二、 防火墙中使用的核心技术
防火墙是一个系统,它执行一定的安全策略,确保流人和流出防火墙的数据接受安全检查。目前,绝大多数防火墙安装在内部网和因特网之间,个人电脑中使用的比较少。防火墙的核心技术可以简单地分为包过滤、应用代理和状态检测三个方面。目前的防火墙,无论是包过滤型、代理服务型,还是复合型,大都基于这三种技术开发。 1 .包过滤(Packet Filter ) 包过滤技术以IP 包中的信息为基础,对IP 源地址、目标地址、封装协议、端口号等进行筛选。包过滤通常在网络层实现,不只是防火墙实现包过滤,大多数商用路由器也支持包过滤功能。 在因特网上,所有数据都被分割成一定长度的数据包,包头中包括IP 源地址、IP 目标地址、协议类型、TCP / UDP 源端口和目标端口号、ICMP 消息类型等。当这些包在因特网上传输遇到防火墙时,包过滤型的防火墙会检查所有数据包中的包头信息,对不符合过滤规则的数据包将不允许通过。 包过滤技术的优点是,实现容易,使用简单,费用低廉,对应用透明。但其缺点是,定义过滤规则集合复杂,大多数情况下,需要了解TCP-IP 协议的内容。 2 .应用代理(Application Proxy ) 应用代理的原理是彻底隔断通信两端的直接通信,所有通信都必须经应用层代理转发,访问者任何时候都不能与服务器建立直接的TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。 断掉所有的连接,由防火墙重新建立连接,可以使应用代理防火墙具有极高的安全性。但是,这种高安全性是以牺牲性能和对应用的透明性为代价的,故不能支持大规模的并发连接,速度敏感的应用基本不能使用此类技术。此类防火墙核心要求预先内置一些已知应用程序的代理,如Web 、SMTP 、POP3 、FTP 等。新出现应用,就必须升级和改造防火墙。故适合于那些应用比较单一(如仅仅访问Web 站点等),对性能要求不高的中小企业内部网中。 [NextPage] 3 .状态检查(Stateful Packet Inspection ) 采用此类技术的防火墙在包过滤的架构之上进行了改进,它摒弃了包过滤防火墙仅检查进出网络的数据包,而不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力,它是目前最流行的防火墙技术。 目前,业界很多优秀的防火墙产品都采用了状态监测体系结构,如Cisco 的Plx 防火墙,Netscreen 防火墙等。从20 (幻年开始,国内的许多防火墙公司,如东软、天融信等公司,也开始采用这一新的技术。 到目前为止,国内的网络安全厂商已超过400 家。其主要原因源自防火墙技术的公开性和丰厚的利润回报。国内防火墙厂商一类是以天融信、东方龙马等厂家为代表的专业安全厂商,他们只研发生产防火墙等安全产品;另一是如东软、联想、方正、清华同方和清华紫光等为代表的国内著名IT 企业,防火墙只作为其产品线中的一部分。 国外品牌的防火墙一类是以Check Point 、Netscreen 等为代表的专业防火墙公司;另一类是著名的国际网络公司,如Cisco 和3Com 等,他们各自的优势同国内两类网络设备厂商相同,只有“专”和“广”的区别而已,技术上没有本质的不同。上述防火墙产品,都是为企业级的应用设计和开发的,从低档到中高档,价格在5 一6 千元至10 万元不等,不适合于在个人电脑中使用。适合在个人电脑中使用的是低档的个人防火墙,这些防火墙有共享软件,也有商业软件,即使是商业软件,价格也很低,只在百元左右。常见的有金山网镖2003 、瑞星个人防火墙、天网个人防火墙和费尔个人防火墙等,所使用的技术差不多都是包过滤技术,目前在个人电脑中安装比较多的是金山网镖2003 和瑞星个人防火墙。其基本情况如表1 所示。 三、 个人防火墙配置 在个人防火墙软件中的安全规则分为两种:一种是软件开发者事先定义好安全规则,提供给用户选择。