防火墙的主要功能和技术支撑是?
您好,防火墙的主要技术支撑不是加密技术,防火墙的主要技术有:
1.Internet网关技术
2.网络地址转换技术(NAT)
3.多级的过滤技术
4.灵活的代理系统
5.透明的访问方式
6.用户鉴别与加密
防火墙的功能也不仅仅是防止把网外未经授权的信息发送到网内,还有对有害信息过滤,攻击防御,反端口扫描,IP隐身等等的功能。
防火墙有哪几种技术
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。
1、网络级防火墙:一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。
如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
2、应用级网关:应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。
它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。
3、电路级网关:电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。
电路级网关代理服务器功能,代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,成功地实现了防火墙内外计算机系统的隔离。
4、规则检查防火墙:该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包,也能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则。
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据。
以上内容参考百度百科-防火墙
防火墙的核心技术有哪些
1.包过滤技术
包过滤技术是一种简单、有效的安全控制技术,它工作在网络层,通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
防火墙技术有哪些?防火墙的核心技术及最新防火墙技术
包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
2.应用代理技术
应用代理防火墙工作在OSI的第七层,它通过检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。
3.状态检测技术
状态检测防火墙工作在OSI的第二至四层,采用状态检测包过滤的技术,是传统包过滤功能扩展而来。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。主要特点是由于缺乏对应用层协议的深度检测功能,无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。
4.完全内容检测技术
完全内容检测技术防火墙综合状态检测与应用代理技术,并在此基础上进一步基于多层检测架构,把防病毒、内容过滤、应用识别等功能整合到防火墙里,其中还包括IPS功能,多单元融为一体,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路,(因此也被称为“下一代防火墙技术”)。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检测技术防火墙可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细等优点,但由于功能集成度高,对产品硬件的要求比较高。
防火墙基本技术
防火墙的基本技术
防火墙是在对网络的服务功能和拓扑结构详细分析的基础上,在被保护对象周围通过的专用软件、硬件以及
管理措施的综合,对跨越网络边界的信息进行监测、控制甚至修改的设施。目前使用的防火墙技术主要有包过滤
和代理服务技术等,用这些技术可以分别做成具有不同功能的防火墙部件。
⒈包过滤技术
包过滤(Packet Filtering)技术就是在网络的适当位置对数据包进行审查,审查的依据是系统内设置的过滤
逻辑——访问控制表(Access Control table)。包过滤器逐一审查每份数据包并判断它是否与包过滤规则相匹配。
过滤规则以顺行处理数据包头信息为基础,即通过对IP包头和TCP包头或UDP包头的检查而实现。包过滤工作在网
络层,故也称网络防火墙。
在Internet技术中还使用内容过滤技术,担任内容过滤的软件有“黑名单”软件、“白名单”软件和内容选
择平台(Platform for Internet Content Selection,PICS)。
“黑名单”软件是第一代Internet内容过滤软件,其工作原理是封锁住不应检索的网址。其中最有名的是(Cyber
NOT,它记录了大约7000个网址。“白名单”软件是第二代Internet内容过滤软件,其工作原理是先封锁全部网址,
然后只开放应检索的网址。
PICS是由麻省理工学院计算机科学实验室的Jim Miller教授开发的第三代Internet内容过滤软件。它的主要工
作是对每一个网页的内容进行分类,并根据内容加上标签,同时由计算机软件对网页的标签进行检测,以限制对特
定内容网页的检索。
数据包过滤防火墙网络逻辑简单、性能和透明性好,一般安装在路由器上。路由器是内部网络与Internet连接
的必要设备是一种天然的防火墙,它可以决定对到来的数据包是否进行转发。这种防火墙实现方式相当简捷,效率
较高,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无
法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,
骗过包过滤型防火墙,一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击。进一步说,由于数据包的源地址、
目标地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒;并且它缺乏用户日志(Log)和审计 (Audit)信
息,不具备登录和报告性能,不能进行审核管理,因而过滤规则的完整性难以验证,所以安全性较差。
⒉代理服务技术
⑴代理服务概述
代理服务器(Proxy Server)是位于两个网络(如Internet和Intranet)之间的一种常见服务器,如果把网络防火墙
比做门卫,代理服务器就好比是接待室。门卫只根据证件决定来访者是否可以进入,而接待室在内部人员与来访者之
间真正隔起一道屏障,它位于客户机与服务器之间,完全阻挡了二者间的数据交流。其特别之处就在于它的双重角色,
从客户机来看,它相当于一台真正的服务器;而从服务器来看,它又是一台真正的客户机。当客户机需要使用服务
器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务
器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企
业内部网络系统。
代理服务技术可以运用于应用层,也可以运用于传输层。运用于应用层的代理服务与过滤路由器组合的防火墙,
被称为应用层网关,它们是面对不同的应用的。运用于传输层的代理服务防火墙,实际上是TCP/UDP连接中继服务。
⑵代理服务器的工作原理
图8-9所示表明了代理服务器(应用网关)的工作原理。
①代理服务器运行后,它的核心部件——应用代理程序启动,并开始监听某个应用端口(这个应用端口是由安全管
理员设定的);
②外部客户需要访问内部服务器时,发送请求到对应的应用端口;
③代理服务器将请求转发给内部服务器;
④服务器的应答也通过代理服务器发给外部客户。
一旦应用代理程序与服务器之间的连接建立,也就在客户与服务器之间建立了一个虚连接,这个虚连接是由两
条虚连接(客户端到代理服务器的客户连接和代理服务器到服务器的服务器连接)和代理服务器(应用代理程序)的
中转实现。
图8-9代理服务器工作原理
⑶应用代理程序
应用代理程序是代理服务器的核心部件。对于应用网关来说,应用代理程序是根据不同的应用协议进行设计的,
根据所代理的应用协议,应用网关可以分为FTP网关、Telnet网关、Web网关等,它们各有对应的应用代理程序。
⑷代理服务器的功能
①中转数据。
②对传输的数据进行预处理常见的有地址过滤、关键字过滤和协议过滤。
③对中转数据提供详细的日志和审计。
④节省IP地址。使用网络地址转换服务(Network Address Translation,NAT),可以屏蔽内部网络的IP地址,使所
有用户对外只用一个IP地址,但这也给黑客留下了隐藏自己真实的IP地址,而逃避监视的隐患。
⑤节省网络资源。代理服务常常设置一个较大的硬盘存储空间,用于存放通过的信息,当内部用户再访问相同的信
息时,就可以直接从缓冲区中读取。
代理服务的隔离作用强,具有对过往的数据包进行分析监控、注册登记、过滤、记录和报告等功能,可以针对
应用层进行侦测和扫描,当发现被攻击迹象时会向网络管理员发出警报,并能保留攻击痕迹,因此,具有比包过滤
更强的防火墙功能。它的缺点是必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复
杂性。
⒊堡垒主机
运行防火墙软件(例如运行应用代理程序)的主机称为堡垒主机。堡垒主机是防火墙最关键的部件,也是入侵者
最关注的部件,因此它必须健壮,必须不容易被攻破。
防火墙的主要功能和几种类型?
