防火墙方法
防火墙是一种网络安全系统,它根据明确定义的策略监控并采取行动(允许或拒绝流量)。它可以由单个设备、一组设备或运行在单个设备(如服务器)上的软件来执行。
Cisco ASA 在市场上占有最大份额,而其他防火墙供应商也有检查点、Juniper 等。
防火墙方法 –
有一些方法可以实现防火墙。这些如下:
- 静态包过滤——包过滤是一种防火墙技术,用于根据源 IP 地址、目标 IP 地址、源端口号和目标端口号来控制访问。它适用于 OSI 模型的第 3 层和第 4 层。此外,ACL 不维护会话的状态。应用了 ACL 的路由器是静态数据包过滤的一个示例。
好处 -
- 如果管理员对网络有很好的了解,则很容易实现。
- 它可以在几乎所有路由器上进行配置。
- 它对网络性能的影响很小。
- 大量的 ACL 难以维护。
- ACL 使用 IP 地址进行过滤。如果有人欺骗了相同的源 IP 地址,那么 ACL 将允许这样做。
- 如果管理员对网络有很好的了解,则很容易实现。
- 有状态的包过滤——
在有状态的包过滤中,会话的状态是被维护的,即当一个会话在一个受信任的网络中发起时,它的源和目标IP地址、源和目标端口以及其他层信息都被记录下来。默认情况下,来自不受信任网络的所有流量都被拒绝。仅当 IP 地址(源和目标 IP 地址)和端口号(源和目标)交换时,才允许此会话的回复。
好处 -
- 与静态数据包过滤相比,本质上是动态的。
- 不易受到 IP 欺骗。
- 可以在路由器上实现。
- 可能无法阻止应用层攻击。
- 一些应用程序在服务器端打开动态端口,如果防火墙正在分析这一点,可能会导致应用程序失败。这就是应用程序检查开始使用的地方。
- 与静态数据包过滤相比,本质上是动态的。
- 代理防火墙 –
这些也称为应用层防火墙。代理防火墙充当原始客户端和服务器之间的中介。原始客户端和服务器之间没有直接连接。必须直接与服务器建立连接以与之通信的客户端现在必须与代理服务器建立连接。然后代理服务器代表客户端与服务器建立连接。现在,客户端将数据发送到代理服务器,代理服务器将其转发到服务器。代理服务器可以运行到第 7 层(应用层)。
优势 -
- 难以攻击的服务器作为代理服务器是客户端和服务器之间的中介。
- 可以提供详细的日志记录。
- 可以在通用硬件上实现。
- 处理器密集型
- 内存和磁盘密集型
- 网络安全中的单点故障
- 难以攻击的服务器作为代理服务器是客户端和服务器之间的中介。
- 应用检查 –
这些可以分析高达第 7 层(深度检查)的数据包,但不能充当代理服务器。即使服务器正在为客户端分配动态端口,它们也可以深入分析客户端和服务器之间的对话,因此在这些情况下它不会失败(这可能发生在有状态的防火墙中)。好处 -
- 可以更深入地分析服务器和客户端之间的对话。
- 如果标准发生协议异常,则它可以拒绝数据包。
- 可以更深入地分析服务器和客户端之间的对话。
- 透明防火墙 –
默认情况下,防火墙在第 3 层运行,但使用透明防火墙的好处是它可以在第 2 层运行。它有 2 个充当网桥的接口,因此可以通过单个管理 IP 地址进行配置。此外,访问网络的用户甚至不会知道防火墙的存在。使用透明防火墙的主要优点是我们不需要在网络中设置防火墙时重新寻址我们的网络。此外,在第 2 层运行时,它仍然可以执行诸如构建状态数据库、应用程序检查等功能。
- 网络地址转换 (NAT) –
NAT 在路由器或防火墙上实现。 NAT 用于将私有 IP 地址转换为公共 IP 地址,通过它我们可以隐藏我们的源 IP 地址。
如果我们使用动态 NAT 或 PAT,攻击者将无法知道哪些设备从池中动态分配了哪个 IP 地址。这使得从外部世界连接到我们的专用网络变得困难。 - 下一代防火墙 –
NGFW 是在软件或设备中实现的第三代安全防火墙。它结合了静态数据包过滤、应用程序检查等基本防火墙属性和集成入侵防御系统等高级安全功能。具有 firePOWER 服务的 Cisco ASA 是下一代防火墙的一个示例。