防火墻能增強機構內部網絡的安全性。防火墻系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過,而且防火墻本身也必須能夠免于滲透。
防火墻的五大功能
一般來說,防火墻具有以下幾種功能:
1.允許網絡管理員定義一個中心點來防止非法用戶進入內部網絡。
2.可以很方便地監視網絡的安全性,并報警。
3.可以作為部署NAT(Network Address Translation,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。
4.是審計和記錄Internet使用費用的一個最佳地點。網絡管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據本機構的核算模式提供部門級的計費。
兩種防火墻技術的對比
包過濾防火墻
優點
價格較低
性能開銷小,處理速度較快
缺點
定義復雜,容易出現因配置不當帶來問題
允許數據包直接通過,容易造成數據驅動式攻擊的潛在危險
代理防火墻
內置了專門為了提高安全性而編制的Proxy應用程序,能夠透徹地理解相關服務的命令,對來往的數據包進行安全化處理
速度較慢,不太適用于高速網(ATM或千兆位以太網等)之間的應用
5.可以連接到一個單獨的網段上,從物理上和內部網段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部發布內部信息的地點。從技術角度來講,就是所謂的停火區(DMZ)。
防火墻的兩大分類
盡管防火墻的發展經過了上述的幾代,但是按照防火墻對內外來往數據的處理方法,大致可以將防火墻分為兩大體系:包過濾防火墻和代理防火墻(應用層網關防火墻)。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
1.包過濾防?
第一代:靜態包過濾
這種類型的防火墻根據定義好的過濾規則審查每個數據包,以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權原則”,即明確允許那些管理員希望通過的數據包,禁止其他的數據包。
第二代:動態包過濾
圖2 動態包過濾防火墻
2. 代理防火墻
第一代:代理防火墻
代理防火墻也叫應用層網關(Application Gateway)防火墻。這種防火墻通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后,就好像是源于防火墻外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。
所謂代理服務器,是指代表客戶處理在服務器連接請求的程序。當代理服務器得到一個客戶的連接意圖時,它們將核實客戶請求,并經過特定的安全化的Proxy應用程序處理連接請求,將處理后的請求傳遞到真實的服務器上,然后接受服務器應答,并做進一步處理后,將答復交給發出請求的最終客戶。代理服務器在外部網絡向內部網絡申請服務時發揮了中間轉接的作用。
代理類型防火墻的最突出的優點就是安全。由于每一個內外網絡之間的連接都要通過Proxy的介入和轉換,通過專門為特定的服務如Http編寫的安全化的應用程序進行處理,然后由防火墻本身提交請求和應答,沒有給內外網絡的計算機以任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。包過濾類型的防火墻是很難徹底避免這一漏洞的。就像你要向一個陌生的重要人物遞交一份聲明一樣,如果你先將這份聲明交給你的律師,然后律師就會審查你的聲明,確認沒有什么負面的影響后才由他交給那個陌生人。在此期間,陌生人對你的存在一無所知,如果要對你進行侵犯,他面對的將是你的律師,而你的律師當然比你更加清楚該如何對付這種人。
圖3 傳統代理型防火墻
代理防火墻的最大缺點就是速度相對比較慢,當用戶對內外網絡網關的吞吐量要求比較高時,(比如要求達到75-100Mbps時)代理防火墻就會成為內外網絡之間的瓶頸。所幸的是,目前用戶接入Internet的速度一般都遠低于這個數字。在現實環境中,要考慮使用包過濾類型防火墻來滿足速度要求的情況,大部分是高速網(ATM或千兆位以太網等)之間的防火墻。
第二代:自適應代理防火墻
自適應代理技術(Adaptive proxy)是最近在商業應用防火墻中實現的一種革命性的技術。它可以結合代理類型防火墻的安全性和包過濾防火墻的高速度等優點,在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個:自適應代理服務器(Adaptive Proxy Server)與動態包過濾器(Dynamic Packet filter)。
圖4 自適應代理防火墻
在自適應代理與動態包過濾器之間存在一個控制通道。在對防火墻進行配置時,用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后,自適應代理就可以根據用戶的配置信息,決定是使用代理服務從應用層代理請求還是從網絡層轉發包。如果是后者,它將動態地通知包過濾器增減過濾規則,滿足用戶對速度和安全性的雙重要求。
小資料
防火墻的發展史
第一代防火墻
第一代防火墻技術幾乎與路由器同時出現,采用了包過濾(Packet filter)技術。下圖表示了防火墻技術的簡單發展歷史。
第二、三代防火墻
1989年,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。
第四代防火墻
1992年,USC信息科學院的BobBraden開發出了基于動態包過濾(Dynamic packet filter)技術的第四代防火墻,后來演變為目前所說的狀態監視(Stateful inspection)技術。1994年,以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。
第五代防火墻
1998年,NAI公司推出了一種自適應代理(Adaptive proxy)技術,并在其產品Gauntlet Firewall for NT中得以實現,給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
這種類型的防火墻采用動態設置包過濾規則的方法,避免了靜態包過濾所具有的問題。這種技術后來發展成為所謂包狀態監測(Stateful Inspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤,并且根據需要可動態地在過濾規則中增加或更綠蹌俊?
防火墻的五大功能
一般來說,防火墻具有以下幾種功能:
1.允許網絡管理員定義一個中心點來防止非法用戶進入內部網絡。
2.可以很方便地監視網絡的安全性,并報警。
3.可以作為部署NAT(Network Address Translation,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。
4.是審計和記錄Internet使用費用的一個最佳地點。網絡管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據本機構的核算模式提供部門級的計費。
兩種防火墻技術的對比
包過濾防火墻
優點
價格較低
性能開銷小,處理速度較快
缺點
定義復雜,容易出現因配置不當帶來問題
允許數據包直接通過,容易造成數據驅動式攻擊的潛在危險
代理防火墻
內置了專門為了提高安全性而編制的Proxy應用程序,能夠透徹地理解相關服務的命令,對來往的數據包進行安全化處理
速度較慢,不太適用于高速網(ATM或千兆位以太網等)之間的應用
5.可以連接到一個單獨的網段上,從物理上和內部網段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部發布內部信息的地點。從技術角度來講,就是所謂的停火區(DMZ)。
防火墻的兩大分類
盡管防火墻的發展經過了上述的幾代,但是按照防火墻對內外來往數據的處理方法,大致可以將防火墻分為兩大體系:包過濾防火墻和代理防火墻(應用層網關防火墻)。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
1.包過濾防?
第一代:靜態包過濾
這種類型的防火墻根據定義好的過濾規則審查每個數據包,以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權原則”,即明確允許那些管理員希望通過的數據包,禁止其他的數據包。
2. 代理防火墻
第一代:代理防火墻
代理防火墻也叫應用層網關(Application Gateway)防火墻。這種防火墻通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后,就好像是源于防火墻外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。
所謂代理服務器,是指代表客戶處理在服務器連接請求的程序。當代理服務器得到一個客戶的連接意圖時,它們將核實客戶請求,并經過特定的安全化的Proxy應用程序處理連接請求,將處理后的請求傳遞到真實的服務器上,然后接受服務器應答,并做進一步處理后,將答復交給發出請求的最終客戶。代理服務器在外部網絡向內部網絡申請服務時發揮了中間轉接的作用。
代理類型防火墻的最突出的優點就是安全。由于每一個內外網絡之間的連接都要通過Proxy的介入和轉換,通過專門為特定的服務如Http編寫的安全化的應用程序進行處理,然后由防火墻本身提交請求和應答,沒有給內外網絡的計算機以任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。包過濾類型的防火墻是很難徹底避免這一漏洞的。就像你要向一個陌生的重要人物遞交一份聲明一樣,如果你先將這份聲明交給你的律師,然后律師就會審查你的聲明,確認沒有什么負面的影響后才由他交給那個陌生人。在此期間,陌生人對你的存在一無所知,如果要對你進行侵犯,他面對的將是你的律師,而你的律師當然比你更加清楚該如何對付這種人。
代理防火墻的最大缺點就是速度相對比較慢,當用戶對內外網絡網關的吞吐量要求比較高時,(比如要求達到75-100Mbps時)代理防火墻就會成為內外網絡之間的瓶頸。所幸的是,目前用戶接入Internet的速度一般都遠低于這個數字。在現實環境中,要考慮使用包過濾類型防火墻來滿足速度要求的情況,大部分是高速網(ATM或千兆位以太網等)之間的防火墻。
第二代:自適應代理防火墻
自適應代理技術(Adaptive proxy)是最近在商業應用防火墻中實現的一種革命性的技術。它可以結合代理類型防火墻的安全性和包過濾防火墻的高速度等優點,在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個:自適應代理服務器(Adaptive Proxy Server)與動態包過濾器(Dynamic Packet filter)。
在自適應代理與動態包過濾器之間存在一個控制通道。在對防火墻進行配置時,用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后,自適應代理就可以根據用戶的配置信息,決定是使用代理服務從應用層代理請求還是從網絡層轉發包。如果是后者,它將動態地通知包過濾器增減過濾規則,滿足用戶對速度和安全性的雙重要求。
小資料
防火墻的發展史
第一代防火墻
第一代防火墻技術幾乎與路由器同時出現,采用了包過濾(Packet filter)技術。下圖表示了防火墻技術的簡單發展歷史。
1989年,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。
第四代防火墻
1992年,USC信息科學院的BobBraden開發出了基于動態包過濾(Dynamic packet filter)技術的第四代防火墻,后來演變為目前所說的狀態監視(Stateful inspection)技術。1994年,以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。
第五代防火墻
1998年,NAI公司推出了一種自適應代理(Adaptive proxy)技術,并在其產品Gauntlet Firewall for NT中得以實現,給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
這種類型的防火墻采用動態設置包過濾規則的方法,避免了靜態包過濾所具有的問題。這種技術后來發展成為所謂包狀態監測(Stateful Inspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤,并且根據需要可動態地在過濾規則中增加或更綠蹌俊?
下一篇:防火墻使用技巧五招
