防火墙是一套的网络安全防御系统,依据实现制定好的安全规则,对相应的网络数据流进行监视和控制。硬件外形是多网络接口的机架服务器,在网络拓扑图中所使用红墙的图标来表示
网络防火墙:用于两个或者多个网路之间数据流的监控,通常使用专门的硬件实现,并安装特定的软件
主机防火墙:多指安装在主机中的软件,用来监视所有主机的数据流
可将防火墙定义为:在可信任网络和不可信任网络之间设置的一套硬件的网络安全防御系统,实现网络间数据流的检查和控制
防火墙的本质:安装并运行在一台或多台主机上的特殊软件。这些硬件设备是专门针对网络数据流的检查和控制进行专门设计的,以满足网络中数据包处理速度和转发时延的要求,数据流的访问控制由安装的防火墙软件执行
防火墙的作用:安全域划分与安全域的策略部署;根据访问控制列表实现访问控制,同报文匹配规则实现数据包的过滤;放置内部信息外泄,将内部网络结构隐藏起来;审计功能,可以对故障记录等都有很好的审计功能;部署网络地址转换
防火墙的局限性:无法防范来自网络内部的恶意攻击;无法防范不经过防火墙的攻击;防火墙会带来传输延迟、通信瓶颈和单点失效等问题;防火墙对服务器合法开放的端口的攻击无法阻止;防火墙本身也会存在漏洞而遭到攻击;防火墙不能处理病毒和木马攻击的行为;防火墙限制了存在安全缺陷的网络服务,影响了用户使用服务的便利性
防火墙关键技术
1、数据包过滤技术:第一代防火墙,检查网络中每个数据包,根据访问控制列表的通行规则,决定对每一个数据包的放行与丢弃。
检查信息包括:IP地址、数据包协议类型、端口号、进出的网络接口
优点:对用户透明、通过路由器实现、处理速度快;缺点:规则表的制定复杂、核查简单、以单个数据包为处理单位
2、应用层代理技术:应用代理服务器防火墙,作用在应用层,它用来提供应用层服务的控制,在内部网络向外部网络申请服务时起到中间转接作用
优点:不允许外部主机直接访问内部主机,将内外网完全隔离,比较安全;提供多种用户认证方案;可以分析数据包内部的应用命令;可以提供详细的审计记录;缺点:对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制;存在延迟问题
3、状态检测技术:采用一种基于连接的状态监测机制,将属于同一个连接的所有包作为一个整体的数据流来看待,建立连接状态表,且对连接表进行维护,通过规则表和状态表的共同配合,动态地决定数据包是否被允许进入防火墙内部网络。状态检测技术防火墙,工作于网络层、传输层和应用层,跟踪通过防火墙的网络连接和数据包,并使用一组状态检测标准,以确定是否允许或拒绝通信。
优点:具备较快的处理速度和灵活性;具备理解应用程序状态的能力和高度安全性;减小了伪造数据包通过防火墙的可能性;缺点:记录状态信息,导致网络迟滞;跟踪各类协议,技术实现较为复杂
4、网络地址转换技术:优点:对外隐藏内部的网络主机地址;实现网络负载均衡;缓解了互联网IP地址不足问题
5、个人防火墙技术:安装在本地计算机上的系统安全软件,可以监视传入传出网卡的所有网络通信,使用状态检测技术,保护一台计算机免受攻击
优点:增加了保护级别,不需要额外的硬件资源;个人防火墙自身受到攻击后,可能失效
入侵检测技术:主动的安全防护技术,以旁路方式接入网络,通过实时监测计算机网络和系统,来发现违反安全策略访问的过程。其是网络安全技术中继防火墙之后的第二道防线。其部署在计算机网络的枢纽节点上,在不影响网络性能的前提条件下,通过实时地收集和分析计算机网络或系统的审计信息,来检查是否出现违反安全策略的行为和攻击的痕迹,达到防止攻击和预防攻击的目的
作用和优势:能够快速检测到入侵行为;形成网络入侵的威慑力,防护入侵者的作用;收集入侵信息,增强入侵防护系统的防护能力
入侵检测系统:监控、分析用户和系统的活动;发现入侵企图和异常现象;审计系统的配置和漏洞;评估关键系统和数据文件的完整性;对异常活动的统计与分析;识别攻击的活动模型;实时报警与响应
分类:基于网络的入侵检测系统,基于主机的入侵检测系统和分布式入侵检测系统
检测方法分类:误用检测,通过特定的特征匹配来检测入侵存在;异常检测,检测未知的攻击
虚拟专用网技术
出现起因:确保机构内部信息安全;机构的全球IP地址数量不足;机构内不同部门和主机的分布范围较广
使用本地IP地址(本地专用地址)实现机构内部主机的地址分配
本地IP地址只能用作本地地址而不能用作全球地址
R1与R2的通信,逻辑上就像是点对点链路的一个隧道,其实是经过互联网的数据报传输
虚拟专用网的特例:远程接入,满足外部流动员工访问公司内部网络的需求
虚拟防火墙也是防火墙的标准配置之一