参考资料:

《黑客攻防演习》第二版   Ed SKoudis  Tom Liston著

《防火墙、入侵检测与VPN》 马春光 郭方方著

OSI在理论上将网络分为七层,物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。在实际应用的时候,一般分为四层或五层,物理层、数据链路层、网络层、传输层、应用层。物理层传输的是101000,即二进制数据流。数据链路层传输的是数据块,用专业名词来讲,传输的是帧。数据链路层的作用(待补充)。网络层的作用(待补充)。

防火墙在通常意义上来说,是一组硬件设备(路由器、计算机、网络设备等的组合)。防火墙通常安装在内部网络和外部网络的交界点上,这样有利于防火墙对全网的流量监控。而日渐普及的个人防火墙的位置在联网主机的网络接口上。

处于不同位置的防火墙可以实现不同级别的网络过滤功能。比如网络层防火墙可以快速的过滤数据包,但无法理解数据包的内容。而代理防火墙位于应用层,虽然过滤速度较慢,但却可以理解数据流的含义,进而能够对其进行深入的检测和控制。

防火墙的分类

1. 传统数据包过滤器

逻辑位置在网络层,可以在路由器上实现,主要围绕单个数据包。设备会分析数据包,决定数据包是否要被丢弃。

通常根据源IP地址和目标IP地址或者端口号以及TCP控制位等来判断。

数据包若具有置位的SYN位,意味着它是连接初始化的一部分,若具有置位的ACK位,表示它是已建立连接的一部分。

数据包过滤器会有自己的过滤规则,每个规则制定某个特定类型的数据包是被接受还是丢弃。

匹配的时候,有两种匹配方法:最佳匹配,首次匹配。

首次匹配的思想如下:设备受到数据包,开始扫描规则,与数据包相匹配的第一条规则被应用。常见格式是先罗列可通过的数据包,最后加一条匹配所有的数据包的丢弃规则。

主要优点:处理速度较快,快速决定是否丢弃或接受某个数据包。在连接局域网到互联网的内部网络路由器和边界路由器上应用广泛

主要缺点:对数据包实际做了什么了解很少,无法判断进入的数据包是对Web请求的响应还是一个攻击。UDP数据包由于没有控制位,也有同样的问题。攻击者很容易透过过滤。

2. 状态数据包过滤器

由传统数据包过滤器升级而来~仍是位于网络层。有一定的记忆功能,可以记住先前通过该设备的数据包,并基于记忆对后面的数据包做出决策。

内部有一个数据表,存储每个活动连接和其他可记忆的数据包。过滤器可以根据数据包过滤规则和状态表本身做出决策。

当一个带有SYN控制位的TCP数据包的一部分数据包被发送时,状态表会记住它。当一个新的数据包试图通过这个设备时,过滤器除了参考静态规则,还会查看状态表。

如果规则规定,只有属于先前连接的一部分才可以通过过滤器,那如果先前有个SYN数据包,ACK就可通过过滤器,否则ACK被丢弃。

黑客的猥琐思想又粗线了:如果带ACK的数据包可以穿过过滤器,那我可以用工具生成这样的数据包,不停的向目标发送数据包撒~

- -所以状态数据包过滤器还有一个设置:对一个SYN数据包的记忆,往往在10S到90S之间,在这个时间间隔之后,SYN数据包会失效,被发送的ACK数据包也会被丢弃。

另一方面,状态过滤器还会记住由内部发往外部的请求的SYN数据包,如果一个ACK数据包来自一个系统,并且与SYN条目对应,则允许进入网络。如果没有对应的SYN条目,数据包会被丢弃。

对于UDP,只有存在前一个外出的数据包,才允许进入的UDP数据包通过。

对FTP,传输需要两个连接:FTP控制连接和FTP数据连接。可以配置状态过滤器,使之只在建立了FTP控制连接之后才允许FTP数据连接。

主要缺点:数据较慢,但定制的专用芯片,可以在一定程度上弥补这个缺点

主要优点:大大提高了安全性

3. 基于代理的防火墙

代理位于应用层,详尽搜索协议,没有传统数据包过滤器遇到的ACK攻击问题,因为ACK不是有意义的应用请求的一部分。

基于代理的防火墙可以梳理应用级协议。例如,一个Web代理可以确保所有信息都是正确格式化的HTTP,而不仅仅检查确保他们是前往目标TCP端口80。

代理可以允许或者拒绝应用级功能。对于FTP,代理可以允许FTP GET,拒绝FTP PUT,允许用户下载,拒绝用户上传

主要缺点:速度较慢,且需要CPU开销和内存开销

常见防火墙的实际功能

1. 包过滤

上面已有具体介绍,不赘述

2. 代理

将用户访问请求变成由防火墙代为转发,外部网络看不见内网的结构,也无法直接访问内部网络的主机。

3. 网络地址转换

屏蔽内网的IP地址,对内网用户起到保护作用。可以用来缓解由于网络规模的增长带来的IP短缺的问题。

通常内网预留IP地址为

10.x.x.x   
172.16.x.x至172.31.x.x   
192.168.x.x

4. VPN

VPN在公共不安全网络上建立一个逻辑的专用数据网络来进行信息的安全传递。原本为独立产品,近些年越来越多厂家将防火墙和VPN集成在一起。

5. 其他

用户身份认证,记录警报分析和升级,管理功能

【web安全】第四弹:防火墙技术笔记的更多相关文章

  1. Web标准:四、纵向导航菜单及二级弹出菜单

    Web标准:四.纵向导航菜单及二级弹出菜单 知识点: 1.纵向列表 2.标签的默认样式 3.css派生选择器 4.css选择器的分组 5.纵向二级列表 6.相对定位和绝对定位   1)纵向列表 可以看 ...

  2. 解决一个 MySQL 服务器进程 CPU 占用 100%解决一个 MySQL 服务器进程 CPU 占用 100%的技术笔记》[转]

    转载地址:http://bbs.chinaunix.net/archiver/tid-1823500.html 解决一个 MySQL 服务器进程 CPU 占用 100%解决一个 MySQL 服务器进程 ...

  3. HT for Web的HTML5树组件延迟加载技术实现

    HT for Web的HTML5树组件有延迟加载的功能,这个功能对于那些需要从服务器读取具有层级依赖关系数据时非常有用,需要获取数据的时候再向服务器发起请求,这样可减轻服务器压力,同时也减少了浏览器的 ...

  4. jQuery 关于IE9上传文件无法进入后台问题的原因及解决办法(ajaxfileupload.js第四弹)

    第四弹的诞生完全不在自己最初的计划之中,是有个网友看了先前关于<ajaxfileupload.js系列>的文章后提出的问题,由于自己一直是用chrome浏览器去测试demo,完全忽略IE浏 ...

  5. IPV6技术笔记(剖析IPv4toIPv6)

    IPV6技术笔记 IPv6地址入门概念 什么是IPv6? IPv6,全称Internet Protocol version 6,即网际协议版本6,也叫互联网通信协议第六版.是互联网工程任务组(IETF ...

  6. 技术笔记:Indy的TIdSMTP改造,解决发送Html和主题截断问题

    使用Indy来发邮件坑不少啊,只不过有比没有好吧,使用delphi6这种老工具没办法,只能使用了新一点的Indy版本9,公司限制... 1.邮件包含TIdText和TIdAttachment时会出现T ...

  7. java web学习总结(四) -------------------HTTP协议

    一.什么是HTTP协议 HTTP是hypertext transfer protocol(超文本传输协议)的简写,它是TCP/IP协议的一个应用层协议,用于定义WEB浏览器与WEB服务器之间交换数据的 ...

  8. 前端学习 第四弹: HTML(一)

    前端学习 第四弹: HTML(一) 元素分类:块元素 内联元素 块级元素在浏览器显示时,通常会以新行来开始(和结束). 例子:<h1>, <p>, <ul>, &l ...

  9. Struts2中访问web元素的四种方式

    Struts2中访问web元素的四种方式如下: 通过ActionContext来访问Map类型的request.session.application对象. 通过实现RequestAware.Sess ...

随机推荐

  1. 关于模拟器不能运行项目问题:Installation error: INSTALL_FAILED_INSUFFICIENT_STORAGE

    我有一个习惯,当做完某一项功能时就想试试运行效果.所以一个程序完成前会运行无数遍.但是有时会出现不能运行的问题,并且这个问题不是来自项目的错误,显示器显示如下错误: [2013-08-31 08:45 ...

  2. 阿里技术保障-KeepAlive

    http://blog.sina.cn/dpool/blog/s/blog_e59371cc0102ux5w.html?wm=3049_a111

  3. 真相:中国版BBB用USB连电脑没有盘符的根本原因分析

    很多网友在问:为什么中国版的装完驱动插上板子没有显示端口号和69M的盘符??楼主发现,在开机启动的时候,加载g_multi模块时出现错误提示 invalid argument.         Emb ...

  4. Nginx【第一篇】安装

    一.简介 Nginx("engine x")是一款是由俄罗斯的程序设计师 Igor Sysoev 所开发高性能的 Web 和 反向代理 服务器,也是一个 IMAP/POP3/SMT ...

  5. java基础语法笔记

    这段时间看了一些java,急了一些笔记,记下一遍以后复习用! 2016-07-24 15:12:40 java很多语法都跟C#类似,下面列举一些不同的地方******注意***** java中的系统方 ...

  6. H5 canvas 小demo之小球的随机运动

    1:结构之html----balls.html <!DOCTYPE html> <html> <head lang="en"> <meta ...

  7. [转] c# 数据类型占用的字节数

    http://www.cnblogs.com/laozuan/archive/2012/04/24/2467888.html

  8. Mysql下在某一列后即表的某一位置添加新列的sql语句

    Mysql简介 MySQL是一个开放源码的小型关联式数据库管理系统,开发者为瑞典MySQL AB公司.MySQL被广泛地应用在Internet上的中小型网站中.由于其体积小.速度快.总体拥有成本低,尤 ...

  9. 计算Android屏幕解锁组合数

    晚饭时和同事聊到安卓屏幕解锁时会有多少种解锁方案,觉得很有趣,吃完饭开始想办法解题,花了大概2个小时解决.思路如下: 使用索引值0-9表示从左到右.从上到下的9个点,行.列号很容易从索引值得到: 使用 ...

  10. oracle11g不能导出空表

    Oracle11g的数据库迁移,习惯性的用了exp/imp,然后在新的数据库发现,空表根本没有exp出来,然后查资料,发现了如下信息: ORACLE 11G在用EXPORT导出时,空表不能导出. 11 ...