防火牆技術

防火牆技術

所謂防火牆指的是一個有軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的介面上構造的保護屏障。

防火牆是一種保護電腦網路安全的技術性措施,它通過在網路邊界上建立相應的網路通信監控系統來隔離內部和外部網路,以阻擋來自外部的網路入侵。

  • 中文名稱
    防火牆技術
  • 目    的
    防止外部網路使用者未經授權的訪問
  • 實    質
    保護措施
  • 針    對
    Internet 網路不安全因素

簡介

防火牆技術,最初是針對 Internet 網路不安全因素所採取的一種保護措施。顧名思義,防火牆就是用來阻擋外部不安全因素影響的內部網路屏障,其目的就是防止外部網路使用者未經授權的訪問。它是一種電腦硬體和軟體的結合,使Internet與Internet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法使用者的侵入,防火牆主要由服務訪問政策、驗證工具、包過濾套用網關4個部分組成,防火牆就是一個位于電腦和它所連線的網路之間的軟體或硬體(其中硬體防火牆用的很少隻有國防部等地才用,因為它價格昂貴)。該電腦流入流出的所有網路通信均要經過此防火牆。

防火牆有網路防火牆和電腦防火牆的提法。網路防火牆是指在外部網路和內部網路之間設定網路防火牆。這種防火牆又稱篩選路由器。網路防火牆檢測進入信息的協定、目的地址、連線埠(網路層)及被傳輸的信息形式(套用層)等,濾除不符合規定的外來信息。防火牆示意圖見圖8.14,網路防火牆也對使用者網路向外部網路發出的信息進行檢測。

電腦防火牆是指在外部網路和使用者電腦之間設定防火牆。電腦防火牆也可以是使用者電腦的一部分。電腦防火牆檢測接口規程、傳輸協定、目的地址及/或被傳輸的信息結構等,將不符合規定的進入信息剔除。電腦防火牆對使用者電腦輸出的信息進行檢查,並加上相應協定層的標志,用以將信息傳送到接收使用者電腦(或網路)中去。

使用防火牆的好處有:保護脆弱的服務,控製對系統的訪問,集中地安全管理,增強保密性,記錄和統計網路利用資料以及非法使用資料情況。防火牆的設計通常有兩種基本設計策略:第一,允許任何服務除非被明確禁止;第二,禁止任何服務除非被明確允許。一般採用第二種策略。

從技術角度來看,目前有兩類防火牆,即標準防火牆和雙穴網關。標準防火牆使用專門的軟體,並要求比較高的管理水準,而且在信息傳輸上有一定的延遲。雙穴網關是標準防火牆的擴充,也稱套用層網關,它是一個單獨的系統,但能夠同時完成標準防火牆的所有功能。它的優點是能夠運行比較復雜的套用,同時防止在網際網路和內部系統之間建立任何直接的連線,可以確保封包不能直接從外部網路到達內部網路。

隨著防火牆技術的進步,在雙穴網關的基礎上又演化出兩種防火牆配置,一種是隱蔽主機網關,一種是隱蔽智慧型網關。目前,技術比較復雜而且安全級別較高的防火牆是隱蔽智慧型網關,它將網關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智慧型網關提供了對網際網路服務進行幾乎透明的訪問,同時也阻止了外部未授權訪問者對專用網路的非法訪問。

概念原理

防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控製引擎。在電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂"防火牆",是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控製尺度,它能允許你"同意"的人和資料進入你的網路,同時將你"不同意"的人和資料拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。

防火牆(FireWall)成為新興的保護電腦網路安全技術性措施。它是一種隔離控製技術,在某個機構的網路和不安全的網路(如Internet)之間設定屏障,阻止對信息資源的非法訪問,也可以使用防火牆阻止重要信息從企業的網路上被非法輸出。作為Internet網的安全性保護軟體,FireWall已經得到廣泛的套用。通常企業為了維護內部的信息系統安全,在企業網和Internet間設立FireWall軟體。企業信息系統對于來自Internet的訪問,採取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的套用。如果在某一台IP主機上有需要禁止的信息或危險的使用者,則可以通過設定使用FireWall過濾掉從該主機發出的包。如果一個企業隻是使用Internet的電子郵件和WWW伺服器向外部提供信息,那麽就可以在FireWall上設定使得隻有這兩類套用的封包可以通過。這對于路由器來說,就要不僅分析IP層的信息,而且還要進一步了解TCP傳輸層甚至套用層的信息以進行取舍。FireWall一般安裝在路由器上以保護一個子網,也可以安裝在一台主機上,保護這台主機不受侵犯。

防火牆防火牆

防火牆種類

從實現原理上分,防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、套用級網關、電路級網關和規則檢查防火牆。它們之間各有所長,具體使用哪一種或是否混合使用,要看具體需要。

網路級防火牆

一般是基于源地址和目的地址、套用、協定以及每個IP包的連線埠來作出通過與否的判斷。一個路由器便是一個"傳統"的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基于TCP或UDP封包的連線埠號,防火牆能夠判斷是否允許建立特定的連線,如Telnet、FTP連線。

