静态包过滤防火墙、动态(状态检测)包过滤防火墙、应用层(代理)防火墙这三类防火墙适用情况 包过滤防火墙 、包状态检查防火墙、应用层代理、电路层网关和自...
\u9759\u6001\u5305\u8fc7\u6ee4\u9632\u706b\u5899\u3001\u52a8\u6001\uff08\u72b6\u6001\u68c0\u6d4b\uff09\u5305\u8fc7\u6ee4\u9632\u706b\u5899\u3001\u5e94\u7528\u5c42\uff08\u4ee3\u7406\uff09\u9632\u706b\u5899\u8fd9\u4e09\u7c7b\u9632\u706b\u5899\u9002\u7528\u60c5\u51b5//ok\uff0c\u6211\u6539 //\u5305\u8fc7\u6ee4\u7684\u9632\u706b\u5899\u6700\u7b80\u5355\uff0c\u4f60\u53ef\u4ee5\u6307\u5b9a\u8ba9\u67d0\u4e2aIP\u6216\u67d0\u4e2a\u7aef\u53e3\u6216\u67d0\u4e2a\u7f51\u6bb5\u7684\u6570\u636e\u5305\u901a\u8fc7[\u6216\u4e0d\u901a\u8fc7]\uff0c\u5b83\u4e0d\u652f\u6301\u5e94\u7528\u5c42\u7684\u8fc7\u6ee4\uff0c\u4e0d\u652f\u6301\u6570\u636e\u5305\u5185\u5bb9\u7684\u8fc7\u6ee4\u3002 //\u72b6\u6001\u9632\u706b\u5899\u66f4\u590d\u6742\u4e00\u70b9\uff0c\u6309\u7167TCP\u57fa\u4e8e\u72b6\u6001\u7684\u7279\u70b9\uff0c\u5728\u9632\u706b\u5899\u4e0a\u8bb0\u5f55\u5404\u4e2a\u8fde\u63a5\u7684\u72b6\u6001\uff0c\u8fd9\u53ef\u4ee5\u5f25\u8865\u5305\u8fc7\u6ee4\u9632\u706b\u5899\u7684\u7f3a\u70b9\uff0c\u6bd4\u5982\u4f60\u5141\u8bb8\u4e86ip\u4e3a1.1.1.1\u7684\u6570\u636e\u5305\u901a\u8fc7\u9632\u706b\u5899\uff0c\u4f46\u662f\u6076\u610f\u7684\u4eba\u4f2a\u9020ip\u7684\u8bdd\uff0c\u6ca1\u6709\u901a\u8fc7tcp\u7684\u4e09\u6b21\u63e1\u624b\u4e5f\u53ef\u4ee5\u95ef\u8fc7\u5305\u8fc7\u6ee4\u9632\u706b\u5899\u3002 //\u5e94\u7528\u4ee3\u7406\u7f51\u5173\u9632\u706b\u5899\u5f7b\u5e95\u9694\u65ad\u5185\u7f51\u4e0e\u5916\u7f51\u7684\u76f4\u63a5\u901a\u4fe1\uff0c\u5185\u7f51\u7528\u6237\u5bf9\u5916\u7f51\u7684\u8bbf\u95ee\u53d8\u6210\u9632\u706b\u5899\u5bf9\u5916\u7f51\u7684\u8bbf\u95ee\uff0c\u7136\u540e\u518d\u7531\u9632\u706b\u5899\u8f6c\u53d1\u7ed9\u5185\u7f51\u7528\u6237\u3002\u6240\u6709\u901a\u4fe1\u90fd\u5fc5\u987b\u7ecf\u5e94\u7528\u5c42\u4ee3\u7406\u8f6f\u4ef6\u8f6c\u53d1\uff0c\u8bbf\u95ee\u8005\u4efb\u4f55\u65f6\u5019\u90fd\u4e0d\u80fd\u4e0e\u670d\u52a1\u5668\u5efa\u7acb\u76f4\u63a5\u7684 TCP \u8fde\u63a5\uff0c\u5e94\u7528\u5c42\u7684\u534f\u8bae\u4f1a\u8bdd\u8fc7\u7a0b\u5fc5\u987b\u7b26\u5408\u4ee3\u7406\u7684\u5b89\u5168\u7b56\u7565\u8981\u6c42\u3002 \u5e94\u7528\u4ee3\u7406\u7f51\u5173\u7684\u4f18\u70b9\u662f\u53ef\u4ee5\u68c0\u67e5\u5e94\u7528\u5c42\u3001\u4f20\u8f93\u5c42\u548c\u7f51\u7edc\u5c42\u7684\u534f\u8bae\u7279\u5f81\uff0c\u5bf9\u6570\u636e\u5305\u7684\u68c0\u6d4b\u80fd\u529b\u6bd4\u8f83\u5f3a\u3002 // \u4e00\u3001\u5f53\u524d\u9632\u706b\u5899\u6280\u672f\u5206\u7c7b \u9632\u706b\u5899\u6280\u672f\u7ecf\u5386\u4e86\u5305\u8fc7\u6ee4\u3001\u5e94\u7528\u4ee3\u7406\u7f51\u5173\u3001\u518d\u5230\u72b6\u6001\u68c0\u6d4b\u4e09\u4e2a\u9636\u6bb5\u3002 1.1 \u5305\u8fc7\u6ee4\u6280\u672f \u5305\u8fc7\u6ee4\u9632\u706b\u5899\u5de5\u4f5c\u5728\u7f51\u7edc\u5c42\uff0c\u5bf9\u6570\u636e\u5305\u7684\u6e90\u53ca\u76ee\u5730 IP \u5177\u6709\u8bc6\u522b\u548c\u63a7\u5236\u4f5c\u7528\uff0c\u5bf9\u4e8e\u4f20\u8f93\u5c42\uff0c\u4e5f\u53ea\u80fd\u8bc6\u522b\u6570\u636e\u5305\u662f TCP \u8fd8\u662f UDP \u53ca\u6240\u7528\u7684\u7aef\u53e3\u4fe1\u606f\uff0c\u5982\u4e0b\u56fe\u6240\u793a\u3002\u73b0\u5728\u7684\u8def\u7531\u5668\u3001 Switch Router \u4ee5\u53ca\u67d0\u4e9b\u64cd\u4f5c\u7cfb\u7edf\u5df2\u7ecf\u5177\u6709\u7528 Packet Filter \u63a7\u5236\u7684\u80fd\u529b\u3002 \u7531\u4e8e\u53ea\u5bf9\u6570\u636e\u5305\u7684 IP \u5730\u5740\u3001 TCP/UDP \u534f\u8bae\u548c\u7aef\u53e3\u8fdb\u884c\u5206\u6790\uff0c\u5305\u8fc7\u6ee4\u9632\u706b\u5899\u7684\u5904\u7406\u901f\u5ea6\u8f83\u5feb\uff0c\u5e76\u4e14\u6613\u4e8e\u914d\u7f6e\u3002 \u5305\u8fc7\u6ee4\u9632\u706b\u5899\u5177\u6709\u6839\u672c\u7684\u7f3a\u9677\uff1a 1 \uff0e\u4e0d\u80fd\u9632\u8303\u9ed1\u5ba2\u653b\u51fb\u3002\u5305\u8fc7\u6ee4\u9632\u706b\u5899\u7684\u5de5\u4f5c\u57fa\u4e8e\u4e00\u4e2a\u524d\u63d0\uff0c\u5c31\u662f\u7f51\u7ba1\u77e5\u9053\u54ea\u4e9b IP \u662f\u53ef\u4fe1\u7f51\u7edc\uff0c\u54ea\u4e9b\u662f\u4e0d\u53ef\u4fe1\u7f51\u7edc\u7684 IP \u5730\u5740\u3002\u4f46\u662f\u968f\u7740\u8fdc\u7a0b\u529e\u516c\u7b49\u65b0\u5e94\u7528\u7684\u51fa\u73b0\uff0c\u7f51\u7ba1\u4e0d\u53ef\u80fd\u533a\u5206\u51fa\u53ef\u4fe1\u7f51\u7edc\u4e0e\u4e0d\u53ef\u4fe1\u7f51\u7edc\u7684\u754c\u9650\uff0c\u5bf9\u4e8e\u9ed1\u5ba2\u6765\u8bf4\uff0c\u53ea\u9700\u5c06\u6e90 IP \u5305\u6539\u6210\u5408\u6cd5 IP \u5373\u53ef\u8f7b\u677e\u901a\u8fc7\u5305\u8fc7\u6ee4\u9632\u706b\u5899\uff0c\u8fdb\u5165\u5185\u7f51\uff0c\u800c\u4efb\u4f55\u4e00\u4e2a\u521d\u7ea7\u6c34\u5e73\u7684\u9ed1\u5ba2\u90fd\u80fd\u8fdb\u884c IP \u5730\u5740\u6b3a\u9a97\u3002 2 \uff0e\u4e0d\u652f\u6301\u5e94\u7528\u5c42\u534f\u8bae\u3002\u5047\u5982\u5185\u7f51\u7528\u6237\u63d0\u51fa\u8fd9\u6837\u4e00\u4e2a\u9700\u6c42\uff0c\u53ea\u5141\u8bb8\u5185\u7f51\u5458\u5de5\u8bbf\u95ee\u5916\u7f51\u7684\u7f51\u9875\uff08\u4f7f\u7528 