浅谈防火墙Word格式文档下载.docx
- 文档编号:19668253
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:13
- 大小:31.09KB
浅谈防火墙Word格式文档下载.docx
《浅谈防火墙Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《浅谈防火墙Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
第五代防火墙
1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
防火墙原理
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。
下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
包过滤的最大优点是对用户透明,传输性能高。
但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。
对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。
对该连接的后续数据包,只要符合状态表,就可以通过。
这种方式的好处在于:
由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;
而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
防火墙分类
(1)包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。
包过滤防火墙的工作原理是:
系统在网络层检查数据包,与应用层无关。
这样系统就具有很好的传输性能,可扩展能力强。
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
(2)应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:
一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
(图2)
(3)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。
这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。
可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
(图
(4)复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。
常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。
它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
(图4)
四类防火墙的对比
包过滤防火墙:
包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
应用网关防火墙:
不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。
状态检测防火墙:
不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
复合型防火墙:
可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
防火墙功能
防火墙的五大功能
一般来说,防火墙具有以下几种功能:
1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。
2.可以很方便地监视网络的安全性,并报警。
3.可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
4.是审计和记录Internet使用费用的一个最佳地点。
网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
防火墙配置
下面我以国内防火墙第一品牌天融信NGFW4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。
NGFW4000有3个标准端口,其中一个接外网(Internet网),一个接内网,一个接DMZ区,在DMZ区中有网络服务器。
安装防火墙所要达到的效果是:
内网区的电脑可以任意访问外网,可以访问DMZ中指定的网络服务器,Internet网和DMZ的电脑不能访问内网;
Internet网可以访问DMZ中的服务器。
1、配置管理端口
天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的,管理防火墙都是通过网络中的一台电脑来实现的。
防火墙默认情况下,3个口都不是管理端口,所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来,给防火墙指定一个管理端口,以后对防火墙的设置就可以通过远程来实现了。
使用一条串口线把电脑的串口(COM1)与NGFW4000防火墙的console口连接起来,启动电脑的"
超级终端"
,端口选择COM1,通信参数设置为每秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无。
进入超级终端的界面,输入防火墙的密码进入命令行格式。
定义管理口:
ifeth1XXX.XXX.XXX.XXX255.255.255.0
修改管理口的GUI登录权限:
fireclientaddtopsec-tgui-a外网-i0.0.0.0-255.255.255.255
2、使用GUI管理软件配置防火墙
安装天融信防火墙GUI管理软件"
TOPSEC集中管理器"
,并建立NGFW4000管理项目,输入防火墙管理端口的IP地址与说明。
然后登录进入管理界面。
(1)定义网络区域
Internet(外网):
接在eth0上,缺省访问策略为any(即缺省可读、可写),日志选项为空,禁止ping、GUI、telnet。
Intranet(内网):
接在eth1上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,允许ping、GUI、telnet。
DMZ区:
接在eth2上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,禁止ping、GUI、telnet。
(2)定义网络对象
一个网络节点表示某个区域中的一台物理机器。
它可以作为访问策略中的源和目的,也可以作为通信策略中的源和目的。
网络节点同时可以作为地址映射的地址池使用,表示地址映射的实际机器,详细描述见通信策略。
子网表示一段连续的IP地址。
可以作为策略的源或目的,还可以作为NAT的地址池使用。
如果子网段中有已经被其他部门使用的IP,为了避免使用三个子网来描述技术部使用的IP地址,可以将这两个被其他部门占用的地址在例外地址中说明。
为了配置访问策略,先定义特殊的节点与子网:
FTP_SERVER:
代表FTP服务器,区域=DMZ,IP地址=XXX.XXX.XXX.XXX。
HTTP_SERVER:
代表HTTP服务器,区域=DMZ,IP地址=XXX.XXX.XXX.XXX。
MAIL_SERVER:
代表邮件服务器,区域=DMZ,IP地址=XXX.XXX.XXX.XXX。
V_SERVER:
代表外网访问的虚拟服务器,区域=Internet,IP=防火墙IP地址。
inside:
表示内网上的所有机器,区域=Intranet,起始地址=0.0.0.0,结束地址=255.255.255.255。
outside:
表示外网上的所有机器,区域=Internet,起始地址=0.0.0.0,结束地址=255.255.255.255。
(3)配置访问策略
在DMZ区域中增加三条访问策略:
A、访问目的=FTP_SERVER,目的端口=TCP21。
