1. 靜態包過濾防火牆、動態(狀態檢測)包過濾防火牆、應用層(代理)防火牆這三類防火牆適用情況
//ok,我改
//包過濾的防火牆最簡單,你可以指定讓某個IP或某個埠或某個網段的數據包通過[或不通過],它不支持應用層的過濾,不支持數據包內容的過濾。
//狀態防火牆更復雜一點,按照TCP基於狀態的特點,在防火牆上記錄各個連接的狀態,這可以彌補包過濾防火牆的缺點,比如你允許了ip為1.1.1.1的數據包通過防火牆,但是惡意的人偽造ip的話,沒有通過tcp的三次握手也可以闖過包過濾防火牆。
//應用代理網關防火牆徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火牆對外網的訪問,然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發,訪問者任何時候都不能與伺服器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵,對數據包的檢測能力比較強。
//
一、當前防火牆技術分類
防火牆技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。
1.1 包過濾技術
包過濾防火牆工作在網路層,對數據包的源及目地 IP 具有識別和控製作用,對於傳輸層,也只能識別數據包是 TCP 還是 UDP 及所用的埠信息,如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。
由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析,包過濾防火牆的處理速度較快,並且易於配置。
包過濾防火牆具有根本的缺陷:
1 .不能防範黑客攻擊。包過濾防火牆的工作基於一個前提,就是網管知道哪些 IP 是可信網路,哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現,網管不可能區分出可信網路與不可信網路的界限,對於黑客來說,只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆,進入內網,而任何一個初級水平的黑客都能進行 IP 地址欺騙。
2 .不支持應用層協議。假如內網用戶提出這樣一個需求,只允許內網員工訪問外網的網頁(使用 HTTP 協議),不允許去外網下載電影(一般使用 FTP 協議)。包過濾防火牆無能為力,因為它不認識數據包中的應用層協議,訪問控制粒度太粗糙。
3 .不能處理新的安全威脅。它不能跟蹤 TCP 狀態,所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時,一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。
綜上可見,包過濾防火牆技術面太過初級,就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他(她)進入一樣,難以履行保護內網安全的職責。
1.2 應用代理網關技術
應用代理網關防火牆徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火牆對外網的訪問,然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發,訪問者任何時候都不能與伺服器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵,對數據包的檢測能力比較強。
缺點也非常突出,主要有:
· 難於配置。由於每個應用都要求單獨的代理進程,這就要求網管能理解每項應用協議的弱點,並能合理的配置安全策略,由於配置繁瑣,難於理解,容易出現配置失誤,最終影響內網的安全防範能力。
· 處理速度非常慢。斷掉所有的連接,由防火牆重新建立連接,理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中並不可行,因為對於內網的每個 Web 訪問請求,應用代理都需要開一個單獨的代理進程,它要保護內網的 Web 伺服器、資料庫伺服器、文件伺服器、郵件伺服器,及業務程序等,就需要建立一個個的服務代理,以處理客戶端的訪問請求。這樣,應用代理的處理延遲會很大,內網用戶的正常 Web 訪問不能及時得到響應。
總之,應用代理防火牆不能支持大規模的並發連接,在對速度敏感的行業使用這類防火牆時簡直是災難。另外,防火牆核心要求預先內置一些已知應用程序的代理,使得一些新出現的應用在代理防火牆內被無情地阻斷,不能很好地支持新應用。
在 IT 領域中,新應用、新技術、新協議層出不窮,代理防火牆很難適應這種局面。因此,在一些重要的領域和行業的核心業務應用中,代理防火牆正被逐漸疏遠。
但是,自適應代理技術的出現讓應用代理防火牆技術出現了新的轉機,它結合了代理防火牆的安全性和包過濾防火牆的高速度等優點,在不損失安全性的基礎上將代理防火牆的性能提高了 10 倍。
1.3 狀態檢測技術
