:itcso./news/20060324/1044465098-2.s
防火墙的原理是指设定在不同网路(如可信任的企业内部网和不可信的公共网)或网路安全域之间的一系列部件的组合。它是不同网路或网路安全域之间资讯的唯一出入口,通过监测、限制、更改跨越防火墙的资料流,尽可能地对外部遮蔽网路内部的资讯、结构和执行状况,有选择地接受外部访问,对内部强化装置监管、控制对伺服器与外部网路的访问,在被保护网路和外部网路之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬体防火墙和软体防火墙,他们都能起到保护作用并筛选出网路上的攻击者,防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务,包过滤技术是一种简单、有效的安全控制技术,它通过在网路间相互连线的装置上载入允许、禁止来自某些特定的源地址、目的地址、TCP埠号等规则,对通过装置的资料包进行检查,限制资料包进出内部网路。包过滤的最大优点是对使用者透明,传输效能高。但由于安全控制层次在网路层、传输层,安全控制的力度也只限于源地址、目的地址和埠号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、记忆体覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连线,状态检测检查预先设定的安全规则,允许符合规则的连线通过,并在记忆体中记录下该连线的相关资讯,生成状态表。对该连线的后续资料包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个资料包进行规则检查,而是一个连线的后续资料包(通常是大量的资料包)通过杂凑演算法,直接进行状态检查,从而使得效能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的埠,使得安全性得到进一步地提高,希望回答可以帮到你。
防火墙主要用语对付黑客用的。可以降低中毒机率。要防毒还得靠防毒软体
防火墙能增强机构内部网路的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的资料通过,而且防火墙本身也必须能够免于渗透。
防火墙的五大功能
一般来说,防火墙具有以下几种功能:
1.允许网路管理员定义一个中心点来防止非法使用者进入内部网路。
2.可以很方便地监视网路的安全性,并报警。
3.可以作为部署NAT(Neork Address Translation,网路地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
4.是审计和记录Inter使用费用的一个最佳地点。网路管理员可以在此向管理部门提供Inter连线的费用情况,查出潜在的频宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
在计算机和你网路间 插入一个过滤系统
这个过滤系统 可以认为定义一些 规则,那些是好的流量那些事违规的流量,好的就转发,或者违规的就丢掉。
定义一些资料包的行为,那些包的行为师攻击行为,该做出是那么样的防范。
这么一些个系统就叫做防火墙。
比如说有一个盲人,他的孙子只要从他面前走过,他总会给孙子一块糖吃,于了有一些捣乱的小孩子就会反复的从他面前走过,装孙子,骗糖吃,这个盲人不高兴了,他就养了一条狗,这个狗可以看得见,可以记得谁是真的孙子,谁是装孙子,以后谁要再来装孙子就会被狗咬了,ARP防火墙有点像那条狗的作用,分出谁是真的,谁是假的。对于一般使用者,就是记得正确有闸道器MAC地址。
网路层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆叠上。我们可以以列举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙装置可能只能套用内建的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的作业系统及网路装置大多已内建防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源埠号、目的 IP 地址或埠号、服务型别(如 或是 FTP)。也能经由通讯协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
任何计算机病毒实际上都是计算机程式程式码,是一段程式,是一串数字的排列组合。就像每个指纹具有的其他人没有的特征一样,病毒程式中必然有独有的、其它程式所不具备的排列方式。称为病毒特征码。
病毒软体公司的一个基本工作就是发现新病毒,并找出其特征码。我们升级病毒库,就是把特征码存在计算机 *** 防火墙和防毒软体使用。
病毒防火墙的功能,就是在资料流动的位置,用毒特征码和资料流中的资料对比,一旦发现和 病毒特征码相同的资料,就认为是发现病毒,采取相应措施。(防毒软体是和硬碟及记忆体中的资料比对,防火墙只管进出计算机的资料流)
由于病毒有上万种,计算机中的资料流动途径也有多种,所以如何比对,在那个位置比对,以达到又快又不出错,是考验各种防火墙技术水平的。
另外从什么途径获得病毒特征码也很重要。大多防毒商都会共享资料,但如果某一家老是不能发现新病毒,并找出其特征码的能力,大家就会“不带它玩”
防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网路的世界里,要由防火墙过滤的就是承载通讯资料的通讯包。
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的T CP/IP协议栈;有的在已有的协议栈上建立自己的软体模组;有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护(比如S MTP或者HTTP协议等)。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的资料包,决定放行还是把他们扔到一边。
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台U NIX计算机,另一边的网段则摆了台PC客户机。
什么是防火墙?
