人物谈防火墙与防火工控工业通讯渗透技术:传统的包过滤防火墙工作原理及优缺点
包过滤防火墙的工作原理
包过滤是在IP层实现的,因此,它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容,如IP地址。其工作原理是系统在网络层检查数据包,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。这样系统就具有很好的传输性能,易扩展。但是这种防火墙不太安全,因为系统对应用层信息无感知——也就是说,它们不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过包过滤器,这样更容易被黑客攻破。
应用网关
应用代理服务器(Application Gateway Proxy)
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时,必须先在防火墙上经过身份认证。通过身份认证后, 防火墙运行一个专门为该网络设计 的程序,把外部主机与内部主机连接。在这个过程中,可以限制用户访问 的主机、访问时间 及 访问方式。
应用网关代理 的优点 是既可以隐藏内部 IP 地址,也 可以给单个 用户 授权,即使攻击者盗用了一个 合法 的 IP 地址,也通不过严格 的 身份认证。因此应用网关比报文 过 滤 具有更高 的 安全性。但是 这种认证使得应用网关 不 透明,对于每次连接都要进行认证,这给 用户 带 来 了 很多 不便。
回路级代理服务器(回路级代理服务器即通常意义上的代理服务器)
它适用于多个协议,但不能解释应用协议,只能通过其他方式来获得信息,所以,有些情况下需要修改客户程序或服务程序。
套接字服务器(Sockets Server)
套接字是一种网络应用层国际标准,当受保护网络客户机需要与外部交互信息时,在设备上套服务器检查客户User ID/IP源地址/目的地址,然后才与外部建立连接。
代管服务器
将不安全服务如FTP/Telnet等放到设备上,使之充当同时响应请求,对于从设备发出请求作出回答,从而隐藏了内部内存和提高了安全性。
IP 通道(IP Tunnels)
当两个子公司相隔较远并需通过Internet通信时,可以采用此方法形成虚拟企业网,以避免Internet上的黑客截取数据。
网络地址转换器(NAT Network Address Translate)
当受保护网连入Internet时,可动态分配合法 Internet IP 地址给内部某一用户进行通信,同时对于一些内部Web 等固定分配合法 IP 地址,以便外部可直接访问这些服务器。这既解决了少量合法 IP 和大量内 主之间矛盾,又隐蔽了内部内存增加了一定程度安全性。
隔离域名服务器(Split Domain Name Server )
使得域名查询发生在内侧,而不是直接向互联网发送查询,从而能够隐藏本地资源,并减少未授权访问风险。
8.Mail Forwarding邮件技术
发生来自外部发送到设备上的邮件,由设备将邮件内容转发至本地邮箱Server,再由其继续转发至最终目标邮箱server
总结:
包过滤式 防 火 墙由于只能看头文件,没有能力去分析实际数据所以会漏掉很多攻击,比如Unicode 攻击。
而复杂型 防 火 墙则因为要分析具体数据,所以虽然更加有效,但性能开销大,而且因为每种新的功能可能需要额外软件支持,所以灵活性差。
最好的办法是结合使用两者的优势,将简单性的好处结合复杂性的强度达到最佳效果。此类方案通常涉及硬件和软件组合利用,每个场景可能有不同的最佳实践策略。
