|
|
文/翟乃博
之前我们介绍了《防火墙知识初探》,下面我们将继续介绍防火墙的主要技术。
随着防火墙的发展,根据具体的情况不同,目前主要有下面的几种技术:
包过滤技术
包过滤技术的原理在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。在互联网的信息包交换网络上,所有往来的信息都被分割成一定长度的信息包,包头信息中包括IP源地址、IP目标地址、内装协议、TCP/UDP目标端口、ICMP消息类型、包的进出接口。当这些包被送上互联网时,防火墙会读取接收者的IP并选择一条物理上的线路发送出去,信息包可能从不同的线路抵达目的地,当所有的包抵达后会在目的地重新组装还原。在图1中,我们可以看到防火墙处于网络层(Network Layer)与数据链路层(Data-Link Layer)之间,由于所处的位置较低,仅能对当前正在通过的单一数据包的内容进行分析和判断,而不具备应用层保护能力。现在包过滤技术逐渐由“傻瓜型”向“智能型”转化,从一种被动的规则检查方式变为多级并行或串行或串并行混合的复杂检查方式,例如入侵检测(IDS)与防火墙互动(如图2),就是一种简单的复变包过滤技术。
图1
图2
应用代理技术
代理技术与包过滤不同,它直接和应用服务程序打交道。它不会让数据包直接通过,而是自己接收了数据包,并对其进行分析(如图3)。从图1中可以看到代理是处在Application Layer的地位,通过一种代理技术参与到一个TCP连接的全过程,所以它能够理解应用层上的协议,做一些复杂的访问控制,并做精细的注册和稽查。但是当工作量大时,它的效率是不如包过滤技术的。针对这个问题,自适应代理技术应运而生。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器与动态包过滤器。
图3
网络地址翻译技术
网络地址翻译可以对外隐藏内部的网络结构,外部攻击者无法确定内部计算机的连接状态。并且不同的时候,内部计算机向外连接使用的地址都是不同的,给外部攻击造成了困难(如图4)。同样NAT也能通过定义各种映像规则,屏蔽外部的链接请求,并可以将链接请求映射到不同的计算机中。网络地址翻译都和IP数据包过滤一起使用,就构成一种更复杂的包过滤型的防火墙。仅仅具备包过滤能力的路由器,其防火墙能力还是比较弱,抵抗外部入侵的能力也较差,而和网络地址翻译技术相结合,就能起到更好的安全保证。
图4
规则检查技术
规则检查技术既能够在网络层上通过IP地址和端口号,过滤进出的数据包。它也可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合网络的安全规则。目前,引进的动态规则检查技术是防火墙技术的一个重大改进。最初,静态检查规则是管理员事先定好的,由于事先很难精确地判断防火墙应开多大的端口才能满足正常通讯的需求,所以,只能打开“很大”的端口来满足需求,其中必然有大部分端口是不必打开的,这样就给黑客的行动带来极大的便利。动态规则的引入就弥补了静态规则的不足。由于动态规则是由应用程序直接加入的,因此所有在应用中才能知道是否打开的端口都由应用程序通过动态规则在适当时刻打开,当应用结束时,动态规则由应用程序删除,相应的端口被关闭,而静态规则只需打开极少数事先必须打开的端口。这样在最大限度上降低了黑客进攻的成功率。
主动监测技术
主动监测技术监测网络情况,当出现网络攻击时就立即告警或切断相关连接。它维护一个记录各种攻击模式的数据库,并使用监测程序时刻运行在网络中进行监控,当一旦发现网络中存在与数据库中的某个模式相匹配时,就能推断可能出现网络攻击。由于主动监测程序要监控整个网络的数据,因此需要运行在路由器上,或路由器旁能获得所有网络流量的位置。这种技术主要用于对网络安全要求非常高的网络系统中,常用的网络并不需要使用这种方式。
多级过滤技术
防火墙采用了分组、应用网关和电路网关的三级过滤措施。在分组过滤一级,过滤掉所有的源路由分组和假冒的IP源地址;在应用网关一级,利用FIP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务执行严格的控制。
Internet网关技术
由于是直接串连在网络之中,防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、Finger、Mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。 |
|
发表于 2009-12-23 12:21:43
