路由器过滤方式防火墙的优缺点
本篇文章给大家谈谈包过滤路由器有哪些弱点,以及路由器过滤方式防火墙的优缺点对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
1、包过滤技术如何防御黑客攻击以及包过滤技术的优缺点(越详细越好)
2、路由器的包过滤功能
3、无线路由器的缺点有哪些?
4、关于网桥的问题
5、包过滤防火墙的技术缺点
包过滤技术如何防御黑客攻击以及包过滤技术的优缺点(越详细越好)
花钱下载的文章,希望对你有帮助!
络之 访问控制的组件集合。对于普通用户来说,所谓 “ 防火墙”,
指的就是一种破放置在自己的计算机与外界网络之间的防御系统,从
网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不
能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下
来,实现了对汁算机的保护功能。
1 防火墙的主要功能
内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有
经过精心选择的应用协议才能过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所』 吉 I 知的不安全的NF S 协议进出受保护网
络,这样外部的攻击者就不可能利1 } f 】 这些脆弱的协议来攻击内部网
络。防火墙吲时可以保护网络免受基于路由的攻击 ,如I P 选项中的源
路由攻击和I CMP 重定向中的重定向路径。防火墙应该可以拒绝所有
( 2)防火墙可以强化网络安全策略。通过以防火墙为中心的安
全方案配置 ,能将所有安全软件 ( 如口令、加密、身份认证、审计
等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防
火墙的集中安全管理更经济。例如在网络访 时,一次一密口令系统
和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防
火墙上。
( 3)对婀络存取和访问进行监控审汁。如果所有的访i ' u 】 部经过
防火墙 ,那么,防火墙就能记录下这些访问并作出E t 志汜录, 时也
能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行
适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收
集一个网络的使用和误用情况也是非常重要的 首先的理由是可以清
楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制
是否充足。而网络使用统汁对I 矧络需求分析和威胁分析等而言也是非
常重要的。
( 4)防止内部信息的外泄。通过利用防火墙对内部网络的划
分,可实现内部网重点网段的隔离 ,从而限制了局部重点或敏感网络
安全问题对全局网络造成的影响。使用防火墙就可以隐蔽那些透漏内
部细节j t l F i n g e r ,DNS 等服务。F i n g e r 显示了主机的所有用户的注册
名、真名,最后器录时间和使用s h e l l 类型等。但是F i n g e r 显示的信息
非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程
度,这个系统是否有用户正在连线上嘲,这个系统是否在被攻击时引
起注意等等。防火墙可以同样阻塞有关内部网络中的DNS 信息,这样
一
台主机的域名和I P 地址就不会谈外界所了解。
(1 )双宿/ 多宿主机。这种模式是在堡垒主机上配置两块或两块
以上的网卡实现的。其中,一块网卡用于外部网络 ,而其余网卡则用
于内部网络,并通过代理服务系统来实现防火墙的各种功能。
