前些篇中,我們對集線器、交換機和路由器分別作了詳細的介紹。從本篇開始我們要介紹另乙個重要網路裝置——防火牆。
現在無論是企業,還是個人,資訊保安問題都日益成為廣泛關注的焦點。不要說絕大多數非專業的企業**,就邊專業的著名**,如yahoo!、ebay等著名**都曾經被黑客用原始的dos攻擊方法攻陷過,軟體系統巨人——微軟公司的**也難逃「黑」運。
在這樣乙個大環境下,網路安全問題凝了人們的注意力,大大小小的企業紛紛為自己的內部網路「築牆」,防病毒與防黑客成為確保企業資訊系統安全的基本手段。這裡所說的「牆」在相當大程度上指的就是本篇要向大家介紹的「防火牆」。它是企事業單位區域網的安全守護神。
但由於它身價的高貴性(動輒十幾萬),不要說大多數網路愛好者,中、小企業事業單位老總無緣一睹尊容,就連專門從事網路管理的中小企業網管人員也只能是「道聽途說」。一時間防火牆這一裝置在人們心中顯得更是高不可攀。為此,本教程將為大家提供比較詳盡的介紹,希望對各位有所裨益。
一、防火牆概念
防火牆的英文名為「firewall」,它是目前一種最重要的網路防護裝置。它的網路中經常是以圖1所示的兩種圖示出現的。左邊那個圖示非常形象,真正像一堵牆一樣。
而右邊那個圖示則是從防火牆的過濾機制來形象化的,在圖示中有乙個二極體圖示。而二極體我們知道,它具有單向導電性,這樣也就形象地說明了防火牆具有單嚮導通性。這看起來與現在防火牆過濾機制有些矛盾,不過它卻完全體現了防火牆初期的設計思想,同時也在相當大程度上體現了當前防火牆的過濾機制。
因為防火最初的設計思想是對內部網路總是信任的,而對外部網路卻總是不信任的,所以最初的防火牆是只對外部進來的通訊進行過濾,而對內部網路使用者發出的通訊不作限制。當然目前的防火牆在過濾機制上有所改變,不僅對外部網路發出的通訊連線要進行過濾,對內部網路使用者發出的部分連線請求和資料報同樣需要過濾,但防火牆仍只對符合安全策略的通訊通過,也可以說具有「單嚮導通」性。
圖1防火牆的本義是指古代構築和使用木製結構房屋的時侯,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?
當火災發生時,這些人又如何逃離現場呢?這個門就相當於我們這裡所講的防火牆的「安全策略」,所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通訊,在這些小孔中安裝了過濾機制,也就是上面所介紹的「單嚮導通性」。
我們這裡所介紹的網路防火牆是借鑑了古代真正用於防火的防火牆的喻義,它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部網路與internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。
以上僅是一種巨集觀意義的解釋,對於防火牆的概念,目前還沒有乙個準確、標準的定義。通常人們認為:防火牆是位於兩個(或多個)網路間,實施網路之間訪問控制的一組元件集合。
它具有以下三個方面的基本特性:
內部網路和外部網路之間的所有網路資料流都必須經過防火牆
這是防火牆所處網路位置特性,同時也是乙個前提。因為只有當防火牆是內、外部網路之間通訊的惟一通道,才可以全面、有效地保護企業網部網路不受侵害。
根據美國****局制定的《資訊保障技術框架》,防火牆適用於使用者網路系統的邊界,屬於使用者網路邊界的安全保護裝置。所謂網路邊界即是採用不同安全策略的兩個網路連線處,比如使用者網路和網際網路之間連線、和其它業務往來單位的網路連線、使用者內部網路不同部門之間的連線等。防火牆的目的就是在網路連線之間建立乙個安全控制點,通過允許、拒絕或重新定向經過防火牆的資料流,實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構如圖1所示。從圖中可以看出,防火牆的一端連線企事業單位內部的區域網,而另一端則連線著網際網路。所有的內、外部網路之間的通訊都要經過防火牆。
只有符合安全策略的資料流才能通過防火牆
這是防火牆的工作原理特性。防火牆之所以能保護企業內部網路,就是依據這樣的工作原理或者說是防護機制進行的。它可以由管理員自由設定企業內部網路的安全策略,使允許的通訊不受影響,而不允許的通訊全部拒絕地內部網路之外。
防火牆自身應具有非常強的抗攻擊免疫力
這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。就像公安幹警一樣,如果自己都沒有「百毒不侵」的過硬意志和本領,又如何經得住罪犯的種種**和攻擊呢?防火牆處於網路邊緣,它就像乙個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。
它之所以具有這麼強的本領防火牆作業系統本身是關鍵,只有自身具有完整信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程式在防火牆上執行。當然這些安全性也只能說是相對的。
二、防火牆的分類
認識了防火牆之後,我們就來對當前市場上的防火牆進行一下分類。目前市場的防火牆產品非常之多,劃分的標準也比較雜。在此我們對主流的分類標準進行介紹。
1. 從防火牆的軟、硬體形式分
很明顯,如果從防火牆的軟、硬體形式來分的話,防火牆可以分為軟體防火牆和硬體防火牆。
最初的防火牆與我們平時所看後勁的集線器、交換機一樣,都屬於硬體產品。如圖2所示的是3com公司的一款3com superstack 3防火牆。它在外觀上與平常我們所見到的集線器和交換機類似,只是只有少數幾個介面,分別用於連線內、外部網路,那是由防火牆的基本作用決定的。
