防火牆的常用三種技術

  關於防火牆常用的三種技術你們知道是哪三個嗎?如果不知道的話,下面就由小編來帶大家學習一下防火牆的三種常用技術吧。

  :

  1.包過濾技術

  包過濾是最早使用的一種防火牆技術,它的第一代模型是“靜態包過濾”***Static Packet Filtering***,使用包過濾技術的防火牆通常工作在OSI模型中的網路層***Network Layer***上,後來發展更新的“動態包過濾”***Dynamic Packet Filtering***增加了傳輸層***Transport Layer***,簡而言之,包過濾技術工作的地方就是各種基於TCP/IP協議的資料報文進出的通道,它把這兩層作為資料監控的物件,對每個資料包的頭部、協議、地址、埠、型別等資訊進行分析,並與預先設定好的防火牆過濾規則***Filtering Rule***進行核對,一旦發現某個包的某個或多個部分與過濾規則匹配並且條件為“阻止”的時候,這個包就會被丟棄。適當的設定過濾規則可以讓防火牆工作得更安全有效,但是這種技術只能根據預設的過濾規則進行判斷,一旦出現一個沒有在設計人員意料之中的有害資料包請求,整個防火牆的保護就相當於擺設了。也許你會想,讓使用者自行新增不行嗎?但是別忘了,我們要為是普通計算機使用者考慮,並不是所有人都瞭解網路協議的,如果防火牆工具出現了過濾遺漏問題,他們只能等著被入侵了。一些公司採用定期從網路升級過濾規則的方法,這個創意固然可以方便一部分家庭使用者,但是對相對比較專業的使用者而言,卻不見得就是好事,因為他們可能會有根據自己的機器環境設定和改動的規則,如果這個規則剛好和升級到的規則發生衝突,使用者就該鬱悶了,而且如果兩條規則衝突了,防火牆該聽誰的,會不會當場“死給你看”***崩潰***?也許就因為考慮到這些因素,至今我沒見過有多少個產品會提供過濾規則更新功能的,這並不能和防毒軟體的病毒特徵庫升級原理相提並論。為了解決這種魚與熊掌的問題,人們對包過濾技術進行了改進,這種改進後的技術稱為“動態包過濾”***市場上存在一種“基於狀態的包過濾防火牆”技術,即Stateful-based Packet Filtering,他們其實是同一型別***,與它的前輩相比,動態包過濾功能在保持著原有靜態包過濾技術和過濾規則的基礎上,會對已經成功與計算機連線的報文傳輸進行跟蹤,並且判斷該連線傳送的資料包是否會對系統構成威脅,一旦觸發其判斷機制,防火牆就會自動產生新的臨時過濾規則或者把已經存在的過濾規則進行修改,從而阻止該有害資料的繼續傳輸,但是由於動態包過濾需要消耗額外的資源和時間來提取資料包內容進行判斷處理,所以與靜態包過濾相比,它會降低執行效率,但是靜態包過濾已經幾乎退出市場了,我們能選擇的,大部分也只有動態包過濾防火牆了。

  基於包過濾技術的防火牆,其缺點是很顯著的:它得以進行正常工作的一切依據都在於過濾規則的實施,但是偏又不能滿足建立精細規則的要求***規則數量和防火牆效能成反比***,而且它只能工作於網路層和傳輸層,並不能判斷高階協議裡的資料是否有害,但是由於它廉價,容易實現,所以它依然服役在各種領域,在技術人員頻繁的設定下為我們工作著。

  2、應用代理技術

  由於包過濾技術無法提供完善的資料保護措施,而且一些特殊的報文攻擊僅僅使用過濾的方法並不能消除危害***如SYN攻擊、ICMP洪水等***,因此人們需要一種更全面的防火牆保護技術,在這樣的需求背景下,採用“應用代理”***Application Proxy***技術的防火牆誕生了。我們的讀者還記得“代理”的概念嗎?代理伺服器作為一個為使用者保密或者突破訪問限制的資料轉發通道,在網路上應用廣泛。我們都知道,一個完整的代理裝置包含一個服務端和客戶端,服務端接收來自使用者的請求,呼叫自身的客戶端模擬一個基於使用者請求的連線到目標伺服器,再把目標伺服器返回的資料轉發給使用者,完成一次代理工作過程。那麼,如果在一臺代理裝置的服務端和客戶端之間連線一個過濾措施呢?這樣的思想便造就了“應用代理”防火牆,這種防火牆實際上就是一臺小型的帶有資料檢測過濾功能的透明代理伺服器***Transparent Proxy***,但是它並不是單純的在一個代理裝置中嵌入包過濾技術,而是一種被稱為“應用協議分析”***Application Protocol Analysis***的新技術。

