防火墻的基礎(chǔ)知識(shí)大全
什么是防火墻? 防火墻是使用一段"代碼墻"把你的電腦和internet分隔開(kāi)。它檢查到達(dá)防火墻兩端的所有數(shù)據(jù)包,無(wú)論是進(jìn)入還是發(fā)出,從而決定該攔截這個(gè)包還是將其放行。下面就讓小編帶你去看看關(guān)于防火墻的基礎(chǔ)知識(shí)大全吧,希望能幫助到大家!
都0202了,這些防火墻的知識(shí)你還不懂嗎?
硬件防火墻的原理
軟件防火墻及硬件防火墻中還有的其他功能,例如CF(內(nèi)容過(guò)濾)IDS(入侵偵測(cè))IPS(入侵防護(hù))等等的功能。
也就是說(shuō)硬件防火墻是指把防火墻程序做到芯片里面,由硬件執(zhí)行這些功能,能減少CPU的負(fù)擔(dān),使路由更穩(wěn)定。
硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障。
它的安全和穩(wěn)定,直接關(guān)系到整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。
因此,日常例行的檢查對(duì)于保證硬件防火墻的安全是非常重要的。
系統(tǒng)中存在的很多隱患和故障在暴發(fā)前都會(huì)出現(xiàn)這樣或那樣的苗頭,例行檢查的任務(wù)就是要發(fā)現(xiàn)這些安全隱患,并盡可能將問(wèn)題定位,方便問(wèn)題的解決。
4種類(lèi)型
(1)包過(guò)濾防火墻
包過(guò)濾防火墻一般在路由器上實(shí)現(xiàn),用以過(guò)濾用戶定義的內(nèi)容,如IP地址。
包過(guò)濾防火墻的工作原理是:系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,與應(yīng)用層無(wú)關(guān)。這樣系統(tǒng)就具有很好的傳輸性能,可擴(kuò)展能力強(qiáng)。
但是,包過(guò)濾防火墻的安全性有一定的缺陷,因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無(wú)感知,也就是說(shuō),防火墻不理解通信的內(nèi)容,所以可能被黑客所攻破。
(2)應(yīng)用網(wǎng)關(guān)防火墻
應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包,并將檢查的內(nèi)容信息放入決策過(guò)程,從而提高網(wǎng)絡(luò)的安全性。
然而,應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶機(jī)/服務(wù)器模式實(shí)現(xiàn)的。
每個(gè)客戶機(jī)/服務(wù)器通信需要兩個(gè)連接:一個(gè)是從客戶端到防火墻,另一個(gè)是從防火墻到服務(wù)器。
另外,每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程,或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序,對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序,否則不能使用該服務(wù)。
所以,應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。
(3)狀態(tài)檢測(cè)防火墻
狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn),性能比較好,同時(shí)對(duì)應(yīng)用是透明的,在此基礎(chǔ)上,對(duì)于安全性有了大幅提升。
這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn),在防火墻的核心部分建立狀態(tài)連接表,維護(hù)了連接,將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。
可以這樣說(shuō),狀態(tài)檢測(cè)包過(guò)濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為,而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。(圖 3)
(4)復(fù)合型防火墻
復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻,進(jìn)一步基于ASIC 架構(gòu),把防病毒、內(nèi)容過(guò)濾整合到防火墻里,其中還包括IDS功能,多單元融為一體,是一種新突破。