防火牆防火牆

套用級網關

套用級網關能夠檢查進出的封包,通過網關復製傳遞資料,防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。套用級網關能夠理解套用層上的協定,能夠做復雜一些的訪問控製,並做精細的註冊和稽核。它針對特別的網路套用服務協定即資料過濾協定,並且能夠對封包分析並形成相關的報告。套用網關對某些易于登錄和控製所有輸出輸入的通信的環境給予嚴格的控製,以防有價值的程式和資料被竊取。 在實際工作中,套用網關一般由專用工作站系統來完成。但每一種協定需要相應的代理軟體,使用時工作量大,效率不如網路級防火牆。 套用級網關有較好的訪問控製,是目前最安全的防火牆技術,但實現困難,而且有的套用級網關缺乏"透明度"。在實際使用中,使用者在受信任的網路上通過防火牆訪問Internet時,經常會發現存在延遲並且必須進行多次登錄(Login)才能訪問Internet或Intranet。

電路級網關

電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網關是在OSI模型中會話層上來過濾封包,這樣比包過濾防火牆要高二層。電路級網關還提供一個重要的安全功能:代理伺服器(Proxy Server)。代理伺服器是設定在Internet防火牆網關的專用套用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程式或一個套用的特定功能。包過濾技術和套用網關是通過特定的邏輯判斷來決定是否允許特定的封包通過,一旦判斷條件滿足,防火牆內部網路的結構和運行狀態便"暴露"在外來使用者面前,這就引入了代理服務的概念,即防火牆內外電腦系統套用層的"連結"由兩個終止于代理服務的"連結"來實現,這就成功地實現了防火牆內外電腦系統的隔離。同時,代理服務還可用于實施較強的資料流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用電腦硬體(如工作站)來承擔。

防火牆防火牆

規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和套用級網關的特點。它同包過濾防火牆一樣,規則檢查防火牆能夠在OSI網路層上通過IP地址和連線埠號,過濾進出的封包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數位是否邏輯有序。當然它也象套用級網關一樣,可以在OSI套用層上檢查封包的內容,查看這些內容是否能符合企業網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同于一個套用級網關的是,它並不打破客戶機/伺服器模式來分析套用層的資料,它允許受信任的客戶機和不受信任的主機建立直接連線。規則檢查防火牆不依靠與套用層有關的代理,而是依靠某種演算法來識別進出的套用層資料,這些演算法通過已知合法封包的模式來比較進出封包,這樣從理論上就能比套用級代理在過濾封包上更有效。

防火牆防火牆

防火牆的使用

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標電腦。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如影片流等,但至少這是你自己的保護選擇。

在具體套用防火牆技術時,還要考慮到兩個方面:

一是防火牆是不能防病毒的,盡管有不少的防火牆產品聲稱其具有這個功能。 二是防火牆技術的另外一個弱點在于資料在防火牆之間的更新是一個難題,如果延遲太大將無法支持即時服務請求。並且,防火牆採用波技術,濾波通常使網路的性能降低50%以上,如果為了改善網路性能而購置高速路由器,又會大大提高經濟預算

總之,防火牆是企業網安全問題的流行方案,即把公共資料和服務置于防火牆外,使其對防火牆內部資源的訪問受到限製。作為一種網路安全技術,防火牆具有簡單實用的特點,並且透明度高,可以在不修改原有網路套用系統的情況下達到一定的安全要求。

防火牆功能

防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標電腦上被執行。防火牆還可以關閉不使用的連線埠。而且它還能禁止特定連線埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。

網路安全的屏障

一個防火牆(作為阻塞點、控製點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由于隻有經過精心選擇的套用協定才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協定進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協定來攻擊內部網路。防火牆同時可以保護網路免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員

防火牆防火牆

強化網路安全策略

通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令加密、身份識別、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份識別系統完全可以不必分散在各個主機上,而集中在防火牆一身上。

監控審計

如果所有的訪問都經過防火牆,那麽,防火牆就能記錄下這些訪問並作出日志記錄,同時也能提供網路使用情況的統計資料。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控製是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄

通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限製了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人註意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有使用者的註冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有使用者正在連線上網,這個系統是否在被攻擊時引起註意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。除了安全作用,防火牆還支持具有Internet服務特徵的企業內部網路技術體系VPN(虛擬專用網)。

封包過濾

網路上的資料都是以包為單位進行傳輸的,每一個封包中都會包含一些特定的信息,如資料的源地址、目標地址、源連線埠號和目標連線埠號等。防火牆通過讀取封包中的地址信息來判斷這些包是否來自可信任的網路,並與預先設定的訪問控製規則進行比較,進而確定是否需對封包進行處理和操作。封包過濾可以防止外部不合法使用者對內部網路的訪問,但由于不能檢測封包的具體內容,所以不能識別具有非法內容的封包,無法實施對套用層協定的安全處理。

網路IP地址轉換

網路IP地址轉換是一種將私有IP地址轉化為公網IP地址的技術,它被廣泛套用于各種類型的網路和網際網路的接人中。網路IP地址轉換一方面可隱藏內部網路的真實IP地址,使內部網路免受黑客的直接攻擊,另一方面由于內部網路使用了私有IP地址,從而有效解決了公網IP 地址不足的問題。