HTTP \u534f\u8bae\uff09\uff0c\u4e0d\u5141\u8bb8\u53bb\u5916\u7f51\u4e0b\u8f7d\u7535\u5f71\uff08\u4e00\u822c\u4f7f\u7528 FTP \u534f\u8bae\uff09\u3002\u5305\u8fc7\u6ee4\u9632\u706b\u5899\u65e0\u80fd\u4e3a\u529b\uff0c\u56e0\u4e3a\u5b83\u4e0d\u8ba4\u8bc6\u6570\u636e\u5305\u4e2d\u7684\u5e94\u7528\u5c42\u534f\u8bae\uff0c\u8bbf\u95ee\u63a7\u5236\u7c92\u5ea6\u592a\u7c97\u7cd9\u3002 3 \uff0e\u4e0d\u80fd\u5904\u7406\u65b0\u7684\u5b89\u5168\u5a01\u80c1\u3002\u5b83\u4e0d\u80fd\u8ddf\u8e2a TCP \u72b6\u6001\uff0c\u6240\u4ee5\u5bf9 TCP \u5c42\u7684\u63a7\u5236\u6709\u6f0f\u6d1e\u3002\u5982\u5f53\u5b83\u914d\u7f6e\u4e86\u4ec5\u5141\u8bb8\u4ece\u5185\u5230\u5916\u7684 TCP \u8bbf\u95ee\u65f6\uff0c\u4e00\u4e9b\u4ee5 TCP \u5e94\u7b54\u5305\u7684\u5f62\u5f0f\u4ece\u5916\u90e8\u5bf9\u5185\u7f51\u8fdb\u884c\u7684\u653b\u51fb\u4ecd\u53ef\u4ee5\u7a7f\u900f\u9632\u706b\u5899\u3002 \u7efc\u4e0a\u53ef\u89c1\uff0c\u5305\u8fc7\u6ee4\u9632\u706b\u5899\u6280\u672f\u9762\u592a\u8fc7\u521d\u7ea7\uff0c\u5c31\u597d\u6bd4\u4e00\u4f4d\u4fdd\u5b89\u53ea\u80fd\u6839\u636e\u8bbf\u5ba2\u6765\u81ea\u54ea\u4e2a\u7701\u5e02\u6765\u5224\u65ad\u662f\u5426\u5141\u8bb8\u4ed6\uff08\u5979\uff09\u8fdb\u5165\u4e00\u6837\uff0c\u96be\u4ee5\u5c65\u884c\u4fdd\u62a4\u5185\u7f51\u5b89\u5168\u7684\u804c\u8d23\u3002 1.2 \u5e94\u7528\u4ee3\u7406\u7f51\u5173\u6280\u672f \u5e94\u7528\u4ee3\u7406\u7f51\u5173\u9632\u706b\u5899\u5f7b\u5e95\u9694\u65ad\u5185\u7f51\u4e0e\u5916\u7f51\u7684\u76f4\u63a5\u901a\u4fe1\uff0c\u5185\u7f51\u7528\u6237\u5bf9\u5916\u7f51\u7684\u8bbf\u95ee\u53d8\u6210\u9632\u706b\u5899\u5bf9\u5916\u7f51\u7684\u8bbf\u95ee\uff0c\u7136\u540e\u518d\u7531\u9632\u706b\u5899\u8f6c\u53d1\u7ed9\u5185\u7f51\u7528\u6237\u3002\u6240\u6709\u901a\u4fe1\u90fd\u5fc5\u987b\u7ecf\u5e94\u7528\u5c42\u4ee3\u7406\u8f6f\u4ef6\u8f6c\u53d1\uff0c\u8bbf\u95ee\u8005\u4efb\u4f55\u65f6\u5019\u90fd\u4e0d\u80fd\u4e0e\u670d\u52a1\u5668\u5efa\u7acb\u76f4\u63a5\u7684 TCP \u8fde\u63a5\uff0c\u5e94\u7528\u5c42\u7684\u534f\u8bae\u4f1a\u8bdd\u8fc7\u7a0b\u5fc5\u987b\u7b26\u5408\u4ee3\u7406\u7684\u5b89\u5168\u7b56\u7565\u8981\u6c42\u3002 \u5e94\u7528\u4ee3\u7406\u7f51\u5173\u7684\u4f18\u70b9\u662f\u53ef\u4ee5\u68c0\u67e5\u5e94\u7528\u5c42\u3001\u4f20\u8f93\u5c42\u548c\u7f51\u7edc\u5c42\u7684\u534f\u8bae\u7279\u5f81\uff0c\u5bf9\u6570\u636e\u5305\u7684\u68c0\u6d4b\u80fd\u529b\u6bd4\u8f83\u5f3a\u3002 \u7f3a\u70b9\u4e5f\u975e\u5e38\u7a81\u51fa\uff0c\u4e3b\u8981\u6709\uff1a \u00b7 \u96be\u4e8e\u914d\u7f6e\u3002\u7531\u4e8e\u6bcf\u4e2a\u5e94\u7528\u90fd\u8981\u6c42\u5355\u72ec\u7684\u4ee3\u7406\u8fdb\u7a0b\uff0c\u8fd9\u5c31\u8981\u6c42\u7f51\u7ba1\u80fd\u7406\u89e3\u6bcf\u9879\u5e94\u7528\u534f\u8bae\u7684\u5f31\u70b9\uff0c\u5e76\u80fd\u5408\u7406\u7684\u914d\u7f6e\u5b89\u5168\u7b56\u7565\uff0c\u7531\u4e8e\u914d\u7f6e\u7e41\u7410\uff0c\u96be\u4e8e\u7406\u89e3\uff0c\u5bb9\u6613\u51fa\u73b0\u914d\u7f6e\u5931\u8bef\uff0c\u6700\u7ec8\u5f71\u54cd\u5185\u7f51\u7684\u5b89\u5168\u9632\u8303\u80fd\u529b\u3002 \u00b7 \u5904\u7406\u901f\u5ea6\u975e\u5e38\u6162\u3002\u65ad\u6389\u6240\u6709\u7684\u8fde\u63a5\uff0c\u7531\u9632\u706b\u5899\u91cd\u65b0\u5efa\u7acb\u8fde\u63a5\uff0c\u7406\u8bba\u4e0a\u53ef\u4ee5\u4f7f\u5e94\u7528\u4ee3\u7406\u9632\u706b\u5899\u5177\u6709\u6781\u9ad8\u7684\u5b89\u5168\u6027\u3002\u4f46\u662f\u5b9e\u9645\u5e94\u7528\u4e2d\u5e76\u4e0d\u53ef\u884c\uff0c\u56e0\u4e3a\u5bf9\u4e8e\u5185\u7f51\u7684\u6bcf\u4e2a Web \u8bbf\u95ee\u8bf7\u6c42\uff0c\u5e94\u7528\u4ee3\u7406\u90fd\u9700\u8981\u5f00\u4e00\u4e2a\u5355\u72ec\u7684\u4ee3\u7406\u8fdb\u7a0b\uff0c\u5b83\u8981\u4fdd\u62a4\u5185\u7f51\u7684 Web \u670d\u52a1\u5668\u3001\u6570\u636e\u5e93\u670d\u52a1\u5668\u3001\u6587\u4ef6\u670d\u52a1\u5668\u3001\u90ae\u4ef6\u670d\u52a1\u5668\uff0c\u53ca\u4e1a\u52a1\u7a0b\u5e8f\u7b49\uff0c\u5c31\u9700\u8981\u5efa\u7acb\u4e00\u4e2a\u4e2a\u7684\u670d\u52a1\u4ee3\u7406\uff0c\u4ee5\u5904\u7406\u5ba2\u6237\u7aef\u7684\u8bbf\u95ee\u8bf7\u6c42\u3002\u8fd9\u6837\uff0c\u5e94\u7528\u4ee3\u7406\u7684\u5904\u7406\u5ef6\u8fdf\u4f1a\u5f88\u5927\uff0c\u5185\u7f51\u7528\u6237\u7684\u6b63\u5e38 Web \u8bbf\u95ee\u4e0d\u80fd\u53ca\u65f6\u5f97\u5230\u54cd\u5e94\u3002 \u603b\u4e4b\uff0c\u5e94\u7528\u4ee3\u7406\u9632\u706b\u5899\u4e0d\u80fd\u652f\u6301\u5927\u89c4\u6a21\u7684\u5e76\u53d1\u8fde\u63a5\uff0c\u5728\u5bf9\u901f\u5ea6\u654f\u611f\u7684\u884c\u4e1a\u4f7f\u7528\u8fd9\u7c7b\u9632\u706b\u5899\u65f6\u7b80\u76f4\u662f\u707e\u96be\u3002\u53e6\u5916\uff0c\u9632\u706b\u5899\u6838\u5fc3\u8981\u6c42\u9884\u5148\u5185\u7f6e\u4e00\u4e9b\u5df2\u77e5\u5e94\u7528\u7a0b\u5e8f\u7684\u4ee3\u7406\uff0c\u4f7f\u5f97\u4e00\u4e9b\u65b0\u51fa\u73b0\u7684\u5e94\u7528\u5728\u4ee3\u7406\u9632\u706b\u5899\u5185\u88ab\u65e0\u60c5\u5730\u963b\u65ad\uff0c\u4e0d\u80fd\u5f88\u597d\u5730\u652f\u6301\u65b0\u5e94\u7528\u3002 \u5728 IT \u9886\u57df\u4e2d\uff0c\u65b0\u5e94\u7528\u3001\u65b0\u6280\u672f\u3001\u65b0\u534f\u8bae\u5c42\u51fa\u4e0d\u7a77\uff0c\u4ee3\u7406\u9632\u706b\u5899\u5f88\u96be\u9002\u5e94\u8fd9\u79cd\u5c40\u9762\u3002\u56e0\u6b64\uff0c\u5728\u4e00\u4e9b\u91cd\u8981\u7684\u9886\u57df\u548c\u884c\u4e1a\u7684\u6838\u5fc3\u4e1a
\u9632\u706b\u5899\u8fd9\u79cd\u8001\u4e09\u6837\u9632\u706b\u5899\u7684\u5927\u90e8\u5206\u529f\u80fd\u662f\u7f51\u7edc\u4e09\u5c42\u4ee5\u4e0b\u5de5\u4f5c\u7684\uff0c\u76ee\u524d\u9ad8\u7aef\u7684\u4f01\u4e1a\u7ea7\u5e94\u7528\u9632\u706b\u5899\u7684\u8bdd\u5728\u201c\u5e94\u7528\u5c42\u4ee3\u7406\u201d\u7b49\u8fd9\u79cd\u5e94\u7528\u63a7\u5236\u529f\u80fd\u7684\u8bdd\uff0c\u5927\u90e8\u5206\u5de5\u4f5c\u5728\u5e94\u7528\u5c42
//ok,我改//包过滤的防火墙最简单,你可以指定让某个IP或某个端口或某个网段的数据包通过[或不通过],它不支持应用层的过滤,不支持数据包内容的过滤。
//状态防火墙更复杂一点,按照TCP基于状态的特点,在防火墙上记录各个连接的状态,这可以弥补包过滤防火墙的缺点,比如你允许了ip为1.1.1.1的数据包通过防火墙,但是恶意的人伪造ip的话,没有通过tcp的三次握手也可以闯过包过滤防火墙。
//应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
//
一、当前防火墙技术分类
防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。
1.1 包过滤技术
包过滤防火墙工作在网络层,对数据包的源及目地 IP 具有识别和控制作用,对于传输层,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息,如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。
由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。
包过滤防火墙具有根本的缺陷:
1 .不能防范黑客攻击。包过滤防火墙的工作基于一个前提,就是网管知道哪些 IP 是可信网络,哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现,网管不可能区分出可信网络与不可信网络的界限,对于黑客来说,只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙,进入内网,而任何一个初级水平的黑客都能进行 IP 地址欺骗。
2 .不支持应用层协议。假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用 HTTP 协议),不允许去外网下载电影(一般使用 FTP 协议)。包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。
3 .不能处理新的安全威胁。它不能跟踪 TCP 状态,所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时,一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。
综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样,难以履行保护内网安全的职责。
1.2 应用代理网关技术
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
缺点也非常突出,主要有:
· 难于配置。由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略,由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。
· 处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行,因为对于内网的每个 Web 访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的 Web 服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常 Web 访问不能及时得到响应。
总之,应用代理防火墙不能支持大规模的并发连接,在对速度敏感的行业使用这类防火墙时简直是灾难。另外,防火墙核心要求预先内置一些已知应用程序的代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。
在 IT 领域中,新应用、新技术、新协议层出不穷,代理防火墙很难适应这种局面。因此,在一些重要的领域和行业的核心业务应用中,代理防火墙正被逐渐疏远。
但是,自适应代理技术的出现让应用代理防火墙技术出现了新的转机,它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了 10 倍。
1.3 状态检测技术
我们知道, Internet 上传输的数据都必须遵循 TCP/IP 协议,根据 TCP 协议,每个可靠连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段,我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
网关防火墙的一个挑战就是能处理的流量,状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
任何一款高性能的防火墙,都会采用状态检测技术。
从 2000 年开始,国内的著名防火墙公司,如北京天融信等公司,都开始采用这一最新的体系架构,并在此基础上,天融信 NGFW4000 创新推出了核检测技术,在操作系统内核模拟出典型的应用层协议,在内核实现对应用层协议的过滤,在实现安全目标的同时可以得到极高的性能。目前支持的协议有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的应用协议。
二、防火墙发展的新技术趋势
2.1 新需求引发的技术走向
防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求。
· 远程办公的增长。这次全国主要城市先后受到 SARS 病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的 VPN (虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
· 内部网络 “ 包厢化 ” ( compartmentalizing )。人们通常认为处在防火墙保护下的内网是可信的,只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ” ,对每个 “ 包厢 ” 实施独立的安全策略。
2.2 黑客攻击引发的技术走向
防火墙作为内网的贴身保镖,黑客攻击的特点也决定了防火墙的技术走向。
80 端口的关闭。从受攻击的协议和端口来看,排在第一位的就是 HTTP 协议( 80 端口)。
根据 SANS 的调查显示,提供 HTTP 服务的 IIS 和 Apache 是最易受到攻击,这说明 80 端口所引发的威胁最多。
因此,无论是未来的防火墙技术还是现在应用的防火墙产品,都应尽可能将 80 端口关闭。
· 数据包的深度检测。 IT 业界权威机构 Gartner 认为代理不是阻止未来黑客攻击的关键,但是防火墙应能分辨并阻止数据包的恶意行为,包检测的技术方案需要增加签名检测 (signature inspection) 等新的功能,以查找已经的攻击,并分辨出哪些是正常的数据流,哪些是异常数据流。
· 协同性。从黑客攻击事件分析,对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护网络安全的任务。早在 2000 年,北京天融信公司就已经认识到了协同的必要性和紧迫性,推出了 TOPSEC 协议,与 IDS 等其他安全设备联动,与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和 IDS 的联动和认证服务器进行联动。如支持国内十几家知名的 IDS 、安全管理系统、安全审计、其他认证系统等等组成完整的 TOPSEC 解决方案。 2002 年 9 月,北电、思科和 Check Point 一道宣布共同推出安全产品,也体现了厂商之间优势互补、互通有无的趋势。
绛旓細闃茬伀澧欏彲鍒嗕负鍖呰繃婊ら槻鐏銆鐘舵/鍔ㄦ佹娴嬮槻鐏銆佸簲鐢ㄥ眰闃茬伀澧欑瓑鍑犵绫诲瀷銆1銆鍖呰繃婊ら槻鐏锛缃戠粶灞傞槻鐏锛夎繖鏄涓浠闃茬伀澧欙紝涓昏鍦ㄧ綉缁滃眰瀵规暟鎹寘杩涜杩囨护銆傚畠鏍规嵁棰勮鐨勮鍒欙紝鍏佽绗﹀悎瑙勫垯鐨勬暟鎹寘閫氳繃锛屽叾浣欐暟鎹寘鍒欒闃绘銆傝繖绉嶉槻鐏涓昏閽堝缃戠粶灞傜殑鏀诲嚮锛屽IP鍦板潃娆洪獥銆佺鍙f壂鎻忕瓑銆2銆佺姸鎬/鍔ㄦ佹...
绛旓細闃茬伀澧欐寜鐓ф娴嬫妧鏈彲鍒嗕负鍖呰繃婊ら槻鐏銆佷唬鐞嗛槻鐏鍜鐘舵佹娴嬮槻鐏銆1銆佸寘杩囨护闃茬伀澧 杩欑闃茬伀澧欎富瑕佹牴鎹暟鎹寘澶翠俊鎭繘琛岃繃婊わ紝閫氬父鍙兘杩囨护鏁版嵁鍖呯殑IP鍦板潃銆佺鍙e彿绛夛紝闅句互闃茶寖榛戝鏀诲嚮锛屼笖瀹规槗閫犳垚鏁版嵁鍖呬涪澶便2銆佷唬鐞嗛槻鐏 杩欑闃茬伀澧欓氳繃浠g悊鏈嶅姟鍣ㄨ繘琛屾暟鎹浆鍙戯紝鍙湁鏁堥伩鍏嶇綉缁滆繛鎺ョ殑鐩存帴鏆撮湶锛屼絾浼氶檷浣庣綉...
