防火墙概述, 防火墙基础知识

cooldragon

1.1 什么是防火墙
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。
防火墙的是Internet和内部网之间的唯一通道。

1.2 防火墙种类
防火墙技术可根据访问控制的方式和侧重点的不同而分为多种类型总体来讲可分为二大类：分组过滤、应用代理。
分组过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。
应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现

1.3 主要功能
防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。
对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
防止资源被滥用：节约经费，强化安全管理除了安全作用，防火墙还可以支持具有Internet服务特性的企业内部网络技术体系――VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

1.4 复合型防火墙
更高安全性和网络互连要求，常把基于包过滤的方法与基于代理的方法结合起来，同时加上地址转化、地址映射及流量统计与控制、攻击检测与攻击反应等功能，形成具有综合功能的防火墙产品。一般地，称此类产品为复合型防火墙产品。

＃包过滤：
满足用户需要的包过滤策略，通过鉴别通信包的主要信息和通信事件发生的时刻对通信包进行过滤。

＃NAT技术
NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。NAT的另一个显而易见的用途是解决IP地址匮乏问题。

＃地址/端口映射
用于控制用户从Internet上的注册IP访问内部网络上保留IP主机，该映射功能一般可以实现IP到IP的映射，此时不节省注册IP；也可以实现断口到端口的映射，此时可以用一个注册IP的不同端口映射到多个保留IP的特定端口上。

＃流量管理
根据访问行为的数量控制网络的使用。这对于当前网络带宽资源紧张情况下对网络的有效使用至观重要。

＃攻击检测与反应
检测网络可能遭受的攻击，并适时作出反应措施，保护受保护的对象。

1.5 防火墙操作系统
防火墙应该建立在安全的操作系统之上，而安全的操作系统来自于对专用操作系统或通用操作系统的安全加固和改造。专用操作系统的设计是需要大量人力、物力和较长时间的努力。从现有的诸多产品看，主要为在通用操作系统上改造加固，这主要从以下几方面进行：设计操作系统底层硬件交互代码（设备驱动）；取消不用的系统调用；去掉不用的系统命令；限制命令的执行权限；取消IP的转发功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内核等。

1.6 防火墙的抗攻击能力
作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。

1.7 防火墙的局限性
存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。

cooldragon

这是来自“中国红客联盟”论坛的文章

hotboy1000

呵呵，概念性的东西~

cooldragon

是啊