首页 > 代码库 > 安全知识
安全知识
安全知识
规范用语
信息安全行业
信息系统安全,网络安全
网络系统安全和数据安全
攻击与防御
产品形式
软件,硬件,安全网关等
防火墙与防水墙
广义防火墙
大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样,
应用型的,基于硬件的,有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。
以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互连网(US5606668(A)1993-12-15)。它是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(FireWall)。
其实与防火墙一起起作用的就是“门”。门就相当于我们这里所讲的防火墙的“安全策略”
防火墙可以是一种硬件、固件或者软件,
例如专用防火墙设备、就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
防火墙从诞生开始,已经历了四个发展阶段:
基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。
常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。
从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,
从原理上来分,防火墙则可以分成4种类型:
特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙
防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构,
三种配置,单独的防火墙,前置机+防火墙(只接受来自前置机的流量),防火墙+前置机+防火墙(即DMZ区)
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。利用封包的多样属性来进行过滤
例如:来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段等属性来进行过滤。
可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
攻击类型
源地址我们不相信,源端口也信不得了
IP选项中的源路由攻击和ICMP碎片攻击
DNS的伪造比IP地址欺骗
syn攻击
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作 即常说的七层防火墙
应用层防火墙具备更细致的防护能力,21的数据流,80的数据流,53的数据流等
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
一般的Internet服务对所有的通信都只使用一对端口号,FTP程序在连接期间则使用两对端口号
自从Gartner提出下一代防火墙概念以来,信息安全行业越来越认识到应用层攻击成为当下取代传统攻击,最大程度危害用户的信息安全,
而传统防火墙由于不具备区分端口和应用的能力,以至于传统防火墙仅仅只能防御传统的攻击,基于应用层的攻击则毫无办法。
防火墙是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
传统意义上的防火墙技术分为三大类
“包过滤”(Packet Filtering)、“应用代理”(Application Proxy)和“状态监视”(Stateful Inspection),
无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
win7自带防火墙 ICF被视为状态防火墙
linux自带iptables
topsec通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,把所有服务器上的接口利用起来,不同的协议与流量走不同的网段
防火墙通过隔离来防止外部网对内部网进行攻击,它被动地检查所有流过的网络数据包,以阻断违反安全策略的通信。
防火墙的工作都基于一个基本假设:它位于内外网的接入点,并且内外网间不存在其它旁路,正是基于这个假设,防火墙才成为内网的保护神。
对于内部的安全问题,防火墙无能为力
如何将非法入侵者拒之门外、如何防止内部信息外泄
这种为外部着火
这种为内部漏水
如果说防火是指防止外部威胁向内部蔓延的话,防水就是指防止内部信息的泄漏。
可见,防水墙是对这样的内网监控系统非常形象的一种称呼。
防水墙是一个内网监控系统,处于内部网络中,随时监控内部主机的安全状况。
最简单的防水墙由探针和监控中心组成。
各个厂家的防水墙的功能类似,但并不尽相同
山丽防水墙
网康科技上网行为管理
苏富特内网监控系统
同时应该与AD和RADIUS、单点登录、智能卡等结合完善接入用户的认证
防水墙是对防火墙、虚拟专用网、入侵检测系统等多种安全设备,所提供安全服务的有效补充