源=inside,访问权限=读、写。
源=outside,访问权限=读。
这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能写文件。
B、访问目的=HTTP_SERVER,目的端口=TCP80。
源=inside+outside,访问权限=读、写。
这条配置表示内网、外网的用户都可以访问HTTP服务器。
C、访问目的=MAIL_SERVER,目的端口=TCP25,TCP110。
这条配置表示内网、外网的用户都可以访问MAIL服务器。
(4)通信策略
由于内网的机器没有合法的IP地址,它们访问外网需要进行地址转换。
当内部机器访问外部机器时,可以将其地址转换为防火墙的地址,也可以转换成某个地址池中的地址。
增加一条通信策略,目的=outside,源=inside,方式=NAT,目的端口=所有端口。
如果需要转换成某个地址池中的地址,则必须先在Internet中定义一个子网,地址范围就是地址池的范围,然后在通信策略中选择NAT方式,在地址池类型中选择刚才定义的地址池。
服务器也没有合法的IP地址,必须依靠防火墙做地址映射来提供对外服务。
增加通信策略。
A、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射21->
21,目标机器=FTP_SERVER。
B、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射80->
80,目标机器=HTTP_SERVER。
C、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射25->
25,目标机器=MAIL_SERVER。
D、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射110->
110,目标机器=MAIL_SERVER。
(5)特殊端口
在防火墙默认的端口定义中没有我们所要用到的特殊端口,就需要我们手工的添加这些特殊端口了。
在防火墙集中管理器中选择"
高级管理"
>
"
特殊对象"
特殊端口"
,将弹出特殊端口的定义界面,点"
定义新对象"
,输入特殊端口号与定义区域即可。
防火墙常用术语
网关:
在两个设备之间提供转发服务的系统。
网关是互联网应用程序在两台主机之间处理流量的防火墙。
这个术语是非常常见的。
DMZ非军事化区:
为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。
防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。
吞吐量:
网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。
吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。
这是测量防火墙性能的重要指标。
最大连接数:
和吞吐量一样,数字越大越好。
但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。
防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。
数据包转发率:
是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。
SSL:
SSL(SecureSocketsLayer)是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。
它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
网络地址转换:
网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。
NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。
在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
堡垒主机:
一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
常用防火墙硬件
防火墙、UTM产品硬件平台架构分析
现在市场上的防火墙、UTM产品从其架构上来说,大概分为三大类。
第一类是基于X86平台的,这种平台通常使用一颗或多颗主CPU来处理业务数据,网卡芯片和CPU通过PCI总线来传输数据。
由于传统的32位PCI总线频率为33MHZ,所以,理论通讯速率为:
132MBBytes/S即:
1056MBits/S。
单从PCI通讯的速率上来说是可以满足千兆防火墙的需要,但实际上PCI总线在X86系统中是共享的,也就是说,如果有两个网卡同时传输数据,那么每个网卡所能获得的速率就只有66MBBytes/S,即:
528Mbits/S,如果有四个网口同时传输数据,则每个网卡所能获得的速度只有16MBBytes/S,即128Mbit/S。
从总线速度来看基于32位PCI总线的X86平台,做为百兆防火墙的方案是没有任何问题的。
但X86平台的防火墙方案,数据从网卡到CPU之间的传输机制是靠“中断”来实现的,中断机制导致在有大量数据包的需要处理的情况下(如:
64Bytes的小包,以下简称小包),X86平台的防火墙吞吐速率不高,大概在30%左右,并且CPU占用会很高。
这是所有基于X86平台的防火墙所共同存在的问题。
因此,基于32位PCI总线的X86平台是不能做为千兆防火墙使用的,因为32位PCI总线的通讯速率不能达到千兆防火墙的要求。
针对这个问题,Intel提出了解决方案,可以把32位的PCI总线升级到了PCI-E,即:
PCI-Express,这样,PCI-E4X的总线的速度就可以达到2000MBBytes/S,即:
16Gbits/S,并且PCI-E各个PCI设备之间互相独立不共享总线带宽,每个基于PCI-E的网口可以使用的带宽为:
2000MBBytes/S,即:
16Gbits/S,所以基于PCI-E4X的X86从系统带宽上来说,做为千兆防火墙是没有任何问题的。
但是,基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据,所以小包(64Bytes)的通过率仍然为:
30-40%。
第二类,基于ASIC架构的防火墙、UTM产品。
从上面对X86架构防火墙的分析中,我们了解到X86平台的防火墙其最大的缺点就是小包通速率低,只有30%-40%,造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CPU处理。
基于ASCI架构的防火墙从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的一些芯片直接处理,由这些芯片来完成传统防火墙的功能,如:
路由、NAT、防火墙规则匹配等。
这样数据不经过主CPU处理,不使用中断机制,理所当然,ASIC是做为功能简单的防火墙的最佳选择。
但随之而来的问题是,ASIC架构的防火墙是芯片一级的,所有的防火墙动作由芯片来处理。
这些芯片的功能比较单一,要升级维护的开发周期比较长。
尤其是作为多功能集成的UTM网关来说,无法在芯片一级完成杀毒、垃圾邮件过滤、网络监控等比较复杂的功能,所以说,ASIC架构用来做功能简单的防火墙,是完全适用的,64Bytes的小包都可以达到线速。
但ASIC架构做为UTM就不是理想的选择,因为ASIC架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。
第三类,基于NP架构的防火墙。
NP架构实现的原理和ASIC类似,但升级、维护远远好于ASIC架构。
NP架构在的每一个网口上都有一个网络处理器,即:
NPE,用来处理来自网口的数据。
每个网络处理器上所运行的程序使用微码编程,其软件实现的难度比较大,开发周期比ASIC短,但比X86长。
做为UTM,由于NP架构每个网口上的网络处理器性能不高,所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问监控等复杂功能。
可能有人会问?