圖2 隨著防火牆應用的逐步普及和計算機軟體技術的發展,為了滿足不同層次使用者對防火牆技術的需求,許多網路安全軟體廠商開發出了基於純軟體的防火牆,俗稱「個人防火牆」。之所以說它是「個人防火牆」,那是因為它是安裝在主機中,只對一台主機進行防護,而不是對整個網路。
2. 從防火牆技術來分
防火牆技術雖然出現了許多,但總體來講可分為「包過濾型」和「應用**型」兩大類。前者以以色列的checkpoint防火牆和cisco公司的pix防火牆為代表,後者以美國nai公司的gauntlet防火牆為代表。
(1). 包過濾(packet filtering)型
包過濾型防火牆工作在osi網路參考模型的網路層和傳輸層,它根據資料報頭源位址,目的位址、埠號和協議型別等標誌確定是否允許通過。只有滿足過濾條件的資料報才被**到相應的目的地,其餘資料報則被從資料流中丟棄。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網路服務採取特殊的處理方式,適用於所有網路服務;之所以廉價,是因為大多數路由器都提供資料報過濾功能,所以這類防火牆多數是由路由器整合的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火牆技術的發展過程中,包過濾技術出現了兩種不同版本,稱為「第一代靜態包過濾」和「第二代動態包過濾」。
●第一代靜態包過濾型別防火牆
這類防火牆幾乎是與路由器同時產生的,它是根據定義好的過濾規則審查每個資料報,以便確定其是否與某一條包過濾規則匹配。過濾規則基於資料報的報頭資訊進行制訂。報頭資訊中包括ip源位址、ip目標位址、傳輸協議(tcp、udp、icmp等等)、tcp/udp目標埠、icmp訊息型別等。
●第二代動態包過濾型別防火牆
這此防火牆採用動態設定包過濾規則的方法,避免了靜態包過濾所具有的問題。這種技術後來發展成為包狀態監測(stateful inspection)技術。採用這種技術的防火牆對通過其建立的每乙個連線都進行跟蹤,並且根據需要可動態地在過濾規則中增加或更新條目。
包過濾方式的優點是不用改動客戶機和主機上的應用程式,因為它工作在網路層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網路層和傳輸層的有限資訊,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,效能會受到很大地影響;由於缺少上下文關聯資訊,不能有效地過濾如udp、rpc一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭資訊,而不能對使用者身份進行驗證,很容易受到「位址欺騙型」攻擊。
對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程式中的作用有較深入的理解。因此,過濾器通常是和應用閘道器配合使用,共同組成防火牆系統。
(2). 應用**(application proxy)型
應用**型防火牆是工作在osi的最高層,即應用層。其特點是完全"阻隔"了網路通訊流,通過對每種應用服務編制專門的**程式,實現監視和控制應用層通訊流的作用。其典型網路結構如圖3所示。
圖3 在**型防火牆技術的發展過程中,它也經歷了兩個不同的版本,即:第一代應用閘道器型**防火和第二代自適應**防火牆。
●第一代應用閘道器(application gateway)型防火牆
這類防火牆是通過一種**(proxy)技術參與到乙個tcp連線的全過程。從內部發出的資料報經過這樣的防火牆處理後,就好像是源於防火牆外部網絡卡一樣,從而可以達到隱藏內部網結構的作用。這種型別的防火牆被網路安全專家和**公認為是最安全的防火牆。
它的核心技術就是**伺服器技術。
●第二代自適應**(adaptive proxy)型防火牆
它是近幾年才得到廣泛應用的一種新防火牆型別。它可以結合**型別防火牆的安全性和包過濾防火牆的高速度等優點,在毫不損失安全性的基礎之上將**型防火牆的效能提高10倍以上。組成這種型別防火牆的基本要素有兩個:
自適應**伺服器(adaptive proxy server)與動態包過濾器(dynamic packet filter)。
在「自適應**伺服器」與「動態包過濾器」之間存在乙個控制通道。在對防火牆進行配置時,使用者僅僅將所需要的服務型別、安全級別等資訊通過相應proxy的管理介面進行設定就可以了。然後,自適應**就可以根據使用者的配置資訊,決定是使用**服務從應用層**請求還是從網路層**包。
如果是後者,它將動態地通知包過濾器增減過濾規則,滿足使用者對速度和安全性的雙重要求。
**型別防火牆的最突出的優點就是安全。由於它工作於最高層,所以它可以對網路中任何一層資料通訊進行篩選保護,而不是像包過濾那樣,只是對網路層的資料進行過濾。
防火牆方案
2 遮蔽主機閘道器 screened host gateway 遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線 如圖2 通常在路由器...
防火牆規則功能
實驗名稱 實驗目的 通過防火牆實現網路訪問規則的控制,包括對資料流量的限制 背景描述 你是公司的網路管理員,為了保護公司網路系統及資訊資源的安全,需要在防火牆上設定網路訪問規則。本實驗以配置基於時間的網路訪問控制為例,對其它規則的設定與此類似。實現功能 在允許必要的網路訪問的同時加強網路的安全防護。...
防火牆配置方案
由於蚌埠廣播電視台是蚌埠廣播電視台網的主要組成部分,它的安全性 可靠性對其正常行使巨集觀經濟調控職能起著重要的作用,所以對其防火牆分系統採用雙機備份,而其它省級蚌埠廣播電視台只採用單機防火牆配置,其系統配置方案如圖5.4所示。在蚌埠廣播電視台與專網互聯處加入一台防火牆。由於蚌埠廣播電視台網路需要連線...