防火墙深入原理.docx

《防火墙深入原理.docx》由会员分享，可在线阅读，更多相关《防火墙深入原理.docx（4页珍藏版）》请在咨信网上搜索。

什么是防火墙？ 其实防火墙一词最早一词来源于建筑学，早先人类建筑房屋都是用些茅草木材等，后来发生火灾事故加风肋威，一家起火结果邻居的房屋都不保，那个烧的一干二尽悲剧．聪明的人类用非易燃物建造了防火墙，以保别人起火不会烧到自己，哈哈！扯远了．今天我们谈网络中的防火墙．它就是置身于内部与外部网络中间的一组网络设备，也是内部网络与外部网络通信的必经之地，通过执行管理员配置好的安全策略，对进出网络的信息进行各种控制(记录．放行．阻止．更改．检测．报警)等.从而让内部网络不受外部网络的破坏． 硬件防火墙与软件防火墙区别 现在市场上有两种类型的防火墙,一种是硬件防火墙,一种是软件防火墙.其硬件代表有 juniper|cisco|checkpoint|天融信|东软|华为|网康|深信服|;而软件防火墙有我们个人电脑上使用的个人防火墙|微软ISA|Linux-Iptables|的防火墙.软件防火墙安装于普通的PC机或服务器上,实现机制通过在TCP/IP协议栈挂勾,实现对数据包的处理.而硬件防火墙程序安装在专用的.经过特殊设计的[PC-X86架构][NP网络处理器][ASIC专用集成电路]架构之上,其硬件防火墙价格昂贵,对于数据包处理能力强,稳定性也高,用于中型与大型企业,而软件防火墙一般用于个人或小型企业. UTM|IDS|IPS的区别 UTM[是一种能够实现多种安全防护的设备,集各种安全技术为一身的单一硬件设备(防火墙|防病毒|入侵检测|VPN)来应对互联网中各种新型的攻击] IDS[是入侵检测系统,通过镜像收集网络中所有的数据,然后匹配分析特征,用来发现各种网络攻击与入侵行为.并产生行为,这个类似与防毒系统.]  IPS[是入侵防御系统,是对于防火墙与防病毒不足的补充也是弥补IDS的不足.在我们看来IDS是响应不够速度,有点马后炮.IPS执行深度包检测功能,能够即时阻断|调整|隔离各种有威胁性的数据包与连接.]以后在和大家细谈这方面技术. 防火墙核心技术 不论是硬件防火墙还是软件防火墙,其技术原理不外呼几种1.包过滤技术2.状态检测技术3.应用层网关代理技术,其实我们从这几个技术名词上,不能深入理解其涵义.下面我将和大家一起分析. 包过滤防火墙 我们也可叫它为静态包过滤.何为包?我们知道包过滤是通过ACL规则控制数据流的,但是ACL的组成要数据流中的元素.当然一个IP数据包中最明显最核心的五元素就是:[源地址source][目标地址destination][协议][源端口sport][目标端口dport],我们过虑数据也就是这些元素的不断组合[允许|拒绝].为何能形成这五元素,大家了解点网络都知道,目的只为了实现应用程序与应用程序间的通信.那么静态又从何讲起?我们知道OSI七层协议封装,对于每个数据包都具有这五个元素.所以可以通过这五元素做一个规则集,否合ACL就通过或拒绝.因为它的元素不会改变.TCP/IP协议是不能随便改写的吧?哈哈 通过上述讲解,我们看到其于这种包过滤技术的防火墙,实现简单[因为对于OSI模型来说,其操作数据有只底层的四层,从物理层|链路层|网络层|传输层|,解封装速度快,规则判断速度快]规则也简单[因为在前四层中,主要做ACL元素的只有五个,其规则集也不过是五位数的杂乱组合]在此我们看到了很多优点.包过滤防火墙的处理速度快，并且易于配置。 缺点: 1.当数据包穿越MTU比较小的网络时,会造成分片出现,知道出现分片是什么个情况吧?被分片的数据包其除了第一个分片有TCP/UDP报头之外,其它分片均没有TCP/UDP报送,只有IP报头.这样对于包过滤防火墙不管是攻击型的流量分片还是正常数据流分片,做出处理都将困难. 2.不支持应用层协议有些实际应用中,对于端口类的要求开放等,写入了应用层.包过滤无法识别.导致通信失败如FTP|H323|SIP|RTSP|PPTP. 3.不能防止应用层等恶意攻击,理由很简单,因为它根本不认识.如数据驱动攻击.向目标主机发送特定的数据流, 以实现缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等. 4.不能有效防止网络攻击与扫描. 在此我们分析一个实例.假如我们在包过滤的网络环境下,我们要对内部的主机开放对外的80端口.在此我们要搞清楚两个情况.一是我们不知道或不能确定内部主机发起对外的WEB访问会开启源端口.二是外网的WEB服务器不确定性.我们唯一只知道的是访问的条件是目标端口是80.就是这种不确定性,我们无法对防火墙做详细的规则过滤.存在于防火墙的规则库中只有图: Source Destination Protocal Sport Dport   221.217.1.X X.X.X.X Tcp X 80 出站 X.X.X.X 221.217.1.X tcp 80 X 入站   不知道大家看到这个图会想到什么,防火墙只能对这两条记录做出判断,符合条件的就通过,不符合条件的就拒绝.