( 2)屏蔽主机。这种模式是在双宿/ 多宿主机模式的基础上增加
外部过滤路由没备实现的。堡垒主机通过一个外部过滤路由器进行连
接,在通过代 服务系统将外部过滤路由器传来的消息于内部网络联
系在一起,从而起到保护内部网络的作用。
( 3)屏蔽子网。这种模式是在屏蔽主饥模式的基础上增加内部
过滤路由设备实现的。堡垒主机使用的两个过滤路由器,分别于内部
网络和外部网络连接,再通过代理服务系统处理经过过滤路d t 器的信息
3 防火墙包过滤技术
(1 ) “ 包过滤”技术简介。 “ 包过滤”是最早使用的一种防火
墙技术,也是防火墙所要实现的最基本功能,它可将不符合要求的包
过滤掉。它的第一代模型是 “ 静态包过滤”,使用包过滤技术的防火
墙通常工作在o s i 模型 中的网络层上,后来发展更新的 “ 动态包过
滤”增加了传输层 ,简言之 ,包过滤技术工作的地方就是各种基于
T C P / I P 协议的数据报文进出的通道 ,它把这两层作为数据监控的对
象,对每个数据包的头部、协议、地址 、端口、类型等信息进行分
析,并与预先没定好的防火墙过滤规则进行核对,一旦发现某个包的
某个或多个部分与过滤规则匹配并且条件为 “ 阻止”的时候,这个包
就会被丢弃。
( 2) “ 包过滤”防火墙的一般工作原理。包过滤是在I P 层实现
的,因此,它可以只用路由器完成。包过滤根据包的源I P J ~J L、目的
I P 地址、源端口、目的端口及包传递方向等报头信息来判断是否允许
包通过。过滤用户定义的内容,如I P 地址。其工作原理是系统在网络
层检查数据包 ,与应用层无关 ,包过滤器的应用非常广泛 ,因为
CP U用来处理包过滤的时间可以忽略不汁。而且这种防护措施对用户
透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很
方便。这样系统就具有很好的传输性能,易扩展:但是这种防火墙不
太安全,因为系统对应用层信息无感知也就是说,它们不理解通信的
内容,不能在用户级别上进行过滤 ,即不能识别不同的用户和防止
I P 地址的盗用。如果攻击者把自己主机的I P 地址没成一个合法主机的
l P 地址,就可以很轻易地通过包过滤器,这样更容易被黑客攻破。
( 3)黑客攻击包过滤防火墙的常用手段。 “ I P 地址欺骗”是黑
客比较常用的一种攻击手段。黑客们 包过滤防火墙发出一系列信息
包 ,这些包中的l P 地址已经被替换为一串顺序的I P 地址,一旦有一个
包通过了防火墙,黑客便可以用这个I P 地址来伪装他们发出的信息。
攻击者向被攻击的计算机发出许许多多个虚假的 “ 同步请求”信息
包 ,目标计算机响应了这种信息包后会等待请求发出者的应答.而攻
击者却不做任何回应 ,服务器在一定时间里没有收到响应信号的话就
会结束这次请求连接 ,但是当服务器在遇到成千上万个虚假请求时,
它便没有能力来处理正常的用户服务请求,处于这种攻下的服务器表 现为性能下降,服务响应时间变长,严重时服务完全停止甚至死机。
但是 ,如果防火墙能结合接口,地址来匹配,这种攻击就不能成功。
4 包过滤技术的优缺点及其发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着
防火墙要能够以非常高的速率处理数据。为了满足这种需要,一些防
火墙制造商开发了基于AS I C 的防火墙和基于网络处理器的防火墙。
从执行速度的角度看来 ,基于网络处理器的防火墙也是基于软件的解
决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火
墙中有一些专门用于处理数据层面任务的引擎,从而减轻了C P U的负
担 ,该类防火墙的性能要比传统防火墙的性能好许多。
路由器的包过滤功能
你要用过滤功能的前提条件是陆由器的防火墙是开启的,你这样的构想是可行的。
无线路由器的缺点有哪些?