我們知道, Internet 上傳輸的數據都必須遵循 TCP/IP 協議,根據 TCP 協議,每個可靠連接的建立需要經過 「 客戶端同步請求 」 、 「 伺服器應答 」 、 「 客戶端再應答 」 三個階段,我們最常用到的 Web 瀏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包並不是獨立的,而是前後之間有著密切的狀態聯系,基於這種狀態變化,引出了狀態檢測技術。
狀態檢測防火牆摒棄了包過濾防火牆僅考查數據包的 IP 地址等幾個參數,而不關心數據包連接狀態變化的缺點,在防火牆的核心部分建立狀態連接表,並將進出網路的數據當成一個個的會話,利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態,因此提供了完整的對傳輸層的控制能力。
網關防火牆的一個挑戰就是能處理的流量,狀態檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀態監測技術採用了一系列優化技術,使防火牆性能大幅度提升,能應用在各類網路環境中,尤其是在一些規則復雜的大型網路上。
任何一款高性能的防火牆,都會採用狀態檢測技術。
從 2000 年開始,國內的著名防火牆公司,如北京天融信等公司,都開始採用這一最新的體系架構,並在此基礎上,天融信 NGFW4000 創新推出了核檢測技術,在操作系統內核模擬出典型的應用層協議,在內核實現對應用層協議的過濾,在實現安全目標的同時可以得到極高的性能。目前支持的協議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應用協議。
二、防火牆發展的新技術趨勢
2.1 新需求引發的技術走向
防火牆技術的發展離不開社會需求的變化,著眼未來,我們注意到以下幾個新的需求。
· 遠程辦公的增長。這次全國主要城市先後受到 SARS 病毒的侵襲,直接促成大量的企事業在家辦公,這就要求防火牆既能抵抗外部攻擊,又能允許合法的遠程訪問,做到更細粒度的訪問控制。現在一些廠商推出的 VPN (虛擬專用網)技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火牆,這樣可以確保信息的保密性,又能成為識別入侵行為的手段。
· 內部網路 「 包廂化 」 ( compartmentalizing )。人們通常認為處在防火牆保護下的內網是可信的,只有 Internet 是不可信的。由於黑客攻擊技術和工具在 Internet 上隨手可及,使得內部網路的潛在威脅大大增加,這種威脅既可以是外網的人員,也可能是內網用戶,不再存在一個可信網路環境。
由於無線網路的快速應用以及傳統撥號方式的繼續存在,內網受到了前所未有的威脅。企業之前的合作將合作夥伴納入了企業網路里,全國各地的分支機構共享一個論壇,都使可信網路的概念變得模糊起來。應對的辦法就是將內部網細分成一間間的 「 包廂 」 ,對每個 「 包廂 」 實施獨立的安全策略。
2.2 黑客攻擊引發的技術走向
防火牆作為內網的貼身保鏢,黑客攻擊的特點也決定了防火牆的技術走向。
80 埠的關閉。從受攻擊的協議和埠來看,排在第一位的就是 HTTP 協議( 80 埠)。
根據 SANS 的調查顯示,提供 HTTP 服務的 IIS 和 Apache 是最易受到攻擊,這說明 80 埠所引發的威脅最多。
因此,無論是未來的防火牆技術還是現在應用的防火牆產品,都應盡可能將 80 埠關閉。
· 數據包的深度檢測。 IT 業界權威機構 Gartner 認為代理不是阻止未來黑客攻擊的關鍵,但是防火牆應能分辨並阻止數據包的惡意行為,包檢測的技術方案需要增加簽名檢測 (signature inspection) 等新的功能,以查找已經的攻擊,並分辨出哪些是正常的數據流,哪些是異常數據流。
· 協同性。從黑客攻擊事件分析,對外提供 Web 等應用的伺服器是防護的重點。單單依靠防火牆難以防範所有的攻擊行為,這就需要將防火牆技術、入侵檢測技術、病毒檢測技術有效協同,共同完成保護網路安全的任務。早在 2000 年,北京天融信公司就已經認識到了協同的必要性和緊迫性,推出了 TOPSEC 協議,與 IDS 等其他安全設備聯動,與其他安全設備配合組成一個有機的可擴展的安全體系平台。目前主要支持和 IDS 的聯動和認證伺服器進行聯動。如支持國內十幾家知名的 IDS 、安全管理系統、安全審計、其他認證系統等等組成完整的 TOPSEC 解決方案。 2002 年 9 月,北電、思科和 Check Point 一道宣布共同推出安全產品,也體現了廠商之間優勢互補、互通有無的趨勢。
2. 靜態包過濾防火牆和狀態檢測防火牆有何區別
狀態檢測防火牆基於防火牆所維護的狀態表的內容轉發或拒絕數據包的傳送,比普內通的包過濾有容著更好的網路性能和安全性。普通包過濾防火牆使用的過濾規則集是靜態的。而採用狀態檢測技術的防火牆在運行過程中一直維護著一張狀態表,這張表記錄了從受保護網路發出的數據包的狀態信息,然後防火牆根據該表內容對返回受保護網路的數據包進行分析判斷,這樣,只有響應受保護網路請求的數據包才被放行。對用戶來說,狀態檢測不但能提高網路的性能,還能增強網路的安全性。
希望可以幫到你,謝謝!
