根据定义,防火墙是一种用于在网络内或通过控制业务流的网络之间实施安全策略的单个装置。
防火墙服务模块(FWSM)是可以被用于执行这些安全策略非常能力的设备。所述FWSM被开发作为一个模块或叶片驻留在任何一个的Catalyst 6500系列机箱或7600系列路由器机箱。与机箱提供了“从紧”整合更大的灵活性,特别是与网络虚拟化和令人难以置信的吞吐量,不仅可利用的今天,但将引进4.x的代码串的显著增加。
在FWSM的外观和感觉是类似于PIX和ASA的。这些产品都是同一个家庭的一部分,起源与PIX和“技巧”操作系统。如果你有过任何的PIX或ASA的经验,你会不会去学习其他的用户界面中找到安慰。
具有由不同类型的防火墙所提供的功能有很好的了解将帮助你在将适当类型的防火墙,以最大限度地满足您的安全需求。
了解数据包过滤防火墙
包过滤防火墙根据协议、源和/或目标IP地址、源和/或目标端口号、时间范围、区分服务代码点(DSCP)、服务类型(ToS)和IP报头中的各种其他参数验证包。包过滤通常在路由器或交换机上使用访问控制列表(ACL)来完成,通常非常快,特别是在特定于应用程序的集成电路(ASIC)中执行时。当流量进入或离开一个接口时,使用acl来匹配所选的条件,允许或拒绝单个数据包。
优点
包过滤防火墙的主要优点是,它们存在于只是网络上的每个设备。路由器,交换机,无线接入点,虚拟专用网(VPN)集中器,等等都可以具有的是一个数据包过滤防火墙能力。
从最小的家庭办公室到最大的服务提供商设备,路由器天生就有能力通过使用acl来控制数据包的流动。
开关可以使用路由访问控制列表(RACLs),它提供一个“路由”的能力,控制业务流(第3层)接口;被分配给一个端口的访问控制列表(PACL),“切换”(第2层)接口;和VLAN访问控制列表(的VACLs),它有能力控制“切换”和/或“路由”上的一个VLAN的数据包。
其他网络设备也可能具有通过使用acl强制执行流量流的能力。有关详细信息,请参阅适当的设备文档。
包过滤防火墙是最有可能你现有的网络的一部分。这些设备可能不是最丰富的功能,但是当你需要快速实现安全策略,以减轻攻击,防止感染的设备,等等,这可能是最快的解决方案来部署。
注意事项
与包过滤防火墙的挑战是,访问控制列表是静态的,并且包过滤没有可视性IP数据包的数据部分。
提示- - - - - -包过滤防火墙不要能看到有效载荷。
因为包过滤防火墙仅匹配各个分组,这使得有恶意企图的个人,也被称为“黑客”,“裂解”,或“脚本小子”,以容易地通过制定分组绕过安全(至少这个装置),歪曲懵懵懂懂内由ACL规则允许的流量使用公知的端口号,或隧道业务流量。的对等网络共享应用程序开发者很快就发现,使用TCP端口80(WWW)将允许他们通过防火墙畅通无阻。
注意 -用来描述怀有恶意的人的术语在所有的圈子里可能是不一样的。
一个黑客指的是人谁“裂缝”或断裂成网络或计算机,也可以定义有人谁“裂缝”或绕过软件保护方法,如钥匙。一般来说,不是爱称的术语。
黑客描述某人熟练的编程和谁拥有计算机和/或操作系统的深入了解。这个人可以使用他或她的好(白帽黑客)或邪恶(黑帽黑客)的知识。此外,它描述了我的高尔夫比赛。
脚本小子是谁的人使用的代码,方法,或通过恶意黑客创建的程序。
图1-1显示一个包过滤防火墙的例子,在本例中使用传统ACL的路由器,access-list 100。由于ACL正在匹配目的地为端口80的流量,所以任何目的地为端口80的流,无论何种类型,都将被允许通过路由器。
包过滤防火墙
考虑到包过滤的问题以及它们很容易被规避的事实,您可能会完全拒绝使用它们。这将是一个巨大的错误!采取一个整体的方法和使用多种设备提供纵深防御是一个更好的战略。包过滤的一个很好的用途是在您的网络边界,防止欺骗流量和私有IP地址(RFC 1918)进入或退出您的网络。深入的ACL配置超出了本书的范围,但是RFC 2827是很好的参考资料。
了解应用程序/代理防火墙
下一节将使用开放系统互连(OSI)模型来描述应用程序/代理防火墙,并进行简要的回顾。OSI模型描述了信息是如何从一台计算机上的应用程序传输到另一台计算机上的应用程序的。每一层对信息执行特定的任务,并将其传递到下一层。这个模型有助于解释函数在何处发生。
是七层OSI模型的,如下所示:
7层是应用层:这是用户界面到您的计算机(程序),例如,文字处理,电子邮件应用程序,远程登录等。
层6是表示层:它作为系统之间的转换,应用层信息转换为通过不同的系统可理解的公共格式。这层处理加密和诸如运动图像专家组(MPEG)和标签图像文件格式(TIFF)的标准。