缺点:
1、速度瓶颈:标准的无线路由器,其速度也高达240Mbps,可在实际应用中,每个客户端的带宽是有限的。因为无线路由器是共享带宽的一种网络设备,如果10台客户机共用一台240Mbps的无线路由器,每客户端的最大带宽仅为24Mbps。从表面看,240Mbps的带宽已经远远超过了有线网络的传输速度,实际上,却是一种有瓶颈的网络设备。
2、抗干扰差:由于无线网络的传输介质是空气,一旦遇到墙壁及家具这样的障碍物,无线网络的传输质量就会大打折扣。虽然部署无线网络无需铺设网线,这一便利性成为无线路由器的亮点,然而,抗干扰性比较差的无线网络,也成为无线路由器的一个缺点。尤其是在环境相对复杂的地方,客户端上网时可能会经常出现掉线的情况。
3、兼容性差:尽管市场上已经有传输速度达240Mbps甚至更高的无线路由器产品出售,然而在实际应用中,要达到240Mbps的传输速度,还需要在特定的环境下才能实现。以108Mbps无线路由器为例,要想达到108Mbps的传输速度,必须使用同一厂商的配套产品。以TP-LINK 108Mbps无线路由器TL-WR641G+为例,如果无线网卡不是TP-LINK的无线网卡,也无法实现108Mbps的高速传输。
关于网桥的问题
四、两种网桥
1、透明网桥
第一种802网桥是透明网桥(transparentbridge)或生成树网桥(spanningtreebridge)。支持这种设计的人首要关心的是完全透明。按照他们的观点,装有多个LAN的单位在买回IEEE标准网桥之后,只需把连接插头插入网桥,就万事大吉。不需要改动硬件和软件,无需设置地址开关,无需装入路由表或参数。总之什么也不干,只须插入电缆就完事,现有LAN的运行完全不受网桥的任何影响。这真是不可思议,他们最终成功了。
透明网桥以混杂方式工作,它接收与之连接的所有LAN传送的每一帧。当一帧到达时,网桥必须决定将其丢弃还是转发。如果要转发,则必须决定发往哪个LAN。这需要通过查询网桥中一张大型散列表里的目的地址而作出决定。该表可列出每个可能的目的地,以及它属于哪一条输出线路(LAN)。在插入网桥之初,所有的散列表均为空。由于网桥不知道任何目的地的位置,因而采用扩散算法(floodingalgorithm):把每个到来的、目的地不明的帧输出到连在此网桥的所有LAN中(除了发送该帧的LAN)。随着时间的推移,网桥将了解每个目的地的位置。一旦知道了目的地位置,发往该处的帧就只放到适当的LAN上,而不再散发。
透明网桥采用的算法是逆向学习法(backwardlearning)。网桥按混杂的方式工作,故它能看见所连接的任一LAN上传送的帧。查看源地址即可知道在哪个LAN上可访问哪台机器,于是在散列表中添上一项。
当计算机和网桥加电、断电或迁移时,网络的拓扑结构会随之改变。为了处理动态拓扑问题,每当增加散列表项时,均在该项中注明帧的到达时间。每当目的地已在表中的帧到达时,将以当前时间更新该项。这样,从表中每项的时间即可知道该机器最后帧到来的时间。网桥中有一个进程定期地扫描散列表,清除时间早于当前时间若干分钟的全部表项。于是,如果从LAN上取下一台计算机,并在别处重新连到LAN上的话,那么在几分钟内,它即可重新开始正常工作而无须人工干预。这个算法同时也意味着,如果机器在几分钟内无动作,那么发给它的帧将不得不散发,一直到它自己发送出一帧为止。
到达帧的路由选择过程取决于发送的LAN(源LAN)和目的地所在的LAN(目的LAN),如下所示:
1、如果源LAN和目的LAN相同,则丢弃该帧。
2、如果源LAN和目的LAN不同,则转发该帧。
3、如果目的LAN未知,则进行扩散。
为了提高可靠性,有人在LAN之间设置了并行的两个或多个网桥,但是,这种配置引起了另外一些问题,因为在拓扑结构中产生了回路,可能引发无限循环。其解决方法就是下面要讲的生成树(spanningtree)算法。
生成树网桥
解决上面所说的无限循环问题的方法是让网桥相互通信,并用一棵到达每个LAN的生成树覆盖实际的拓扑结构。使用生成树,可以确保任两个LAN之间只有唯一一条路径。一旦网桥商定好生成树,LAN间的所有传送都遵从此生成树。由于从每个源到每个目的地只有唯一的路径,故不可能再有循环。
为了建造生成树,首先必须选出一个网桥作为生成树的根。实现的方法是每个网桥广播其序列号(该序列号由厂家设置并保证全球唯一),选序列号最小的网桥作为根。接着,按根到每个网桥的最短路径来构造生成树。如果某个网桥或LAN故障,则重新计算。
网桥通过BPDU(BridgeProtocolDataUnit)互相通信,在网桥做出配置自己的决定前,每个网桥和每个端口需要下列配置数据:
网桥:网桥ID(唯一的标识)
端口:端口ID(唯一的标识)
端口相对优先权
各端口的花费(高带宽=低花费)
配置好各个网桥后,网桥将根据配置参数自动确定生成树,这一过程有三个阶段:
