大的访问控制。
代理服务器接收客户请求后会检查验证其合法性,如其合法,代理服务器像一台客户机一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过,而其他所有服务都完全被封锁住。
代理服务器非常适合那些根本就不希望外部用户访问企业内部的网络,而也不希望内部的用户无限制地使用或滥用互联网络。采用代理服务器,可以把企业的内部网络隐藏起来,内部的用户需要验证和授权之后才可以去访问因特网。
以上我们简要介绍了防火墙相关的一些知识,事实上,作为目前网络安全研究上一个重要的组成方面,防火墙正在迅速的发展之中。出现了很多具有新功能的防火墙系统,如基于内容的检测、透明模式等。了解更多您可以注册成为河姆渡
弱电安防平台会员,我们将定期为您推荐相关内容。