安全知識

安全知識

規範用語

資訊安全行業

資訊系統安全，網絡安全

網絡系統安全和資料安全

攻擊與防禦

産品形式

軟體，硬體，安全網關等

防火牆與防水牆

廣義防火牆

大多數防火牆采用的技術和标準可謂五花八門。這些防火牆的形式多種多樣，

應用型的，基于硬體的，有的取代系統上已經裝備的tcp/ip協定棧；有的在已有的協定棧上建立自己的軟體子產品；有的幹脆就是獨立的一套作業系統。

以上的産品都可以叫做防火牆，因為他們的工作方式都是一樣的：分析出入防火牆的資料包，決定放行還是把他們扔到一邊。

防火牆（firewall），也稱防護牆，是由check point創立者gil

shwed于1993年發明并引入國際互連網（us5606668（a）1993-12-15）。它是一項資訊安全的防護系統，依照特定的規則，允許或是限制傳輸的資料通過。

古代構築和使用木制結構房屋的時候為防止火災的發生和蔓延，人們将堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱為“防火牆”（firewall）。

其實與防火牆一起起作用的就是“門”。門就相當于我們這裡所講的防火牆的“安全政策”

防火牆可以是一種硬體、固件或者軟體，

例如專用防火牆裝置、就是硬體形式的防火牆，包過濾路由器是嵌有防火牆固件的路由器，而代理伺服器等軟體就是軟體形式的防火牆。

防火牆從誕生開始，已經曆了四個發展階段：

基于路由器的防火牆、使用者化的防火牆工具套、建立在通用作業系統上的防火牆、具有安全作業系統的防火牆。

常見的防火牆屬于具有安全作業系統的防火牆，例如neteye、netscreen、talentit等。

從結構上來分，防火牆有兩種：即代理主機結構和路由器+過濾器結構，

從原理上來分，防火牆則可以分成4種類型：

特殊設計的硬體防火牆、資料包過濾型、電路層網關和應用級網關。安全性能高的防火牆系統都是組合運用多種類型防火牆

防火牆的硬體體系結構曾經曆過通用cpu架構、asic架構和網絡處理器架構，

三種配置，單獨的防火牆，前置機+防火牆(隻接受來自前置機的流量)，防火牆+前置機+防火牆(即dmz區)

網絡層防火牆可視為一種 ip 封包過濾器，運作在底層的tcp/ip協定堆棧上。利用封包的多樣屬性來進行過濾

例如：來源 ip位址、來源端口号、目的

ip 位址或端口号、服務類型（如 http 或是 ftp）。也能經由通信協定、ttl

值、來源的網域名稱或網段等屬性來進行過濾。

可以保護網絡免受基于路由的攻擊，如ip選項中的源路由攻擊和icmp重定向中的重定向路徑。

攻擊類型

源位址我們不相信，源端口也信不得了

ip選項中的源路由攻擊和icmp碎片攻擊

dns的僞造比ip位址欺騙

syn攻擊

應用層防火牆是在 tcp/ip

堆棧的“應用層”上運作 即常說的七層防火牆

應用層防火牆具備更細緻的防護能力，21的資料流，80的資料流，53的資料流等

應用層防火牆可以攔截進出某應用程式的所有封包，并且封鎖其他的封包（通常是直接将封包丢棄）。理論上，這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。

不過就實作而言，這個方法既煩且雜（軟體有千千百百種啊），是以大部分的防火牆都不會考慮以這種方法設計。

一般的internet服務對所有的通信都隻使用一對端口号，ftp程式在連接配接期間則使用兩對端口号

自從gartner提出下一代防火牆概念以來，資訊安全行業越來越認識到應用層攻擊成為當下取代傳統攻擊，最大程度危害使用者的資訊安全，

而傳統防火牆由于不具備區分端口和應用的能力，以至于傳統防火牆僅僅隻能防禦傳統的攻擊，基于應用層的攻擊則毫無辦法。

防火牆是指一種将内部網和公衆通路網（如internet）分開的方法，它實際上是一種隔離技術。

傳統意義上的防火牆技術分為三大類

“包過濾”（packet

filtering）、“應用代理”（application proxy）和“狀态監視”（stateful

inspection），

無論一個防火牆的實作過程多麼複雜，歸根結底都是在這三種技術的基礎上進行功能擴充的。

win7自帶防火牆

icf被視為狀态防火牆

linux自帶iptables

topsec通過利用防火牆對内部網絡的劃分，可實作内部網重點網段的隔離，把所有伺服器上的接口利用起來，不同的協定與流量走不同的網段

防火牆通過隔離來防止外部網對内部網進行攻擊，它被動地檢查所有流過的網絡資料包，以阻斷違反安全政策的通信。

防火牆的工作都基于一個基本假設：它位于内外網的接入點，并且内外網間不存在其它旁路，正是基于這個假設，防火牆才成為内網的保護神。

對于内部的安全問題，防火牆無能為力

如何将非法入侵者拒之門外、如何防止内部資訊外洩

這種為外部着火

這種為内部漏水

如果說防火是指防止外部威脅向内部蔓延的話，防水就是指防止内部資訊的洩漏。

可見，防水牆是對這樣的内網監控系統非常形象的一種稱呼。

防水牆是一個内網監控系統，處于内部網絡中，随時監控内部主機的安全狀況。

最簡單的防水牆由探針和監控中心組成。

各個廠家的防水牆的功能類似，但并不盡相同

山麗防水牆

網康科技上網行為管理

蘇富特内網監控系統

同時應該與ad和radius、單點登入、智能卡等結合完善接入使用者的認證

防水牆是對防火牆、虛拟專用網、入侵檢測系統等多種安全裝置，所提供安全服務的有效補充