分类: 网络与安全
2008-05-23 22:08:44
第二章防火墙概述
2.1 防火墙简介
防火墙的定义:防火墙是控制介于不同网络区域的流量的一台设备或者一套系统。
2.2流量控制和OSI参考模型
OSI 参考模型概要
防火墙和OSI参考模型:防火墙能工作在 2 4 3 5 7 层;
2.3防火墙的种类
包过滤防火墙:
包过滤防火墙:工作在 3 4 层;过滤的类型信息有:
1.第三层的ip地址 2.第三层的协议信息
3.第四层的协议信息 4.发送或者接收流量的接口
包过滤防火墙的优点:
1.能以很快的速度处理数据包
2.易于配置绝大多数第三层和第四层报文头信息,在实施安全策略时提供许多灵活性
包过滤防火墙的局限性:
1.可能比较复杂比较不好配置
2.不能阻止应用层攻击
3.只对某些类型的TCP/IP攻击比较灵敏
4.不支持用户的连接认证
5.只用有限的日志功能
包过滤防火墙的使用:
1.作为第一防线(边界路由器);
2.当用包过滤就能完全实现安全策略并且认证不是一个问题的时候
3.在要求最低安全性并要考虑成本的SOHO网络中
包过滤防火墙的问题:如何解决反回或者出去的流量:解决方法:开放端口和检查TCP控制位
状态防火墙
状态防火墙保持对连接状态的跟踪:连接是否处于初始化,数据传输或者终止状态;工作在3,4,5 层;状态防火墙在状态处理过程中的一个优点就是当连接终止的时候,源和目的设备拆除连接,状态防火墙通过检查TCP头的控制标记注意到这个过程,并动态地将连接状态从状态表里删除。
状态防火墙的优点:
1.状态墙知晓连接状态
2.状态防火墙无须打开很大范围的端口允许通信
3.状态防火墙比包过滤防火墙阻止更多的DoS攻击,并有更丰富的日志功能
状态放火墙的局限性:
1.可能很复杂不容易配置
2.不能阻止应用层的攻击
3.不支持用户连接的认证
4.不是所有的协议包含状态信息
5.一些应用会打开多个接口,其中一些为附加连接使用动态端口
6.在维护状态表的时候会涉及到其他开销
状态防火墙的使用:
1.做为防御的主要方式
2.作为防御第一线的智能设备(带状态的边界路由器)
3.在需要比包过滤更严格的安全控制下,而不需要增加太多的成本
应用网关防火墙:
应用网关防火墙(AGF)通常被称为代理防火墙,工作在OSI 的 3 4 5 7 层;
认证过程:AGF的一个功能是它们通常首先对连接请求进行认证,然后再允许流量到达内外资源。认证过程发生在应用层的软件浏览器的弹出窗口
应用网关放火墙的类型:连接网关防火墙(CGF)和(直通代理(Cut-Though proxy,CTP)
应用网关防火墙的优点: 1.认证个人,而不是设备
2.黑客几乎没有时间来进行欺骗和实施DoS攻击
3.能监控和过滤应用层数据4.能提供详细的日志
应用网关防火墙的局限性:
1.用软件处理数据包
2.只支持很少的应用
3.有时要求特定的客户端软件
地址转换防火墙:
可以解决两个问题:
1.扩展了我们支配ip地址的数目
2.隐藏了网络编址设计,地址转换防火墙工作在 3 4 层
地址转换防火墙的优点:
1.能隐藏网络编址设计
2.控制流量进入和离开网络
3.允许使用私有地址
地址转换的局限性:
1.因为数据的处理引入了时延
2.有些应用不支持地址转换
3.跟踪和排错更加困难
地址转换防火墙的使用:
1.当在内部网络中使用私有ip编址方案的时候
2. 当需要比较容易地分割俩个或者更多个网络的时候
基于主机的防火墙:
优点:1.能够增强安全性
2.有些能提供基于主机的认证3.成本低
局限性:
1.基于软件的防火墙
2.简化了包过滤
3.只有简单的日志功能
4.在大规模是使用的时候不容易管理
2.4防火墙设计
设计准则:
设计应该遵守下面的5个准则:
1.开发安全策略
2.建立一个简单的设计方案
3.按计划使用设备
4.实施一个分层的防御以提供额外的保护
5.考虑内部威胁方案,内部威胁应该被包括在内
DMZ
组件:
一个好的防火墙应该包括下面的组件:1.边界路由器2.防火墙3.vpn4.IDS/IPS
组件布局
防火墙实施
防火墙管理
2.5 IOS安全
IOS的使用 :
IOS路由器扮演的角色:
1.边界防火墙2. Internet防火墙3.内部防火墙4.vpn 集中器5.IDS/IPS
IOS 的安全特性:
关键好处:1.灵活性2.扩展性3.更容易供应和投资保护3.vpn支持
IOS 防火墙墙特性集:1.地址转换2.审记跟踪3.认证代理4.基本的过滤技术5.DoS6.动
态端口映射6.入侵检测7.java小程序过滤8.实时警告9.路由器认证10.状态防火墙过滤11.URL
过滤12.语音连接支持