虛擬專用網路

虛擬專用網路將分布在不同地域上的區域網路或電腦通過加密通信,虛擬出專用的傳輸通道,從而將它們從邏輯上連成一個整體,不僅省去了建設專用通信線路的費用,還有效地保證了網路通信的安全。

日志記錄與事件通知

進出網路的資料都必須經過防火牆,防火牆通過日志對其進行記錄,能提供網路使用的詳細統計信息。當發生可疑事件時,防火牆更能根據機製進行報警和通知,提供網路是否受到威脅的信息。

意義與特征

防火牆的英文名為"FireWall",它是目前一種最重要的網路防護設備。從專業角度講,防火牆是位于兩個(或多個)網路間,實施網路之間訪問控製的一組組件集合。防火牆的本義是指古代構築和使用木製結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為"防火牆"。其實與防火牆一起起作用的就是"門"。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當于我們這裏所講的防火牆的"安全策略",所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信,在這些小孔中安裝了過濾機製,也就是上面所介紹的"單向導通性"。

我們通常所說的網路防火牆是借鏡了古代真正用于防火的防火牆的喻義,它指的是隔離在在地網路與外界網路之間的一道防御系統。防火可以使企業內部區域網路(LAN)網路與Internet之間或者與其他外部網路互相隔離、限製網路互訪用來保護內部網路。

典型的防火牆具有以下基本特徵。

資料必經之地

內部網路和外部網路之間的所有網路資料流都必須經過防火牆。這是防火牆所處網路位置特徵,同時也是一個前提。因為隻有當防火牆是內、外部網路之間通信的唯一通道,才可以全面、有效地保護企業網部網路不受侵害。根據美國國家安全局製定的《信息保障技術架構》,防火牆適用于使用者網路系統的邊界,屬于使用者網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連線處,比如使用者網路和網際網路之間連線、和其它業務往來單位的網路連線、使用者內部網路不同部門之間的連線等。防火牆的目的就是在網路連線之間建立一個安全控製點,通過允許、拒絕或重新定向經過防火牆的資料流,實現對進、出內部網路的服務和訪問的審計和控製。

典型的防火牆體系網路結構一端連線企事業單位內部的區域網路,而另一端則連線著網際網路。所有的內、外部網路之間的通信都要經過防火牆,隻有符合安全策略的資料流才能通過防火牆。

網路流量的合法性

防火牆最基本的功能是確保網路流量的合法性,並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起,原始的防火牆是一台"雙穴主機",即具備兩個網路接口,同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路接口接收上來,按照OSI協定堆的七層結構順序上載,在適當的協定層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網路接口送出,而對于那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似于橋接路由器的、多連線埠的(網路接口>=2)轉發設備,它跨接于多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。

抗攻擊免疫力

防火牆自身應具有非常強的抗攻擊免疫力:這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處于網路邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麽強的本領防火牆作業系統本身是關鍵,隻有自身具有完整信任關系的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程式在防火牆上運行。當然這些安全性也隻能說是相對的。目前國內的防火牆幾乎被國外的品牌佔據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內使用者了解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商為思科(Cisco)、CheckPointNetScreen等,國內主流廠商為東軟、天融信、聯想、方正等,它們都提供不同級別的防火牆產品。

防火牆的硬體體系結構曾經歷過通用CPU架構、ASIC架構和網路處理器架構,他們各自的特點分別如下:通用CPU架構:通用CPU架構最常見的是基于Intel X86架構的防火牆,在百兆防火牆中Intel X86架構的硬體以其高彈性和擴展性一直受到防火牆廠商的青睞;由于採用了PCI匯流排接口,Intel X86架構的硬體雖然理論上能達到2Gbps的吞吐量甚至更高,但是在實際套用中,尤其是在小包情況下,遠遠達不到標稱性能,通用CPU的處理能力也很有限。國內安全設備主要採用的就是基于X86的通用CPU架構。ASIC架構:ASIC(Application Specific Integrated Circuit,專用積體電路)技術是國外高端網路設備幾年前廣泛採用的技術。由于採用了硬體轉發模式、多匯流排技術、資料層面與控製層面分離等技術, ASIC架構防火牆解決了頻寬容量和性能不足的問題,穩定性也得到了很好的保證。

ASIC技術的性能優勢主要體現在網路層轉發上,而對于需要強大計算能力的套用層資料的處理則不佔優勢,而且面對頻繁變異的套用安全問題,其彈性和擴展性也難以滿足要求。由于該技術有較高的技術和資金門檻,主要是國內外知名廠商在採用,國外主要代表廠商是Netscreen,國內主要代表廠商為天融信網路處理器架構:由于網路處理器所使用的微碼編寫有一定技術難度,難以實現產品的最優性能,因此網路處理器架構的防火牆產品難以佔有大量的市場份額。隨著網路處理器的主要供應商Intel、Broadcom、IBM等相繼出售其網路處理器業務,該技術在網路安全產品中的套用已經走到了盡頭。

相關詞條

其它詞條