绛旓細//鐘舵侀槻鐏鏇村鏉備竴鐐癸紝鎸夌収TCP鍩轰簬鐘舵佺殑鐗圭偣锛屽湪闃茬伀澧欎笂璁板綍鍚勪釜杩炴帴鐨勭姸鎬侊紝杩欏彲浠ュ讥琛鍖呰繃婊ら槻鐏鐨勭己鐐癸紝姣斿浣犲厑璁镐簡ip涓1.1.1.1鐨勬暟鎹寘閫氳繃闃茬伀澧欙紝浣嗘槸鎭舵剰鐨勪汉浼爄p鐨勮瘽锛屾病鏈夐氳繃tcp鐨勪笁娆℃彙鎵嬩篃鍙互闂繃鍖呰繃婊ら槻鐏銆 //搴旂敤浠g悊缃戝叧闃茬伀澧欏交搴曢殧鏂唴缃戜笌澶栫綉鐨勭洿鎺ラ氫俊锛屽唴缃戠敤鎴峰澶栫綉...
绛旓細闃茬伀澧鐨勬牳蹇冩妧鏈寘鎷鍖呰繃婊鎶鏈佸簲鐢ㄤ唬鐞嗘妧鏈鐘舵佹鏌ャ侀氫俊杩囨护銆鍔ㄦ璺敱杩囨护鎶鏈佽闂帶鍒舵妧鏈1銆佸寘杩囨护鎶鏈細杩欐槸涓绉嶇畝鍗曘佹湁鏁堢殑瀹夊叏鎺у埗鎶鏈紝宸ヤ綔鍦ㄧ綉缁滃眰锛岄氳繃鍦ㄧ綉缁滈棿鐩镐簰杩炴帴鐨勮澶囦笂鍔犺浇鍏佽鎴栫姝㈡潵鑷煇浜涚壒瀹氭簮鍦板潃銆佺洰鐨勫湴鍧銆乀CP绔彛鍙风瓑瑙勫垯锛屽閫氳繃璁惧鐨勬暟鎹寘杩涜妫鏌ワ紝闄愬埗鏁版嵁鍖...
绛旓細鐘舵佹鏌闃茬伀澧锛氳繖绉嶉槻鐏鍦ㄤ紶杈撳眰锛堢鍥涘眰锛夊伐浣滐紝缁撳悎浜鍖呰繃婊鍜屼唬鐞嗘湇鍔″櫒鐨勭壒鐐广傚畠浼氳窡韪繛鎺ョ姸鎬侊紝骞舵牴鎹瀹氫箟鎴鍔ㄦ鐢熸垚鐨勮鍒欐潵鍏佽鎴栨嫆缁濇祦閲忋傜姸鎬佹鏌ラ槻鐏鍙互妫鏌ユ暟鎹寘鐨勬爣澶村拰閮ㄥ垎鍐呭锛屼篃鍙互澶勭悊澶氫釜鍗忚鍜屽簲鐢ㄣ傜姸鎬佹鏌ラ槻鐏鐨勪紭鐐规槸鎬ц兘濂斤紝鐏垫椿鎬ч珮锛屼絾缂虹偣鏄笉鑳芥繁鍏ユ鏌ユ暟鎹寘鐨...
绛旓細//鐘舵侀槻鐏鏇村鏉備竴鐐,鎸夌収TCP鍩轰簬鐘舵佺殑鐗圭偣,鍦ㄩ槻鐏涓婅褰曞悇涓繛鎺ョ殑鐘舵,杩欏彲浠ュ讥琛鍖呰繃婊ら槻鐏鐨勭己鐐,姣斿浣犲厑璁镐簡ip涓1.1.1.1鐨勬暟鎹寘閫氳繃闃茬伀澧,浣嗘槸鎭舵剰鐨勪汉浼爄p鐨勮瘽,娌℃湁閫氳繃tcp鐨勪笁娆℃彙鎵嬩篃鍙互闂繃鍖呰繃婊ら槻鐏銆//搴旂敤浠g悊缃戝叧闃茬伀澧欏交搴曢殧鏂唴缃戜笌澶栫綉鐨勭洿鎺ラ氫俊,鍐呯綉鐢ㄦ埛瀵瑰缃戠殑璁块棶鍙樻垚闃茬伀澧欏澶栫綉...