1、选择根网桥
具有最小网桥ID的网桥被选作根网桥。网桥ID应为唯一的,但若两个网桥具有相同的最小ID,则MAC地址小的网桥被选作根。
2、在其它所有网桥上选择根端口
除根网桥外的各个网桥需要选一个根端口,这应该是最适合与根网桥通信的端口。通过计算各个端口到根网桥的花费,取最小者作为根端口。
3、选择每个LAN的“指定(designated)网桥”和“指定端口”
如果只有一个网桥连到某LAN,它必然是该LAN的指定网桥,如果多于一个,则到根网桥花费最小的被选为该LAN的指定网桥。指定端口连接指定网桥和相应的LAN(如果这样的端口多于一个,则低优先权的被选)。
一个端口必须为下列之一:
1、根端口
2、某LAN的指定端口
3、阻塞端口
当一个网桥加电后,它假定自己是根网桥,发送出一个CBPDU(ConfigurationBridgeProtocolDataUnit),告知它认为的根网桥ID。一个网桥收到一个根网桥ID小于其所知ID的CBPDU,它将更新自己的表,如果该帧从根端口(上传)到达,则向所有指定端口(下传)分发。当一个网桥收到一个根网桥ID大于其所知ID的CBPDU,该信息被丢弃,如果该帧从指定端口到达,则回送一个帧告知真实根网桥的较低ID。
当有意地或由于线路故障引起网络重新配置,上述过程将重复,产生一个新的生成树。
2、源路由选择网桥
透明网桥的优点是易于安装,只需插进电缆即大功告成。但是从另一方面来说,这种网桥并没有最佳地利用带宽,因为它们仅仅用到了拓扑结构的一个子集(生成树)。这两个(或其他)因素的相对重要性导致了802委员会内部的分裂。支持CSMA/CD和令牌总线的人选择了透明网桥,而令牌环的支持者则偏爱一种称为源路由选择(sourcerouting)的网桥(受到IBM的鼓励)。
源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一LAN上。当发送一帧到另外的LAN时,源机器将目的地址的高位设置成1作为标记。另外,它还在帧头加进此帧应走的实际路径。
源路由选择网桥只关心那些目的地址高位为1的帧,当见到这样的帧时,它扫描帧头中的路由,寻找发来此帧的那个LAN的编号。如果发来此帧的那个LAN编号后跟的是本网桥的编号,则将此帧转发到路由表中自己后面的那个LAN。如果该LAN编号后跟的不是本网桥,则不转发此帧。这一算法有3种可能的具体实现:软件、硬件、混合。这三种具体实现的价格和性能各不相同。第一种没有接口硬件开销,但需要速度很快的CPU处理所有到来的帧。最后一种实现需要特殊的VLSI芯片,该芯片分担了网桥的许多工作,因此,网桥可以采用速度较慢的CPU,或者可以连接更多的LAN。
源路由选择的前提是互联网中的每台机器都知道所有其他机器的最佳路径。如何得到这些路由是源路由选择算法的重要部分。获取路由算法的基本思想是:如果不知道目的地地址的位置,源机器就发布一广播帧,询问它在哪里。每个网桥都转发该查找帧(discoveryframe),这样该帧就可到达互联网中的每一个LAN。当答复回来时,途经的网桥将它们自己的标识记录在答复帧中,于是,广播帧的发送者就可以得到确切的路由,并可从中选取最佳路由。
虽然此算法可以找到最佳路由(它找到了所有的路由),但同时也面临着帧爆炸的问题。透明网桥也会发生有点类似的状况,但是没有这么严重。其扩散是按生成树进行,所以传送的总帧数是网络大小的线性函数,而不象源路由选择是指数函数。一旦主机找到至某目的地的一条路由,它就将其存入到高速缓冲器之中,无需再作查找。虽然这种方法大大遏制了帧爆炸,但它给所有的主机增加了事务性负担,而且整个算法肯定是不透明的。
3、两种网桥的比较
[img:4f68bde7af][/img:4f68bde7af]
透明网桥一般用于连接以太网段,而源路由选择网桥则一般用于连接令牌环网段。
五、远程网桥
网桥有时也被用来连接两个或多个相距较远的LAN。比如,某个公司分布在多个城市中,该公司在每个城市中均有一个本地的LAN,最理想的情况就是所有的LAN均连接起来,整个系统就像一个大型的LAN一样。
该目标可通过下述方法实现:每个LAN中均设置一个网桥,并且用点到点的连接(比如租用电话公司的电话线)将它们两个两个地连接起来。点到点连线可采用各种不同的协议。办法之一就是选用某种标准的点到点数据链路协议,将完整的MAC帧加到有效载荷中。如果所有的LAN均相同,这种办法的效果最好,它的唯一问题就是必须将帧送到正确的LAN中。另一种办法是在源网桥中去掉MAC的头部和尾部,并把剩下的部分加到点到点协议的有效载荷中,然后在目的网桥中产生新的头部和尾部。它的缺点是到达目的主机的校验和并非是源主机所计算的校验和,因此网桥存储器中某位损坏所产生的错误可能不会被检测到。