3. 簡述信息包篩選的工作原理
包過濾是在IP層實現的,因此,它可以只用路由器完成。包過濾根據包的源IP地址、目的地址、源埠、目的埠及包傳遞方向等報頭信息來判斷是否允許包通過。過濾用戶定義的內容,如IP地址。其工作原理是系統在網路層檢查數據包,與應用層無關,包過濾器的應用非常廣泛,因為CPU用來處理包過濾的時間可以忽略不計。而且這種防護措施對用戶透明,合法用戶在進出網路時,根本感覺不到它的存在,使用起來很方便。這樣系統就具有很好的傳輸性能,易擴展。但是這種防火牆不太安全,因為系統對應用層信息無感知——也就是說,它們不理解通信的內容,不能在用戶級別上進行過濾,即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址,就可以很輕易地通過包過濾器,這樣更容易被黑客攻破。 基於這種工作機制,包過濾防火牆有以下缺陷:
通信信息:包過濾防火牆只能訪問部分數據包的頭信息;
通信和應用狀態信息:包過濾防火牆是無狀態的,所以它不可能保存來自於通信和應用的狀態信息;
信息處理:包過濾防火牆處理信息的能力是有限的。
比如針對微軟IIS漏洞的Unicode攻擊,因為這種攻擊是走的防火牆所允許的80埠,而包過濾的防火牆無法對數據包內容進行核查,因此此時防火牆等同於虛設,未打相應patch的提供web服務的系統,即使在防火牆的屏障之後,也會被攻擊者輕松拿下超級用戶的許可權。
4. 簡述防火牆防護原理
防火牆基本原理
首先,我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾,和狀態檢測的包過濾,應用層代理防火牆。但是他們的基本實現都是類似的。
│-路由器--網卡│防火牆│網卡│-內部網路│
防火牆一般有兩個以上的網路卡,一個連到外部(router),另一個是連到內部網路。當打開主機網路轉發功能時,兩個網卡間的網路通訊能直接通過。當有防火牆時,他好比插在網卡之間,對所有的網路通訊進行控制。
說到訪問控制,這是防火牆的核心了:),防火牆主要通過一個訪問控製表來判斷的,他的形式一般是一連串的如下規則:
1 accept from+ 源地址,埠 to+ 目的地址,埠+ 採取的動作
2 deny .(deny就是拒絕。。)
3 nat .(nat是地址轉換。後面說)
防火牆在網路層(包括以下的煉路層)接受到網路數據包後,就從上面的規則連表一條一條地匹配,如果符合就執行預先安排的動作了!如丟棄包。。
但是,不同的防火牆,在判斷攻擊行為時,有實現上的差別。下面結合實現原理說說可能的攻擊。
二 攻擊包過濾防火牆
包過濾防火牆是最簡單的一種了,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。他根據數據包的源IP地址;目的IP地址;TCP/UDP源埠;TCP/UDP目的埠來過濾!!很容易受到如下攻擊:
1 ip 欺騙攻擊:
這種攻擊,主要是修改數據包的源,目的地址和埠,模仿一些合法的數據包來騙過防火牆的檢測。如:外部攻擊者,將他的數據報源地址改為內部網路地址,防火牆看到是合法地址就放行了:)。可是,如果防火牆能結合介面,地址來匹配,這種攻擊就不能成功了:(
2 d.o.s拒絕服務攻擊
簡單的包過濾防火牆不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火牆受到d.o.s攻擊,他可能會忙於處理,而忘記了他自己的過濾功能。:)你就可以饒過了,不過這樣攻擊還很少的。!
