信息系统安全与对抗技术 学习笔记(7)：防火墙安全技术

1.五大基本功能

• 过滤进出网络的数据包，如IP地址过滤、UDP端囗过滤、ACK检查过滤等
• 管理进出网络的访问行为
• 封堵某些禁止的访问行为
• 记录通过防火墙的信息内容和活动
• 对网络攻击进行检测和告警

2.理想的防火墙应具有的特性

• 所有内部网络和外部网络之间传输的数据都必须通过防火墙
• 防火墙本身不受各种攻击影响
• 只有被授权的合法数据，即防火墙系统中全策略允许的数据，可以通过防火墙

3.体系结构

• 包过滤
• 双宿网关
• 屏蔽主机
• 屏蔽子网

4.包过滤防火墙

• 优点
  — 过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为。不必对用户进行培训和在每台主机上安装特定的软件。
• 缺点
  — 防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种因特网服务、包头格式以及每个域的意义有非常深入的理解。
  — 随着过滤器数目的增加，路由器的吞吐量会下降，路由器不仅必须对每个数据包作出转发决定，还必须将所有的过滤器规则施用给每个数据包，这样就消耗CPU时间并影响系统的性能。

5.双宿主机防火墙

• 缺点
  — 系统应尽量限制用户的数量，由于双重宿主主机是外部用户访问内部网络系统的中间转接点， 因此其主机的性能非常重要。
  — 双宿网关主机是唯一的隔开内网和外网之间的屏障，如果入侵者得到了双宿网关主机的访问权， 内部网络就会被人侵。

6.屏蔽主机防火墙

• 缺点
  — 屏蔽主机体系结构存在堡垒主机被绕过的可能，堡垒主机与其他内部主机之间没有任何保护网络安全的措施，一旦堡垒主机被攻破，内部网将完全暴露。

7.关键技术

• 包过滤技术
• 代理技术
• 状态检查技术
• 加密技术
• 虚拟网技术
• 安全审计技术
• 安全内核技术
• 身份认证技术
• 负载平衡技术
• 内容安全技术

8.包过滤技术

• 检查内容
  — IP源地址
  — IP目的地址
  — 协议类型（TCP包、UDP包、ICMP包）
  — TCP或UDP的源端口
  — TCP或UDP的目标端口
  — TCP报头中的ACK位
  — TCP的序列号、确认号、IP校验和等
• 优点
  — 对用户完全透明，很多路由器可以作数据包过滤，因此不需要专门添加设备。
• 缺点
  — 包过滤规则难于配置，一旦配置也难于检验。
  — 处理能力有限，随着过滤数目的增加，将降低吞吐量。

9.代理技术

• 分为客户代理和服务器代理，在内部网和外部网间起中间转接作用。
• 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略。（如不允许咙据通过）
• 优点
  — 支持可靠的用户认证并提供详细的注册信息
• 缺点
  — 性能低

10.电路级网关技术

• 也是一种代理，对数据包只起转发作用，并不进行任何附加的包处理或过滤。

11.状态检测技术

• 通过抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。
• 但基于状态检查技术防火墙配置非常复杂，而且会降低网络的速度。

12.防火墙的缺点

• 限制了有用的网络服务
• 无法防护内部网络用户的攻击
• 无法防范通过防火墙以外的其他途径的攻击
• 不能完全防范传送已感染病毒的软件或文件
• 无法防范数据驱动型攻击
• 不能防备新的网络安全问题

13.攻击方法

• 针对防火墙的攻击可以分为三种
  — 防火墙探测
  — 绕过防火墙的攻击：地址欺骗、由内到外连接
  — 破坏性攻击
• 常用的防火墙探测技术
  — 利用防火墙对探测数据包的返回信息。
  — 利用工具，例如Traceroute、FirewaIking、Hpinging和NMAPing，分析其返回结果，可以判定和定位防火墻，并能探测出该防火墙开放的端囗等信息。

14.防水墙

• 用于内网防泄漏产品，是一种防止内部信息泄漏的安全产品，网络、外设接囗、存储介质和打印机构成信息泄漏的全部途径。