什么是防火墙?其实防火墙一词最早一词来源于建筑学,早先人类建筑房屋都是用些茅草木材等,后来发生火灾事故加风肋威,一家起火结果邻居的房屋都不保,那个烧的一干二尽悲剧.聪明的人类用非易燃物建造了防火墙,以保别人起火不会烧到自己,哈哈!扯远了.今天我们谈网络中的防火墙.它就是置身于内部与外部网络中间的一组网络设备,也是内部网络与外部网络通信的必经之地,通过执行管理员配置好的安全策略,对进出网络的信息进行各种控制(记录.放行.阻止.更改.检测.报警)等.从而让内部网络不受外部网络的破坏.硬件防火墙与软件防火墙区别现在市场上有两种类型的防火墙,一种是硬件防火墙,一种是软件防火墙.其硬件代表有juniper|cisco|checkpoint|天融信|东软|华为|网康|深信服|;而软件防火墙有我们个人电脑上使用的个人防火墙|微软ISA|Linux-Iptables|的防火墙.软件防火墙安装于普通的PC机或服务器上,实现机制通过在TCP/IP协议栈挂勾,实现对数据包的处理.而硬件防火墙程序安装在专用的.经过特殊设计的[PC-X86架构][NP网络处理器][ASIC专用集成电路]架构之上,其硬件防火墙价格昂贵,对于数据包处理能力强,稳定性也高,用于中型与大型企业,而软件防火墙一般用于个人或小型企业.UTM|IDS|IPS的区别UTM[是一种能够实现多种安全防护的设备,集各种安全技术为一身的单一硬件设备(防火墙|防病毒|入侵检测|VPN)来应对互联网中各种新型的攻击]IDS[是入侵检测系统,通过镜像收集网络中所有的数据,然后匹配分析特征,用来发现各种网络攻击与入侵行为.并产生行为,这个类似与防毒系统.]IPS[是入侵防御系统,是对于防火墙与防病毒不足的补充也是弥补IDS的不足.在我们看来IDS是响应不够速度,有点马后炮.IPS执行深度包检测功能,能够即时阻断|调整|隔离各种有威胁性的数据包与连接.]以后在和大家细谈这方面技术.防火墙核心技术不论是硬件防火墙还是软件防火墙,其技术原理不外呼几种1.包过滤技术2.状态检测技术3.应用层网关代理技术,其实我们从这几个技术名词上,不能深入理解其涵义.下面我将和大家一起分析.包过滤防火墙我们也可叫它为静态包过滤.何为包?我们知道包过滤是通过ACL规则控制数据流的,但是ACL的组成要数据流中的元素.当然一个IP数据包中最明显最核心的五元素就是:[源地址source][目标地址destination][协议][源端口sport][目标端口dport],我们过虑数据也就是这些元素的不断组合[允许|拒绝].为何能形成这五元素,大家了解点网络都知道,目的只为了实现应用程序与应用程序间的通信.那么静态又从何讲起?我们知道OSI七层协议封装,对于每个数据包都具有这五个元素.所以可以通过这五元素做一个规则集,否合ACL就通过或拒绝.因为它的元素不会改变.TCP/IP协议是不能随便改写的吧?哈哈通过上述讲解,我们看到其于这种包过滤技术的防火墙,实现简单[因为对于OSI模型来说,其操作数据有只底层的四层,从物理层|链路层|网络层|传输层|,解封装速度快,规则判断速度快]规则也简单[因为在前四层中,主要做ACL元素的只有五个,其规则集也不过是五位数的杂乱组合]在此我们看到了很多优点.包过滤防火墙的处理速度快,并且易于配置。缺点:1.当数据包穿越MTU比较小的网络时,会造成分片出现,知道出现分片是什么个情况吧?被分片的数据包其除了第一个分片有TCP/UDP报头之外,其它分片均没有TCP/UDP报送,只有IP报头.这样对于包过滤防火墙不管是攻击型的流量分片还是正常数据流分片,做出处理都将困难.2.不支持应用层协议有些实际应用中,对于端口类的要求开放等,写入了应用层.包过滤无法识别.导致通信失败如FTP|H323|SIP|RTSP|PPTP.3.不能防止应用层等恶意攻击,理由很简单,因为它根本不认识.如数据驱动攻击.向目标主机发送特定的数据流,以实现缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等.4.不能有效防止网络攻击与扫描.在此我们分析一个实例.假如我们在包过滤的网络环境下,我们要对内部的主机开放对外的80端口.在此我们要搞清楚两个情况.一是我们不知道或不能确定内部主机发起对外的WEB访问会开启源端口.二是外网的WEB服务器不确定性.我们唯一只知道的是访问的条件是目标端口是80.就是这种...