3 分片攻擊
這種攻擊的原理是:在IP的分片包中,所有的分片包用一個分片偏移欄位標志分片包的順序,但是,只有第一個分片包含有TCP埠號的信息。當IP分片包通過分組過濾防火牆時,防火牆只根據第一個分片包的Tcp信息判斷是否允許通過,而其他後續的分片不作防火牆檢測,直接讓它們通過。
這樣,攻擊者就可以通過先發送第一個合法的IP分片,騙過防火牆的檢測,接著封裝了惡意數據的後續分片包就可以直接穿透防火牆,直接到達內部網路主機,從而威脅網路和主機的安全。
4 木馬攻擊
對於包過濾防火牆最有效的攻擊就是木馬了,一但你在內部網路安裝了木馬,防火牆基本上是無能為力的。
原因是:包過濾防火牆一般只過濾低埠(1-1024),而高埠他不可能過濾的(因為,一些服務要用到高埠,因此防火牆不能關閉高埠的),所以很多的木馬都在高埠打開等待,如冰河,subseven等。。。
但是木馬攻擊的前提是必須先上傳,運行木馬,對於簡單的包過濾防火牆來說,是容易做的。這里不寫這個了。大概就是利用內部網路主機開放的服務漏洞。
早期的防火牆都是這種簡單的包過濾型的,到現在已很少了,不過也有。現在的包過濾採用的是狀態檢測技術,下面談談狀態檢測的包過濾防火牆。狀態檢測技術最早是checkpoint提出的,在國內的許多防火牆都聲稱實現了狀態檢測技術。
可是:)很多是沒有實現的。到底什麼是狀態檢測?
一句話,狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。
原先的包過濾,是拿一個一個單獨的數據包來匹配規則的。可是我們知道,同一個tcp連接,他的數據包是前後關聯的,先是syn包,-》數據包=》fin包。數據包的前後序列號是相關的。
如果割裂這些關系,單獨的過濾數據包,很容易被精心夠造的攻擊數據包欺騙!!!如nmap的攻擊掃描,就有利用syn包,fin包,reset包來探測防火牆後面的網路。!
相反,一個完全的狀態檢測防火牆,他在發起連接就判斷,如果符合規則,就在內存登記了這個連接的狀態信息(地址,port,選項。。),後續的屬於同一個連接的數據包,就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息,都被丟棄了。這樣這些攻擊數據包,就不能饒過防火牆了。
說狀態檢測必須提到動態規則技術。在狀態檢測里,採用動態規則技術,原先高埠的問題就可以解決了。實現原理是:平時,防火牆可以過濾內部網路的所有埠(1-65535),外部攻擊者難於發現入侵的切入點,可是為了不影響正常的服務,防火牆一但檢測到服務必須開放高埠時,如(ftp協議,irc等),防火牆在內存就可以動態地天加一條規則打開相關的高埠。等服務完成後,這條規則就又被防火牆刪除。這樣,既保障了安全,又不影響正常服務,速度也快。!
一般來說,完全實現了狀態檢測技術防火牆,智能性都比較高,一些掃描攻擊還能自動的反應,因此,攻擊者要很小心才不會被發現。
5. 防火牆在普通包過濾和狀態檢測時針對ftp協議處理的不同,規則設置有什麼不同
防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務。 包過濾技專術是一種簡單屬、有效的安全控制技術,它通過在網路間相互連接的設備上載入允許、禁止來自某些特定的源地址、目的地址、TCP埠號等規則,對通過設備的數據包進行檢查,...
6. 防火牆的優缺點
防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。目前市場上的防火牆基本大同小異,瑞星、天網等都可以用的。
不過目前的很多遠程監控程序都是採用反向鏈接方式,這樣一來防火牆基本上就形同虛設了,防止非法遠程監控最簡單有效的方法是安裝媲西伊遮斯。媲西伊遮斯是遠程式控制制軟體的剋星,是一款採用全新技術、唯一專門從根本上阻斷遠程監控的軟體。它能從根本上徹底阻斷非法屏幕監控、非法鍵盤和滑鼠記錄,阻斷密碼大盜和文檔資料的竊取,是一款全新概念的防阻非法監控的軟體。只要一出現四大非法監控,媲西伊遮斯馬上自動切斷。尤其對於那些未流行病毒、黑客自己製作的木馬以及某些所謂的正當監控軟體作用更明顯,因為這些是殺毒軟體無法查到無法殺掉的
7. 什麼是全狀態包過濾
包過濾技術(IP Filtering or packet filtering) 的原理在於監視並過濾網路上流入流出的IP包,拒絕發送可疑的包。基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。由於Internet 與Intranet 的連接多數都要使用路由器,所以Router成為內外通信的必經埠,Router的廠商在Router上加入IP 過濾 功能,過濾路由器也可以稱作包過濾路由器或篩選路由器(Packet FilterRouter)。防火牆常常就是這樣一個具備包過濾功能的簡單路由器,這種Firewall應該是足夠安全的,但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的,因而在安全要求較高的場合,通常還配合使用其它的技術來加強安全性。
常用的優秀的個人防火牆有Norman Personal Firewall、天網防火牆等。
路由器逐一審查數據包以判定它是否與其它包過濾規則相匹配。每個包有兩個部分:數據部分和包頭。過濾規則以用於IP順行處理的包頭信息為基礎,不理會包內的正文信息內容。包頭信息包括:IP 源地址、IP目的地址、封裝協議(TCP、UDP、或IP Tunnel)、TCP/UDP源埠、ICMP包類型、包輸入介面和包輸出介面。如果找到一個匹配,且規則允許這包,這一包則根據路由表中的信息前行。如果找到一個匹配,且規則拒絕此包,這一包則被舍棄。如果無匹配規則,一個用戶配置的預設參數將決定此包是前行還是被舍棄。
包過濾規則允許Router取捨以一個特殊服務為基礎的信息流,因為大多數服務檢測器駐留於眾所周知的TCP/UDP埠。例如,Telnet Service 為TCP port 23埠等待遠程連接,而SMTP Service為TCP Port 25埠等待輸入連接。如要封鎖輸入Telnet、SMTP的連接,則Router舍棄埠值為23、25的所有的數據包。
典型的過濾規則有以下幾種:允許特定名單內的內部主機進行Telnet輸入對話、只允許特定名單內的內部主機進行FTP輸入對話、只允許所有Telnet 輸出對話、只允許所有FTP 輸出對話、拒絕來自一些特定外部網路的所有輸入信息。
有些類型的攻擊很難用基本包頭信息加以鑒別,因為這些獨立於服務。一些Router可以用來防止這類攻擊,但過濾規則需要增加一些信息,而這些信息只有通過以下方式才能獲悉:研究Router選擇表、檢查特定的IP選項、校驗特殊的片段偏移等。這類攻擊有以下幾種:
源IP地址欺騙攻擊:入侵者從偽裝成源自一台內部主機的一個外部地點傳送一些信息包;這些信息包似乎像包含了一個內部系統的源IP地址。如果這些信息包到達Router的外部介面,則舍棄每個含有這個源IP地址的信息包,就可以挫敗這種源欺騙攻擊。
源路由攻擊:源站指定了一個信息包穿越Internet時應採取的路徑,這類攻擊企圖繞過安全措施,並使信息包沿一條意外(疏漏)的路徑到達目的地。可以通過舍棄所有包含這類源路由選項的信息包方式,來挫敗這類攻擊。
殘片攻擊:入侵者利用IP殘片特性生成一個極小的片斷並將TCP報頭信息肢解成一個分離的信息包片斷。舍棄所有協議類型為TCP、IP片斷偏移值等於1的信息包,即可挫敗殘片的攻擊。
從以上可看出定義一個完善的安全過濾規則是非常重要的。通常,過濾規則以表格的形式表示,其中包括以某種次序排列的條件和動作序列。每當收到一個包時,則按照從前至後的順序與表格中每行的條件比較,直到滿足某一行的條件,然後執行相應的動作(轉發或舍棄)。有些數據包過濾在實現時,「動作」這一項還詢問,若包被丟棄是否要通知發送者(通過發ICMP信息),並能以管理員指定的順序進行條件比較,直至找到滿足的條件。
對流進和流出網路的數據進行過濾可以提供一種高層的保護。建議過濾規則如下:
(1)任何進入內部網路的數據包不能把網路內部的地址作為源地址。
(2)任何進入內部網路的數據包必須把網路內部的地址作為目的地址。
(3)任何離開內部網路的數據包必須把網路內部的地址作為源地址。
(4)任何離開內部網路的數據包不能把網路內部的地址作為目的地址。
(5)任何進入或離開內部網路的數據包不能把一個私有地址(private address)或在RFC1918中 127.0.0.0/8.)的地址作為源或目的地址。
(6)阻塞任意源路由包或任何設置了IP選項的包。
(7)保留、DHCP自動配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。
包過濾路由器的優點:
(1)一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器;
(2)過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間,由於過濾路由器只檢查報頭相應的欄位,一般不查看數據報的內容,而且某些核心部分是由專用硬體實現的,如果通信負載適中且定義的過濾很少的話,則對路由器性能沒有多大影響;
(3)包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時,它與普通路由器沒什麼區別,甚至用戶沒有認識到它的存在,因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
包過濾路由器的局限性:
(1)定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的,則過濾規則集可能會變得很長很復雜,並且沒有什麼工具可以用來驗證過濾規則的正確性。
(2)路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表,而後將信息包順向運行到適當轉發介面。如果過濾可執行,路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源,並影響一個完全飽和的系統性能。
(3)不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的,而IP地址的偽造是很容易、很普遍的。
