前言:本站為你精心整理了防火墻技術(shù)管理范文,希望能為你的創(chuàng)作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
摘要:隨著網(wǎng)絡(luò)安全問題日益嚴(yán)重,網(wǎng)絡(luò)安全產(chǎn)品也被人們重視起來。防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)安全產(chǎn)品和使用量最大的安全產(chǎn)品,也受到用戶和研發(fā)機(jī)構(gòu)的青睞。對防火墻的原理以及分類、作用進(jìn)行了詳細(xì)的介紹,旨在為選擇防火墻的用戶提供借鑒。
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻
1從軟、硬件形式上分
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
(1)軟件防火墻。
軟件防火墻運行于特定的計算機(jī)上,它需要客戶預(yù)先安裝好的計算機(jī)操作系統(tǒng)的支持,一般來說這臺計算機(jī)就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu),就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機(jī)上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會受到OS(操作系統(tǒng))本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺,沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
2從防火墻技術(shù)分
防火墻技術(shù)雖然出現(xiàn)了許多,但總體來講可分為“包過濾型”和“應(yīng)用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packetfiltering)型。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價,是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。
在整個防火墻技術(shù)的發(fā)展過程中,包過濾技術(shù)出現(xiàn)了兩種不同版本,稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。
包過濾方式的優(yōu)點是不用改動客戶機(jī)和主機(jī)上的應(yīng)用程序,因為它工作在網(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。但其弱點也是明顯的:過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過濾如UDP、RPC(遠(yuǎn)程過程調(diào)用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計和報警機(jī)制,它只能依據(jù)包頭信息,而不能對用戶身份進(jìn)行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高,建立安全規(guī)則時,必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
(2)應(yīng)用(ApplicationProxy)型。
應(yīng)用型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的程序,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。
在型防火墻技術(shù)的發(fā)展過程中,它也經(jīng)歷了兩個不同的版本:第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。
類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層,所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過濾那樣,只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。
另外型防火墻采取是一種機(jī)制,它可以為每一種應(yīng)用服務(wù)建立一個專門的,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過服務(wù)器審核,通過后再由服務(wù)器代為連接,根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機(jī)任何直接會話的機(jī)會,從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。
防火墻的最大缺點是速度相對比較慢,當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時,防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的服務(wù),在自己的程序為內(nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間,所以給系統(tǒng)性能帶來了一些負(fù)面影響,但通常不會很明顯。
3從防火墻結(jié)構(gòu)分
從防火墻結(jié)構(gòu)上分,防火墻主要有:單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機(jī)防火墻是最為傳統(tǒng)的防火墻,獨立于其它網(wǎng)絡(luò)設(shè)備,它位于網(wǎng)絡(luò)邊界。
這種防火墻其實與一臺計算機(jī)結(jié)構(gòu)差不多(如下圖),同樣包括CPU、內(nèi)存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個以上的以太網(wǎng)卡,因為它需要連接一個以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲防火墻所用的基本程序,如包過濾程序和服務(wù)器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機(jī)一樣,因為它的工作性質(zhì),決定了它要具備非常高的穩(wěn)定性、實用性,具備非常高的系統(tǒng)吞吐性能。正因如此,看似與PC機(jī)差不多的配置,價格甚遠(yuǎn)。
隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高,原來作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統(tǒng),這種防火墻,俗稱“分布式防火墻”。
原來單一主機(jī)的防火墻由于價格非常昂貴,僅有少數(shù)大型企業(yè)才能承受得起,為了降低企業(yè)網(wǎng)絡(luò)投資,現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時購買路由器和防火墻,大大降低了網(wǎng)絡(luò)設(shè)備購買成本。
分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界,而是滲透于網(wǎng)絡(luò)的每一臺主機(jī),對整個內(nèi)部網(wǎng)絡(luò)的主機(jī)實施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中,通常會安裝一個用于防火墻系統(tǒng)管理軟件,在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡,這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的,都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣,僅對外部網(wǎng)絡(luò)發(fā)出的通信請求“不信任”。
4按防火墻的應(yīng)用部署位置分
按防火墻的應(yīng)用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統(tǒng)的,它們于內(nèi)、外部網(wǎng)絡(luò)的邊界,所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實施隔離,保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。
個人防火墻安裝于單臺主機(jī)中,防護(hù)的也只是單臺主機(jī)。這類防火墻應(yīng)用于廣大的個人用戶,通常為軟件防火墻,價格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個軟、硬件組件組成,分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間,既對內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾,又對網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一,性能最好,價格也最貴。
5按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網(wǎng)絡(luò)邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當(dāng)然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應(yīng)用所產(chǎn)生的延時也越小,對整個網(wǎng)絡(luò)通信性能的影響也就越小。
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。
參考文獻(xiàn)
[1]孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實訓(xùn)篇[M].北京:人民郵電出版社,2003,(10).
[2][美]TerryWilliamOgletree.防火墻原理與實施[M].北京:電子工業(yè)出版社,2001,(2).
[3]鄧亞平.計算機(jī)網(wǎng)絡(luò)安全[M].北京:人民郵電出版社,2004,(9).