常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊,在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描,把防病毒、內(nèi)容過(guò)濾與防火墻結(jié)合起來(lái),這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。
它在網(wǎng)絡(luò)邊界實(shí)施OSI 第七層的內(nèi)容掃描,實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。(圖 4)
四類(lèi)防火墻的對(duì)比
包過(guò)濾防火墻
包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū),包過(guò)濾防火墻不建立連接狀態(tài)表,前后報(bào)文無(wú)關(guān),應(yīng)用層控制很弱。
應(yīng)用網(wǎng)關(guān)防火墻
不檢查IP、 TCP 報(bào)頭,不建立連接狀態(tài)表,網(wǎng)絡(luò)層保護(hù)比較弱。
狀態(tài)檢測(cè)防火墻
不檢查數(shù)據(jù)區(qū),建立連接狀態(tài)表,前后報(bào)文相關(guān),應(yīng)用層控制很弱。
復(fù)合型防火墻
可以檢查整個(gè)數(shù)據(jù)包內(nèi)容,根據(jù)需要建立連接狀態(tài)表,網(wǎng)絡(luò)層保護(hù)強(qiáng),應(yīng)用層控制細(xì),會(huì)話控制較弱。
防火墻術(shù)語(yǔ)
網(wǎng)關(guān)
在兩個(gè)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。
網(wǎng)關(guān)是互聯(lián)網(wǎng)應(yīng)用程序在兩臺(tái)主機(jī)之間處理流量的防火墻。
這個(gè)術(shù)語(yǔ)是非常常見(jiàn)的。
DMZ非軍事化區(qū)
為了配置管理方便,內(nèi)部網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個(gè)單獨(dú)的網(wǎng)段,這個(gè)網(wǎng)段便是非軍事化區(qū)。
防火墻一般配備三塊網(wǎng)卡,在配置時(shí)一般分別分別連接內(nèi)部網(wǎng),Internet和DMZ。
吞吐量
網(wǎng)絡(luò)中的數(shù)據(jù)是由一個(gè)個(gè)數(shù)據(jù)包組成,防火墻對(duì)每個(gè)數(shù)據(jù)包的處理要耗費(fèi)資源。
吞吐量是指在不丟包的情況下單位時(shí)間內(nèi)通過(guò)防火墻的數(shù)據(jù)包數(shù)量。這是測(cè)量防火墻性能的重要指標(biāo)。
最大連接數(shù)
和吞吐量一樣,數(shù)字越大越好。
但是最大連接數(shù)更貼近實(shí)際網(wǎng)絡(luò)情況,網(wǎng)絡(luò)中大多數(shù)連接是指所建立的一個(gè)虛擬通道。
防火墻對(duì)每個(gè)連接的處理也好耗費(fèi)資源,因此最大連接數(shù)成為考驗(yàn)防火墻這方面能力的指標(biāo)。
數(shù)據(jù)包轉(zhuǎn)發(fā)率:是指在所有安全規(guī)則配置正確的情況下,防火墻對(duì)數(shù)據(jù)流量的處理速度。
SSL
SSL(Secure Sockets Layer)是由 Netscape 公司開(kāi)發(fā)的一套Internet 數(shù)據(jù)安全協(xié)議。
它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸SSL協(xié)議位于TCP/IP 協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。
網(wǎng)絡(luò)地址轉(zhuǎn)換
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是一種將一個(gè)IP地址域映射到另一個(gè)IP 地址域技術(shù),從而為終端主機(jī)提供透明路由。
NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。
NAT常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問(wèn)題。
在防火墻上實(shí)現(xiàn)NAT后,可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu),在一定程度上提高網(wǎng)絡(luò)的安全性。