--------------------------------------------------------------------------------
mazu 回复于:2004-09-21 16:10:35
[size=24:b937eb119c][b:b937eb119c]网关[/b:b937eb119c][/size:b937eb119c]
网关曾经是很容易理解的概念。在早期的因特网中,术语网关即指路由器。路由器是网络中超越本地网络的标记,这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分,因此,它被认为是通向因特网的大门。随着时间的推移,路由器不再神奇,公共的基于IP的广域网的出现和成熟促进了路由器的成长。现在路由功能也能由主机和交换集线器来行使,网关不再是神秘的概念。现在,路由器变成了多功能的网络设备,它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网,这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来,它不断地应用到多种不同的功能中,定义网关已经不再是件容易的事。目前,主要有三种网关:
协议网关
应用网关
安全网关
唯一保留的通用意义是作为两个不同的域或系统间中介的网关,要克服的差异本质决定了需要的网关类型。
一、协议网关
协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI参考模型的第2层、第3层或2、3层之间。但是有两种协议网关不提供转换的功能:安全网关和管道。由于两个互连的网络区域的逻辑差异,安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关”中讨论,此部分中集中于实行物理的协议转换的协议网关。
1、管道网关
管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中,到达目的地时,接收主机解开封装,把封装信息丢弃,这样分组就被恢复到了原先的格式。例如在下图中,IPv4数据由路由器A封装在IPv6分组中,通过IPv6网络传递给一个IPv4主机,路由器解开IPv6的封装,把还原的IPv4数据传递给目的主机。
[img:b937eb119c]网关1.jpg[/img:b937eb119c]
管道技术只能用于3层协议,从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点,它也有缺点。管道的本质可以隐藏不该接受的分组,简单来说,管道可以通过封装来攻破防火墙,把本该过滤掉的数据传给私有的网络区域。
2、专用网关
很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络提供对大型机系统的访问。下图演示了从PC客户端到网关的过程,网关将IP数据通过X.25广域网传送给大型机。
[img:b937eb119c]网关2.jpg[/img:b937eb119c]
这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板,这使其价格很低且很容易升级。在上图的例子中,该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。
3、2层协议网关
2层协议网关提供局域网到局域网的转换,它们通常被称为翻译网桥而不是协议网关。在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。
(1)帧格式差异
IEEE802兼容的局域网共享公共的介质访问层,但是它们的帧结构和介质访问机制使它们不能直接互通。如下图:
[img:b937eb119c]网关3.jpg[/img:b937eb119c]
翻译网桥利用了2层的共同点,如MAC地址,提供帧结构不同部分的动态翻译,使它们的互通成为了可能。第一代局域网需要独立的设备来提供翻译网桥,如今的多协议交换集线器通常提供高带宽主干,在不同帧类型间可作为翻译网桥,如下图所示:
[img:b937eb119c]网关4.jpg[/img:b937eb119c]
现在翻译网桥的幕后性质使这种协议转换变得模糊,独立的翻译设备不再需要,多功能交换集线器天生就具有2层协议转换网关的功能。
替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备:路由器。长期以来路由器就是局域网主干的重要组成部分,见下图。如果路由器用于互连局域网和广域网,它们通常都支持标准的局域网接口,经过适当的配置,路由器很容易提供不同帧类型的翻译。这种方案的缺点是如果使用3层设备路由器需要表查询,这是软件功能,而象交换机和集线器等2层设备的功能由硬件来实现,从而可以运行得更快。
