1、防火墙的概念所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使 Internet 与 Intranet 之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成。 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵 )。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙,英语为 fi
2、rewall, 英汉证券投资词典 的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。 当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙 ”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通
3、道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放置在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装置,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。 1.2 防火墙的功能(1)访问控制: 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现
4、行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的 internet 服务,包括安全的 web 浏览器、电子邮件、ftp、telnet 及rpc 和 udp 等,还支持如 oracle、sybase、sql 服务器数据库访问和 real audio,vodlive、netmeeting 和 internet phone 等这样的多媒体应用及 internet广播服务。 提供基于状态检测技术的 ip 地址、端口、用户和时间的管理控制; 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask( 如202.100.100.0/24),ip 区间(如 202.10
5、0.100.1-202.100.100.254),ip/mask 与通配符,ip 区间与通配符等,使配置防火墙的安全策略极为方便。 高效的 url 和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议 http 和 ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http 和 ftp 的协议端口用户可根据实际情况在策略中定义,协议命令为 http 和 ftp 的主要常用命令。通过应用层策略实现了 url 和文件级的访问控制。 双向 nat,提供 ip 地址转换和 ip 及 tcp/udp 端口映射,实现 ip 复用
6、和隐藏网络结构:nat 在 ip 层上通过地址转换提供 ip 复用功能,解决 ip 地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了 nat功能,并可根据用户需要灵活配置。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个 ip 层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet 用户访问对内部网络中具有保留 ip 主机的访问,可以利用反向 nat 实现,即为内部网络主机在防火墙上映射一注册 ip 地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类
7、型可以为 ip 级和端口级。端口映射可以通过一个注册 ip 地址的不同 tcp/udp 端口映射到多个保留的ip 主机。 用户策略:可以根据企业安全策略,将一次性口令认证与防火墙其它安全机制结合使用,实现对用户访问权限的控制。用户控制策略可以实现用户之间、用户与 ip 网段或主机间的访问行为,如协议类型、访问时间等,策略控制对象十分灵活。一次性口令认证方式用于控制内部网与外部网之间的高安全级访问行为。 接口策略:防止外部机器盗用内部机器的 ip 地址,这通过防火墙的接口策略实现。网络卫士防火墙将接口策略加在相应的接口上,以防止其它接口区域的ip 被此接口区域内的主机冒用。如在正常情况下,内部
8、ip 不可能在防火墙的外部接口作为通信源地址出现,因此可以在外部接口上禁止所有的内部 ip 作为源地址的通信行为。 ip 与 mac 地址绑定:防止防火墙广播域内主机的 ip 地址不被另一台机器盗用。也就是说,如果要保护的主机与防火墙直接相连,可以将此机器的 ip 与其物理网卡地址捆绑,这样其他内部机器就不可能使用这个 ip 通过防火墙。 ip 与用户绑定:绑定一次性口令用户到定义 ip 列表上,防止绑定用户的从非许可区域通过防火墙。 支持流量管理:流量管理与控制. 可扩展支持计费功能:计费功能可以定义内部网络 ip,记录内部网络与外部网络的方向性通信流量,并可依据 ip 及用户统计查询计费信
9、息。计费模块还可以提供用户化计 费信息接口,将计费信息导出到用户自的计费处理软件中。 基于优先级的带宽管理:用户带宽最大用量限制,用户带宽用量保障,多级用户优先级设置流量控制功能为用户提供全部监测和管理网络的信息。(2)防御功能 防 tcp、udp 等端口扫描:网络卫士防火墙可以检测到对网络或内部主机的所有 tcp/udp 扫描。 抗 dos/ddos 攻击:拒绝服务攻击 (dos)就是攻击者过多的占用共享资源,导致服务器超载或系统崩溃,而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制,阻止 dos 黑客攻击。 可防御源路由攻击、ip 碎片包攻击、dns/rip/icmp
10、 攻击、syn 等多种攻击:网络卫士防火墙系统可以检测对网络或内部主机的多种拒绝服务攻击。阻止 activex、java、javascript 等侵入:属于 http 内容过滤,防火墙能够从http 页面剥离 activex、javaapplet 等小程序及从 script、php 和 asp 等代码检测出危险的代码,同时,能够过滤用户上载的 cgi、asp 等程序。 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。 可扩展支持第三方 ids 入侵检测系统,实现协同工作:网络卫士防火墙支持topsec 协议,可与第三方 ids 产
11、品实现无缝集成,协同工作。(3)用户认证因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性
12、,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同, 用户可以定期改变种子来达到更高的安全目标. 可扩展支持第三方认证和支持智能 ic 卡、ikey 等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持 radius
13、 等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能 ic 卡、ikey 等硬件方式认证。(4)安全管理 提供基于 otp 机制的管理员认证。 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。 远程管理提供加密机制;在进行远程管理时,管理机和防火墙之间的通讯可进行加密以保证安全,真正实现远程管理。 远程管理安全措施:管理源主机限定;并发管理连接数限定 ;管理接口 icmp 开关控制;管理接口开关;远程登录尝试锁定; 提供安全策略检测机制:网络卫士防火墙提供规则测试功能,实现策略的控制逻辑检查,及时发现控制逻辑的错误,为用户检查规则配置的正确性,完善控制
14、策略提供方便、快捷、有效的工具。 提供丰富完整的审计机制;网络卫士防火墙产品的日志审计功能十分完善,有对系统管理体系的分类日志(管理日志、通信事件日志),也有按日期对应的运行日志。日志内容包括事件时间及事件摘要等。 提供日志下载、备份和查询功能;防火墙的日志管理方式包括日志下载、备份和日志查询,这为用户进行日志的审计和分析提供了方便。防火墙还提供日志导出工具,将各种日志信息导出到管理服务器,方便进一步处理。 可扩展支持计费功能。计费模块提供较强的计费功能。防火墙上设置计费功能可以避免防火墙所保护的内部网计费时,可能因防火墙策略未许可而导致某些用户计费信息与实际使用的不一致,也弥补了防火墙作地址
15、转换时,外部网难以计费的缺陷。计费功能可以定义内部网络 ip,记录内部网络与外部网络的方向性通信流量,并可依据 ip 及用户统计查询计费信息。计费模块还可以提供用户化计费信息接口,将计费信息导出到用户自己的计费处理软件中。(5)双机热备份提供防火墙的双机热备份功能,提高应用系统可靠性和性能。热备份通过多种方式触发工作模式切换,模式切换时间短。(6)操作管理 提供灵活的本地、远程管理方式; 支持 gui 和命令行多种操作方式; 可提供基于命令行和 gui 的本地和远程配置管理。1.3 防火墙的分类(1)从软、硬件形式上分类 如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙
16、以及芯片级防火墙。 软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于 Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。 硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于 PC 架构,就是说,它们和普
17、通的家庭用的 PC 没有太大区别。在这些 PC 架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的 Unix、Linux 和FreeBSD 系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到 OS(操作系统)本身的安全性影响。 芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。专有的 ASIC 芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有 NetScreen、FortiNet、Cisco 等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。 (2)从防火墙技术上分
18、类 防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的 Checkpoint 防火墙和美国 Cisco 公司的 PIX 防火墙为代表,后者以美国 NAI 公司的 Gauntlet 防火墙为代表。 包过滤(Packet filtering)型 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。 在整个防火墙技术的发展过程中,包过滤
19、技术出现了两种不同版本,称为“第一代静态包过滤”和“ 第二代动态包过滤”。 包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如 UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对
20、协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 应用代理(Application Proxy)型 应用代理型防火墙是工作在 OSI 的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。 在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。 代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。 另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网2| 评论
