防火墙介绍

防火墙介绍 一、关于防火墙工作原理 包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。 状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包(通常是大量的数据包)通过散列算法，直接进行状态检查，从而使得性能得到了较大提高。 几类防火墙的对比: 包过滤防火墙:包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。 应用代理防火墙:不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。 状态检测防火墙:不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 复合型防火墙:可以检查整个数据包，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。 完全检测防火墙:可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制强，上下文相关，前后报文有联系。 完全检测技术，提供从链路层到应用层的全面安全控制，在MAC 层提供基于MAC 地址的过滤控制能力，同时支持对各种二层过滤功能，在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析;在应用层通过重写通讯会话的部分或者全部，提供对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、 移动代码等。 简而言之，完全检测相对复合型防火墙来说，检查多个报文组成的会话，而不是单个报文，由于关联了多个前后报文，安全性更加高。打个比方，单吃一种食物可能没问，单吃另一种食物也没问题，可是两种食物同时吃就有可能会导致食物中毒，报文也一样，前后关联起来组成的会话有可能存在安全问题。 二、关于防火墙可靠性 双机热备:两台防火墙同时连入网络，通过心跳线连接，每隔一定时间获取对端防火墙活动状态，当获知对端防火墙出现问题时，立即接管其工作，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到。两台配置一样，并可以实施同步或进行手工同步。 负载均衡:两台防火墙同时连入网络，通过心跳线连接，每隔一定时间获取对端防火墙活动状态，当获知对端防火墙出现问题时，立即接管其工作。和双机热备的区别主要在于，两台机器同时工作，共同分担网络流量，例如其中一台设备负载业务A的流量，另一台负载业务B的流量，当一台出现问题时，另一台接管，负载全部业务的流量。两台配置除优先级以外均一样，并可以实施同步或进行手工同步。