防火墻原理入門(mén)

防火墻原理入門(mén)

防火墻能增強機構內部網(wǎng)絡(luò )的安全性。防火墻系統決定了哪些內部服務(wù)可以被外界訪(fǎng)問(wèn)；外界的哪些人可以訪(fǎng)問(wèn)內部的服務(wù)以及哪些外部服務(wù)可以被內部人員訪(fǎng)問(wèn)。防火墻必須只允許授權的數據通過(guò)，而且防火墻本身也必須能夠免于滲透。

　　防火墻的五大功能

　　一般來(lái)說(shuō)，防火墻具有以下幾種功能：

　　1．允許網(wǎng)絡(luò )管理員定義一個(gè)中心點(diǎn)來(lái)防止非法用戶(hù)進(jìn)入內部網(wǎng)絡(luò )。

　　2．可以很方便地監視網(wǎng)絡(luò )的安全性，并報警。

　　3．可以作為部署NAT（Network Address Translation，網(wǎng)絡(luò )地址變換）的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內部的IP地址對應起來(lái)，用來(lái)緩解地址空間短缺的問(wèn)題。

　　4．是審計和記錄Internet使用費用的一個(gè)最佳地點(diǎn)。網(wǎng)絡(luò )管理員可以在此向管理部門(mén)提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，并能夠依據本機構的核算模式提供部門(mén)級的計費。

　　兩種防火墻技術(shù)的對比

　　包過(guò)濾防火墻

　　優(yōu)點(diǎn)

　　價(jià)格較低

　　性能開(kāi)銷(xiāo)小，處理速度較快

缺點(diǎn)

　　定義復雜，容易出現因配置不當帶來(lái)問(wèn)題

　　允許數據包直接通過(guò)，容易造成數據驅動(dòng)式攻擊的潛在危險

　　代理防火墻

　　內置了專(zhuān)門(mén)為了提高安全性而編制的Proxy應用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對來(lái)往的數據包進(jìn)行安全化處理

　　速度較慢，不太適用于高速網(wǎng)（ATM或千兆位以太網(wǎng)等）之間的應用

　　5．可以連接到一個(gè)單獨的網(wǎng)段上，從物理上和內部網(wǎng)段隔開(kāi)，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部發(fā)布內部信息的地點(diǎn)。從技術(shù)角度來(lái)講，就是所謂的?；饏^（DMZ）。

　　防火墻的兩大分類(lèi)

　　盡管防火墻的發(fā)展經(jīng)過(guò)了上述的幾代，但是按照防火墻對內外來(lái)往數據的處理方法，大致可以將防火墻分為兩大體系：包過(guò)濾防火墻和代理防火墻（應用層網(wǎng)關(guān)防火墻）。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

　　1．包過(guò)濾防?

　　第一代：靜態(tài)包過(guò)濾

　　這種類(lèi)型的防火墻根據定義好的過(guò)濾規則審查每個(gè)數據包，以便確定其是否與某一條包過(guò)濾規則匹配。過(guò)濾規則基于數據包的報頭信息進(jìn)行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類(lèi)型等。包過(guò)濾類(lèi)型的防火墻要遵循的一條基本原則是“最小特權原則”，即明確允許那些管理員希望通過(guò)的數據包，禁止其他的數據包。

　　圖1 簡(jiǎn)單包過(guò)濾防火墻

第二代：動(dòng)態(tài)包過(guò)濾

　　這種類(lèi)型的防火墻采用動(dòng)態(tài)設置包過(guò)濾規則的方法，避免了靜態(tài)包過(guò)濾所具有的問(wèn)題。這種技術(shù)后來(lái)發(fā)展成為所謂包狀態(tài)監測（Stateful Inspection）技術(shù)。采用這種技術(shù)的防火墻對通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據需要可動(dòng)態(tài)地在過(guò)濾規則中增加或更綠蹌俊?

　　圖2 動(dòng)態(tài)包過(guò)濾防火墻

　　2． 代理防火墻

　　第一代：代理防火墻

　　代理防火墻也叫應用層網(wǎng)關(guān)（Application Gateway）防火墻。這種防火墻通過(guò)一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內部發(fā)出的數據包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內部網(wǎng)結構的作用。這種類(lèi)型的防火墻被網(wǎng)絡(luò )安全專(zhuān)家和媒體公認為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。

　　所謂代理服務(wù)器，是指代表客戶(hù)處理在服務(wù)器連接請求的程序。當代理服務(wù)器得到一個(gè)客戶(hù)的連接意圖時(shí)，它們將核實(shí)客戶(hù)請求，并經(jīng)過(guò)特定的安全化的Proxy應用程序處理連接請求，將處理后的請求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應答，并做進(jìn)一步處理后，將答復交給發(fā)出請求的最終客戶(hù)。代理服務(wù)器在外部網(wǎng)絡(luò )向內部網(wǎng)絡(luò )申請服務(wù)時(shí)發(fā)揮了中間轉接的作用。

第二代：動(dòng)態(tài)包過(guò)濾

　　這種類(lèi)型的防火墻采用動(dòng)態(tài)設置包過(guò)濾規則的方法，避免了靜態(tài)包過(guò)濾所具有的問(wèn)題。這種技術(shù)后來(lái)發(fā)展成為所謂包狀態(tài)監測（Stateful Inspection）技術(shù)。采用這種技術(shù)的防火墻對通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據需要可動(dòng)態(tài)地在過(guò)濾規則中增加或更綠蹌俊?

　　圖2 動(dòng)態(tài)包過(guò)濾防火墻

　　2． 代理防火墻

　　第一代：代理防火墻

　　代理防火墻也叫應用層網(wǎng)關(guān)（Application Gateway）防火墻。這種防火墻通過(guò)一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內部發(fā)出的數據包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內部網(wǎng)結構的作用。這種類(lèi)型的防火墻被網(wǎng)絡(luò )安全專(zhuān)家和媒體公認為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。

　　所謂代理服務(wù)器，是指代表客戶(hù)處理在服務(wù)器連接請求的程序。當代理服務(wù)器得到一個(gè)客戶(hù)的連接意圖時(shí)，它們將核實(shí)客戶(hù)請求，并經(jīng)過(guò)特定的安全化的Proxy應用程序處理連接請求，將處理后的請求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應答，并做進(jìn)一步處理后，將答復交給發(fā)出請求的最終客戶(hù)。代理服務(wù)器在外部網(wǎng)絡(luò )向內部網(wǎng)絡(luò )申請服務(wù)時(shí)發(fā)揮了中間轉接的作用。

第二代：動(dòng)態(tài)包過(guò)濾

　　這種類(lèi)型的防火墻采用動(dòng)態(tài)設置包過(guò)濾規則的方法，避免了靜態(tài)包過(guò)濾所具有的問(wèn)題。這種技術(shù)后來(lái)發(fā)展成為所謂包狀態(tài)監測（Stateful Inspection）技術(shù)。采用這種技術(shù)的防火墻對通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據需要可動(dòng)態(tài)地在過(guò)濾規則中增加或更綠蹌俊?

　　圖2 動(dòng)態(tài)包過(guò)濾防火墻