以下的文章主要向大家讲述的是包过滤防火墙的技术,随着网络的迅速发展,各种各样的网络软件也随之出现,人们的生与学习对网络的依赖也越来越强,但是问题也接踵而来,网站被攻击,病毒泛滥,个人信息被窃取,使人们面临这样一个问题:网络是否安全?
包过滤防火墙技术
随着网络的迅速发展,各种各样的网络软件也随之出现,人们的生活和学习对网络的依赖也越来越多,但问题也接踵而来,网站被攻击,病毒泛滥,个人信息被窃取,使人们面临这样一个问题:网络是否安全?
而防火墙正是网络的保护伞,形形色色的防火墙很多,本文通过介绍包过滤技术实现个人防火墙,使大家对防火墙的知识有进一步的了解。
一、防火墙和包过滤技术简介
防火墙是一种用于在两个网络间进行访问控制的设备,防火墙系统防范的对象是来自被保护的网络的外部的对网络安全的威胁,它通过检测、限制、更改跨越防火墙的数据流,尽可能的实现对外部网络的安全保护。
而包过滤技术是防火墙最基本的实现技术,具有包过滤技术的装置是用来控制内、外网络数据流入和流出,包过滤技术的数据包大部分是基于TCP/IP协议平台的,对数据流的每个包进行检查,根据数据报的源地址、目的地址、TCP和IP的端口号,以及TCP的其他状态来确定是否允许数据包通过。
二、截获网络封装包
截获数据包是实现一个防火墙的第一步,截获数据包的方法有很多种,既可以在用户态下拦截网络数据包,又可以在核心状态下进行数据包截获。
在用户态下进行网络数据包拦截有以下几种方法:
(1)Winsock Layered Service Provider (LSP)。
(2)Windows 2000 包过滤接口。
(3)替换系统自带的WINSOCK动态连接库。
很显然,在用户态下可以很简单的进行数据包拦截,但其最致命的缺点就是只能在Winsock层次上进行,而对于网络协议栈中底层协议的数据包无法进行处理。对于一些木马和病毒来说很容易避开这个层次的防火墙。
因此大多数的个人防火墙选择利用网络驱动程序来实现的。例如用中间层驱动程序来截获数据包。
中间层驱动介于协议层驱动和小端口驱动之间,它能够截获所有的网络数据包(如果是以太网那就是以太帧)。NDIS中间层驱动的应用很广泛,不仅仅是个人防火墙,还可以用来实现科学,NAT,PPPOverEthernet以及VLan。中间层驱动的概念是在Window NT SP4之后才有的,因此对于Windows9x来说无法直接利用中间层驱动的功能Windows DDK提供了两个著名的中间层驱动例子:Passthru以及Mux。
开发人员可以在Passthru的基础上进行开发,Mux则实现了VLan功能。目前个人防火墙的产品还很少用到这种技术,主要的原因在于中间层驱动的安装过于复杂,尤其是在Windows NT下。Windows 2000下可以通过程序实现自动安装,但是如果驱动没有经过数字签名的话,系统会提示用户是否继续安装。中层层驱动功能强大,应该是今后个人防火墙技术的趋势所在,特别是一些附加功能的实现。
三、驱动程序和应用程序间的通讯
当驱动程序截获网络数据包后,驱动程序要和应用程序进行通讯,通知应用程序对数据包进行判断,如果符合过滤规则,则接受数据包,否则,则放弃该数据包,其步骤大致如下:
(1)应用程序创建一事件Event;
(2)应用程序通过CreateFile创建驱动程序实例;
(3)把该事件的句柄传给驱动程序;
(4)驱动程序通过DeviceControl函数接受Event的句柄;
(5)应用程序通过DeviceIOControl函数传递控制驱动程序的消息;
(6)驱动程序通过Dispatch历程得到应用程序传来的消息,然后根据消息类型进行不同的服务;
(7)把结果数据放入共享内存区,设置Event事件通知应用程序所请求的事情已经办完;
(8)应用程序通过WaitForSingleObject来获知事件发生;
(9)应用程序在共享内存区获得数据,并重置该事件。
四、过滤规则设置
包过滤防火墙的过滤规则集由若干条规则组成,它应涵盖对所有出入防火墙的数据包的处理方法,
对于没有明确定义的数据包,应该有一个缺省处理方法;过滤规则应易于理解,易于编辑修改;
同时应具备一致性检测机制,防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤,
如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP,那么再根据ICMP头信息(类型和代码值)、
TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤,其他的还有MAC地址过滤。
应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。
在一般情况下,我们可以从以下几个方面来进行访问规则的设置:
(1)禁止一切源路由寻径的IP包通过;
(2)IP包的源地址和目的地址;
(3)IP包中TCP与UDP的源端口和目的端口;
(4)运行协议;
(5)IP包的选择。
动作协议方向访问时间远端IP端口应用程序备注
放行IP流进工作时间202.114.165.2408080IE
询问TCP流进工作时间202.114.165.1921080IE
拒绝IP流出工作时间202.114.204.15380IE
五、记录和报警
防火墙处理完整日志的方法:防火墙规定了对于符合条件的报文做日志,应该提供日志信息管理和存储方法。
提供自动日志扫描:指防火墙是否具有日志的自动分析和扫描功能,这可以获得更详细的统计结果,达到事后分析、亡羊补牢的目的。
提供自动报表、日志报告书写器:防火墙实现的一种输出方式,提供自动报表和日志报告功能。
动作开始时间
-结束时间协议进流量出流量本地IP:端口-
远端IP:端口应用程序备注
放行21:54 –
22:00TCP200400202.114.165.240:80
202.114.165.225:80IE
放行22:01-
22:10IP250100202.114.165.240:80
202.114.165.193:80IE
警告通知机制:防火墙应提供告警机制,在检测到入侵网络以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,包括E-mail、呼机、手机等。
提供简要报表(按照用户ID或IP 地址):防火墙实现的一种输出方式,按要求提供报表分类打印。
提供实时统计:防火墙实现的一种输出方式,日志分析后所获得的智能统计结果,一般是图表显示。
用包过滤技术实现防火墙较为容易,具有比较好的网络安全保障功能,但也存在不足之处,由于过滤技术中无法包括用户名,而仅仅是客户机的IP地址,那么如果要过滤用户名就不能使用包过滤技术了,另外,由于包过滤技术遵循”未禁止就允许通过”的规则,因此,一些未经禁止的包的进出,可能对网络产生安全威胁。今后防火墙的发展会朝着简单化、安全化方向迈进, 综合包过滤和应用代理的功能,达到两者的有效结合,实现新型加密算法的设计,使数据的传输更加安全, 会和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系。
【编辑推荐】
视频会议需要什么硬件和软件
目前市场上流行的视频会议大致分为两种:硬件视频会议系统和软件视频会议,这两种之间的区别主要表现在以下几个方面:音视频质量1. 硬件视频会议系统:音频编码采用国际电信联盟ITU组织的H.320标准的G.7xx的音频编码规范。 声音是经过有损压缩的。 2. 软件视频会议系统:随着PC的CPU处理能力不断快速增强,只要用户具备一定的带宽,可以实现比硬件视频会议系统更清晰的声音效果。 易于使用1. 硬件视频会议系统:硬件解决方案符合用户传统使用习惯,但随着网络的普及,这一点已经不占优势。 2. 软件视频会议系统:一方面随着计算机和互联网应用的普及,人们对计算机应用越来越熟悉和习惯;另一方面,软件视频会议系统在技术设计和功能实现上充分考虑产品的使用方便性和友好性,使得大多用户无需特别的培训即可立即使用。 价格1. 硬件视频会议系统:一次性购买价格昂贵,而且由于需要一定带宽,用户将长期支付带宽接入费用。 2. 软件视频会议系统:产品价格只是硬件视频会议系统的几分之一,甚至更低。 采用租用的方式更为实惠,并且企业可以利用现有的网络条件,无需支付高昂的带宽费用。 技术更新1. 硬件视频会议系统:硬件视频会议系统的生命周期约为3年,而技术每天都在更新,专用硬件设备无法赶上硬件技术发展的步伐。 硬件更新或更换新的升级模块将非常昂贵,而且实施起来不方便。 2. 软件视频会议系统:任何新技术的应用和功能增强都可以及时地为用户更新,随时随地的,非常方便。 产品的升级价格较硬件视频会议系统要低得多。 网络带宽适应性1. 硬件视频会议系统:对带宽要求较高,一般需要384kb以上的独立线路或者专网。 解决防火墙问题太复杂。 2. 软件视频会议系统:可以使用用户现有的网络环境。 适合于各种网络环境,适应各种的代理服务器和防火墙,可以满足不同网络环境需求。 数据协作1. 