防火墙与物理离概念简介.docxVIP

防火墙技术： 包过滤防火墙：一个包过滤防火墙通常是一台有能力过滤某些内容数据包的路由器。包过滤防火墙能够检查的信息包括第三层信息(IP)，有时也包括第四层的信息(端口)。例如，带有扩展ACL的Cisco路由器能过滤第三层和第四层的信息。 1.过滤操作 当执行数据包时，包过滤规则被定义在防火墙上。这些规则用来匹配数据包内容以决定哪些包被允许和哪些包被拒绝。当拒绝流量时，可以采用两个操作：通知流量的发送者其数据将丢弃，或者没有任何通知直接丢弃这些数据。 2.过滤信息 第三层的源和目的地址 第三层的协议信息 第四层的协议信息 发送或接收流量的接口 3.包过滤防火墙的优点 实现包过滤几乎不再需要任何费用 能以更快的速度处理数据包 易于匹配绝大多数网络层和传输层报文头的域信息，在实施安全测率提供许多灵活性。 4.包过滤防火墙的局限性 可能比较复杂，不已于配置 不能阻止应用层攻击 只对某些类型的TCP/IP攻击比较敏感(不能阻止TCP SYN泛洪和IP欺骗) 不支持用户的连接认证 只有有限的认证功能 任何直接经过路由的数据包都有被用作数据驱动式攻击的潜在危险 随着过滤器数目的增加，路由的吞吐量会下降 5.包过滤防火墙的应用环境 作为第一线防御(边界路由器) 在要求最低安全性并考虑成本的SOHO网络中 当用包过滤就能完全实现安全策略且不存在认证问题时 状态检测防火墙：采用状态检测包过滤技术，是在传统的包过滤上的功能扩展。 1.过滤操作 当内网主机A连接Web主机B时，它使用源端口为5000，目的端口为80的TCP报文，并在控制域中使用SYN标记，当这个包经过防火墙时，防火墙将这个规则加入状态表。 B接到请求后，他使用SYN/ACK来响应主机A，当这个报文到达防火墙时，防火墙首先访问状态表以查看该连接是否已经存在。然后对该报文进行操作。 当连接终止时，状态防火墙通过检查TCP控制标记获此信息，从而动态的将此连接从状态表或者规则过滤表中删除。 2.状态检测防火墙的优点 状态防火墙了解连接的各个状态，因此可以在连接终止后及时阻止此后来自外部设备的该连接的流量，防止伪造流量通过。 状态防火墙无须为了允许正常通信而打开更大范围的端口 状态防火墙通过使用状态表能够阻止更多类型的Dos攻击 状态防火墙具有更强的日志功能 3.状态检测防火墙的局限性 无状态的协议：在处理无状态信息协议时会出现问题，如：UDP，ICMP等。 多个应用连接： 状态表的大小：状态防火墙忙于建立和维护状态表，如果监控的连接多，成本开销大。 检测的层次仅限于网络层与传输层，无法对应用层内容进行检测。 4.应用环境 作为防御的主要形式 作为防御的第一线智能设备（带状态能力的便捷路由） 在需要比包过滤更严格的安全控制，而不用增加太多成本的情况下 应用网关防火墙(Application Gateway Firewall)：通常称为代理防火墙或简称为应用网关，它是在应用层处理信息。应用网关防火墙可以支持一个应用，也可以支持有限数量的多个应用，这些应用通常包括E-mail，Web服务，DNS，FTP等 1.认证过程 现在很多AGF在对用户进行一次身份认证后，使用存储在数据库中的授权信息来确认该用户对各个资源的访问权限，而不需要用户为每个想访问的资源进行单独的认证。 2.认证方式 一个AGF可以使用多种方式来认证，包括用户名和口令，令牌卡信息，网络层源地址以及生物信息等。传输认证信息时必须加密，一般加密的方式为SSH。 3.应用级网关防火墙的类型 连接网关防火墙（CGF，Connection Gateway Firewall）：这种防火墙比CTP要安全，但是CGF可能会引入明显的延迟，尤其是当CGF要处理大量连接的时候。 直通代理防火墙（CTP，Cut-Through Prixy）：当外部A想要访问内部服务器B时，CTF截获该请求并认证A，认证后，这个连接和其他被认证的连接被添加到过滤规则表中。而从这以后，任何从Ａ往B的流量都有过滤规则在网络层和传输层上处理。所以，这种方式不能检测出应用层攻击。 ４.应用网关的优点 认证个人而非设备 使黑客进行欺骗和实施Dos攻击比较困难 能够监控和过滤应用层的信息 能够提供详细的日志 ５.应用网关的局限性 用软件处理数据包 支持的应用比较有限 有时要求特定的客户端软件 应用网关的主要局限性在于它属于处理密集性过程，这将占用大量的CPU和内存资源，另外，详尽的日志功能会占用大量的硬盘存储空间，可以通过两种方法来解决这个问题： 使用CTP 将AGF设置成只监控关键应用 ６.应用网关防火墙的应用环境 CGF通常被用作主要的过滤设备（此时边界路由可能用作或不用做第一线防御设备） CTP通常被用作边界防御设备 应用代理用来减轻CGF上的日