20CN网络安全小组论坛 - 菜鸟乐园

论坛: 菜鸟乐园标题: 浅谈硬件防火墙

作者: wuxiu [wuxiu]

论坛用户

好久没有写过什么文章了，总觉得没什么可以写的，工作也很忙，连端午节也没空回家吃餐饭，惨吧！！！
端午节早上5点我坐火车去武汉了，参加清华紫光集团华中区网络安全产品技术培训，心想可以看望一下老朋友“鱼”，结果这个死人偏偏这段时间不上网，真是哎~~~~~~~~~遗憾！
这次培训收获不小，起码对我来说是如此，现在漫天乱飞到处都是防火墙产品，我们公司是清华比威防火墙的分销商，但是真正的硬件性防火墙我却一直无缘一见，就算是见到了也对那个盒子陌生得很，它到底是个是个如何如何的东西呢？
我们就来说说这个盒子。
首先它可以做什么！
防火墙的功能：
1，过滤进出的网络数据包
2，管理进出网络数据的访问行为
3，堵塞禁止的访问行为。
4，记录通过防火墙的信息和活动
5，对网络攻击进行检测和警告。
6，防止电子欺骗
以上五点其实在第五和第六点上我觉得应该要作些更改：
5，对目前流行的网络攻击进行检测和警告。
7，防止常见的电子欺骗手段。
因为我想就入侵检测而言，防火墙所能做的是有限的，毕竟他不会主动学习新的攻击手段。
那么防火墙不能防什么呢：
1，分布式拒绝服务攻击。
2，病毒。
3，新型攻击数据包。
4，系统本身具有的缺陷。
等等。。（我还没做详细总结）
防火墙一般是能够防止DOS攻击的，这也是防火墙的一个卖点，他能够对外部一个或少量IP发过来的超大超长PING包，重复的垃圾数据包，做出分析判断，并阻拦这些数据包，切断这些IP的连接，包括SYN flood, Ping of Death, 等。
SYN Flood：是一种较为常见的攻击，攻击者会向攻击目标发出大量TCP SYN请求，使目标机器的TCP队列中充满了未建立的连接请求，从而导致服务不能正常运作，是非常危险的攻击方式。当出现大量的TCP SYN请求时，防火墙系统应该检测这些请求是否来自同一个IP，如果是，系统会忽略掉这些TCP SYN请求，并且将该IP纪录在案，发出系统警告。这样系统可以保证内部网络不会受到SYN Flood攻击，同时可以把攻击资料记录下来。
OOB：对于没有Patch过的Windows 95/NT系统，可以利用向Netbios (Port 139)发送Out Of Band 数据，这可以导致被攻击机器蓝屏死机。防火墙系统应该分析通往NetBios的信息，检查是否OOB数据，如果检查出有问题，将会拒绝该IP包，同时把来源IP纪录并发出系统警告。
Ping Of Death：许多Unix-Like系统在接收到一个长度大于65535的IP包碎片时，会错误处理，导致系统死机或重起。防火墙系统应该自动检查IP包，当发现它是Ping Of Death Attack的数据，会拒绝其进入，纪录来源IP并发出系统警告。
但是如果碰上分布式的DOS攻击，就不行了，目前真正能够防止分布式DOS攻击的办法，除了捆绑多IP进行切换，没有其他办法。
目前流行的防火墙大概有三种：
1，包过滤类型防火墙。2，应用代理型防火墙。3，状态检测混合型防火墙。
基本上所有厂商都将自己的产品称为状态检测混合型防火墙，也就是说他的防火墙具有包过滤和应用代理功能，但是真正的应用代理功能都相对来说比较弱。其原因是为什么呢？我们来分别看看这两种类型的工作原理。
1，包过滤类型：
针对网络层的对于TCP/IP协议来说实际上就是针对TCP/IP包，防火墙不去理解这些包是用于什么应用的，而是只根据TCP/IP包的特征来决定是否允许其通过，这类防火墙(功能)称为网络层防火墙(或称包过滤防火墙)。
TCP/IP包由包头和数据组成，包头包括源地址、目标地址、源端口、目的端口、协议等内容，包过滤就是基于这些信息决定数据包是否允许通过。当然，实际的包过滤比这个过程要复杂，比如记录会话发起IP/端口，对没有发起IP/端口的响应数据包进行拒绝等。
