- 1、本文档共3页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
防火墙的基本分类
1.包过滤防火墙
第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,
取决于所建立的一套规则。这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,
作为防火墙的设备可能有两块网卡NIC,一块连到内部网络,一块连到公共的Internet。
防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息源地址和目的地址、端口
号、协议等。然后,将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接,
而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口
为80,则包就会被放行。
多个复杂规则的组合也是可行的。如果允许Web连接,但只针对特定的服务器,目的
端口和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么
事情了。通常,为了安全起见,与传入规则不匹配的包就被丢弃了。如果有理由让该包通
过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:
对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头
部信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。而且,如果
黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从
网络内部发起攻击。
在公共网络,只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web
连接。这条规则也允许与Web连接使用相同端口的连接,所以它并不是十分安全。
丢弃从公共网络传入的包,而这些包都有你的网络内的源地址,从而减少IP欺骗性
的攻击。丢弃包含源路由信息的包,以减少源路由攻击。要记住,在源路由攻击中,传入
的包包含路由信息,它覆盖了包通过网络应采取得正常路由,可能会绕过已有的安全程序。
通过忽略源路由信息,防火墙可以减少这种方式的攻击。
2.状态/动态检测防火墙
状态/动态检测防火墙,试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使
用一组附加的标准,以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信
上应用一些技术来做到这点的。
当包过滤防火墙见到一个网络包,包是孤立存在的。它没有防火墙所关心的历史或未
来。允许和拒绝包的决定完全取决于包自身所包含的信息,如源地址、目的地址、端口号
等。包中没有包含任何描述它在信息流中的位置的信息,则该包被认为是无状态的;它仅
是存在而已。
一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态,防火墙
还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。
例如,如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位
于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是
要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。
一个状态/动态检测防火墙可截断所有传入的通信,而允许所有传出的通信。因为防
火墙跟踪内部出去的请求,所有按要求传入的数据被允许通过,直到连接被关闭为止。只
有未被请求的传入通信被截断。
如果在防火墙内正运行一台服务器,配置就会变得稍微复杂一些,但状态包检查是很
有力和适应性的技术。例如,可以将防火墙配置成只允许从特定端口进入的通信,只可传
到特定服务器。如果正在运行Web服务器,防火墙只将80端口传入的通信发到指定的Web
服务器。
状态/动态检测防火墙可提供的其他一些额外的服务有:
将某些类型的连接重定向到审核服务中去。例如,到专用Web服务器的连接,在Web
服务器连接被允许之前,可能被发到SecutID服务器用一次性口令来使用。
拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含
ActiveX程序的Web页面。
跟踪连接状态的方式取决于包通过防火墙的类型:
TCP包。当建立起一个TCP连接时,通过的第一个包被标有包的SYN标志。通常情况
下,防火墙丢弃所有外部的连接企图,除非已经建立起某条特定规则来处理它们。对内部
的连接试图连到外部主机,防火墙注明连接包,允许响应及随后再两个系统之间的包,直
文档评论(0)