如果反向NAT提供動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能,還可以實(shí)現(xiàn)負(fù)載均衡等功能。
堡壘主機(jī)
一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī),被暴露于因特網(wǎng)之上,作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn),以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決,從而省時(shí)省力,不用考慮其它主機(jī)的安全的目的。
硬件防火墻和軟件防火墻對(duì)比
成本對(duì)比
硬件防火墻是軟硬件一體的,用戶購(gòu)買(mǎi)后不需要再投入其他費(fèi)用。
一般硬件防火墻的報(bào)價(jià)在1萬(wàn)到2萬(wàn)之間。
軟件防火墻有三方面的成本開(kāi)銷(xiāo):
軟件的成本、安裝軟件的設(shè)備成本以及設(shè)備上操作系統(tǒng)的成本。
Windows Server 2003 價(jià)格在4400-6000 之間。
備注:綜合以上的成本,要配置一套 軟件防火墻按最小的網(wǎng)絡(luò)要求,其成本在1萬(wàn)左右。
穩(wěn)定性與安全性對(duì)比
穩(wěn)定性和安全性比較穩(wěn)定性能的優(yōu)劣主要來(lái)自于防火墻運(yùn)行平臺(tái)即操作系統(tǒng)上。
硬件防火墻一般使用經(jīng)過(guò)內(nèi)核編譯后的Linu__ ,憑借Linu__本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。
Linu__ 永遠(yuǎn)都不會(huì)崩潰,其穩(wěn)定性是由于它沒(méi)有像其他操作系統(tǒng)一樣內(nèi)核龐大且漏洞百出。
系統(tǒng)的穩(wěn)定性主要取決于系統(tǒng)設(shè)計(jì)的結(jié)構(gòu)。
計(jì)算機(jī)硬件的結(jié)構(gòu)自從1981設(shè)計(jì)開(kāi)始就沒(méi)有作特別大的改動(dòng),而連續(xù)向后兼容性使那些編程風(fēng)格極差的應(yīng)用軟件勉強(qiáng)移植到Windows的最新版本,這種將就的軟件開(kāi)發(fā)模式極大地阻礙了系統(tǒng)穩(wěn)定性的發(fā)展。
最令人注目的Linu__開(kāi)放源代碼的開(kāi)發(fā)模式,它保證了任何系統(tǒng)的漏洞都能被及時(shí)發(fā)現(xiàn)和修正。
Linu__ 采取了許多安全技術(shù)措施,包括對(duì)讀、寫(xiě)進(jìn)行權(quán)限控制、帶保護(hù)的子系統(tǒng)、審計(jì)跟蹤、核心授權(quán)等,這為網(wǎng)絡(luò)多用戶環(huán)境中的用戶提供了必要的安全保障。
軟件防火墻一般要安裝在windows 平臺(tái)上,實(shí)現(xiàn)簡(jiǎn)單,但同時(shí)由于windows 本身的漏洞和不穩(wěn)定性帶來(lái)了軟件防火墻的安全性和穩(wěn)定性的問(wèn)題。
雖然 Microsoft 也在努力的彌補(bǔ)這些問(wèn)題,Windows 2003 server本身的漏洞就比前期的Windows NT少了很多,但與Linu__ 比起來(lái)還是漏洞倍出。
在病毒侵害方面,從linu__發(fā)展到如今,Linu__ 幾乎不感染病毒。
而作為Windows平臺(tái)下的病毒我們就不必多說(shuō)了,只要是使用過(guò)電腦的人都有感受。
如果遭遇廣泛傳播的ARP欺騙病毒,容易造成了內(nèi)網(wǎng)不穩(wěn)定、網(wǎng)絡(luò)時(shí)斷時(shí)序、經(jīng)常掉線,無(wú)法開(kāi)展正常的工作,使得很多的網(wǎng)絡(luò)管理人員束手無(wú)策。
軟硬件防火墻的吞吐量和包轉(zhuǎn)發(fā)率比較
吞吐量和報(bào)文轉(zhuǎn)發(fā)率是關(guān)系防火墻應(yīng)用的主要指標(biāo)。
硬件防火墻的硬件設(shè)備是經(jīng)專(zhuān)業(yè)廠商定制的,在定制之初就充分考慮了吞吐量的問(wèn)題,在這一點(diǎn)上遠(yuǎn)遠(yuǎn)勝于軟件防火墻。
因?yàn)檐浖阑饓Φ挠布怯脩糇约哼x擇的很多情況下都沒(méi)有考慮吞吐量的問(wèn)題,況且windows系統(tǒng)本身就很耗費(fèi)硬件資源,其吞吐量和處理大數(shù)據(jù)流的能力遠(yuǎn)不及硬件防火墻,這一點(diǎn)是不言而喻的。
吞吐量太小的話,防火墻就是網(wǎng)絡(luò)的瓶頸,會(huì)帶來(lái)網(wǎng)絡(luò)速度慢、上網(wǎng)帶寬不夠等等問(wèn)題。