防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网路的世界里,要由防火墙过滤的就是承载通讯资料的通讯包。
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;
有的在已有的协议栈上建立自己的软体模组;有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护(比如 SMTP或者HTTP协议等)。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的资料包,决定放行还是把他们扔到一边。
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
防火墙说明
当PC客户机向UNIX计算机发起tel请求时,PC的tel客户程式就产生一个TCP包并把它传给本地的协议栈准备传送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它传送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的资料包都给拒了,完成这项工作以后,“心肠”比较好的防火墙还会通知客户程式一声呢!既然发向目标的IP资料没法转发,那么只有和UNIX计算机同在一个网段的使用者才能访问UNIX计算机了。
防火墙说明2
还有一种情况,你可以命令防火墙专给那台可怜的PC机找茬,别人的资料包都让过就它不行。这正是防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了
伺服器TCP/UDP 埠过滤
仅仅依靠地址进行资料过滤在实际运用中是不可行的,还有个原因就是目标主机上往往执行着多种通讯服务,比方说,我们不想让使用者采用 tel的方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件伺服器吧?所以说,在地址之外我们还要对伺服器的TCP/ UDP埠进行过滤。
防火墙3
比如,预设的tel服务连线埠号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是伺服器)的tel连线,那么我们只需命令防火墙检查传送目标是UNIX伺服器的资料包,把其中具有23目标埠号的包过滤就行了。这样,我们把IP地址和目标伺服器 TCP/UDP埠结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不,没这么简单。
客户机也有TCP/UDP埠
TCP/IP是一种端对端协议,每个网路节点都具有唯一的地址。网路节点的应用层也是这样,处于应用层的每个应用程式和服务都具有自己的对应 “地址”,也就是埠号。地址和埠都具备了才能建立客户机和伺服器的各种应用之间的有效通讯联络。比如,tel伺服器在埠23侦听入站连线。同时tel客户机也有一个埠号,否则客户机的IP栈怎么知道某个资料包是属于哪个应用程式的呢?
由于历史的原因,几乎所有的TCP/IP客户程式都使用大于1023的随机分配埠号。只有UNIX计算机上的root使用者才可以访问1024 以下的埠,而这些埠还保留为伺服器上的服务所用。所以,除非我们让所有具有大于1023埠号的资料包进入网路,否则各种网路连线都没法正常工作。
这对防火墙而言可就麻烦了,如果阻塞入站的全部埠,那么所有的客户机都没法使用网路资源。因为伺服器发出响应外部连线请求的入站(就是进入防火墙的意思)资料包都没法经过防火墙的入站过滤。反过来,开启所有高于1023的埠就可行了吗?也不尽然。由于很多服务使用的埠都大于1023,比如 X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023埠标准的资料包都进入网路的话网路还能说是安全的吗?连这些客户程式都不敢说自己是足够安全的。
防火墙4
双向过滤
OK,咱们换个思路。我们给防火墙这样下命令:已知服务的资料包可以进来,其他的全部挡在防火墙之外。比如,如果你知道使用者要访问Web伺服器,那就只让具有源埠号80的资料包进入网路:
防火墙5
不过新问题又出现了。首先,你怎么知道你要访问的伺服器具有哪些正在执行的埠号呢? 象HTTP这样的伺服器本来就是可以任意配置的,所采用的埠也可以随意配置。如果你这样设定防火墙,你就没法访问哪些没采用标准埠号的的网路站点了! 反过来,你也没法保证进入网路的资料包中具有埠号80的就一定来自Web伺服器。有些黑客就是利用这一点制作自己的入侵工具,并让其执行在本机的80埠!