[img:b937eb119c]网关5.jpg[/img:b937eb119c]
(2)传输率差异
很多过去的局域网技术已经提升了传输速率,例如,IEEE802.3以太网现在有10Mbps、100Mbps和1bps的版本,它们的帧结构是相同的,主要的区别在于物理层以及介质访问机制,在各种区别中,传输速率是最明显的差异。令牌环网也提升了传输速率,早期版本工作在4Mbps速率下,现在的版本速率为16Mbps,100Mbps的FDDI是直接从令牌环发展来的,通常用作令牌环网的主干。这些仅有时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口,现今的多协议、高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板,如下图:
[img:b937eb119c]网关6.jpg[/img:b937eb119c]
如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲,还可以为不同的802兼容的局域网提供2层帧转换。路由器也可以做速率差异的缓冲工作,它们相对于交换集线器的长处是它们的内存是可扩展的。其内存缓存进入和流出分组到一定程度以决定是否有相应的访问列表(过滤)要应用,以及决定下一跳,该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异,如下图:
[img:b937eb119c]网关7.jpg[/img:b937eb119c]
--------------------------------------------------------------------------------
mazu 回复于:2004-09-21 16:22:51
二、应用网关
应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入,将之翻译,然后以新的格式发送,如下图。输入和输出接口可以是分立的也可以使用同一网络连接。
[img:43835c7fde]网关8.jpg[/img:43835c7fde]
一种应用可以有多种应用网关。如Email可以以多种格式实现,提供Email的服务器可能需要与各种格式的邮件服务器交互,实现此功能唯一的方法是支持多个网关接口。下图所示为一个邮件服务器可以支持的几种网关接口。
[img:43835c7fde][/img:43835c7fde]
应用网关也可以用于将局域网客户机与外部数据源相连,这种网关为本地主机提供了与远程交互式应用的连接。将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点,这就使得客户端的响应时间更短。应用网关将请求发送给相应的计算机,获取数据,如果需要就把数据格式转换成客户机所要求的格式,见下图所示。
[img:43835c7fde][/img:43835c7fde]
本文不对所有的应用网关配置作详尽的描述,这些例子应该概括了应用网关的各种分支。它们通常位于网络数据的交汇点,为了充分地支持这样的交汇点,需要包括局域网、广域网在内的多种网络技术的结合。
三、安全网关
安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类:
分组过滤
电路网关
应用网关注意:三种中只有一种是过滤器,其余都是网关。
这三种机制通常结合使用。过滤器是映射机制,可区分合法的和欺骗包。每种方法都有各自的能力和限制,要根据安全的需要仔细评价。
1、包过滤器
包过滤是安全映射最基本的形式,路由软件可根据包的源地址、目的地址或端口号建立许可权,对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作,在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为(逻辑意义上的)路由器的常驻部分,这种过滤可在任何可路由的网络中自由使用,但不要把它误解为万能的,包过滤有很多弱点,但总比没有好。
包过滤很难做好,尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包,基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定,这种技术存在许多潜在的弱点。首先,它直接依赖路由器管理员正确地编制权限集,这种情况下,拼写的错误是致命的,可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限,其逻辑也必须毫无破绽才行。虽然设计路由似乎很简单,但开发和维护一长套复杂的权限也是很麻烦的,必须根据防火墙的权限集理解和评估每天的变化,新添加的服务器如果没有明确地被保护,可能就会成为攻破点。
