防火墻技術及其參數詳解.doc

(9頁)

'防火墻技術及其參數詳解.doc'
?1. 從軟、硬件形式上分為軟件防火墻和硬件防火墻以及芯片級防火墻。      如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。    第一種:軟件防火墻     軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。    第二種:硬件防火墻     這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上"所謂"二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,他們都基于PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。    傳統硬件防火墻一般至少應具備三個端口,分別接內網,外網和DMZ區(非軍事化區),現在一些新的硬件防火墻往往擴展了端口,常見四端口防火墻一般將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。    第三種:芯片級防火墻     芯片級防火墻基于專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。      軟件防火墻和硬件防火墻以及芯片級防火墻。    2. 從防火墻技術分為“包過濾型”和“應用代理型”兩大類。      防火墻技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。     (1). 包過濾(Packet filtering)型    包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層,它根據數據包頭源地址,目的地址、端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地,其余數據包則被從數據流中丟棄。    包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網絡服務采取特殊的處理方式,適用于所有網絡服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火墻多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。    在整個防火墻技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。    ●第一代靜態包過濾類型防火墻    這類防火墻幾乎是與路由器同時產生的,它是根據定義好的過濾規則審查每個數據包,以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。    ●第二代動態包過濾類型防火墻    這類防火墻采用動態設置包過濾規則的方法,避免了靜態包過濾所具有的問題。這種技術后來發展成為包狀態監測(Stateful Inspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤,并且根據需要可動態地在過濾規則中增加或更新條目。     包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。    (2). 應用代理(Application Proxy)型    應用代理型防火墻是工作在OSI的最高層,即應用層。其特點是完全"阻隔"了網絡通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。[attach]1147[/attach]    在代理型防火墻技術的發展過程中,它也經歷了兩個不同的版本,即:第一代應用網關型代理防火和第二代自適應代理防火墻。    第一代應用網關(Application Gateway)型防火墻    這類防火墻是通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后,就好像是源于防火墻外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。    第二代自適應代理(Adaptive proxy)型防火墻    它是近幾年才得到廣泛應用的一種新防火墻類型。它可以結合代理類型防火墻的安全性和包過濾防火墻的高速度等優點,在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個:自適應代理服務器(Adaptive Proxy Server)與動態包過濾器(Dynamic Packet filter)。    在“自適應代理服務器”與“動態包過濾器”之間存在一個控制通道。在對防火墻進行配置時,用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后,自適應代理就可以根據用戶的配置信息,決定是使用代理服務從應用層代理請求還是從網絡層轉發包。如果是后者,它將動態地通知包過濾器增減過濾規則,滿足用戶對速度和安全性的雙重要求。    代理類型防火墻的最突出的優點就是安全。由于它工作于最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡層的數據進行過濾。    另外代理型防火墻采取是一種代理機制,它可以為每一種應用服務建立一個專門的代理,所以內外部網絡之間的通信不是直接的,而都需先經過代理服務器審核,通過后再由代理服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。    代理防火墻的最大缺點就是速度。省略部分。通過以太網或防火墻提供的廣域網接口對防火墻進行管理,管理的通信協議可以基于FTP、TELNET、HTTP等。     集中管理:是防火墻的一種管理手段,通常利用一個界面來管理網絡中的多個防火墻。其效果和用一個遙控器管理家中所有電器一樣簡單,可大大簡化管理員的管理工作。         在防火墻的管理中,最為常見的是通過SNMP進行管理,SNMP是英文“Simple Network Management Protocol”的縮寫,中文意思是“簡單網絡管理協議”。SNMP首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。    通過將SNMP嵌入數據通信設備,如交換機或集線器中,就可以從一個中心站管理這些設備,并以圖形方式查看信息。目前可獲取的很多管理應用程序通??稍诖蠖鄶诞斍笆褂玫牟僮飨到y下運行,如Windows3.11、Windows95 、Windows NT和不同版本UNIX的等。DoS    DoS是英文“Denial of service”的縮寫,中文意思是“拒絕服務”。DoS攻擊專門設計用來阻止授權用戶對系統以及系統數據進行訪問,通常采用的攻擊方式是讓系統服務器超載或者讓系統死機。類似于幾百個人同時撥一個電話,導致電話繁忙和不可用。