检查ACK位
源地址我们不相信,源埠也信不得了,这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好,事情还没到走投无路的地步。对策还是有的,不过这个办法只能用于TCP协议。
TCP是一种可靠的通讯协议,“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性,每个TCP连线都要先经过一个 “握手”过程来交换连线引数。还有,每个传送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK 包来响应,实际上仅仅在TCP包头上设定一个专门的位就可以完成这个功能了。所以,只要产生了响应包就要设定ACK位。连线会话的第一个包不用于确认,所以它就没有设定ACK位,后续会话交换的TCP包就要设定ACK位了。
防火墙6
举个例子,PC向远端的Web伺服器发起一个连线,它生成一个没有设定ACK位的连线请求包。当伺服器响应该请求时,伺服器就发回一个设定了 ACK位的资料包,同时在包里标记从客户机所收到的位元组数。然后客户机就用自己的响应包再响应该资料包,这个资料包也设定了ACK位并标记了从伺服器收到的位元组数。通过监视ACK位,我们就可以将进入网路的资料限制在响应包的范围之内。于是,远端系统根本无法发起TCP连线但却能响应收到的资料包了。
这套机制还不能算是无懈可击,简单地举个例子,假设我们有台内部Web伺服器,那么埠80就不得不被开启以便外部请求可以进入网路。还有,对 UDP包而言就没法监视ACK位了,因为UDP包压根就没有ACK位。还有一些TCP应用程式,比如FTP,连线就必须由这些伺服器程式自己发起。
FTP带来的困难
一般的Inter服务对所有的通讯都只使用一对埠号,FTP程式在连线期间则使用两对埠号。第一对埠号用于FTP的“命令通道”提供登入和执行命令的通讯链路,而另一对埠号则用于FTP的“资料通道”提供客户机和伺服器之间的档案传送。
在通常的FTP会话过程中,客户机首先向伺服器的埠21(命令通道)传送一个TCP连线请求,然后执行LOGIN、DIR等各种命令。一旦使用者请求伺服器传送资料,FTP伺服器就用其20埠(资料通道)向客户的资料埠发起连线。问题来了,如果伺服器向客户机发起传送资料的连线,那么它就会发送没有设定ACK位的资料包,防火墙则按照刚才的规则拒绝该资料包同时也就意味着资料传送没戏了。通常只有高阶的、也就是够聪明的防火墙才能看出客户机刚才告诉伺服器的埠,然后才许可对该埠的入站连线。
UDP埠过滤
好了,现在我们回过头来看看怎么解决UDP问题。刚才说了,UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通讯,这种型别的服务通常用于广播、路由、多媒体等广播形式的通讯任务。NFS、DNS、WINS、NetBIOS-over- TCP/IP和 NetWare/IP都使用UDP。
看来最简单的可行办法就是不允许建立入站UDP连线。防火墙设定为只许转发来自内部介面的UDP包,来自外部介面的UDP包则不转发。现在的问题是,比方说,DNS名称解析请求就使用UDP,如果你提供DNS服务,至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程式也使用UDP,如果要让你的使用者使用它,就同样要让他们的UDP包进入网路。我们能做的就是对那些从本地到可信任站点之间的连线进行限制。但是,什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?
有些新型路由器可以通过“记忆”出站UDP包来解决这个问题:如果入站UDP包匹配最近出站UDP包的目标地址和埠号就让它进来。如果在记忆体中找不到匹配的UDP包就只好拒绝它了!但是,我们如何确信产生资料包的外部主机就是内部客户机希望通讯的伺服器呢?如果黑客诈称DNS伺服器的地址,那么他在理论上当然可以从附着DNS的UDP埠发起攻击。只要你允许DNS查询和反馈包进入网路这个问题就必然存在。办法是采用代理伺服器。
所谓代理伺服器,顾名思义就是代表你的网路和外界打交道的伺服器。代理伺服器不允许存在任何网路内外的直接连线。它本身就提供公共和专用的 DNS、邮件伺服器等多种功能。代理伺服器重写资料包而不是简单地将其转发了事。给人的感觉就是网路内部的主机都站在了网路的边缘,但实际上他们都躲在代理的后面,露面的不过是代理这个假面具。
小结
IP地址可能是假的,这是由于IP协议的源路有机制所带来的,这种机制告诉路由器不要为资料包采用正常的路径,而是按照包头内的路径传送资料包。于是黑客就可以使用系统的IP地址获得返回的资料包。有些高阶防火墙可以让使用者禁止源路由。通常我们的网路都通过一条路径连线ISP,然后再进入 Inter。这时禁用源路由就会迫使资料包必须沿着正常的路径返回。
还有,我们需要了解防火墙在拒绝资料包的时候还做了哪些其他工作。比如,防火墙是否向连线发起系统发回了“主机不可到达”的ICMP讯息?或者防火墙真没再做其他事?这些问题都可能存在安全隐患。ICMP“主机不可达”讯息会告诉黑客“防火墙专门阻塞了某些埠”,黑客立即就可以从这个讯息中闻到一点什么气味。如果ICMP“主机不可达”是通讯中发生的错误,那么老实的系统可能就真的什么也不传送了。反过来,什么响应都没有却会使发起通讯的系统不断地尝试建立连线直到应用程式或者协议栈超时,结果终端使用者只能得到一个错误资讯。当然这种方式会让黑客无法判断某埠到底是关闭了还是没有使用。