防火墻工作原理上的比較
軟件防火墻一般可以是包過(guò)濾機(jī)制。
包過(guò)濾過(guò)濾規(guī)則簡(jiǎn)單,只能檢查到第三層網(wǎng)絡(luò)層,只對(duì)源或目的IP做檢查,防火墻的能力遠(yuǎn)不及狀態(tài)檢測(cè)防火墻,連最基本的黑客攻擊手法IP偽裝都無(wú)法解決,并且要對(duì)所經(jīng)過(guò)的所有數(shù)據(jù)包做檢查,所以速度比較慢。
硬件防火墻主要采用第四代狀態(tài)檢測(cè)機(jī)制。
狀態(tài)檢測(cè)是在通信發(fā)起連接時(shí)就檢查規(guī)則是否允許建立連接,然后在緩存的狀態(tài)檢測(cè)表中添加一條記錄,以后就不必去檢查規(guī)則了只要查看狀態(tài)監(jiān)測(cè)表就OK了,速度上有了很大的提升。
因其工作的層次有了提高,其防黑功能比包過(guò)濾強(qiáng)了很多,狀態(tài)檢測(cè)防火墻跟蹤的不僅是包中包含的信息。
為了跟蹤包的狀態(tài),防火墻還記錄有用的信息以幫助識(shí)別包,例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請(qǐng)求等。
例如,如果傳入的包包含視頻數(shù)據(jù)流,而防火墻可能已經(jīng)記錄了有關(guān)信息,是關(guān)于位于特定IP 地址的應(yīng)用程序最近向發(fā)出包的源地址請(qǐng)求視頻信號(hào)的信息。
如果傳入的包是要傳給發(fā)出請(qǐng)求的相同系統(tǒng),防火墻進(jìn)行匹配,包就可以被允許通過(guò)。
硬件防火墻比軟件防火墻在實(shí)現(xiàn)的機(jī)制上有很大的不同,也帶來(lái)了軟硬件防火墻在防黑能力上很大差異。
在對(duì)內(nèi)網(wǎng)的控制方面比較
軟件防火墻由于本身的工作原理造成了它不具備內(nèi)網(wǎng)具體化的控制管理,比如,不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對(duì)具體的IP 和MAC 做上網(wǎng)控制等,其主要的功能在于對(duì)外。
硬件防火墻在基于狀態(tài)檢測(cè)的機(jī)制上,安全廠商又可以根據(jù)市場(chǎng)的不同需求開(kāi)發(fā)應(yīng)用層過(guò)濾規(guī)則,來(lái)滿足對(duì)內(nèi)網(wǎng)的控制,能夠在高層進(jìn)行過(guò)濾,做到了軟件防火墻不能做到的很多事。
尤其是ARP病毒,硬件防火墻針對(duì)其入侵的原理,都做了相應(yīng)的策略,徹底解除了ARP病毒的危害。
現(xiàn)在的網(wǎng)絡(luò)安全(防火墻 )已經(jīng)不僅僅局限于對(duì)外的防止黑客攻擊上,更多的企業(yè)內(nèi)部網(wǎng)絡(luò)經(jīng)常存在諸如上網(wǎng)速度慢、時(shí)斷時(shí)序、郵件收發(fā)不正常等問(wèn)題。
我們分析其主要的原因,在于內(nèi)網(wǎng)用戶的使用問(wèn)題,很多的用戶上班時(shí)間使用BT下載、瀏覽一些不正規(guī)的網(wǎng)站,這樣都會(huì)引起內(nèi)網(wǎng)的諸多問(wèn)題,比如病毒,很多病毒傳播都是使用者不良行為而造成的。
所以說(shuō)內(nèi)網(wǎng)用戶的控制和管理是非常必要的。
防火墻基礎(chǔ)知識(shí)
防火墻的分類(lèi)
防火墻有很多種分類(lèi)方法:根據(jù)采用的核心技術(shù),按照應(yīng)用對(duì)象的不同,或者按照實(shí)現(xiàn)方法的不同。
每種分類(lèi)方法都各有特點(diǎn),例如,基于具體實(shí)現(xiàn)方法分類(lèi),可以分為三種類(lèi)型:
一、軟件防火墻
防火墻運(yùn)行于特定的計(jì)算機(jī)上,一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻與其他的軟件產(chǎn)品一樣,需要先在計(jì)算機(jī)上安裝并做好配置后方可使用。使用這類(lèi)防火墻,需要網(wǎng)絡(luò)管理人員對(duì)使用的操作系統(tǒng)平臺(tái)比較熟悉。
二、硬件防火墻
由計(jì)算機(jī)硬件、通用操作系統(tǒng)和防火墻軟件組成。在定制的計(jì)算機(jī)硬件上,采用通用計(jì)算機(jī)系統(tǒng)、Flash盤(pán)、網(wǎng)卡組成的硬件平臺(tái)上運(yùn)行Linu__,FreeBSD和Solaris等經(jīng)過(guò)最小化安全處理后的操作系統(tǒng)及集成的防火墻軟件。其特點(diǎn)是開(kāi)發(fā)成本低、性能實(shí)用,而且穩(wěn)定性和擴(kuò)展性較好。但是由于此類(lèi)防火墻依賴操作系統(tǒng)內(nèi)核,因此受到操作系統(tǒng)本身安全性的影響,處理速度較慢。
