信息安全学习总结8防火墙实现技术.docx

1、信息安全学习总结8防火墙实现技术（八）防火墙的实现技术作者：山石1. 数据包过滤1.1. 概述数据包过滤，通俗的理解就是在网络当中的适当位置，对数据包实施有选择的通过。数据包过滤技术是一种简单的、高效的安全控制技术，是防火墙发展初期的普遍采用的技术。依据在系统内设置的过滤规则（通常称为访问控制表Access Control List），对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进去内部网络。系统在网络层检测数据包，而与应用层无关。包过滤检查的内容包括：IP源地址、IP目的地址、协议类型（TCP包UDP包ICMP包）、TCP或UDP的源端口、TCP或UDP的目的

2、端口、ICMP消息类型、TCP报头中的ACK位。图1 数据包过滤应用位置1.2. 工作原理图2 包过滤工作原理 对进出的数据包逐个过滤，丢弃或允许通过 ACL应用于接口上，每个接口的出入双向分别过滤 仅当数据包经过接口时，才能被此接口的此方向的ACL过滤图3 入站包过滤工作流程图4 出站包过滤工作流程1.3. 优缺点（1）优点逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。（2）缺点 安全控制的力度只限于地址、目的地址和端口号等，不能保存与传输或应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低。 数据包的源地址、目的地址及端口号等都在数据包的头部，很有可能被窃听或假冒。2

3、. 代理服务2.1. 概述代理服务器的功能主要在应用层实现。当代理服务器收到一个客户的连接请求时，先核实该请求，然后将处理后的请求转发给真实服务器，在接受真实服务器应答并做进一步处理后，再将回复交给发出请求的客户。代理服务器在外部网络和内部网络之间，发挥了中间转接的作用。所以，代理服务器有时也称作应用层网关。代理服务是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。图5 代理服务工作位置2.2. 工作原理当用户需要访问代理服务器另一侧的主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接

4、之后，内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言，似乎是直接与外部网络相连。代理服务器可对网络上任一层的数据包进行检查并经过身份认证，让符合安全规则的包通过，并丢弃其余的包。它允许通过的数据包由网关复制并传递，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。 图6 代理服务工作原理图代理服务器型防火墙，则是利用代理服务器主机将外部网络和内部网络分开。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部的网卡一样，从而可以达到隐藏内部网络结构的作用。内部网络的主机，无需设置防火墙为网关，只需直接将需要服务的IP地址指向代理服务器主机，就

5、可以获取Internet资源。代理服务器提供了详细的日志和审计功能，大大提高了网络的安全性，也为改进现有软件的安全性能提供了可能。但会降低网络性能。2.3. 优缺点（1）优点 内部网络拓扑结构等重要信息不易外泄，从而减少了黑客攻击时所必须的必要的信息。 可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹，安全性较高。（2）缺点 针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用。 有些代理还需要相应的支持代理客户和服务器软件 用户可能还需要专门学习程序的使用方法才能通过代理访问Intern

6、et 性能下降3. 状态检测3.1. 概述状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”和

7、“from”的地址，而且不要求每个访问的应用都有代理。图7 状态监测工作的位置状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的。动态包过滤与普通包过滤相比，需要多做一项工作：对外出数据包的“身份”做一个标记，允许相同连接的进入数据包通过。利用状态表跟踪每一个网络会话的状态，对每一个数据包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎，称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，并动态的保存起来作为以后制定安全决策的参考。3.2. 工作原理对新建的应用连

8、接，状态检测检查预先设置的安全规则，允许符合规则的连接；请求数据包通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。3.3. 优缺点（1）优点 高安全性（工作在数据链路层和网络层之间；“状态感知”能力） 高效性（对连接的后续数据包直接进行状态检查） 应用范围广（支持基于无连接协

9、议的应用）（2）缺点 状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题（如实现应用层内容过滤）等方面显得力不从心。4. 网络地址转换4.1. 概述网络地址转换/翻译（NAT，Network Address Translation）就是将一个IP地址用另一IP地址代替。NAT的主要作用，隐藏内部网络的IP地址和解决地址紧缺的问题。注意，NAT本身并不是一种有安全保证的方案，它仅仅在包的最外层改变IP地址。所以，通常要把NAT集成在防火墙系统中。网络地址转换属接入广域网技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种

10、类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 按实现方式划分为：静态（static）网络地址转换、动态（dynamic）网络地址转换和端口多路复用；按数据流向划分为：源（source）网络地址转换和目标（destination）网络地址转换。4.2. 转换方式介绍NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个

11、公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地

12、址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。4.3. 各类划分比较（1）转换方式划分比较 静态地址翻译：不需要维护地址转换状态表，功能简单，性能较好。 动态转换和端口转换：必须维护一个转换表，以保证能够对返回的数据包进行正确的反向转换，功能强大，但是需要的资源比较多。（2）数据流向划分比较 源网络地址转换：修改数据报中的IP头部的数据源地址（通常发生在使用私有地址的用户访问Internet的情况下，把私有地址翻译成合法的因特网地址） 目标网络地址转换：修改数据报中的IP头部的数据目的地址（通常发生在防火墙之后的服务器上）多多交流，欢迎批评指正！作者QQ：49228864