安全规则常定义成几个级别,一般分为低、中、高三种。这样不懂网络协议的用户,就可以根据自己的需要设置不同的安全级别。另外一种是用户自定义安全规则,即用户根据所处的安全状态,单独配置某个协议或某个规则。但这种情 只适用于非常了解网络协议的人。 防火墙一般按照两种情况来设计其默认规则:一是默认拒绝。即防火墙阻塞所有流经的信息,每一项服务或应用都要逐项审查,只有规则中匹配的数据包才能通过防火墙,故创建的安全环境比较高,商用防火墙多采用此种方式。二是默认许可,即约定防火墙总是传递所有信息,而每一个潜在的安全风险基于逐项审查来杜绝。此种方式多用在个人防火墙中。按照上述原理,个人防火墙中的安全规则可按下述方式配置。 1 .接受来自80 和8080 端口的数据 80 和8080 端口由H 贯P 协议使用。H 竹P 是用得最多的协议,提供网页资源的主机使用80 端口提供服务,上网浏览网页就必须使用它。 2 .接受来自53 端口的数据 因特网上的每一台计算机都有一个网络地址,这个地址就是我们常说的IP 地址,它以纯数字的形式表示,不易记忆,于是出现了域名。访问主机的时候只需要知道域名,域名和IP 地址之间的变换由DNS 服务器来完成。DNS 用的是UDP 的53 端口。 3 .接受来自25 和110 端口的数据 SMTP 是简单邮件传送协议,邮件服务器收发邮件用的几乎都是这个协议。多数服务器开放的是TCP 的25 端口。另一个是PoP3 协议,客户端使用它接收邮件。通常情况下,POP3 协议所用的是110 端口。 4 .根据情况接受来自23 端口的数据 对于网络管理员来说,一般需要使用telnet 协议来登陆远程主机管理系统,而telnet 使用的是TCP 的23 端口,故需配置23 端口的数据流人许可。 5 .根据情况接受来自21 端口的数据 21 端口是FTP 协议所用的端口,用于文件传 输。下载文件,上传主页,多要用到该端口。有文件上传和下载需求的,需配置此端口。 6 .根据情况接受来自8000 端口的数据 在网上聊天的用户还需使用8000 端口,网上聊天程序既接受服务,又提供服务,这样两个聊天的人才是平等的。网上聊天常用的是无连接的UDP 协议,服务器使用8000 端口,侦听是否有信息到来;客户端则使用4000 端口,向外发送信息。 7 .根据情况配置135 、137 、138 、139 和445 端口(见“一、个人电脑中的安全风险”小节内容) 8 ,不接受来自其他端口的数据 除了上述的端口,其他端口往往是木马程序生存的场所,如555 、1492 、2140 、3150 、3210 、3996 、4000 、4321 、6671 、7306 、7626 、9400 、9401 、12345 、12346 、20000 、20001 、22222 、31337 、33333 、43210 、47878 、50829 、54321 等端口已被常见的木马程序使用,木马程序的端口一般是不固定的。因此,最安全的方式是对于不用的端口,全部关闭。只要不开放端口,木马程序就无从下手。 9 .不允许别人Ping 自己的机器 ping 程序使用的是ICMP 协议,只要关闭该协议就可。10 、启用日志功能这是每个防火墙软件必须提供的功能,用于记录防火墙软件监听到的一切事件,比如人侵者的来源、协议、端口和时间等等。启用此项功能后,一旦系统被攻击,可追踪攻击来源,进一步采取防范措施
二、 防火墙中使用的核心技术相关推荐
- iptables 防火墙中的SNAT和DNAT
目录 前言 一.SNAT策略 1.1 SNAT应用环境 1.2 SNAT原理 1.3 SNAT转换前提条件 1.4 SNAT转换流程 1.4 SNAT 应用 1.4.1 临时打开 1.4.2 永久打开 ...
- 计算机应用基础中什么是桌面,福师《计算机应用基础》在线作业二 Windows中进行系统设置的工具集是 用户可以根据自己的爱好更改显示器 键盘 鼠标器 桌面等硬件的设置...