绛旓細涓夈鐘舵佹娴嬮槻鐏 鐘舵佹娴嬮槻鐏鏄繎骞存潵鍙戝睍鐨勪竴绉嶆柊鍨闃茬伀澧欙紝瀹冪粨鍚堜簡鍖呰繃婊鍜屼唬鐞嗘湇鍔$殑浼樼偣銆傜姸鎬佹娴嬮槻鐏鑳藉杩借釜缃戠粶浼氳瘽鐨勭姸鎬侊紝骞舵牴鎹細璇濈殑褰撳墠鐘舵佹潵鍐冲畾鏄惁鍏佽鏂扮殑鏁版嵁浼犺緭銆傚畠涓嶄粎鑳藉鍗曚釜鏁版嵁鍖呰繘琛屾鏌ュ拰杩囨护锛岃繕鑳界洃娴嬫暣涓細璇濊繃绋嬶紝浠庤屾彁渚涙洿鍏ㄩ潰銆佹洿鍔ㄦ鐨勫畨鍏ㄩ槻鎶ゃ傝繖绉嶉槻鐏鑳藉搴...
绛旓細闃茬伀澧欏垎涓鍖呰繃婊ら槻鐏銆佷唬鐞嗘湇鍔″櫒闃茬伀澧欍鐘舵鐩戣鍣ㄩ槻鐏銆傚寘杩囨护闃茬伀澧欐槸閫氳繃鍦ㄧ綉缁滀腑閫傚綋浣嶇疆瀵规暟鎹寘杩涜杩囨护锛屾牴鎹鏌ユ暟鎹绱狅紝渚濇嵁棰勫畾涔夎鍒欙紝鍏佽鍚堜箮閫昏緫鐨勬暟鎹寘閫氳繃闃茬伀澧欒繘鍏ュ埌鍐呴儴缃戠粶锛岃屽皢涓嶅悎涔庨昏緫鐨勬暟鎹寘鍔犱互鍒犻櫎銆傚悓鏃惰浜у搧浠锋牸杈冧綆銆佸鐢ㄦ埛閫忔槑銆佸缃戠粶鎬ц兘鐨勫奖鍝嶅皬銆侀熷害蹇佹槗浜...
绛旓細闈欐佸寘杩囨护鍦ㄩ亣鍒板埄鐢鍔ㄦ绔彛鐨勫崗璁椂浼氬彂鐢熷洶闅撅紝濡侳TP锛闃茬伀澧浜嬪厛鏃犳硶鐭ラ亾鍝簺绔彛闇瑕佹墦寮锛屽氨闇瑕佸皢鎵鏈夊彲鑳界敤鍒扮殑绔彛鎵撳紑锛屼細缁欏畨鍏ㄥ甫鏉ヤ笉蹇呰鐨勯殣鎮c傝鐘舵佹娴嬮氳繃妫鏌ュ簲鐢ㄧ▼搴忎俊鎭(濡侳TP鐨凱ORT鍜孭ASV鍛戒护)锛屾潵鍒ゆ柇姝ょ鍙f槸鍚﹂渶瑕佷复鏃舵墦寮锛岃屽綋浼犺緭缁撴潫鏃讹紝绔彛鍙堥┈涓婃仮澶嶄负鍏抽棴鐘舵併
绛旓細绛:鎬荤殑鏉ヨ锛屼娇鐢鐘舵佹娴嬬殑闃茬伀澧欐槸琛屼笟鏍囧噯銆傜姸鎬佹娴嬮槻鐏鍑犲勾鍓嶅氨鍦ㄥぇ澶氭暟鎯呭喌涓嬪彇浠d簡鏁版嵁鍖呰繃婊ら槻鐏銆傚ぇ澶氭暟鐜颁唬鐨勯槻鐏绯荤粺閮藉埄鐢ㄧ姸鎬佺洃娴嬫妧鏈殑浼樺娍銆 杩欎袱绉嶉槻鐏鐨勪富瑕佸尯鍒槸锛岀姸鎬佺洃娴嬬郴缁熺淮鎶や竴涓姸鎬佽〃锛岃杩欎簺绯荤粺璺熻釜閫氳繃闃茬伀澧欑殑鍏ㄩ儴寮鏀剧殑杩炴帴銆傝屾暟鎹寘杩囨护闃茬伀澧欏氨娌℃湁杩欎釜鍔熻兘銆傚綋...
