|
常見防火墻的類型主要有三種:包過濾�����、電路層網關�、應用層網關�����,每種都有各自的優(yōu)缺點。
包過濾是第一代防火墻技術���,它按照安全規(guī)則�����,檢查所有進來的數據包���,而這些安全規(guī)則大都是基于低層協(xié)議的,如IP��、TCP�����。如果一個數據包滿足以上所有規(guī)則���,過濾路由器把數據向上層提交,或轉發(fā)此數據包���,否則就丟棄此包��。
包過濾的優(yōu)缺點
優(yōu)點:一個過濾路由器能協(xié)助保護整個網絡��;數據包過濾對用戶透明���;過濾路由器速度快����、效率高�。
缺點:不能徹底防止地址欺騙;一些應用協(xié)議不適合于數據包過濾����;正常的數據包過濾路由器無法執(zhí)行某些安全策略。
代理是一種較新型的防火墻技術�,這種防火墻有時也被稱為應用層網關,這種防火墻的工作方式和過濾數據包的防火墻��、以路由器為基礎的防火墻的工作方式稍有不同��。它是基于軟件的�����。
電路層網關是建立應用層網關的一個更加靈活和一般的方法��。雖然它們可能包含支持某些特定TCP/IP應用程序的代碼��,但通常要受到限制。如果支持應用程序�����,那也很可能是TCP/IP應用程序�����。在電路層網關中��,可能要安裝特殊的客戶機軟件�,用戶可能需要一個可變用戶接口來相互作用或改變他們的工作習慣。
代理技術的優(yōu)缺點
優(yōu)點:代理易于配置��;代理能生成各項記錄����;代理能靈活�����、完全地控制進出的流量��、內容�;代理能過濾數據內容����;代理能為用戶提供透明的加密機制�;代理可以方便地與其他安全手段集成。
缺點:代理速度較路由器慢���;代理對用戶不透明��;對于每項服務代理可能要求不同的服務器�����;代理服務不能保證你免受所有協(xié)議弱點的限制�����;代理不能改進底層協(xié)議的安全性���。
新型防火墻技術
我們的目標是設計并實現(xiàn)一種新型防火墻。這種防火墻既有包過濾的功能����,又能在應用層進行代理。較前面分析的防火墻來說����,具有先進的過濾和代理體系�,能從數據鏈路層到應用層進行全方位安全處理��。TCP/IP協(xié)議和代理的直接相互配合��,使本系統(tǒng)的防欺騙能力和運行的健壯性都大大提高��。
設計目標
我們設計新型防火墻的目標是綜合包過濾和代理技術��,克服二者在安全方面的缺陷��;能從數據鏈路層一直到應用層施加全方位的控制�����;實現(xiàn)TCP/IP協(xié)議的微內核�,從而在TCP/IP協(xié)議層能進行各項安全控制;基于上述微內核�,使速度超過傳統(tǒng)的包過濾防火墻�����;提供透明代理模式��,減輕客戶端的配置工作;支持數據加密�、解密(DES和RSA),提供對虛擬網VPN的強大支持�����;內部信息完全隱藏���;產生一個新的防火墻理論�。
TCP/IP協(xié)議處理
TCP/IP協(xié)議處理是本系統(tǒng)的難點和重點之一�,非常復雜與龐大。實現(xiàn)TCP/IP的第一步必須能正確地理解定義����、實現(xiàn)TCP/IP各協(xié)議的數據包格式。
數據鏈路層是TCP/IP協(xié)議的最低層����,它的常規(guī)功能是對上層數據(IP或ARP)進行物理幀的封裝與拆封,當然還包括硬件尋址���、管理等功能���。在本系統(tǒng)中���,數據鏈路層除了實現(xiàn)上述功能外,還增加了監(jiān)聽網上數據�����、記錄硬件地址和直接讀寫網卡的功能��。
從一般的概念來說,ARP和ICMP都屬于IP層,實際上,ICMP在IP層之上,利用IP層收�����、發(fā)數據包���,而ARP/RARP則在IP層之下�����,它們本身并不使用IP層��,而是直接在數據鏈路層上進行收發(fā)��。
IP層的處理較復雜���,且可做許多安全方面的工作。若在極端的情況下�����,我們可以修改IP報頭���,增加安全機制(如認證)�����?紤]到系統(tǒng)的性能及兼容性,我們沒有選擇這種方法��,而是利用了包過濾技術和ICMP���、ARP提供的功能��,提供安全機制�����。當然��,隨著安全方面技術的發(fā)展�,也許第一種方法會是一種好的選擇,但前提是路由器的支持���。目前����,大部分路由器只能處理常規(guī)的IP包(即IPV4)�����,對于新出臺的IPV6(它提供了更多的選項����,我們可在選項中增加安全機制),路由器還遠未支持����。
我們在ARP協(xié)議上所做的工作主要想達到以下幾個目的:防止ARP欺騙(即MAC地址欺騙);有條件地禁止ARP工作;查詢主機硬件地址;提供ARP服務����;檢測ARP報文。
利用上述幾項功能���,我們能確保內部ARP欺騙的無效�����,查出欺騙的主機并記錄�,尤其能防止ARP層的拒絕服務�����。我們通過主機級被動檢測��、主機級主動檢測��、服務器級檢測���、網絡級檢測�、查詢主機硬件地址���、有條件地禁止ARP等機制實現(xiàn)以上功能��。
ICMP是為了允許路由器向主機報告投遞出錯的原因和一些控制而設計的����。但事實上,任何一臺主機都可以向任何其他機器發(fā)送ICMP報文��,如Ping�。
ICMP在本系統(tǒng)中的作用主要是:隱藏子網內主機信息和施加一些控制。ICMP雖然有一定的作用�����,如差錯報告���,但也有更大的安全隱患�����。一般來講����,對外部��,ICMP應禁止(很多過濾路由器有此項功能)��。
我們主要是采用了三種策略隱藏子網內主機信息:
◆對內部主機的ICMP包�,雖然轉發(fā),但改寫了ICMP包中的源IP地址����,使外部不能看到內部的IP地址�����。
◆外部ICMP請求包一律拋棄����。
◆對內部有請求時��,才動態(tài)地接收外部主機的響應���, 且一些ICMP危脅安全的響應也拋棄,如改變路由的ICMP包�。
另外,我們可以借助ICMP來獲得一些參數和一些控制���,如時鐘同步��、地址掩碼����,并可利用ICMP目的地不可達報文“優(yōu)雅”地通知不受歡迎的主機���。
IP是通信子網的最高層�,它的主要任務是尋址和轉發(fā)。IP層最大的安全問題是IP欺騙����,且很多上層的安全隱患源于IP欺騙,如DNS欺騙��。IP層常用的安全措施是根據源地址�、目的地址進行過濾,這一點已在很多路由器中得到應用���。在本系統(tǒng)的IP層主要完成以下幾個功能:IP地址過濾���;IP地址與MAC綁定,防止IP欺騙�;為上層提供一種通道。
TCP/UDP存在數據包偽裝����、SYN Flood攻擊等安全隱患。為避免上述情況����,必須要增加一定的驗證措施���,我們利用TCP的特征,設計了一種較有效的過濾手段���,對TCP報文的有效性進行確認���。
我們的產品不僅覆蓋了傳統(tǒng)包過濾防火墻的全部功能,而且在全面對抗IP欺騙���、SYN Flood����、ICMP���、ARP等攻擊手段方面有顯著優(yōu)勢,增強代理服務�,并使其與包過濾相融合,再加上智能過濾技術�����,使新型防火墻的安全性提升到又一高度����。
如果有需要服務器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
