防火墙技术:包过滤防火墙:一个包过滤防火墙通常是一台有能力过滤某些内容数据包的路由器。包过滤防火墙能够检查的信息包括第三层信息(IP),有时也包括第四层的信息(端口)。例如,带有扩展ACL的Cisco路由器能过滤第三层和第四层的信息。1.过滤操作当执行数据包时,包过滤规则被定义在防火墙上。这些规则用来匹配数据包内容以决定哪些包被允许和哪些包被拒绝。当拒绝流量时,可以采用两个操作:通知流量的发送者其数据将丢弃,或者没有任何通知直接丢弃这些数据。2.过滤信息第三层的源和目的地址第三层的协议信息第四层的协议信息发送或接收流量的接口3.包过滤防火墙的优点实现包过滤几乎不再需要任何费用能以更快的速度处理数据包易于匹配绝大多数网络层和传输层报文头的域信息,在实施安全测率提供许多灵活性。4.包过滤防火墙的局限性可能比较复杂,不已于配置不能阻止应用层攻击只对某些类型的TCP/IP攻击比较敏感(不能阻止TCPSYN泛洪和IP欺骗)不支持用户的连接认证只有有限的认证功能任何直接经过路由的数据包都有被用作数据驱动式攻击的潜在危险随着过滤器数目的增加,路由的吞吐量会下降5.包过滤防火墙的应用环境作为第一线防御(边界路由器)在要求最低安全性并考虑成本的SOHO网络中当用包过滤就能完全实现安全策略且不存在认证问题时状态检测防火墙:采用状态检测包过滤技术,是在传统的包过滤上的功能扩展。1.过滤操作当内网主机A连接Web主机B时,它使用源端口为5000,目的端口为80的TCP报文,并在控制域中使用SYN标记,当这个包经过防火墙时,防火墙将这个规则加入状态表。B接到请求后,他使用SYN/ACK来响应主机A,当这个报文到达防火墙时,防火墙首先访问状态表以查看该连接是否已经存在。然后对该报文进行操作。当连接终止时,状态防火墙通过检查TCP控制标记获此信息,从而动态的将此连接从状态表或者规则过滤表中删除。2.状态检测防火墙的优点状态防火墙了解连接的各个状态,因此可以在连接终止后及时阻止此后来自外部设备的该连接的流量,防止伪造流量通过。状态防火墙无须为了允许正常通信而打开更大范围的端口状态防火墙通过使用状态表能够阻止更多类型的Dos攻击状态防火墙具有更强的日志功能3.状态检测防火墙的局限性无状态的协议:在处理无状态信息协议时会出现问题,如:UDP,ICMP等。多个应用连接:状态表的大小:状态防火墙忙于建立和维护状态表,如果监控的连接多,成本开销大。检测的层次仅限于网络层与传输层,无法对应用层内容进行检测。4.应用环境作为防御的主要形式作为防御的第一线智能设备(带状态能力的便捷路由)在需要比包过滤更严格的安全控制,而不用增加太多成本的情况下应用网关防火墙(ApplicationGatewayFirewall):通常称为代理防火墙或简称为应用网关,它是在应用层处理信息。应用网关防火墙可以支持一个应用,也可以支持有限数量的多个应用,这些应用通常包括E-mail,Web服务,DNS,FTP等1.认证过程现在很多AGF在对用户进行一次身份认证后,使用存储在数据库中的授权信息来确认该用户对各个资源的访问权限,而不需要用户为每个想访问的资源进行单独的认证。2.认证方式一个AGF可以使用多种方式来认证,包括用户名和口令,令牌卡信息,网络层源地址以及生物信息等。传输认证信息时必须加密,一般加密的方式为SSH。3.应用级网关防火墙的类型连接网关防火墙(CGF,ConnectionGatewayFirewall):这种防火墙比CTP要安全,但是CGF可能会引入明显的延迟,尤其是当CGF要处理大量连接的时候。直通代理防火墙(CTP,Cut-ThroughPrixy):当外部A想要访问内部服务器B时,CTF截获该请求并认证A,认证后,这个连接和其他被认证的连接被添加到过滤规则表中。而从这以后,任何从A往B的流量都有过滤规则在网络层和传输层上处理。所以,这种方式不能检测出应用层攻击。4.应用网关的优点认证个人而非设备使黑客进行欺骗和实施Dos攻击比较困难能够监控和过滤应用层的信息能够提供详细的日志5.应用网关的局限性用软件处理数据包支持的应用比较有限有时要求特定的客户端软件应用网...