硬件视频会议系统:早期的硬件视频会议系统不提供数据协作功能;目前一些高端硬件厂商需要在其系统中增加特别模块,需要额外的PC来支持此功能,系统连接复杂。 2. 软件视频会议系统:具有一体的数据协作功能,可以提供文档共享、电子白板、共同标注、文字交流等各种功能。 系统部署和扩容1. 硬件视频会议系统:硬件视频会议系统根据MCU的要求,部署点数限制比较大。 2. 软件视频会议系统:根据服务器和带宽的需求,用户量可达到成百上千的用户数量。 防火墙支持1. 硬件视频会议系统:对防火墙支持能力非常弱,严格要求每个终端都必须有外部IP,并可以直接访问互联网而不能经过防火墙。 2. 软件视频会议系统:对NAT防火墙、代理服务器以及包过滤防火墙都有相应的解决方案,在大多数用户环境下,用户无需做任何配置即可使用。 便携性1. 硬件视频会议系统:大多数硬件视频会议系统是应用于固定的会议室中。 目前市场上有些视频会议支持桌面终端,但是这些在使用上、功能、效率都受到很大的局限性。 2. 软件视频会议系统:可以利用自己的笔记本电脑,可以在办公室、家庭、酒店甚至网吧随时随地通过互联网(或IP网络)召开视频会议。 会议管理1. 硬件视频会议系统:会议管理功能简单。 2. 软件视频会议系统:可以提供丰富的会议管理和控制功能,如用户数据库管理、会议预约、会议通知,会议统计,会议议程,投票等等;根据各种会议需求提供不同的会议类型和会议控制模式等。 客户化1. 硬件视频会议系统:几乎不能满足任何用户个性化的需求。 2. 软件视频会议系统:可以根据用户的需求,提供客户化的界面、功能,以及客户品牌。 推荐用 亿米通 网络视频会议系统从免费服务开始, 十分流畅稳定亿米通 免费提供最多可容纳4人的会议服务您不需要安装设置任何的软件或硬件,通过互联网连接和任意一种浏览器,便可随时随地开始和全球各地的客户,同事以及合作伙伴进行面对面的沟通:- 视频会议- 演示演讲- 多媒体分享- 文件注解- 文字聊天- 投票调查- 更多 … … 独立流程, 独立风格, 独立入口, 完全定制化的网络视频会议!新加坡: (+65) 6316 9260中国:(+86) 027-8753 1760 亿米通, 快速注册, 立即使用!
被黑客入侵的时候,防火墙有用么?
1 个人防火墙的技术主要就是包过滤,就是基于五元组的过滤,SIP,DIP,源端口号,目的端口号,协议号!而且一般只拦截非法外部链接
2 如果你从网上下载一部带毒的毛片,打开时正好激活病毒,木马被植入你的电脑,而且从你的电脑向外发出连接请求,你的防火墙是拦不住的!
3 没有安全的网络,养成良好的上网习惯
防火墙的种类及它们的优缺点
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。 数 据 包 过 滤数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑, 被称为访问控制表(Access Control Table)。 通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。 路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 应 用 级 网 关应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、 登记和统计,形成报告。 实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 代 理 服 务代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人将它归于应用级网关一类。 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的 链接, 由两个终止代理服务器上的 链接来实现,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。 此外,代理服务也对过往的数据包进行分析、注册登记, 形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 防火墙能有效地防止外来的入侵,它在网络系统中的作用是:控制进出网络的信息流向和信息包;提供使用和流量的日志和审计;隐藏内部IP地址及网络结构的细节;另外防火墙引起或IE浏览器出现故障,也可导致可以正常连接,但不能打开网页。
发表评论