防火墙知识点详解.doc

第一章 防火墙定义：防火墙是位于两个（或多个）网络之间，实施访问控制策略的一个或一组组件的集合。（或者防火墙是设置在本地计算机或内联网络与外联网络之间，保护本地网络或内联网络免遭来自外部网络的威胁和入侵的一道屏障。） 防火墙位置：物理位置，安装在内联网络与外联网络的交界点上；对于个人防火墙来说，是指安装在单台主机硬盘上的软件系统。 逻辑位置：防火墙与网络协议相对应的逻辑层次关系。 防火墙理论特性：根据信息安全理论对其提出的要求而设置的安全功能，是各种防火墙的共性作用。 防火墙从理论上讲是分离器、限制器和分析器，即防火墙要实现四类控制功能： 方向控制：防火墙能够控制特定的服务请求通过它的方向； 服务控制：防火墙可以控制用户可以访问的网络服务类型； 行为控制：防火墙能够控制使用特定服务的方式； 用户控制：防火墙能够控制能够进行网络访问的用户。 防火墙规则 过滤规则 设计原则：a.拒绝访问一切未予特许的服务：这个原则也被称为限制性原则，在该规则下，防火墙阻断所有的数据流，只允许符合开放规则的数据流进出。 b.允许访问一切未被特许拒绝的服务：该规则也被称为连通性原则，在该规则下，防火墙只禁止符合屏蔽规则的数据流，而允许转发其他所有数据流。 防火墙分类 按采用的主要技术划分：包过滤型防火墙、代理型防火墙 按具体实现划分：（1）多重宿主主机：安放在内联网络和外联网络接口上的一台堡垒主机，它提供最少两个网络接口，一个与内联网络连接，另一个与外联网络连接。 筛选路由器：用一台放置在内联网络与外联网络之间的路由器来实现。它对进出内联网络的所有信息进行分析，并按照一定的信息过滤规则对进出内联网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。 屏蔽主机：由内联网络和外联网络之间的一台过滤路由器和一台堡垒主机构成。它强迫所有外部主机与堡垒主机相连接，而不让他们与内部主机直接相连。 屏蔽子网：它对网络的安全保护通过两台包过滤路由器和在这两个路由器之间构筑的子网来实现。 防火墙的优点 防火墙是网络安全的屏障 防火墙实现了对内网系统的访问控制 部署NAT机制 提供整体安全解决平台 防止内部信息外泄 监控和审计网络行为 防火墙系统具有集中安全性 在防火墙上可以很方便的监视网络的信息流，并产生警告信息。 防火墙的缺点 限制网络服务 对内部用户防范不足 不能防范旁路连接 不适合进行病毒检测 无法防范数据驱动型攻击 无法防范所有威胁 配置问题。防火墙管理人员在配置过滤规则时经常出错。 无法防范内部人员泄露机密信息 速度问题 单失效点问题 第二章 TCP/IP包头 包过滤技术 概念：又称为报文过滤技术，执行边界访问控制功能，即对网络通信数据进行过滤。 技术原理： 过滤对象：a.针对IP的过滤，查看每个IP数据包的包头，将包头数据与规则集相比较，转发规则集允许的数据包，拒绝规则集不允许的数据包。 b.针对ICMP的过滤。阻止存在泄漏用户网络敏感信息的危险的ICMP数据包进出网络；拒绝所有可能会被攻击者利用、对用户网络进行破坏的ICMP数据包。 c.针对TCP的过滤，常见的为端口过滤和对标志位的过滤。 d.针对UDP的过滤，要么阻塞某个端口，要么听之任之。 优点：包过滤技术实现简单、快速； 包过滤技术的实现对用户是透明的； 包过滤技术的检查规则相对简单，因此操作耗时极短，执行效率非常高 缺点： 包过滤技术过滤思想简单，对信息的处理能力有限； 当过滤规则增多时，对过滤规则的维护是一个非常困难得问题； 包过滤技术控制层次较低，不能实现用户级控制。 状态检测技术 技术原理：状态检测技术根据连接的“状态”进行检查，当一个连接的初始数据报文到达执行状态检测的防火墙时，首先要检查该报文是否符合安全过滤规则的规定。如果该报文与规定相符合，则将该连接的信息记录下来并自动添加一条允许该连接通过的过滤规则，然后向目的地转发该报文。以后凡是属于该连接的数据防火墙一律予以放行，包括从内向外和从外向内的双向数据流。在通信结束、释放该连接以后，防火墙将自动删除该连接的过滤规则。动态过滤规则存储在连接状态表中，并由防火墙维护。 状态：状态根据使用的协议的不同而有不同的形式，可以根据相应协议的有限状态机来定义，一般包括NEW ,ESTABLISHED ,RELATED ,CLOSED。 状态检测技术的优点 安全性比静态包过滤技术高； 与静态包过滤技术相比，提高了防火墙的性能。 状态检测技术的缺点 主要工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高； 检查内容多，对防火墙的性能提出了更高的要求。 代理技术 代理的执行分为以下两种情况：一种情况是代理服务器监听来自内联网络的服务请求；另一种情况是内部主机只接收代理服务器转发的信息而不接收任何外部地址