2，应用代理类型：
   应用层的安全防护主要目的保证信息访问的合法性，确保合法用户根据授权合法的访问数据。应用层在ISO的体系层次中处于较高的层次，因而其安全防护也是较高级的。应用层的安全防护是面向用户和应用程序的。应用层采用身份认证和授权管理系统作为安全防护手段，实现高级的安全防护
我们把一个数据包分成以下几段：
源地址、目标地址、源端口、目的端口、协议、数据内容
包过滤技术需要处理和判断的是除数据内容以外的分段。
而应用代理所需要处理的则是网络数据包的内容分段。这类防火墙要做的是在内外网之间建立一倒不透明的密封墙，内和外所进行数据交换的对象都是防火墙，而内外互相是不可见的，相对来说，处理内容是非常困难的，而且对每种协议都要进行编程，例如：如果一个防火墙他本身如果带有FTP，TELNET，SMTP ，HTTP等协议的代理，那么这些协议就可以通过防火墙作为代理正常使用，但是如果你想使用OICQ，除非对放火墙进行此协议的编程，否则防火墙不能正确代理这一协议而导致无法使用OICQ。
包过滤和应用代理的不同之处就在这里，那么我们想想，对于包过滤所做的工作量来说，他需要处理的部分是比较单一的，而应用代理对数据的处理却很复杂，从性能上来讲，包过滤类型的工作速度和稳定性是有一定优势的。
从物理结构上来讲，我们又可以将防火墙分为三类：
1，纯软件防火墙
2，硬件防火墙（有物理结构，需软件支持）
3，纯硬件防火墙。（无须软件支持）
纯软件防火墙，这一类大家能够看到很多，从免费到很贵的，其实作为软件防火墙，灵活性是很高的，而且就功能而言，硬件防火墙能做到的，软件也能够做到。但是，软件防火墙有自己无法弥补的缺陷。
     首先，软件防火墙依赖于其他操作系统，如果没有操作平台，软件防火墙是不能够生存的。再则，作为一台计算机除开其他软件不说，本身运行一个操作系统就需要耗费大量的CUP资源和内存，而做为防火墙来说，大量的数据处理工作在这种环境下长时间进行是绝对不行的。
纯硬件防火墙，这类防火墙是依靠固定的芯片对数据进行处理，它没有对操作平台的依赖，性能稳定，速度非常快，这类防火墙在国外有产品，牌子我忘记了，（别人介绍时我没听清，）但是普及性不是很好，因为纯硬件防火墙的缺点是缺乏灵活性，无法对防火墙功能进行升级，除非厂家大规模改造生产设备和技术，来更换功能更强大的处理芯片。但是网络技术发展之快，与其同步更新生产设备是任何公司都做不到的。
最后我们来看我们国内常见的应用最广泛的硬件防火墙，这类防火墙其实是一种软硬结合的技术产品，拿清华比威防火墙其中一款为例，内部有CUP，内存，硬盘，等部件，其中支持这些设备的是储存在FLASH闪存里面的自行研发的操作系统。这类防火墙的性能取决与配件的合理搭配以及操作系统的合理设计，而且灵活性比较大，可升级性强，厂家可提供高版本的操作系统让用户对其进行升级。不依赖于任何其他操作系统。

哎~~~~一晚上说了这么多废话，不知道大家看了是否觉得烦，目前由于防火墙属于比较昂贵的技术产品，相信很多朋友象我一样没有机会去深入了解这玩意。这次的培训对我来说的确收获不小，所以希望能够把自己学到的东西写出来和大家分享。
今晚我累啦，加上自己做的笔记很乱，没有很系统的去整理，就暂时写到这里，下篇，我再说说其操作过程，以及没有整理好的一些细节。

恩，晚了，要去睡觉了，明天还得去上班，两个礼拜没休息了，可怜，55555555~~~~~~

                                                               悟休
                                                     21CNHOC网络安全小组
                                                         2001年6月18日

地主发表时间: 06/18 00:13