包過(guò)濾防火墻的作用
包過(guò)濾防火墻的作用
有一種防火墻叫做包過(guò)濾防火墻,大家對(duì)這種防火墻的作用或者知識(shí)了解有多少?下面就讓學(xué)習(xí)啦小編為大家介紹一下包過(guò)濾防火墻以及它的作用吧,希望能對(duì)大家有幫助。
包過(guò)濾防火墻是什么:
包過(guò)濾防火墻是用一個(gè)軟件查看所流經(jīng)的數(shù)據(jù)包的包頭(header),由此決定整個(gè)包的命運(yùn)。它可能會(huì)決定丟棄(DROP)這個(gè)包,可能會(huì)接受(ACCEPT)這個(gè)包(讓這個(gè)包通過(guò)),也可能執(zhí)行其它更復(fù)雜的動(dòng)作。在Linux系統(tǒng)下,包過(guò)濾功能是內(nèi)建于核心的(作為一個(gè)核心模塊,或者直接內(nèi)建),同時(shí)還有一些可以運(yùn)用于數(shù)據(jù)包之上的技巧,不過(guò)最常用的依然是查看包頭以決定包的命運(yùn)。 包過(guò)濾防火墻將對(duì)每一個(gè)接收到的包做出允許或拒絕的決定。具體地講,它針對(duì)每一個(gè)數(shù)據(jù)包的包頭,按照包過(guò)濾規(guī)則進(jìn)行判定,與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā),否則就丟棄。包過(guò)濾是在IP層實(shí)現(xiàn)的,包過(guò)濾根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類(lèi)型(TCP包、UDP包、ICMP包)、源端口、目的端口等包頭信息及數(shù)據(jù)包傳輸方向等信息來(lái)判斷是否允許數(shù)據(jù)包通過(guò)。 包過(guò)濾也包括與服務(wù)相關(guān)的過(guò)濾,這是指基于特定的服務(wù)進(jìn)行包過(guò)濾,由于絕大多數(shù)服務(wù)的監(jiān)聽(tīng)都駐留在特定TCP/UDP端口,因此,為阻斷所有進(jìn)入特定服務(wù)的鏈接,防火墻只需將所有包含特定TCP/UDP目的端口的包丟棄即可。
包過(guò)濾防火墻的作用:
包過(guò)濾防火墻是最簡(jiǎn)單的一種防火墻,它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包,根據(jù)防火墻的規(guī)則表,來(lái)檢測(cè)攻擊行為。包過(guò)濾防火墻一般作用在網(wǎng)絡(luò)層(IP層),故也稱(chēng)網(wǎng)絡(luò)層防火墻(Network Lev Firewall)或IP過(guò)濾器(IP filters)。數(shù)據(jù)包過(guò)濾(Packet Filtering)是指在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇。通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類(lèi)型等因素或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。
包過(guò)濾防火墻的技術(shù)優(yōu)點(diǎn):
→對(duì)于一個(gè)小型的、不太復(fù)雜的站點(diǎn),包過(guò)濾比較容易實(shí)現(xiàn)。
→因?yàn)檫^(guò)濾路由器工作在IP層和TCP層,所以處理包的速度比代理服務(wù)器快。
→過(guò)濾路由器為用戶(hù)提供了一種透明的服務(wù),用戶(hù)不需要改變客戶(hù)端的任何應(yīng)用程序,也不需要用戶(hù)學(xué)習(xí)任何新的東西。因?yàn)檫^(guò)濾路由器工作在IP層和TCP層,而IP層和TCP層與應(yīng)用層的問(wèn)題毫不相關(guān)。所以,過(guò)濾路由器有時(shí)也被稱(chēng)為"包過(guò)濾網(wǎng)關(guān)"或"透明網(wǎng)關(guān)",之所被稱(chēng)為網(wǎng)關(guān),是因?yàn)榘^(guò)濾路由器和傳統(tǒng)路由器不同,它涉及到了傳輸層
。→過(guò)濾路由器在價(jià)格上一般比代理服務(wù)器便宜。
包過(guò)濾防火墻的技術(shù)缺點(diǎn):
→一些包過(guò)濾網(wǎng)關(guān)不支持有效的用戶(hù)認(rèn)證。
→規(guī)則表很快會(huì)變得很大而且復(fù)雜,規(guī)則很難測(cè)試。隨著表的增大和復(fù)雜性的增加,規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能 性也會(huì)增加。
→這種防火墻最大的缺陷是它依賴(lài)一個(gè)單一的部件來(lái)保護(hù)系統(tǒng)。如果這個(gè)部件出現(xiàn)了問(wèn)題,會(huì)使得網(wǎng)絡(luò)大門(mén)敞開(kāi),而用戶(hù)甚至可能還不知道。
→在一般情況下,如果外部用戶(hù)被允許訪問(wèn)內(nèi)部主機(jī),則它就可以訪問(wèn)內(nèi)部網(wǎng)上的任何主機(jī)。
