奥顿防火墙有哪些类型(防火墙原理详解)?边肖带你去了解更多。
1。包过滤防火墙
包过滤是最早的防火墙技术。它的第一代模型是“静态包过滤”。使用包过滤的防火墙通常工作在OSI模型中的网络层,后来开发了更新的“动态包过滤”。简而言之,包过滤技术的工作方法是基于各种报头、协议、地址、端口、类型等信息进行分析,并与预设的防火墙过滤规则进行核对。一旦找到一个或多个部分,
2。应用代理保护墙
因为包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击也无法消除危害(如SYN攻击、ICMP flood等。),代理保护墙应运而生。这种防火墙实际上是一个小型的透明代理服务器,替代数据检测和过滤,但它不是简单地将包过滤技术嵌入到代理设备中,而是一种新技术,称为“应用协议分析”,工作在OSI模型的最高级别。
3。状态检测防火墙
这是继“包过滤”技术和“应用代理”技术之后发展起来的一种防火墙技术。它使用一个名为“状态监控”的模块来监控所有级别的网络通信,并根据各种过滤规则制定安全策略。“安全监控”技术在分析每个数据包的报头、协议、地址、端口和类型的基础上,进一步开发了“会话过滤”功能。每一条链路建立后,防火墙都会为这条连接构造一个会话状态,其中包含了这条连接数据包的所有信息,以后这条连接将基于这条状态信息。
状态防火墙的优势状态检测防火墙的出现是防火墙发展史上的一个里程碑,它所采用的状态检测和会话机制已经成为防火墙产品的基本功能和防火墙安全防护的基础技术。
在状态检测防火墙出现之前,包过滤防火墙只是根据设定的静态规则来判断是否允许消息通过。它认为消息是无状态的、孤立的个体,不关注消息的因果,需要包过滤防火墙为每个方向的消息配置一个规则,转发效率低,容易带来安全隐患。
状态检测防火墙的出现正好弥补了包过滤防火墙的这一缺陷。状态检测防火墙使用基于连接状态的检测机制,将所有属于同一个连接且相互交互的消息视为整个数据流。在状态检测防火墙看来,同一数据流中的消息不再是孤立的个体,而是相互关联的。比如为数据流中的第一条消息建立会话,数据流中的后续消息会直接匹配会话转发,不需要检查规则,提高了转发效率。
我们来看一个简单的网络环境。如下图所示,PC和Web服务器位于不同的网络中,分别连接到防火墙,PC和Web服务器之间的通信由防火墙控制。
当PC需要访问Web服务器来浏览网页时,必须在防火墙上配置以下规则,以允许PC访问Web服务器的消息通过。
在此规则中,源端口处的*表示任何端口,因为PC的操作系统决定了访问Web服务器时使用的源端口。例如,对于WINDOWS操作系统,该值可以是1024~65535范围内的任何端口。这个值是不确定的,所以在这里设置为任意端口。
配置此规则后,PC发送的消息可以顺利通过防火墙到达Web服务器。然后Web服务器将向PC发送响应消息,该消息也将通过防火墙到达PC。在状态检测防火墙出现之前,包过滤防火墙还必须配置规则2,如下所示,允许相反方向的邮件通过。
在规则2中,目的端口也被设置为任意端口,因为我们无法确定PC访问Web服务器时使用的源端口。为了使Web服务器响应的消息能够顺利通过防火墙到达PC,我们只能将规则2中的目的端口设置为任意端口。
如果PC位于受保护的网络中,这种处理会带来很大的安全问题。规则2将向PC开放所有目的端口,外部恶意攻击者可以通过伪装成Web服务器畅通无阻地穿越防火墙,PC将面临严重的安全风险。
接下来,我们来看看状态防火墙是如何解决这个问题的。还是以上面的网络环境为例,首先我们还是需要在防火墙上设置规则1,允许PC访问Web服务器的消息通过。当消息到达防火墙时,防火墙会允许消息通过,同时会为PC访问Web服务器的这种行为建立一个会话,会话中包含PC发送的消息信息,如地址、端口等。
当Web服务器响应PC的报文到达防火墙时,防火墙会将报文中的信息与会话中的信息进行比较,发现报文中的信息与会话中的信息相匹配,符合协议规范中后续报文的定义,则认为该报文属于PC访问Web服务器行为的后续响应报文,直接允许该报文通过,如下图所示。
光说不练,我们先用eNSP模拟器搭建一个简单的网络环境,验证一下防火墙上的状态检测机制。网络拓扑如下:
基本配置[USG6000V1]interface GigabitEthernet 1/0/1[USG6000V1-GigabitEthernet1/0/1]ip address 202.102.10.1 24[USG6000V1]interface GigabitEthernet 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24[USG6000V1]firewall zone trust[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0[USG6000V1]firewall zone dmz[USG6000V1-zone-dmz]add interface GigabitEthernet 1/0/1配置安全策略
为了方便起见,我建议使用web界面来配置安全策略,如下所示。
防火墙上只配置了一条规则:允许PC访问Web服务器的消息通过。在PC上使用HttpClient程序访问Web服务器,我发现我可以成功地访问:
在防火墙上使用显示防火墙会话表命令检查会话表信息,发现已经建立了一个会话:
