1.防火墻的概念和特征
防火墻概念
所謂“防火墻”是指一種計(jì)算機(jī)硬件和軟件的結(jié)合,將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實(shí)際上是一種隔離技術(shù)。防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。它采用由系統(tǒng)管理員定義的規(guī)則,對(duì)一個(gè)安全網(wǎng)絡(luò)和一個(gè)不安全網(wǎng)絡(luò)之間的數(shù)據(jù)流加以控制。
設(shè)置防火墻目的
保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用,防止內(nèi)部受到外部非法用戶的攻擊。防火墻通過檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,檢查數(shù)據(jù)包的合法性,判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅,為內(nèi)部網(wǎng)絡(luò)建立安全邊界(security perimeter)。
防火墻特征
防火墻置于兩個(gè)網(wǎng)絡(luò)之間,具有以下特征:
● 所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流,都必須經(jīng)過防火墻。
● 只有授權(quán)的數(shù)據(jù)流才允許通過。
2.防火墻的作用
1)、網(wǎng)絡(luò)的安全屏障:防火墻能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。只有經(jīng)過授權(quán)的通信才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。同時(shí)防火墻可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。
2)、強(qiáng)化網(wǎng)絡(luò)安全策略:通過以防火墻為中心的安全策略方案配置,能將很多安全控制如:口令、加密、身份認(rèn)證等配置在防火墻上。同很多網(wǎng)絡(luò)安全策略相比,這種防火墻的集中安全管理更為經(jīng)濟(jì)有效。
3)、對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):當(dāng)所有的訪問都經(jīng)過防火墻時(shí),防火墻就能夠記錄下這些訪問。同時(shí),提供網(wǎng)絡(luò)應(yīng)用的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。
4)、防止內(nèi)部信息的外泄:利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)中重點(diǎn)網(wǎng)段的隔離,從而縮小了局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。另外,一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索,從而引起外部攻擊者的興趣,甚至因此暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞,使用防火墻就可以隱蔽那些內(nèi)部細(xì)節(jié)。
3.防火墻的缺點(diǎn)
實(shí)際應(yīng)用中,防火墻還是有缺點(diǎn)的,主要表現(xiàn)在:不能防范惡意的知情者,不能防范不通過它的連接,不能防備全部的威脅,不能防范病毒。
4.防火墻系統(tǒng)的組成
構(gòu)成防火墻系統(tǒng)的兩個(gè)基本部件是包過濾路由器(Packet Filtering Router)應(yīng)用級(jí)網(wǎng)關(guān)(Application Gateway)。最簡(jiǎn)單的防火墻由一個(gè)包過濾路由器組成,而復(fù)雜的防火墻系統(tǒng)由包過濾路由器和應(yīng)用級(jí)網(wǎng)關(guān)組合而成。
包過濾防火墻實(shí)際上基于路由器,因此它也稱為篩選路由器。包過濾防火墻工作在網(wǎng)絡(luò)層,有選擇地讓數(shù)據(jù)包在內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行交換。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的出口端,其余數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。
應(yīng)用級(jí)網(wǎng)關(guān)是基于代理服務(wù)的防火墻,是運(yùn)行在代理服務(wù)器上的一些特定的應(yīng)用程序或服務(wù)器程序。應(yīng)用級(jí)網(wǎng)關(guān)工作在應(yīng)用層,掌握著應(yīng)用系統(tǒng)中可用做安全決策的全部信息。通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序來監(jiān)視和控制應(yīng)用層通信流。
防火墻技術(shù)根據(jù)其防范的方式和側(cè)重點(diǎn)的不同而分為多種類型,但總體可分為兩大類:一類基于包過濾(Pack Filter),另一類基于代理服務(wù)(Proxy Service)。它們的區(qū)別是基于包過濾的防火墻可以直接轉(zhuǎn)發(fā)報(bào)文,對(duì)用戶完全透明,因此速度較快;而基于代理的防火墻需要通過代理服務(wù)器(Proxy Server)建立連接,因此有更強(qiáng)的身份驗(yàn)證和日志功能。
代理服務(wù)(Proxy Service)即防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)應(yīng)用層的鏈接是在兩個(gè)終止于代理服務(wù)的鏈接來實(shí)現(xiàn)的,這樣便成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。當(dāng)代理服務(wù)器代表用戶與建立連接時(shí),可以用自己的IP地址代替內(nèi)部網(wǎng)絡(luò)的IP地址,所有內(nèi)部網(wǎng)絡(luò)中的站點(diǎn)對(duì)外部是不可見的。
應(yīng)用級(jí)網(wǎng)關(guān)是防火墻技術(shù)中使用得較多的技術(shù),也是一種安全性能較高的技術(shù)。在使用中,外部用戶只能看到代理服務(wù)器,內(nèi)部網(wǎng)絡(luò)只接收代理服務(wù)器的服務(wù)請(qǐng)求。與包過濾防火墻相比,它更安全,還可加速訪問。