→包過(guò)濾防火墻只能阻止一種類(lèi)型的IP欺騙,即外部主機(jī)偽裝內(nèi)部主機(jī)的IP,對(duì)于外部主機(jī)偽裝外部主機(jī)的IP欺騙卻不可能阻止,而且它不能防止DNS欺騙。雖然,包過(guò)濾防火墻有如上所述的缺點(diǎn),但是在管理良好的小規(guī)模網(wǎng)絡(luò)上,它能夠正常的發(fā)揮其作用。一般情況下,人們不單獨(dú)使用包過(guò)濾網(wǎng)關(guān),而是將它和其他設(shè)備(如堡壘主機(jī)等)聯(lián)合使用。包過(guò)濾的工作是通過(guò)查看數(shù)據(jù)包的源地址、目的地址或端口來(lái)實(shí)現(xiàn)的,一般來(lái)說(shuō),它不保持前后連接信息,過(guò)濾決定是根據(jù) 當(dāng)前數(shù)據(jù)包的內(nèi)容來(lái)做的。管理員可以做一個(gè)可接受機(jī)和服務(wù)的列表,以及一個(gè)不可接受機(jī)和服務(wù)的列表。在主機(jī)和網(wǎng)絡(luò)一級(jí),利用數(shù)據(jù)包過(guò)濾很容易實(shí)現(xiàn)允許或禁止訪問(wèn)。由此不難看出這個(gè)層次的防火墻的優(yōu)點(diǎn)和弱點(diǎn),由于防火墻只是工作在OSI的第三層(網(wǎng)絡(luò)層)和第四層(傳輸層),因此包過(guò)濾的防火墻的一個(gè)非常明顯的優(yōu)勢(shì)就是速度,這是因?yàn)榉阑饓χ皇侨z查數(shù)據(jù)報(bào)的報(bào)頭,而對(duì)數(shù)據(jù)報(bào)所攜帶的內(nèi)容沒(méi)有任何形勢(shì)的檢查,因此速度非???。與此同時(shí),這種防火墻的缺點(diǎn)也是顯而易見(jiàn)的,比較關(guān)鍵的幾點(diǎn)如下所述。
(1)由于無(wú)法對(duì)數(shù)據(jù)報(bào)的內(nèi)容進(jìn)行核查,一次無(wú)法過(guò)濾或?qū)徍藬?shù)據(jù)報(bào)的內(nèi)容體現(xiàn)這一問(wèn)題的一個(gè)很簡(jiǎn)單的例子就是:對(duì)某個(gè)端口的開(kāi)放意味著相應(yīng)端口對(duì)應(yīng)的服務(wù)所能夠提供的全部功能都被開(kāi)放,即使通過(guò)防火墻的數(shù)據(jù)報(bào)有攻擊性,也無(wú)法進(jìn)行控制和阻斷。例如在一個(gè)簡(jiǎn)單的Web服務(wù)器,而包過(guò)濾的防火墻無(wú)法對(duì)數(shù)據(jù)報(bào)內(nèi)容進(jìn)行核查。因此,未打相應(yīng)補(bǔ)丁的提供Web服務(wù)的系統(tǒng),及時(shí)在防火墻的屏蔽之后,也會(huì)被攻擊著輕易獲取超級(jí)用戶(hù)的權(quán)限。
(2)由于此種類(lèi)型的防火墻工作在較低層次,防火墻本身所能接觸的信息較少,所以它無(wú)法提供描述細(xì)致事件的日志系統(tǒng)。此類(lèi)防火墻生成的日志常常只是包括數(shù)據(jù)報(bào)捕獲的時(shí)間、網(wǎng)絡(luò)層的IP地址、傳輸層的端口等非常原始的信息。至于這個(gè)數(shù)據(jù)報(bào)內(nèi)容是什么,防火墻不會(huì)理會(huì),而這對(duì)安全管理員而言恰恰是很關(guān)鍵的。因?yàn)榧皶r(shí)一個(gè)非常優(yōu)秀的系統(tǒng)管理員,一旦陷入大量的通過(guò)/屏蔽的原始數(shù)據(jù)包信息中,往往也是難以理清頭緒,這在發(fā)生安全事件時(shí)給管理員的安全審計(jì)帶來(lái)很大的困難。
(3)所有可能用到的端口(尤其是大于1024的端口)都必須開(kāi)放,對(duì)外界暴露,從而極大地增加了被攻擊的可能性通常對(duì)于網(wǎng)絡(luò)上所有服務(wù)所需要的數(shù)據(jù)包進(jìn)出防火墻的二端口都要仔細(xì)考慮,否則會(huì)產(chǎn)生意想不到的情況。然而我們知道,當(dāng)被防火墻保護(hù)的設(shè)備與外界通信時(shí),絕大多數(shù)應(yīng)用要求發(fā)出請(qǐng)求的系統(tǒng)本身提供一個(gè)端口,用來(lái)接收外界返回的數(shù)據(jù)包,而且這個(gè)端口一般是在1024到65536之間不確定的,如果不開(kāi)放這些端口,通信將無(wú)法完成,這樣就需要開(kāi)放1024以上的全部端口,允許這些端口的數(shù)據(jù)包進(jìn)出。而這就帶來(lái)非常大的安全隱患。例如:用戶(hù)網(wǎng)中有一臺(tái)UNIX服務(wù)器,對(duì)內(nèi)部用戶(hù)開(kāi)放了RPC服務(wù),而這個(gè)服務(wù)是用在高端口的,那么這臺(tái)服務(wù)器非常容易遭到基于RPC應(yīng)用的攻擊。
(4)如果網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,那么對(duì)管理員而言配置訪問(wèn)控制規(guī)則將非常困難當(dāng)網(wǎng)絡(luò)發(fā)展到一定規(guī)模時(shí),在路由器上配置訪問(wèn)控制規(guī)則將會(huì)非常繁瑣,在一個(gè)規(guī)則甚至一個(gè)地址處出現(xiàn)錯(cuò)誤都有可能導(dǎo)致整個(gè)訪問(wèn)控制列表無(wú)法正常使用。