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
主要功能:
1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。
2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换,可以分为源地址转换和目的地址转换,即SNAT和NAT。
SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此避免内部网络被攻击。
3、网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。
4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。
类型
1、过滤型防火墙
过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。在符合防火墙规定标准之下,满足安全性能以及类型才可以进行信息的传递,而一些不安全的因素则会被防火墙过滤、阻挡。
2、应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OIS的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。
这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才可以有效地避免防火墙的外部侵扰等问题的出现。
3、复合型
目前应用较为广泛的防火墙技术当属复合型防火墙技术,综合了包过滤防火墙技术以及应用代理防火墙技术的优点,譬如发过来的安全策略是包过滤策略,那么可以针对报文的报头部分进行访问控制。
如果安全策略是代理策略,就可以针对报文的内容数据进行访问控制,因此复合型防火墙技术综合了其组成部分的优点,同时摒弃了两种防火墙的原有缺点,大大提高了防火墙技术在应用实践中的灵活性和安全性。
扩展资料
具体应用
1、内网中的防火墙技术
防火墙在内网中的设定位置是比较固定的,一般将其设置在服务器的入口处,通过对外部的访问者进行控制,从而达到保护内部网络的作用,而处于内部网络的用户,可以根据自己的需求明确权限规划,使用户可以访问规划内的路径。
总的来说,内网中的防火墙主要起到以下两个作用:一是认证应用,内网中的多项行为具有远程的特点,只有在约束的情况下,通过相关认证才能进行;二是记录访问记录,避免自身的攻击,形成安全策略。
2、外网中的防火墙技术
应用于外网中的防火墙,主要发挥其防范作用,外网在防火墙授权的情况下,才可以进入内网。针对外网布设防火墙时,必须保障全面性,促使外网的所有网络活动均可在防火墙的监视下,如果外网出现非法入侵,防火墙则可主动拒绝为外网提供服务。
基于防火墙的作用下,内网对于外网而言,处于完全封闭的状态,外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径,所以防火墙能够详细记录外网活动,汇总成日志,防火墙通过分析日常日志,判断外网行为是否具有攻击特性。
参考资料来源:百度百科-防火墙
防火墙的分类及主要技术?
1、防火墙的基本准则
防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则:
其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。
其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证私有网安全性的难度。
2、企业网的安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
3.防火墙的基本概念
防火墙是一个系统或一组系统,它在企业内网与因特网间执行一定的安全策略。
一个有效的防火墙应该能够确保:所有从因特网流入或流向因特网的信息都将经过防火墙;所有流经防火墙的信息都应接受检查。
因特网防火墙的功能为:通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,应做日志登记;提供网络地址转换(NAT)功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙可查询或登记因特网的使用情况,可以确认因特网连入的代价、潜在的带宽瓶须,以使费用的耗费满足企业内部财政模式;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务,使因特网用户仅可以访问此类服务,而禁止对保护网络的其他系统的访问。
4.防火墙的分类、作用
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是,内外网间不存在直接的连接,而且代理服务器提供日志(Log)和审计(Audit)服务。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机(Bastion Host)提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙(Dua1-Homed Host Firewall),它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙( Screened Host Firewall)是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器(Encryptinn Router),加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
5.各类防火墙的基本功能、作用与不足
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关(或代理服务器)以及链路层网关。
1、包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP�UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击(包中包含一个错误的内部系统源IP地址,经掩饰后变成一个似乎来自于一个可以信任的内部主机,此时的过滤规则为:当一个具有内部源IP地址的包到达路由器的任意一个外部接口时,将此包丢弃。)、源路由攻击、细小碎片攻击(入侵者使用IP分裂技术将包划分成很小的一些碎片,然后将TCP头的信息插入包的一个小碎片中,寄希望过滤规则为丢弃协议类型为TCP而IP帧偏移量为1的所有包)等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
包过滤路由器的优点,大多数防火墙配置成无状态的包过滤路由器,因而实现包过滤几乎没有任何耗费。另外,它对用户和应用来说是透明的,每台主机无需安装特定的软件,使用起来比较方便。
包过滤路由器的局限性在于定义包过滤是个复杂的工作,网络管理员需要对各种因特网服务、包头格式以及希望在每一个城找到的特定的值有足够的了解:面对复杂的过滤需求,过滤规则将是一个冗长而复杂、不易理解和管理的集合,同样也很难测试规则的正确性;任何直接通过路由器的包都可能被利用做为发起一个数据驱动的攻击;随着过滤数目的增加,将降低路由器包的吞吐量,同时耗费更多CPU的时间而影响系统的性能;再者IP包过滤难以进行行之有效的流量控制,因为它可以许可或拒绝一个特定的服务,但无法理解一个特定服务的内容或数据。