ASIC和NP为什么不可以把网关杀毒、和垃圾邮件过滤、访问监控等这些功能放在主CPU上来实现?
这样不就可以做为UTM方案使用了吗?
这个问题问得很好,目前有很多基于NP和ASIC的UTM都是这样做的,但问题是ASIC和NP架构的防火墙,其主CPU性能很低,如:
Intel基于IXP2400的千高端NP方案,主CPU只有1.0G,处理能力还比不上Celeron1.0G,大家可以对照一下与其主频相当的X86平台的处理能力。
所以如果以ASIC和NP架构来实现一个UTM网关,只能是做为低端的方案来使用,如桌面型的UTM,而并不能做为中、高端的UTM来使用。
言归正传,那什么才是UTM网关合适的硬件方案呢?
如果要在上述三种方案中选择一种的话,非X86架构莫属,当然,随着技术的发展,还有可能出现第四种防火墙的解决方案,可以做为实现UTM网关的完美平台,但这是后话,值得我们期待。
X86平台的主要缺陷在于64Bytes的小包不能达到线速。
但在实际用户中,除非是DOS、DDOS攻击才会产生大量的的小包,用户正常的应用不可能产生大量的小包。
如果在基于X86平台的UTM产品中,解决好DOS和DDOS攻击的问题,那么,X86平台就是UTM网关理所当然的解决方案。
对于这个问题,已经有产品开发了防DOS、DDOS攻击的功能,不但可以防御来自外网的DOS攻击而且能够防御来自企业内部网络的DOS、DDOS攻击,这样我们的UTM产品就解决了这个问题,使网关的稳定性和可靠性大大加强,在UTM整体性能方面优越于NP、ASIC。
在遇到大规模的DOS、DDOS攻击时,也不会占用太多的CPU资源。
既然选择了X86做为UTM网关的硬件平台,那么,还会存在一个问题:
“如果UTM网关处理的业务比较多,是否会影响网络速度?
”,比较简单的答复是这样的:
在CPU占用低于90%的时候,是不会影响网络速度的。
因为UTM网关虽然集成了众多的功能,并且要求主CPU来处理这所有的业务。
但从业务的方面来看,是独立的,如:
收发邮件的数据就不会被做为通过HTTP上网的数据来处理,通过HTTP上网的数据也不会被做为邮件的数据来处理,所以当一个数据包通过UTM时,是分业务分流程处理的,在CPU占用90%以下时,CPU完全可以实时的处理这些业务。
但如果CPU占用超过了90%,那怎么办?
X86的平台是不是不能解决了?
答案是否定的,对于这个问题,X86的平台的方案有两种解决方法:
方法一:
支持多颗CPU。
部分高端设备都配备了2颗以上CPU,更高端的设备甚至配备4颗CPU,这样CPU的处理能力也就不会成为瓶颈。
方法二:
使用加速卡。
比如把邮件过滤做成一个加速卡安全在系统中,在主CPU发现某个数据包为邮件数据时,把该数据包交给加速卡来完成,不占用主CPU资源。
综上所述可以得出一个结论,X86架构是UTM网关理想的硬件平台,目前来看,没有其它平台可以代替。
注解:
NP:
网络处理器(NetworkProcessor)
ASIC:
专用集成电路(ApplicationSpecificIntegratedCircuit)
百兆设备:
指数据传输能力在100Mbits/S以上的网络传输设备,即:
10Mbytes/S。
千兆设备:
指数据传输能力在1000Mbits/S以上的网络传输设备,即:
100Mbytes/S
市面上常见硬件防火墙
(1)NetScreen208Firewall
NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。
NetScreen采用内置的ASIC技术,其安全设备具有低延时、高效的IPSec加密和防火墙功能,可以无缝地部署到任何网络。
设备安装和操控也是非常容易,可以通过多种管理界面包括内置的WebUI界面、命令行界面或NetScreen中央管理方案进行管理。
NetScreen将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。
由于NetScreen设备没有其它品牌产品对硬盘驱动器所存在的稳定性问题,所以它是对在线时间要求极高的用户的最佳方案。
采用NetScreen设备,只需要对防火墙、VPN和流量管理功能进行配置和管理,减省了配置另外的硬件和复杂性操作系统的需要。
这个做法缩短了安装和管理的时间,并在防范安全漏洞的工作上,省略设置的步骤。
NetScreen-100Firewall比适合中型企业的网络安全需求。
(2)CiscoSecurePIX515-EFirewall
CiscoSecurePIX防火墙是Cisco防火墙家族中的专用防火墙设施。
CiscoSecurePIX515-E防火墙系通过端到端安全服务的有机组合,提供了很高的安全性。
适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。
CiscoSecurePIX515-E与普通的CPU密集型专用代理服务器(对应用级的每一个数据包都要进行大量处理)不同,CiscoSecurePIX515-E防火墙采用非UNIX、安全、实时的内置系统。
可提供扩展和重新配置IP网络的特性,同时不会引起IP地址短缺问题。
NAT既可利用现有IP地址,也可利用Internet指定号码机
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 浅谈 防火墙