防火牆的原理及應用
防火牆的知識對於一些非專業的朋友來講是一些很難懂,看起來很複雜的東西,但其實等你真正的去了解之後才發現這些其實別不是那麼難,現在就由小編簡單的為大家介紹一下。
防火牆的原理:
1、包過濾防火牆
包過濾是在網路層中對資料包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查資料據流中的每個資料包,根據資料包的原地址、目標地址、以及包所使用埠確定是否允許該類資料包通過。在網際網路這樣的資訊包交換網路上,所有往來的資訊都被分割成許許多多一定長度的資訊報,包中包括髮送者的IP地址和接受者的IP地址。當這些包被送上網際網路時,路由器會讀取接受者的IP並選擇一條物理上的線路傳送出去,資訊包可能以不同的路線抵達目的地,當所有的包抵達後會在目的地重新組裝還原。包過濾式的防火牆會檢查所有通過資訊包裡的IP地址,並按照系統管理員所給定的過濾規則過濾資訊包。如果防火牆設定某一IP為危險的話,從這個地址而來的所有資訊都被會防火牆遮蔽掉。這種防火牆的用法很多,比如國家有關部門可以通過包過濾防火牆來禁止國家使用者去訪問那些違反我國有關規定或者“有問題”的國外站點,包過濾路由器的最優優點就是他對於使用者來說是透明的,也就是說不需要使用者名稱和密碼來登陸。這種防火牆速度快而且易於維護,通常作為第一道防線。包過濾路由器的弊端也是很明顯的,通常它沒有使用者的使用記錄,這樣我們就不能從訪問記錄中發現黑客的攻擊記錄,而攻擊一個單純的包過濾式的防火牆對於黑客來說是比較容易的,他們在這一方面已經積了大量的經驗。“資訊包衝擊”是黑客比較常用的一種攻擊手段,黑客們對包過濾式防火牆發出一系列資訊包,不過這些包中的IP地址已經被替換掉了,取而代之的是一串順序的IP地址。一旦有一個包通過了防火牆,黑客便可以用這個IP地址來偽裝他們發出的資訊。在另一些情況下黑客們使用一種他們自己編織的路由器攻擊程式,這種程式使用路由器歇息來發送偽造的路由器資訊,這樣所有的都會被重新路由到一個入侵者所指定的特別抵制。對付這種路由器的另一種技術被稱之為“同步淹沒”,這實際上是一種網路炸彈。攻擊者向被攻擊的計算機發出許許多多個虛假的“同步請求”訊號報,當伺服器相應了這種訊號報後會等待請求發出者的回答,而攻擊者不做任何的相應。如果伺服器在45秒鐘裡沒有收到反應訊號的話就會取消掉這次的請求。但是當伺服器在處理成千上萬各虛假請求時,它便沒有時間來處理正常的使用者請求,處於這種攻擊下的伺服器和死鎖沒什麼兩樣。此種防火牆的缺點是很明顯的,通常它沒有使用者的使用記錄,這樣我們就不能從訪問記錄中發現黑客的攻擊記錄。此外,配置繁瑣也是包過濾防火牆的一個缺點。它阻擋別人進入內部網路,但也不告訴你何人進入你的系統,或者何人從內部進入網際網路。它可以組織外部對私有網路的訪問,卻不能記錄內部的訪問。包過濾另一個關鍵的弱點就是不能再使用者級別上進行過濾,即不能鑑別不同的使用者和防止IP地址盜用。包過濾防火牆什麼某種意義上的絕對安全的系統。
2、應用閘道器防火牆
應用閘道器防火牆檢查所有應用層的資訊包,並將檢查的內容資訊放入決策過程,從而提高網路的安全性。然而,應用閘道器防火牆是通過打破客戶機/伺服器模式實現的。每個客戶機/伺服器通訊需要兩個連結:一個是從客戶端到防火牆,另一個是從防火牆到伺服器。另外,每個代理需要一個不同的應用程序,或一個後臺執行的服務程式,對每個新的應用必須新增對此應用的服務程式,否則不能使用該服務。所以,應用閘道器防火牆具有可伸縮性差的缺點。
3、狀態監測防火牆
狀態監測防火牆基本保持了簡單包過濾防火牆的優點,效能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的資料包,不關心資料包狀態的缺點,在防火牆的核心部分建立狀態連線表,維護了連線,將進出網路的資料當成一個個的事件來處理。可以和陽朔,狀態檢測包過濾防火牆規範了網路層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協議上的行為。
4、複合型防火牆
複合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆,進一步基於ASIC架構,把防病毒、內容過濾整合到防火牆裡,其中還包裹、IDS功能,多單元融為一體,是一種新突破。常規的防火牆並不能防止隱蔽在網路流量裡的攻擊,在網路介面對應用層掃描,把防病毒、內容過濾與防火牆結合起來,這體現了網路與資訊保安的新思路。它在網路邊界實施OSI第七層的內容掃描,實現了實時在網路邊緣部署病毒防護、內容過濾等應用層服務措施。
防火牆的典型應用:
1、防止網路入侵
2、防止訊息檔案洩露
3、保護內網安全
4、檢查出入網路的連結,保護一些埠
5、防止計算機接收到非法包