  “應用協議分析”技術工作在OSI模型的最高層——應用層上,在這一層裡能接觸到的所有資料都是最終形式,也就是說,防火牆“看到”的資料和我們看到的是一樣的,而不是一個個帶著地址埠協議等原始內容的資料包,因而它可以實現更高階的資料檢測過程。整個代理防火牆把自身對映為一條透明線路,在使用者方面和外界線路看來,它們之間的連線並沒有任何阻礙,但是這個連線的資料收發實際上是經過了代理防火牆轉向的,當外界資料進入代理防火牆的客戶端時,“應用協議分析”模組便根據應用層協議處理這個資料,通過預置的處理規則***沒錯,又是規則,防火牆離不開規則***查詢這個資料是否帶有危害,由於這一層面對的已經不再是組合有限的報文協議,甚至可以識別類似於“GET /sql.asp?id=1 and 1”的資料內容,所以防火牆不僅能根據資料層提供的資訊判斷資料,更能像管理員分析伺服器日誌那樣“看”內容辨危害。而且由於工作在應用層,防火牆還可以實現雙向限制,在過濾外部網路有害資料的同時也監控著內部網路的資訊,管理員可以配置防火牆實現一個身份驗證和連線時限的功能,進一步防止內部網路資訊洩漏的隱患。最後,由於代理防火牆採取是代理機制進行工作,內外部網路之間的通訊都需先經過代理伺服器稽核,通過後再由代理伺服器連線,根本沒有給分隔在內外部網路兩邊的計算機直接會話的機會,可以避免入侵者使用“資料驅動”攻擊方式***一種能通過包過濾技術防火牆規則的資料報文,但是當它進入計算機處理後,卻變成能夠修改系統設定和使用者資料的惡意程式碼***滲透內部網路,可以說,“應用代理”是比包過濾技術更完善的防火牆技術。

  但是,似乎任何東西都不可能逃避“墨菲定律”的規則,代理型防火牆的結構特徵偏偏正是它的最大缺點,由於它是基於代理技術的,通過防火牆的每個連線都必須建立在為之建立的代理程式程序上,而代理程序自身是要消耗一定時間的,更何況代理程序裡還有一套複雜的協議分析機制在同時工作,於是資料在通過代理防火牆時就不可避免的發生資料遲滯現象,換個形象的說法,每個資料連線在經過代理防火牆時都會先被請進保安室喝杯茶搜搜身再繼續趕路,而保安的工作速度並不能很快。代理防火牆是以犧牲速度為代價換取了比包過濾防火牆更高的安全效能,在網路吞吐量不是很大的情況下,也許使用者不會察覺到什麼,然而到了資料交換頻繁的時刻,代理防火牆就成了整個網路的瓶頸,而且一旦防火牆的硬體配置支撐不住高強度的資料流量而發生罷工,整個網路可能就會因此癱瘓了。所以,代理防火牆的普及範圍還遠遠不及包過濾型防火牆,而在軟體防火牆方面更是幾乎沒見過類似產品了——單機並不具備代理技術所需的條件,所以就目前整個龐大的軟體防火牆市場來說,代理防火牆很難有立足之地。

  3、狀態檢測技術

  這是繼“包過濾”技術和“應用代理”技術後發展的防火牆技術,它是CheckPoint技術公司在基於“包過濾”原理的“動態包過濾”技術發展而來的,與之類似的有其他廠商聯合發展的“深度包檢測”***Deep Packet Inspection***技術。這種防火牆技術通過一種被稱為“狀態監視”的模組,在不影響網路安全正常工作的前提下采用抽取相關資料的方法對網路通訊的各個層次實行監測,並根據各種過濾規則作出安全決策。

  “狀態監視”***Stateful Inspection***技術在保留了對每個資料包的頭部、協議、地址、埠、型別等資訊進行分析的基礎上,進一步發展了“會話過濾”***Session Filtering***功能,在每個連線建立時,防火牆會為這個連線構造一個會話狀態,裡面包含了這個連線資料包的所有資訊,以後這個連線都基於這個狀態資訊進行,這種檢測的高明之處是能對每個資料包的內容進行監視,一旦建立了一個會話狀態,則此後的資料傳輸都要以此會話狀態作為依據,例如一個連線的資料包源埠是8000,那麼在以後的資料傳輸過程裡防火牆都會稽核這個包的源埠還是不是8000,否則這個資料包就被攔截,而且會話狀態的保留是有時間限制的,在超時的範圍內如果沒有再進行資料傳輸,這個會話狀態就會被丟棄。狀態監視可以對包內容進行分析,從而擺脫了傳統防火牆僅侷限於幾個包頭部資訊的檢測弱點,而且這種防火牆不必開放過多埠,進一步杜絕了可能因為開放埠過多而帶來的安全隱患。

  由於狀態監視技術相當於結合了包過濾技術和應用代理技術,因此是最先進的,但是由於實現技術複雜,在實際應用中還不能做到真正的完全有效的資料安全檢測,而且在一般的計算機硬體系統上很難設計出基於此技術的完善防禦措施***市面上大部分軟體防火牆使用的其實只是包過濾技術加上一點其他新特性而已***。