《计算机网络安全》学习
防火墙的基本特性
数据流过滤
内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置的特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、与其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如图。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
通过安全策略过滤
只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。最早的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。
防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对不符合通过条件的报文则予以阻断。
因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口≥2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
自身安全性高
防火墙自身应具有非常强的抗攻击免疫力。这是防火墙担当企业内部网络安全防护重任的先决条件。</br>
防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。</br>
它之所以具有这么强的本领,防火墙操作系统本身是关键。只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。</br>
其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。当然这些安全性也只能说是相对的。</br>
应用层防火墙防护能力细致
应用层防火墙具备更细致的防护能力。自从Gartner提出下一代防火墙概念以来,信息安全行业越来越认识到应用层攻击已取代传统攻击,对用户信息安全的威胁更大,而传统防火墙由于不具备区分端口和应用的能力,只能防御传统的攻击,对基于应用层的攻击则毫无办法。
从2011年开始,国内厂家通过多年的技术积累,开始推出下一代防火墙。从第一家推出真正意义的下一代防火墙的网康科技开始,至今包括东软、天融信等在内的传统防火墙厂商也陆续推出了下一代防火墙。下一代防火墙具备应用层分析的能力,能够基于不同的应用特征,实现应用层的攻击过滤,在具备传统防火墙、IPS、防毒等功能的同时,还能够对用户和内容进行识别管理,兼具了应用层的高性能和智能联动两大特性,能够更好地针对应用层攻击进行防护。
数据库防火墙保护数据库
数据库防火墙具有针对数据库恶意攻击的阻断能力。数据库防火墙主要采用如下一些技术。
- 虚拟补丁技术:针对CVE公布的数据库漏洞,提供漏洞特征检测技术。
- 高危访问控制技术:提供对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。
- SQL注入禁止技术:提供SQL注入特征库。
- 返回行超标禁止技术:提供对敏感表的返回行数控制。
- SQL黑名单技术:提供对非法SQL的语法抽象描述。