三、專(zhuān)用防火墻
采用特別優(yōu)化設(shè)計(jì)的硬件體系結(jié)構(gòu),使用專(zhuān)用的操作系統(tǒng)。此類(lèi)防火墻在穩(wěn)定性和傳輸性方面有著得天獨(dú)厚的優(yōu)勢(shì),速度快、處理能力強(qiáng)、性能高。由于采用專(zhuān)用操作系統(tǒng),因而容易配置和管理,本身漏洞也比較少,但是擴(kuò)展能力有限,價(jià)格也較高。由于專(zhuān)用防火墻系列化程度好,用戶可以根據(jù)應(yīng)用環(huán)境選擇合適的產(chǎn)品
防火墻功能
防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量,從而僅讓安全的或者經(jīng)過(guò)審核的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò),同時(shí)抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò),迫使網(wǎng)絡(luò)管理員強(qiáng)化網(wǎng)絡(luò)安全政策。
防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn),外界的哪些人可以訪問(wèn)內(nèi)部服務(wù)及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻只允許授權(quán)的數(shù)據(jù)通過(guò),同時(shí)防火墻本身也必須能夠免于滲透。一般來(lái)說(shuō),防火墻具有以下幾種功能:
允許網(wǎng)絡(luò)管理員定義網(wǎng)絡(luò)邊界來(lái)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò),過(guò)濾掉不安全服務(wù)和非法用戶。防火墻在公司私有網(wǎng)絡(luò)和分網(wǎng)間建立網(wǎng)絡(luò)邊界,強(qiáng)制所有進(jìn)出流量都通過(guò)這些網(wǎng)絡(luò)邊界,從而在較少的地方來(lái)實(shí)現(xiàn)安全目的。網(wǎng)絡(luò)邊界的另一個(gè)名字叫做檢查點(diǎn)。
很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并及時(shí)報(bào)警。防火墻還能夠強(qiáng)制記錄日志,并且提供警報(bào)功能。通過(guò)在防火墻上實(shí)現(xiàn)日志服務(wù),安全管理員可以監(jiān)視所有來(lái)自外部網(wǎng)絡(luò)的流量。優(yōu)秀的防火墻應(yīng)該設(shè)置合理的安全策略。
可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的位置。利用NAT技術(shù)可以將有限的外網(wǎng)IP地址與內(nèi)部IP地址對(duì)應(yīng)起來(lái),有效緩解地址空間短缺的問(wèn)題。
是審計(jì)和記錄網(wǎng)絡(luò)使用費(fèi)用的合適地點(diǎn),也可以查出潛在的帶寬瓶頸位置。
限定用戶訪問(wèn)特殊站點(diǎn)。
防止入侵者接近自己的防御設(shè)施。
可以設(shè)置某獨(dú)立網(wǎng)段,并在此部署WWW服務(wù)器和廠丁尸服務(wù)器,作為向外部發(fā)布內(nèi)部信息的地點(diǎn),這就是經(jīng)常提到的停火區(qū)(DMZ)。
防火墻局限性
即使擁有最先進(jìn)的防火墻,如果沒(méi)有良好的管理,網(wǎng)絡(luò)也會(huì)面臨很大的威脅。由于互聯(lián)網(wǎng)的開(kāi)放性,即使具有許多防范功能的防火墻也可能無(wú)法抵擋網(wǎng)絡(luò)攻擊。簡(jiǎn)單而言,防火墻具有如下局限性:
沒(méi)有經(jīng)過(guò)防火墻的數(shù)據(jù),防火墻無(wú)法檢查。
防火墻不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題。防火墻可以設(shè)計(jì)為既防外也防內(nèi),但絕大多數(shù)公司會(huì)因?yàn)椴环奖愣灰蠓阑饓Ψ纼?nèi)。
防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備,就像門(mén)衛(wèi)一樣,只能按照對(duì)其配置的規(guī)則進(jìn)行有效的工作,而不能自作主張。
