这是基于 TCP连接的相关知识进行拦截, 防火墙能够观测TCP连接的三次握手, 将通过三次握手的连接记录在一张表 , 如果收到了 TCP FIN 或 超过 60s未活跃, 则认为当前连接已经结束, 从表中删除.
正是通过这种方式, 阻拦所有的外部恶意请求, 即通过外界主动向内发送数据的. 因为此时必然不在表中.
应用程序网关如果需要进行内部用户受限的操作又该如何呢?
在前面所提到的两种策略中, 并不能够探测到应用层的数据, 即不能够对特定应用的 特定用户 进行区分限流.
应用程序网关, 是特定应用程序的服务器, 所有应用程序相关的数据都必须通过它. 如telnet服务器, 所有用户在向外界访问时, 必须输入自身的用户名密码, 如果校验不通过, 即不能够进行访问. 这正是因为 应用程序网关将自身当做服务器, 读取了来自客户端的数据, 从而决定是否拥有访问权限, 当校验通过后, 又将自身当做客户端, 向真正的服务器发起请求, 获取数据.
而缺点也是比较明显的, 每个应用程序都需要对应的网关服务器, 其次所有的数据都需要代为转发, 当用户 和 应用程序数量一旦上来, 对性能是个较大的考验. 最后 , 不仅是客户需要知道如何连接到网关服务器, 服务器也需要知道 如何连接到哪一个外部服务器.
在防火墙的描述中, 我们会发现依然有局限性, 并不能够在执行分组过滤的同时 检测应用层数据, 否则就需要应用程网关来作为中介.
我们需要一种能够结合两者特点的, 且并非只是针对特定的应用程序.
当设备观测到可疑流量, 可疑分组时, 需要向网络管理员发出警告. 能够观测到潜在恶意流量时产生告警的设备 被称为 入侵检测系统(IDS), 滤除可疑流量的设备被称为 入侵防止系统(IPS).
至于更多的就不多做介绍.
总结从最简单的代替密码. 当我们将密码本进一步扩展, 且根据文本所处的不同位置采用不同的密码本 就成了多码代替, 进一步扩展, 我们将密码本换成了 初始密码 与 密码函数的组合 就变成了 对称秘钥的基本雏形. 但对称密码不利于在网络传输中直接使用, 因此 公开秘钥体系应运而生.
相应的, 为了验证报文的完整性, 就需要 MD5, SHA-1这样算法 来将报文转换成 对应的 hash值. 验证文本与hash值的一致性即可. 由于存在可能性是将整个报文直接替换, 而非修改 生成新的 报文与hash值, 因此需要将 报文与共享秘钥 合并 生成MAC 加以验证数据源.
但这依然不够, 对于服务器需要面对的群体对象实在太多, 很难实现和每个人都共享对应的秘钥, 倒不如将自身的公钥公开, 通过私钥加密报文的hash值, 就变成了数字签名, 客户端只需要通过权威机构获取其证书, 即可解析公钥, 完成解密验证过程.
通过同样的方式, 我们也能够完成 验证 你是你(即端点鉴别)的这样一个过程.
为了防止别人窃取到服务器与客户端的聊天记录, 在第二天进行回放操作, 因此又有了不重数做以补充.
然而我们在一段会话中 不可能全部使用 RSA进行加密, 代价太过高昂, 因此通过RSA加密一段 对称秘钥, 用于会话中. 这即是 会话秘钥.
而SSL SSH等 则是对上述种种技术的综合运用.
防火墙的主要功用是, 通过分组过滤, 分组检测等功能, 阻止恶意入侵.
网络安全中心最重要的几个板块.
机密性, 完整性, 端点鉴别, 运行时安全 即如是.