防火墙重要技术

1.静态包过滤防火墙

最基本最原始的防火墙，在OSI七层模型中的网络层工作。决定接受或者拒绝一个数据包，取决于对数据包的IP头和协议头的检查规则。

判断依据(只考虑IP包)

TCP,UDP,ICMP,IGMP; 源、目的IP地址；源、目的端口FTP、HTTP、DNS等。

实现功能

1.接受每个到达的数据包；2.通过规则过滤数据包，对数据包的IP头和传输字段内容进行检查；3.如果没有规则能与当前数据包的IP头相匹配，则采用默认规则。（默认规则：“容易使用”和“安全第一”。“容易使用”即只要没有明确拒绝就接受；”安全第一“即只要没有明确接受就拒绝。）

工作原理

过滤内容：源地址，目的地址，源端口，目的端口，应用或协议

（注：若没有规则与当前数据包IP头相匹配，则对其添加一个默认规则）

过滤位置：可以在网络入口处过滤，也可以在网络出口处过滤，甚至可以在出入口都设置过滤

访问控制策略：网管员预先编写一个访问控制列表，明确规定合法主机或服务。

优点

逻辑简单，成本低；对网络性能影响较小，有较强的透明性；与应用层无关，无需改动程序内容，易于安装和使用。

缺点

配置策略的时候需要对TCP，UDP等协议有深入了解；过滤判别的只有网络层和传输层，无法提供各种安全保证；数据包的地址和端口号在IP头部，不能防止IP地址欺骗；允许内部和外部主机的直接连接；不提供用户识别；仅工作在网络层，具有较低水平的安全性。

2.动态包过滤防火墙

类似于静态包过滤，比静态包过滤多一个工作，即在来访的数据包上标记号，对相同连接的接收数据予以通过，相当于“捕获”了客户端与服务器之间的连接。动态包过滤防火墙工作在传输层，它会对已建立的连接和规则动态维护。

优点

能支持一些静态无法支持的应用，例如基于UDP的应用；减少了端口的开放时间，提供了几乎所有服务的支持；安全性相对静态包过滤更高。

缺点

也允许内外部的直接连接；不提供用户的鉴别功能；容易遭受IP欺骗攻击；

包过滤不对内外部的直接连接进行管理，会被IP地址欺骗攻击，此外包过滤不检查数据包的内容是否合法。

3.电路级网关

一种代理服务器，工作于OSI互联模型的会话层或者TCP/IP模型的TCP层。适用于多种协议，但只识别协议不识别同协议上不同的应用。

实现功能

检查内容：源、目的地址，源、目的端口号、应用或协议、握手信息及序列号

实现方式

（1）拓扑结构与应用程序网关相同。

接受客户端连接请求，代理客户端完成连接；在客户端和服务端中转数据包；通用性强

（2）简单重定向

根据客户的地址请求端口，将该连接重新定位到指定的服务器地址及端口上，该过程对客户端完全透明。

（3）在转发前同客户端交换连接信息

优点

对网络性能有较小至适中的影响，工作层次比包过滤高因此过滤性能较差，但比代理防火墙要好；切断了外部网络到内部的直接连接；比包过滤更安全

缺点

无法对数据内容进行检测以抵御应用层攻击；仅有低度到中度的安全性；增添新内部程序或资源时，需要修改许多代码。

4.应用层网关

应用级网关只过滤特定服务的数据流，对于特定服务需要编写特定的代码。在网关内部分别扮演客户端代理和服务端代理两个角色。

工作过程

首先验证用户身份。若合法则将连接请求转发到真正的内网主机上，同时监控其操作；若非法则拒绝连接。当内部网络主机要申请外部服务时，工作流程则相反。

特点

一个服务对应一个代理；逐个检查和过滤数据包；采用“强应用代理”；当前最安全的防火墙结构之一；代理对整个数据包进行检测，因此能从应用层过滤；不复制整个数据包，而是在防火墙内部创建一个新的空数据包，将防火墙外部过滤进来的数据包复制到创建的数据包中，然后将该数据包发送给防火墙后的对象；能降低多种隐蔽通道攻击带来的风险。

优点

易配置，界面友好；不允许内外直接连接；可提供比包过滤更详细的日志文件；可隐藏内部IP地址；可给单个用户授权并提供透明的加密机制；更方便集成了认证，授权等安全手段

缺点

代理速度慢；对用户不透明，灵活性不高；需要针对每种服务设置不同的代理服务器。

5.状态检测防火墙

状态检测防火墙在动态包过滤的基础上增加了状态检测机制。以TCP为例：状态检测机制不再仅仅关注SYN和ACK的信息，而增加了对序号、窗口大小等TCP协议信息的收集。