这样的防火墙智商只能同三岁儿童相比.我们可以利用这样的防火墙弱点做什么呢?做数据驱动式攻击[x.x.x.x 攻击主机可以以源端口80向内某个内部主机特定端口发送有攻击性的数据串.因为系统有漏洞或程序上的缺陷.我们知道任何公网IP以源端口80发送数据到内部,防火墙是允许通过的.攻击者成攻实现数据驱动式攻击.]不能防止别人刺探自己的内部网络[我们知道对于现在的各种网络扫描与探测技术,常用的技术手段有发送异常的数据包文或特殊的数据包文,或不按TCP/UCP协议等常规出牌的数据包(直接发送TCP/syn,ack,fin,null,udp空报文),这些数据包都可以以源端口为80顺利通过防火墙,成功到达目标主机.有意思的是RFC规定对于这些异常报文都规定要做回复,对LINUX/UNIX很有效呵呵!这样无疑是对暴露了自己,对攻击者透明了自己.当然也有不守规则的,如WINDOWS就牛逼,自己玩自己的,管你什么RFC]其实还有什么DDOS,SYN等攻击就不说了一个理.最后说一点防火墙能控制到OSI四层,当然也可做二层基于MAC地址等控制.这里就不说了.好了说了这么多,总之在包过滤防火墙的世界中,它知道的还太少,殊不知世界这么大.接下我们认识一下长大了的包过滤防火墙.已不是儿童时代了. 应用代理网技术 我们知道由于包过滤防火墙无法提供完美的办法保护网络,对于新式的各种攻击已无能为力[数据驱动式攻击|SYN/ICMP洪水|内部网络的保密性等等].”应用代理”防火墙产生.我们怎么去理解这种应用代理网关技术?我们知道在互联网大部分服务应用中,都是基于客户端与服务器模式.而代理主机对于客户端来说就充当了服务器的角色,对于真正的服务器来说,充当了客户端的角色.所以代理主机是一个拥有双重身份的主机.同时我们知道各种服务应用的数据流是基于应用层.对于每一个服务应用的过滤与安全.我们都写要编辑特定的安全化代理程序[客户端与服务器端程序],并执行相应的进程.为我们服务.所谓的代理程序安全化我们就是打造十分建全的程序[自身无漏洞|程序无缺陷],让恶意代码执行在代理主机上无漏可钻. 主要技术:应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，服务器返回的数据流经防火墙安全策略检测确认,然后再由防火墙转发给内网用户.所有通信都必须经应用层代理软件转发，内部主机无法通外部主机建立直接的连接.其优点我们明显可见,对于数据的控制从OSI物理层上升到应用层,对数据包检测非常细.有效抵抗了一些网络扫描攻击与数据驱动式攻击. 缺点: 1.由于它是代理主机,对于每一个应用都有相应的进程,其次还要通过复杂的算法与分析,在处理上要消耗不少时间.在用户使用的过程中感到明显的速度慢. 2.面对互联网日异月新的各种应用与应用协议的复杂性,其实现原理也复杂多变.好多新的应用得不到支持.总体说来不爽.但安全性确实高. 状态检测防火墙 这是后来出现的一种防火墙技术.结合了包过滤技术与应用层网关代理技术的优点.从检测角度来讲,检测面更广深度更深.何为状态检测?从通信来看,我们知道建立通信连接不单单是发送数据包,整个会话过程还有状态可言.会话中的每个数据包都有一种承上启下的作用.如建立可靠的TCP三次握手连接,如果没有发送SYN报文,就收到对方的ACK报文,这足以说明这是一个非法数据包,在状态检测防火墙面前是说不过去的.连接状态请参考:网络连接状态[http://www.wildlee.org/2010_03_514.html]. 状态检测防火墙可以根据这些建立的连接状态,建立连接状态规则库,对出入站的数据包进行匹配.其次还要检测网络层的IP包中的标识|标志|片偏移等;传输层的窗口大小|状态标识|序列号与确认号|等是否符合状态;在包状态检测中,已不单单是五元素组了.通过种种元素匹配与组合分析,然后确定可以进入内部网络中的数据包. 状态检测防火墙又称动态包过滤.我们怎么理解这个动态.在同一个会话中,我们知道源IP与目标IP不会改变,源端口与目标端口不会改变,基于这种过滤叫做静态包过滤.动态呢?在同一个会话连接中,数据包中不断在改变的东西太多了,如传输层TCP协议标志位有|ACK|SYN|RST|,网络层的IP报文有数据报文的分片|片偏移等等好多字段是在不断的改变,这些字段对于判断一个数据包是否正常有着重要的意义,状态检测防火墙对这些字段进行全面检测,可以做出很好的安全抉择. 可实现功能包括:应用网关识别协议[ALG功能]|TCP/UDP通道检测|深度包检测[DPI]|IP分片报文检测|会话动态管理|端口映射与NAT|会话日志|审记等等,功能日异强大. 防火墙之文写的实为困难,犹如狗吃刺猬难以下口,防火墙技术广,知识面较多.有些东西就不一一详述了.WILDLEE技术初浅,而防火墙技术高深莫测,有错误或不足,还请大牛们指正.有些技术细节本打算举例说明,但东西太多了,希望大家在学习的时候,对于每一步,都要有自己的思想,努力去思考每一个细节与过程.