(4)一些應用協議不適合於數據包過濾。即使是完美的數據包過濾,也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接,大大削弱了基於源地址和源埠的過濾功能。
(5)正常的數據包過濾路由器無法執行某些安全策略。例如,數據包說它們來自什麼主機,而不是什麼用戶,因此,我們不能強行限制特殊的用戶。同樣地,數據包說它到什麼埠,而不是到什麼應用程序,當我們通過埠號對高級協議強行限制時,不希望在埠上有別的指定協議之外的協議,而不懷好意的知情者能夠很容易地破壞這種控制。
(6)一些包過濾路由器不提供任何日誌能力,直到闖入發生後,危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路,但也不會告訴我們究竟都有誰來過,或者誰從內部進入了外部網路。
8. 包過濾防火牆 狀態防火牆 應用網關防火牆 分別工作在幾層 急 求指教 謝謝 感激不盡
應用層 --------應用網關防火牆
表示層
會話層
傳輸層 ---------狀態監測防火牆
網路層 ---------包過濾防火牆、狀態監測防火牆
數據鏈路層
物理層
9. 防火牆技術當中,狀態檢測技術與靜態的包過濾技術相比有什麼特點
一、包過濾技術
包過濾防火牆工作在網路層,對數據包的源及目地 IP 具有識別和控製作用,對於傳輸層,也只能識別數據包是 TCP 還是 UDP 及所用的埠信息,如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。
由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析,包過濾防火牆的處理速度較快,並且易於配置。
包過濾防火牆具有根本的缺陷:
1 .不能防範黑客攻擊。包過濾防火牆的工作基於一個前提,就是網管知道哪些 IP 是可信網路,哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現,網管不可能區分出可信網路與不可信網路的界限,對於黑客來說,只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆,進入內網,而任何一個初級水平的黑客都能進行 IP 地址欺騙。
2 .不支持應用層協議。假如內網用戶提出這樣一個需求,只允許內網員工訪問外網的網頁(使用 HTTP 協議),不允許去外網下載電影(一般使用 FTP 協議)。包過濾防火牆無能為力,因為它不認識數據包中的應用層協議,訪問控制粒度太粗糙。
3 .不能處理新的安全威脅。它不能跟蹤 TCP 狀態,所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時,一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。
綜上可見,包過濾防火牆技術面太過初級,就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他(她)進入一樣,難以履行保護內網安全的職責。
二、狀態檢測技術
我們知道, Internet 上傳輸的數據都必須遵循 TCP/IP 協議,根據 TCP 協議,每個可靠連接的建立需要經過 「 客戶端同步請求 」 、 「 伺服器應答 」 、 「 客戶端再應答 」 三個階段,我們最常用到的 Web 瀏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包並不是獨立的,而是前後之間有著密切的狀態聯系,基於這種狀態變化,引出了狀態檢測技術。
狀態檢測防火牆摒棄了包過濾防火牆僅考查數據包的 IP 地址等幾個參數,而不關心數據包連接狀態變化的缺點,在防火牆的核心部分建立狀態連接表,並將進出網路的數據當成一個個的會話,利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態,因此提供了完整的對傳輸層的控制能力。
網關防火牆的一個挑戰就是能處理的流量,狀態檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀態監測技術採用了一系列優化技術,使防火牆性能大幅度提升,能應用在各類網路環境中,尤其是在一些規則復雜的大型網路上。
任何一款高性能的防火牆,都會採用狀態檢測技術。
10. 狀態檢測和數據包過濾防火牆有何區別
問:在什麼情況下應用使用狀態檢測防火牆,和在什麼情況下應該使用數據包專過濾防火牆? 答:總的來說屬,使用狀態檢測的防火牆是行業標准。狀態檢測防火牆幾年前就在大多數情況下取代了數據包過濾防火牆。大多數現代的防火牆系統都利用狀態監測技術的優勢。 這兩種防火牆的主要區別是,狀態監測系統維護一個狀態表,讓這些系統跟蹤通過防火牆的全部開放的連接。而數據包過濾防火牆就沒有這個功能。當通訊到達時,這個系統把這個通訊與狀態表進行比較,確定這個通訊是不是一個已經建立起來的通訊的一部分。 你可能看到數據包過濾防火牆在目前的環境中惟一使用的地方就是面向互聯網的路由器。這些設備通常執行基本的數據包過濾規則以消除明顯的不需要的通訊並且減輕緊跟在這台路由器後面的狀態監測防火牆的工作負荷。點擊此處查看本文國際來源