防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個(gè)安全設(shè)備,但防火墻本身必須存放在安全的地方。
防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議,就不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。
防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。黑客通過(guò)防火墻準(zhǔn)許的訪問(wèn)端口對(duì)該服務(wù)器的漏洞進(jìn)行攻擊,防火墻無(wú)法發(fā)現(xiàn)并阻止這種攻擊。
防火墻不能防止被病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能,即使集成了第三方的防病毒軟件,也沒(méi)有一種軟件可以查殺所有的病毒。
防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)表面看來(lái)無(wú)害的文件被拷貝到內(nèi)部網(wǎng)的主機(jī)上并執(zhí)行時(shí),可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。
防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的合法用戶主動(dòng)泄密,防火墻是無(wú)能為力的。
防火墻不能防止本身的安全漏洞的威脅。防火墻有時(shí)無(wú)法保護(hù)自己,目前還沒(méi)有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。
可以阻斷攻擊,但不能消滅攻擊源。
不能抵抗最新的未設(shè)置策略的攻擊漏洞。
在某些流量大、并發(fā)請(qǐng)求多的情況下,很容易導(dǎo)致?lián)砣?成為整個(gè)網(wǎng)絡(luò)的瓶頸。
大多數(shù)防火墻無(wú)法阻止針對(duì)服務(wù)器合法開(kāi)放端口的攻擊。
分布式防火墻體系結(jié)構(gòu)
分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各結(jié)點(diǎn)之間的安全防護(hù)。分布式防火墻是一個(gè)完整的系統(tǒng),而不是單一的產(chǎn)品。根據(jù)其需要完成的功能,分布式防火墻體系結(jié)構(gòu)包含如下部分:
網(wǎng)絡(luò)防火墻(Network Firewall)這一部分有的公司采用的是純軟件方式,而有的還可以提供相應(yīng)的硬件支持。網(wǎng)絡(luò)防火墻用于內(nèi)部網(wǎng)與外部網(wǎng)之間,以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。與傳統(tǒng)邊界防火墻相比,網(wǎng)絡(luò)防火墻增加了一種針對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層,這樣整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面,更加可靠。
主機(jī)防火墻(Host Firewall)同樣也有純軟件和硬件兩種,用于保護(hù)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)。這也是傳統(tǒng)邊界防火墻所不具有的,算是對(duì)傳統(tǒng)邊界防火墻在安全體系方面的一個(gè)完善。該類(lèi)防火墻作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間,確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。這樣一來(lái),防火墻的作用不僅用于內(nèi)部網(wǎng)與外部網(wǎng)之間的防護(hù),還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間的防護(hù)。
中心管理(Central Management)這是防火墻服務(wù)器管理軟件,負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總。這是新的防火墻管理功能,也是以前傳統(tǒng)邊界防火墻所不具有的。這樣防火墻就可進(jìn)行智能管理,提高了防火墻安全防護(hù)的靈活性,具備了可管理性。
分布式防火墻特點(diǎn)
分布式防火墻的技術(shù)具有以下幾個(gè)主要特點(diǎn):