检测信息：应用状态；操作信息；通信信息；通信状态。

优点

具有动态包过滤的所有优点，而且有更高的安全性；没有打破Client/Server模型；提供集成的动态包过滤功能；更快；

缺点

检测层次限于网络层和传输层；由于要检测内容多，性能比动态包过滤要差；采用单线程进程，对防火墙性能产生较大影响；没有突破C/S模型，会产生不可接受的安全风险；不能满足高并发；仅具有较低安全性；

6.切换代理

是动态包过滤和电路级网关的一个结合。在许多实现方案中，切换代理首先作为电路级网关验证RFC建议的三次握手协议，再切换到动态包过滤的过滤模式

优点

相比于电路级网关，对网络的性能影响较小；充分对三次握手协议进行了验证，降低了IP欺骗攻击的风险。

缺点

不是一个电路网关；仍有动态包过滤的许多缺陷未改善；没有检查数据包的净荷部分（即除去头部的剩余部分），具有较低的安全性；难以创建规则；安全性不如传统电路级网关。

7.空气隙防火墙

外部客户端连接所产生的连接数据被写入SCSI的E-disk中，之后内部客户端从该位置读出数据。防火墙切断了客户端与服务器之间的直接连接，并且对硬盘的读写操作都是独立进行的。

优点

消除了隐信道攻击的；采用强应用代理对协议头长度进行检测，彻底消除了缓冲区溢出攻击；与应用层网关相结合使用则有很高的安全性

缺点

理论上对网络性能有很大的负面影响；不支持交互式访问；适用范围窄；系统配置复杂；结构复杂，实施费用高；带来瓶颈问题。

防火强的结构体系

1.路由器防火墙

一种最简单的防火墙，筛选一个路由器当作防火墙，进行数据包过滤。这种类型的防火墙本质上就是路由器。

2.双重宿主主机体系结构

指以双重宿主主机作为防火墙系统的主体，执行分离内外部网络的任务。外部网络可以与双重宿主相互通信，内部网络也可以与双重宿主主机相互通信，但内外部无法直接相互通信，这就要求双重宿主主机至少有两个网络接口。

双重宿主防火墙有以下特性：由于它是内外部交流的唯一通道，它自身的安全是至关重要的；其次，要支持多个用户同时访问，性能非常重要。

缺点：它是隔开内部网络与外部网络的唯一屏障，当它失效后，内部网络就会处于不安全状态。

3.屏蔽主机体系结构

双重宿主结构中没有用到路由器，而屏蔽主机体系结构防火墙使用了一个路由器作为外部网络与内部网络的分隔，且在内部网络层次上使用了一个堡垒主机。它的特征就是一个包过滤路由器和一个堡垒主机。

包过滤路由器处于内外网络之间，保证外部对内部网络的访问都流经堡垒主机；堡垒主机配置在内部网络之上，是外部主机连接到内部主机的桥梁，它需要高等级的安全性。

屏蔽路由器按以下规则之一进行配置：

1.允许内部主机为了某些服务而直接连接外部主机；2.不允许所有来自外部主机的任何直接连接（强迫经由堡垒主机的代理服务）。

这种结构的优点是安全性高，有两重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点是正确的配置是安全的关键，此外，如果路由器受损，数据不流经堡垒主机，内部主机会直接暴露在不安全的环境中。

4.屏蔽子网体系结构

它就是在屏蔽主机体系结构的基础上增加了一个保护体系——周边网络。此时，堡垒主机位于周边网络之上，周边网络和内部网络被内部路由器分隔开。引入这种结构是因为堡垒主机是用户网络上最容易被攻击的机器。

这种结构中，在周边网络上放上一些信息服务器作为牺牲对象，可能会受到攻击，因此又称为非军事区。周边网络的作用是，堡垒主机即使被入侵者控制，也可以消除对内部网络的侦听。

堡垒主机是整个系统的核心，可认为是一个应用层网关。易出难进。

外部路由器（访问路由器）保护内部和周边网络；能辨别数据包是否真正来自周边网络，防止部分IP欺骗。

内部路由器（阻塞路由器）保护内部网络不受外部网络和周边网络的侵害；不能辨别是否来自周边网络的数据包，一般与外部路由器应用相同的规则。

分布式防火墙

传统防火墙的局限：1.结构受限；2.内部不安全；3.效率低，故障多。