福师<计算机应用基础>在线作业二 Windows中进行系统设置的工具集是 用户可以根据自己的爱好更改显示器 键盘 鼠标器 桌面等硬件的设置 (12页) 本资源提供全文预览,点击全文预览即可 ...
- 实验二十二 SCVMM中的SQL Server配置文件
实验二十二 SCVMM中的SQL Server配置文件 在VMM 2012中管理员可以使用 SQL Server 配置文件,在部署完成虚拟机之后,实现 SQL Server 数据库服务自动化部署并交付 ...
- Java并发编程中的若干核心技术,向高手进阶
来源:http://www.jianshu.com/p/5f499f8212e7 引言 本文试图从一个更高的视角来总结Java语言中的并发编程内容,希望阅读完本文之后,可以收获一些内容,至少应该知道在 ...
- Linux运维:CentOS7在防火墙中添加访问端口?
文章目录 1.查看mysql启动状态命令 2. 查看防火墙状态命令 2.1.开启防火墙命令 2.2.关闭防火墙命令 2.3.查看防火墙开放端口命令 2.4.向防火墙中添加端口命令 2.5.重启防火墙命 ...
- 计算机中数据表示与计算实验答案,实验二计算机中的数据表示与计算-20210622102303.pdf-原创力文档...
. 实验二 计算机中的数据表示与计算 学号 :1120161816 姓名 :田雄辉 班级 实验时间 :2016 年 9 月 29 日 实验报告表 2-1 数值型数据在计算机中的二进制表示实验记录表 十 ...
- linux开启防火墙ping,如何在防火墙中放开ping
如何在防火墙中放开ping 操作时需要注意的几项: 1,注意iptables各版本间的区别 我们的server os最旧的版本是redhat 7.3 kernel是2.4.20-18.7 最新的ser ...
- (转)SpringMVC学习(十二)——SpringMVC中的拦截器
http://blog.csdn.net/yerenyuan_pku/article/details/72567761 SpringMVC的处理器拦截器类似于Servlet开发中的过滤器Filter, ...
- C++继承机制(二)——继承中的构造和析构顺序、继承同名成员的处理方式
目录: C++继承机制(一)--基本语法.三种继承方式.继承哪些数据 C++继承机制(二)--继承中的构造和析构顺序.继承同名成员的处理方式 C++继承机制(三)--多继承.菱形继承.虚继承原理 本篇 ...
- commons-math3-3.6.1-org.apache.commons.math3.analysis.function-包下的类(二)-中英对照文档及源码赏析
commons-math3-3.6.1-org.apache.commons.math3.analysis.function-包下的类(二)-中英对照文档及源码赏析 摘要:中英对照文档.源码赏析.or ...
最新文章
- pythonrequests下载大文件_Python3 使用requests模块显示下载大文件显示进度
- 用python实现基本A*算法
- Eclipse 4.9 正式发布,支持 Java 11!
- EntityFramework进阶(三)- 根据IQueryable获取DbContext
- 【计算机网络复习 数据链路层】3.5.5 CSMA-CA协议
- linux内存管理之RSS和VSZ的区别
- 执行truncate引发ORA-02266的问题分析
- java.lang.VerifyError: Expecting a stack map frame
- java与tomcat,Centos上安装配置java和tomcat
- Try increasing heap size with java option '-Xmxlt;sizegt;’.
- SpringBoot入门篇-简介
- ant-desigh+prolayout布局,修改面包屑的分隔符号,百度搜遍了都找不到办法,csdn解决了
- 拉卡拉考拉超收,关于它的全部信息!
- Java 中的 Clone()
- 月份对比_2020年5月份,四款主流游戏电脑配置横向对比,你会选择哪款呢?
- 智己汽车,兼顾豪华舒适和操控性能
- 数据库设计的基本步骤
- 【JAVA】水仙花数
- 【akka】akka源码 Akka源码分析-FSM
- 实验室-关于老铁整一个社会语录api与网抑云热评api(并引入百度语音tts)