随着时间的推移,访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组,它必须识别该分组要到达目的地需经由的下一跳地址,这必将伴随着另一个很耗费CPU的工作:检查访问列表以确定其是否被允许到达该目的地。访问列表越长,此过程要花的时间就越多。
包过滤的第二个缺陷是它认为包头信息是有效的,无法验证该包的源头。头信息很容易被精通网络的人篡改,这种篡改通常称为“欺骗”。
包过滤的种种弱点使它不足以保护你的网络资源,最好与其它更复杂的过滤机制联合使用,而不要单独使用。
2、链路网关
链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求,甚至某些UDP请求,然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求,并?/ca
包过滤防火墙的技术缺点
→一些包过滤网关不支持有效的用户认证。
→规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能 性也会增加。
→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户甚至可能还不知道。
→在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。
→包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。
虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤网关,而是将它和其他设备(如堡垒主机等)联合使用。
包过滤的工作是通过查看数据包的源地址、目的地址或端口来实现的,一般来说,它不保持前后连接信息,过滤决定是根据 当前数据包的内容来做的。管理员可以做一个可接受机和服务的列表,以及一个不可接受机和服务的列表。在主机和网络一级,利用数据包过滤很容易实现允许或禁止访问。
由此不难看出这个层次的防火墙的优点和弱点,由于防火墙只是工作在OSI的第三层(网络层)和第四层(传输层),因此包过滤的防火墙的一个非常明显的优势就是速度,这是因为防火墙只是去检查数据报的报头,而对数据报所携带的内容没有任何形势的检查,因此速度非常快。与此同时,这种防火墙的缺点也是显而易见的,比较关键的几点如下所述。
(1)由于无法对数据报的内容进行核查,一次无法过滤或审核数据报的内容
体现这一问题的一个很简单的例子就是:对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被开放,即使通过防火墙的数据报有攻击性,也无法进行控制和阻断。例如在一个简单的Web服务器,而包过滤的防火墙无法对数据报内容进行核查。因此,未打相应补丁的提供Web服务的系统,及时在防火墙的屏蔽之后,也会被攻击着轻易获取超级用户的权限。
(2)由于此种类型的防火墙工作在较低层次,防火墙本身所能接触的信息较少,所以它无法提供描述细致事件的日志系统。
此类防火墙生成的日志常常只是包括数据报捕获的时间、网络层的IP地址、传输层的端口等非常原始的信息。至于这个数据报内容是什么,防火墙不会理会,而这对安全管理员而言恰恰是很关键的。因为及时一个非常优秀的系统管理员,一旦陷入大量的通过/屏蔽的原始数据包信息中,往往也是难以理清头绪,这在发生安全事件时给管理员的安全审计带来很大的困难。
(3)所有可能用到的端口(尤其是大于1024的端口)都必须开放,对外界暴露,从而极大地增加了被攻击的可能性
通常对于网络上所有服务所需要的数据包进出防火墙的二端口都要仔细考虑,否则会产生意想不到的情况。然而我们知道,当被防火墙保护的设备与外界通信时,绝大多数应用要求发出请求的系统本身提供一个端口,用来接收外界返回的数据包,而且这个端口一般是在1024到65536之间不确定的,如果不开放这些端口,通信将无法完成,这样就需要开放1024以上的全部端口,允许这些端口的数据包进出。而这就带来非常大的安全隐患。例如:用户网中有一台UNIX服务器,对内部用户开放了RPC服务,而这个服务是用在高端口的,那么这台服务器非常容易遭到基于RPC应用的攻击。
(4)如果网络结构比较复杂,那么对管理员而言配置访问控制规则将非常困难
当网络发展到一定规模时,在路由器上配置访问控制规则将会非常繁琐,在一个规则甚至一个地址处出现错误都有可能导致整个访问控制列表无法正常使用。
关于包过滤路由器有哪些弱点和路由器过滤方式防火墙的优缺点的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。