DoS攻擊可能涉及到通過國際互聯網發送大量的錯誤網絡信息包。如果DoS攻擊來源于單點進攻,那么可以采用簡單的交通控制系統來探測到電腦黑客。較為復雜的DoS攻擊可以包含多種結構和大量的攻擊點。電腦黑客經常操縱其它計算機和網絡服務器并且使用它們的地址進行DoS攻擊,這樣就可以掩蓋他們自己的真實身份。    與之緊密相關的另一個概念就是DdoS ,DdoS是英文“distribution Denial of service”的縮寫,中文意思是“分布式拒絕服務攻擊”,這種攻擊方法使用與普通的拒絕服務攻擊同樣的方法,但是發起攻擊的源是多個。通常,攻擊者使用下載的工具滲透無保護的主機,當獲得該主機的適當的訪問權限后,攻擊者在主機中安裝軟件的服務或進程(以下簡稱代理)。這些代理保持睡眠狀態,直到從它們的主控端得到指令。主控端命令代理對指定的目標發起拒絕服務攻擊。隨著 cable modems, DSL和危害力及強的黑客工具的廣泛傳播使用,有越來越多的可以被訪問的主機。分布式拒絕服務攻擊是指主控端可以同時對一個目標發起幾千個攻擊。單個的拒絕服務攻擊的威力也許對帶寬較寬的站點沒有影響,而分布于全球的幾千個攻擊將會產生致命的效果。 NAT    NAT英文全稱是“Network Address Translation”,中文意思是“網絡地址轉換”,它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準,允許一個整體機構以一個公用IP(Internet Protocol)地址出現在Internet上。顧名思義,它是一種把內部私有網絡地址(IP地址)翻譯成合法網絡IP地址的技術。如圖[attach]1153[/attach]    簡單的說,NAT就是在局域網內部網絡中使用內部地址,而當內部節點要與外部網絡進行通訊時,就在網關(可以理解為出口,打個比方就像院子的門一樣)處,將內部地址替換成公用地址,從而在外部公網(internet)上正常使用,NAT可以使多臺計算機共享Internet連接,這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法,您可以只申請一個合法IP地址,就把整個局域網中的計算機接入Internet中。這時,NAT屏蔽了內部網絡,所有內部網計算機對于公共網絡來說是不可見的,而內部網計算機用戶通常不會意識到NAT的存在。如圖2所示。這里提到的內部地址,是指在內部網絡中分配給節點的私有IP地址,這個地址只能在內部網絡中使用,不能被路由(一種網絡技術,可以實現不同路徑轉發)。雖然內部地址可以隨機挑選,但是通常使用的是下面的地址:10.0.0.0~10.255.255.255,172.16.0.0~172.16.255.255,192.168.0.0~192.168.255.255。NAT將這些無法在互聯網上使用的保留IP地址翻譯成可以在互聯網上使用的合法IP地址。而全局地址,是指合法的IP地址,它是由NIC(網絡信息中心)或者ISP(網絡服務提供商)分配的地址,對外代表一個或多個內部局部地址,是全球統一的可尋址的地址。[attach]1154[/attach]    NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經加入這一功能,網絡管理員只需在路由器的IOS中設置NAT功能,就可以實現對內部網絡的屏蔽。再比如防火墻將WEB Server的內部地址192.168.1.1映射為外部地址202.96.23.11,外部訪問202.96.23.11地址實際上就是訪問訪問192.168.1.1。另外資金有限的小型企業來說,現在通過軟件也可以實現這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。    NAT技術類型    NAT有三種類型:靜態NAT(Static NAT)、動態地址NAT(Pooled NAT)、網絡地址端口轉換NAPT(Port-Level NAT)。    其中靜態NAT設置起來最為簡單和最容易實現的一種,內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而動態地址NAT則是在外部網絡中定義了一系列的合法地址,采用動態分配的方法映射到內部網絡。NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要,三種NAT方案各有利弊。     動態地址NAT只是轉換IP地址,它為每一個內部的IP地址分配一個臨時的外部IP地址,主要應用于撥號,對于頻繁的遠程聯接也可以采用動態NAT。當遠程用戶聯接上之后,動態地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以后使用。     網絡地址端口轉換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉換方式。NAPT普遍應用于接入設備中,它可以將中小型的網絡隱藏在一個合法的IP地址后面。NAPT與動態地址NAT不同,它將內部連接映射到外部網絡中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設備選定的TCP端口號。     在Internet中使用NAPT時,所有不同的信息流看起來好像來源于同一個IP地址。這個優點在小型辦公室內非常實用,通過從ISP處申請的一個IP地址,將多個連接通過NAPT接入Internet。實際上,許多SOHO遠程訪問設備支持基于PPP的動態IP地址。這樣,ISP甚至不需要支持NAPT,就可以做到多個內部IP地址共用一個外部IP地址上Internet,雖然這樣會導致信道的一定擁塞,但考慮到節省的ISP上網費用和易管理的特點,用NAPT還是很值得的。
關 鍵 詞:
防火墻 技術 參數 及其 詳解
 天天文庫所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:防火墻技術及其參數詳解.doc
鏈接地址: http://www.476824.live/p-51577764.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服點擊這里,給天天文庫發消息,QQ:1290478887 - 聯系我們

本站為“文檔C2C交易模式”,即用戶上傳的文檔直接賣給(下載)用戶,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有【成交的100%(原創)】。本站是網絡服務平臺方,若您的權利被侵害,侵權客服QQ:1290478887 歡迎舉報。

[email protected] 2017-2027 http://www.476824.live 網站版權所有

粵ICP備19057495號 

收起
展開
球探网即时蓝球比分 赌场门户导航app 湖南幸运赛车开奖走势图 怎么看北京pk拾赛车走势 湖北十一选五开奖结果查询一 辽宁体彩11选5技巧 天天红包赛什么时候提交最好 深圳体彩福彩什么时候开售 同花顺模拟炒股密码不正确 赌博官方导航 管家婆二十码资料