层5是会话层:它管理连接或计算机之间的服务请求。
第4层是传输层:它交付给网络准备数据。传输控制协议是4层的功能,从而提供可靠的通信和数据的排序。用户数据报协议也是4层的作用,但它不提供数据的可靠传输。
层3是网络层:这就是IP寻址和路由发生。在这一层的数据被认为是一个“包”。
层2是数据链路层:它处理的可靠发送的信息。媒体访问控制层是2.数据在这一层将作为被称为的组分“帧”。
第一层为物理层:它是由对象,你可以看到,有的你不能,如电气特性。
提示- - - - - -使用以下助记符来记住OSI模型:所有人似乎都需要数据处理。
应用防火墙,如由姓名,工作在第7层,或OSI模型的应用层来表示。这些设备作为代表所请求服务的客户端(也就是代理)的。例如,打开一个网页浏览器,然后笔网页http://www.cisco.com。该请求被发送到代理防火墙,然后代表您的代理防火墙打开一个网页连接http://www.cisco.com。然后将这些信息发送到Web浏览器为您的观赏乐趣。
优点
因为应用程序/代理防火墙代表客户端,所以它们从端口扫描、应用程序攻击等方面提供了额外的“缓冲区”。例如,如果攻击者在应用程序中发现了一个漏洞,那么在攻击防火墙后的设备之前,攻击者必须先破坏应用程序/代理防火墙。应用程序/代理防火墙也可以在发现漏洞时快速修复。对于所有内部设备的修补,情况可能并非如此。
注意事项
代理代表你在应用层的计算机有几个需要注意的地方。首先,设备需要知道如何处理您的具体应用。基于Web的应用是非常普遍的,但如果你有一个应用程序,它是独一无二的,你的代理防火墙可能无法支持它,而不做一些显著修改。第二,应用层防火墙通常比包过滤或分组检测防火墙慢得多,因为他们要运行的应用程序,客户端和服务器保持状态,并进行流量的检查。
图1-2展示了一个应用程序/代理防火墙,以及如何通过它将会话建立到外部的web服务器。
应用程序/代理防火墙
步骤一步的过程中,如该图所示,如下:
第1步 |
客户端试图连接到位于外部Web服务器。例如,用户输入http://www.cisco.com在Web浏览器。 |
第2步 |
代理服务器接收该请求并转发该请求到相应的Web服务器(http://www.cisco.com)。 |
第3步 |
Web服务器收到请求并返回响应代理服务器所需的信息。 |
步骤4 |
代理服务器接收信息,并转发给客户端发起。 |
注意 -为简单起见,域名服务(DNS),地址解析协议(ARP),和2/3层信息不会在这个例子中讨论。这还假定客户端Web应用程序已配置了适当的代理信息。
应用程序/代理防火墙可以非常有效的设备来控制流量,保护客户免受恶意软件(流氓软件)和外部的攻击。这些防火墙还必须运行类似的客户端,这也可以使他们容易受到攻击的应用程序应用。
理解反向代理防火墙
反向代理防火墙功能相同的方式,代理防火墙,与它们被用来保护服务器,而不是客户端的例外。连接到Web服务器的客户端可能会不知不觉地被发送到代理服务器,它服务代表客户机的请求。代理服务器还可能能够请求负载均衡到多台服务器,从而扩展了工作量。
优点
要真正有效,反向代理必须理解应用程序的行为。例如,假设您有一个web应用程序,它需要输入一个邮件地址,特别是区号。应用程序防火墙需要足够智能,以拒绝可能导致远端服务器出现任何潜在问题(如缓冲区溢出)的信息。
注意 -当超过给定的已分配内存空间的限制时,就会发生缓冲区溢出。这将导致覆盖相邻的内存空间。如果内存空间被恶意代码覆盖,它可能会被执行,从而损害设备。
如果一个黑客是输入字母或字符到邮政编码场的长字符串,这可能会导致应用程序崩溃。大家都知道,精心编写的应用程序“不应”让这种类型的行为,但“碳基”的错误时有发生,并具有深度防御有助于最大限度地减少人为因素。具有代理敏锐地觉察到应用程序的,哪些是允许的是一个非常繁琐的过程。当任何更改是对应用程序进行,代理也必须改变。部署反向代理防火墙大多数组织通常不会夫妇的代理服务器和应用程序,以便紧紧地从他们身上获得最大的优势,但他们应该。
反向代理防火墙的另一个优点是可以终止安全套接字层(SSL)。两个重要的优点是,SSL不会增加应用服务器的负担,因为它是非常处理器密集型的,而且当在单独的设备上进行解密时,可以检查纯文本通信流。许多反向代理防火墙使用附加的硬件模块执行SSL终止,从而减少了主处理器的负担。图1-3显示了外部(例如互联网)的客户端请求的从Web服务器信息的例子。
反向代理防火墙
步骤一步的过程中,如该图所示,如下: