防火墙技术原理

防火墙技术的发展带动防火墙的不断跟新:

  1. 访问控制技术——包过滤防火墙
  2. 代理技术——应用代理防火墙
  3. 会话机制技术——状态检测防火墙
  4. 多种功能专用设备的叠加——UTM
  5. DPI技术——下一代防火墙
    我们一般称前三个防火墙是传统防火墙

一、访问控制技术

定义:指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。
允许分支机构访问企业总部,不允许未知网络访问企业总部网络。
访问控制技术在包过滤防火墙中主要是通过设定访问控制列表(ACL)来控制访问。
1

 二、包过滤防火墙技术原理

工作过程:对需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表(ACL)。

  包过滤防火墙解决这两个基本的防火墙功能:NAT+基本的访问控制
我们现在来看这些功能,可能很多时候防火墙的这些功能已经被路由交换取代了,因为大部分的路由交换已经具备这些功能。防火墙扮演了合规性采购的角色。

  基于包过滤技术的防火墙,其缺点是很显著的:它得以进行正常工作的一切依据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害,但是由于它廉价,容易实现,所以它依然服役在各种领域,在技术人员频繁的设置下为我们工作着。
  1、简单包过滤防火墙不检查数据区
  2、简单包过滤防火墙不建立连接状态表
  3、前后报文无关
  4、应用层控制很弱
 2

三、状态防火墙原理

对于TCP报文
  开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文外的其他报文,如果没有对应会话表项(设备没有收到SYN报文或者会话表项已老化),则予以丢弃,也不会建立会话表项。关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。
对于UDP报文
  UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。
对于ICMP报文
  开启状态检测机制时,没有对应会话的ICMP应答报文将被丢弃。
  关闭状态检测机制时,没有对应会话的应答报文以首包形式处理
    1、不检查数据区
    2、建立连接状态表
    3、前后报文相关
    4、应用层控制很弱
  这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。
3