信息安全|防火墙 笔记
网络边界
连接不同安全级别的网络之间的边界
把大规模复杂系统的安全问题,分解为多个小区域的安全保护问题
组织内的常见网络边界
内部与外部
重要部门与其他部门
总部与分机构之间
边界防御设备
UTM统一威胁管理网关
将多种安全特性集成于一个硬件设备里,构成统一管理平台
性能、稳定性、安全性均弱于单一功能安全设备
网闸
网闸在两个不同的安全域中,通过协议转换手段,以信息百度的方式实现数据交换,被系统明确要求传输的信息才可以通过
从物理上隔离、阻断了具有潜在攻击可能的一切连接
不保证数据传输的实时性和传输效率
防火墙
虚拟专用网VPN
Virtual Private Network
提供一种在公共网络上建立专用数据通道的技术
虚拟专用网是对企业内部网的扩展,通过它可以帮助分支机构、远程用户与企业内部网建立可信的安全连接,实现网络安全保密通信。
防火墙概述
高级访问控制设备,设置在网络安全域之间,是信息的唯一出入口,按照一定安全策略(允许、拒绝、检测)控制出入网络的信息流
两种默认执行准则
未被允许即禁止:封锁所有信息流,根据需要开放
未被禁止即允许:转发所有信息流,根据需要屏蔽
功能
- 控制访问
- 提供日志记录
- 便于内网安全集中管理
- 保护内网脆弱性服务
- 隐藏内网敏感信息
控制能力
- 服务控制
- 方向控制
- 用户控制
- 行为控制
访问效率(性能)
吞吐量:网络性能
时延:处理数据快慢
丢包率:稳定可靠
背对背:缓存能力,突发数据流量处理能力
并发连接数:对客户端TCP连接请求响应能力
局限性
- 内部用户的攻击
- 绕过防火墙的攻击
- 数据驱动型攻击(恶意代码)
防火墙关键技术
包过滤技术
对网络层数据包分析过滤
一句防火墙系统设置的过滤规则表,控制站点、网络之间的相互访问
检测数据包信息,一般是网络层IP头和运输层TCP\UDP头
主要基于五元组(源IP、目的IP、上层协议、源端口、目的端口)进行过滤。
也被称作静态包过滤技术
过滤规则表
- 事前人工设置
- 根据用户安全需求定制
- 进行检测时从前往后逐条进行
- 先后顺序十分重要
优点
- 简单快速
- 用户透明
- 无需专用设备,路由器即可
缺点
- 只访问头部信息
- 难以有效过滤动态分配端口服务
维护困难
状态检测技术
动态包过滤技术
基于连接的状态检测机制,将属于同一个连接的所有包作为一个整体的数据流看待,建立连接状态表,规则表与状态表相互配合
通信结束后,防火墙自动删除这条连接过滤规则
优点
安全性优、执行效率高
缺点
不能对应用层数据进行过滤
TCP ACK扫描主要适用于探测防火墙的过滤机制,而不适用于端口开放状态检测。
代理服务技术
应用层代理技术,使用该技术的防火墙也被称为‘代理服务器’‘应用代理网关’
防火墙主机上运行专用程序,根据安全策略处理用户对网络服务的请求
代理服务器本身优入侵免疫和审计功能,与身份验证服务一起完成访问控制和操作级的控制
过程
- 客户机需要外部服务器数据
- 数据请求发给代理服务器
- 代理服务器检索数据合法性
- 代理服务器向外部服务器检索数据
- 代理服务器将数据传输给客户机
优点
内外网逻辑隔离、安全性好
身份认证
分析数据包内部应用命令
缺点
每种应用服务需要专门设计
效率问题
防火墙的常见部署
DMZ非军事化区
处于Internet和内部网络之间
可以放置可供外部访问的服务器,如WWW、FTP服务器、EMAIL服务器等
内网和外网都可以访问DMZ,DMZ不能访问内网
浙公网安备 33010602011771号