防火墙简介网络工程师考试必备知识点.docVIP

防火墙 一、防火墙的基本类型： 1、包过滤防火墙。2、应用网关防火墙。3、代理服务器防火墙。4、状态检测防火墙。 1、包过滤防火墙通常直接转发报文，它对用户完全透明，速度较快。包过滤防火墙可以根据数据包中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在传输层和网络层。包过滤防火墙只管从哪里来，管不了来的是什么内容。数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 2、状态检测防火墙。也叫自适应防火墙，动态包过滤防火墙。他具备包过滤防火墙的一切优点，具备较好的DoS攻击和DDoS攻击防御能力，缺点是对应用层数据进行控制，不能记录高层次日志。 3、应用网关防火墙。是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。应用网关也采用了过滤的机制，因此存在让Internet上的用户了解内部网络的结构和运行状态的可能。 4、代理服务器防火墙。主要使用代理技术来阻断内部网络和外部网络之间的通信，达到隐蔽内部网络的目的。外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。防火墙能有效地防止外来的入侵，它在网络系统中的作用是：控制进出网络的信息流向和信息包；提供使用和流量的日志和审计；隐藏内部IP地址及网络结构的细节；另外防火墙引起或IE浏览器出现故障，也可导致可以正常连接，但不能打开网页。缺点：工作效率低，对不同的应用层的应用层服务可能需要定制不同的应用代理防火墙软件，缺乏灵活性，不易扩展。 二、防火墙的性能及特点决定因素 防火墙的性能及特点由以下两方面决定：1、工作层次。工作层次高，安全性高，效率低；工作层次低，效率高，安全性低。2、采用的机制。采用代理机制，则防火墙具有内部信息隐藏的特点，相对而言，安全性高，效率低；采用过滤机制，则效率高，安全性低些。 三、防火墙的性能及特点决定因素 防火墙实行默认拒绝原则。 四、防火墙基本组成 防火墙主要包括5个部分：安全操作系统、过滤器、网关、域名服务和函件处理。 五、防火墙网络拓扑结构 1、屏蔽路由器。就是包过滤防火墙。 2、双宿主机。3、主机过滤结构。 4、屏蔽子网结构。目前使用较多。 防火墙体系结构 屏蔽路由器 图1 屏蔽路由器 原理：作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可以利用过滤规则实现报文过滤功能。 缺点：在单机上实现，是网络中的“单失效点”；不支持有效的用户认证，不提供有用的日志，安全性低。 双宿主机 原理：在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成。通常采用代理服务的方法，堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务。 图2 双宿主机 优点：堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计； 缺点：该方式的防火墙仍然是网络的“单失效点”；隔离了一切内部网与Internet的直接连接，不适合于一些高灵活性要求的场合。 主机过滤机构 原理：一个分组过滤路由器连接外部网络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。 优点：提供了安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。 图3 主机过滤结构 缺点：过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格的保护，如果路由表遭到破坏，则堡垒主机就有被越过的危险。 屏蔽子网 原理：最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网，称为非军事区，即DMZ（Demilitarized Zone）。在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。通常，将堡垒主机和各种信