采用主機(jī)駐留方式,駐留在被保護(hù)的主機(jī)上,該主機(jī)以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認(rèn)為是不可信任的,因此可以針對(duì)該主機(jī)上運(yùn)行的具體應(yīng)用和對(duì)外提供的服務(wù)設(shè)定針對(duì)性很強(qiáng)的安全策略。
采用嵌入操作系統(tǒng)內(nèi)核,這主要是針對(duì)目前的純軟件式分布式防火墻來(lái)說(shuō)的。分布式主機(jī)防火墻也運(yùn)行在主機(jī)上,所以其運(yùn)行機(jī)制是主機(jī)防火墻的關(guān)鍵技術(shù)之一。為了自身的安全和徹底堵住操作系統(tǒng)的漏洞,主機(jī)防火墻的安全監(jiān)測(cè)核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行,直接接管網(wǎng)卡,在檢查所有數(shù)據(jù)包之后再提交操作系統(tǒng)。為實(shí)現(xiàn)這樣的運(yùn)行機(jī)制,除防火墻廠商自身的開(kāi)發(fā)技術(shù)外,與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件,因?yàn)樾枰恍┎僮飨到y(tǒng)不公開(kāi)內(nèi)部技術(shù)接口。不能實(shí)現(xiàn)這種分布式運(yùn)行模式的主機(jī)防火墻由于受到操作系統(tǒng)安全性的制約,存在著明顯的安全隱患。
類(lèi)似于個(gè)人防火墻,但分布式防火墻與個(gè)人防火墻之間有著本質(zhì)的差別。首先個(gè)人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置,全面功能和管理都在本機(jī)上實(shí)現(xiàn),其目標(biāo)是防止主機(jī)以外的任何外部用戶攻擊;而分布式防火墻的安全策略由整個(gè)系統(tǒng)管理員統(tǒng)一安排和設(shè)置,除了對(duì)主機(jī)起到保護(hù)作用外,還對(duì)該主機(jī)的對(duì)外訪問(wèn)加以控制,并且這種安全機(jī)制是主機(jī)使用者不可見(jiàn)和不可改動(dòng)的。其次,個(gè)人防火墻直接面向個(gè)人用戶,而分布式防火墻體系中的主機(jī)防火墻是面向企業(yè)級(jí)用戶的,與分布式防火墻其他產(chǎn)品共同構(gòu)成一個(gè)企業(yè)級(jí)應(yīng)用方案,形成一個(gè)安全策略中心進(jìn)行統(tǒng)一管理,所以在一定程度上也面對(duì)整個(gè)網(wǎng)絡(luò)。
防火墻基礎(chǔ)知識(shí)講解
什么是防火墻?
防火墻也被稱(chēng)為防護(hù)墻,它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng),可以將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離。通常,防火墻可以保護(hù)內(nèi)部/私有局域網(wǎng)免受外部攻擊,并防止重要數(shù)據(jù)泄露。在沒(méi)有防火墻的情況下,路由器會(huì)在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間盲目傳遞流量且沒(méi)有過(guò)濾機(jī)制,而防火墻不僅能夠監(jiān)控流量,還能夠阻止未經(jīng)授權(quán)的流量。
在網(wǎng)絡(luò)中,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō),如果不通過(guò)防火墻,公司內(nèi)部的人就無(wú)法訪問(wèn)Internet,Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。
除了將內(nèi)部局域網(wǎng)與外部Internet隔離之外,防火墻還可以將局域網(wǎng)中的普通數(shù)據(jù)和重要數(shù)據(jù)進(jìn)行分離,所以也可以避免內(nèi)部入侵。
防火墻的工作原理
防火墻有硬件防火墻和軟件防火墻這兩種類(lèi)型,硬件防火墻允許您通過(guò)端口的傳輸控制協(xié)議(TCP)或用戶數(shù)據(jù)報(bào)協(xié)議(UDP)來(lái)定義阻塞規(guī)則,例如禁止不必要的端口和IP地址的訪問(wèn)。軟件防火墻就像互連內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的代理服務(wù)器,它可以讓內(nèi)部網(wǎng)絡(luò)不直接與外部網(wǎng)絡(luò)進(jìn)行通信,但是很多企業(yè)和數(shù)據(jù)中心會(huì)將這兩種類(lèi)型的防火墻進(jìn)行組合,主要是因?yàn)檫@樣做可以更加有效地提升網(wǎng)絡(luò)的安全性。
硬件防火墻如何選擇
一、網(wǎng)絡(luò)吞吐量
因?yàn)榉阑饓κ峭ㄟ^(guò)對(duì)進(jìn)入與出去的數(shù)據(jù)進(jìn)行過(guò)濾來(lái)識(shí)別是否符合安全策略的,所以在流量比較高時(shí),要求防火墻能以最快的速度及時(shí)對(duì)所有數(shù)據(jù)包進(jìn)行檢測(cè)。否則就可能造成比較長(zhǎng)的延時(shí),甚至發(fā)生死機(jī)。所以網(wǎng)絡(luò)吞吐量指標(biāo)非常重要,它體現(xiàn)了防火墻的可用性能,也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的延時(shí)代價(jià)。如果防火墻對(duì)網(wǎng)絡(luò)造成較大的延時(shí),給用戶造成較大的損失。
選購(gòu)防火墻的時(shí)候第一個(gè)要看的指標(biāo)就是防火墻的吞吐量。當(dāng)然,這個(gè)吞吐量也不是越大越好。因?yàn)橥掏铝吭酱蟮脑?,防火墻的價(jià)格也就越高。要根據(jù)企業(yè)的實(shí)際情況,如現(xiàn)在接入互聯(lián)網(wǎng)的帶寬等因素,來(lái)選擇的合適的帶寬。
二、協(xié)議的優(yōu)先級(jí)。
現(xiàn)在視頻應(yīng)用在企業(yè)中使用是越來(lái)越廣泛。如視頻會(huì)議系統(tǒng)、語(yǔ)音電話等等在企業(yè)中都很普及。而這些應(yīng)用都會(huì)占用企業(yè)比較大的帶寬。如果企業(yè)帶寬跟不上的話,這些應(yīng)用的質(zhì)量將會(huì)受到很大的影響,如通話的質(zhì)量可能會(huì)時(shí)斷時(shí)續(xù)。就好像手機(jī)信號(hào)差一樣。雖然可以通過(guò)提高互聯(lián)網(wǎng)的接入速度來(lái)改善這種情況,但是這不是首選方案。因?yàn)樵黾訋捫枰髽I(yè)花費(fèi)比較大的投資。故最理想的解決方案是對(duì)企業(yè)的通信流量進(jìn)行管理。通過(guò)防火墻把一些關(guān)鍵應(yīng)用的流量設(shè)置為比較高的優(yōu)先級(jí)。在網(wǎng)絡(luò)傳輸中,要首先保障這些通信流量能夠優(yōu)先通過(guò)。這就可以明顯改善語(yǔ)音通話等視頻應(yīng)用的效果。
三、具有一定的擴(kuò)展性。
企業(yè)的網(wǎng)絡(luò)不可能永遠(yuǎn)的一成不變。隨著企業(yè)規(guī)模的擴(kuò)大,公司內(nèi)部的網(wǎng)絡(luò)會(huì)不斷的升級(jí),以符合企業(yè)日益發(fā)展的需要。那么如何考慮呢?
一是為了后續(xù)擴(kuò)展的需要,最好能夠購(gòu)買(mǎi)那些模塊化設(shè)計(jì)的防火墻。如此的話,后續(xù)增添其他功能的話,只需要購(gòu)買(mǎi)模塊即可。而不需要更換整個(gè)硬件防火墻。也就是說(shuō)選擇的硬件防火墻系統(tǒng)最好是一個(gè)可隨意伸縮的模塊化解決方案,包括從最基本的包過(guò)濾器到帶加密功能型包過(guò)濾器,最終到一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)的等等。只有如此,才能輕松面對(duì)企業(yè)信息化應(yīng)用的升級(jí)。
二是考慮網(wǎng)絡(luò)接口的問(wèn)題。通常情況下防火墻最基本的配置有兩個(gè)網(wǎng)絡(luò)接口:內(nèi)部的和外部的網(wǎng)絡(luò)接口。這些接口對(duì)應(yīng)著訪問(wèn)網(wǎng)絡(luò)的信任程度。其中外部網(wǎng)絡(luò)接口連接的是不可信賴的網(wǎng)絡(luò),而內(nèi)部網(wǎng)絡(luò)接口連接的是得到信任的網(wǎng)絡(luò)。在內(nèi)部網(wǎng)部署時(shí),連接到外部的接口可能需要和公司的主要部分連接,這時(shí)可能比外部網(wǎng)絡(luò)的信任度高,但又稍微低于內(nèi)部網(wǎng)絡(luò)的信任度。但是隨著公司因特網(wǎng)商業(yè)需求的復(fù)雜化,只有兩個(gè)接口的防火墻明顯具有局限性,可能無(wú)法滿足企業(yè)業(yè)務(wù)方面的需求。如企業(yè)可能出于安全的需要,以后很有可能要用到第三個(gè)接口DMZ接口。為此為了以后信息化應(yīng)用升級(jí)的考慮,在防火墻選購(gòu)時(shí),還需要關(guān)注是否有足夠豐富的接口;或者考慮以后是否可以通過(guò)模塊的形式來(lái)增加可用的接口。