淺談防火墻技術

淺談防火墻技術

　　最新的防火墻技術是基于狀態(tài)檢查的，提供“動態(tài)包過濾”的功能?；跔顟B(tài)檢查的動態(tài)包過濾是一種新型的防火墻技術，就象代理防火墻和包過濾路由器的交叉產(chǎn)物。下面就由學習啦小編跟大家談談防火墻技術的知識吧。

　　淺談防火墻技術一：

　　一、防火墻概述

　　防火墻是指一種將內部網(wǎng)絡和外部網(wǎng)絡分開的方法，實際上是一種隔離控制技術。在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙，阻止對信息資源的非法訪問，也可以阻止保密信息從受保護網(wǎng)絡上被非法輸出。通過限制與網(wǎng)絡或某一特定區(qū)域的通信，以達到防止非法用戶侵犯受保護網(wǎng)絡的目的。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它對兩個網(wǎng)絡之問傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進行檢查，來決定網(wǎng)絡之問的通信是否被允許：其中被保護的網(wǎng)絡稱為內部網(wǎng)絡，未保護的網(wǎng)絡稱為外部網(wǎng)絡或公用網(wǎng)絡。應用防火墻時，首先要明確防火墻的缺省策略，是接受還是拒絕。如果缺省策略是接受，那么沒有顯式拒絕的數(shù)據(jù)包可以通過防火墻;如果缺省策略是拒絕，那么沒有顯式接受的數(shù)據(jù)包不能通過防火墻。顯然后者的安全性更高。

　　防火墻不是一個單獨的計算機程序或設備。在理論上，防火墻是由軟件和硬件兩部分組成，用來阻止所有網(wǎng)絡問不受歡迎的信息交換，而允許那些可接受的通信。從邏輯上講，防火墻是分離器、限制器、分析器;從物理上講，防火墻由一組硬件設備(路由器、主計算機或者路由器、主計算機和配有適當軟件的網(wǎng)絡的多種組合)和適當?shù)能浖M成。

　　二、防火墻的基本類型

　　防火墻的基本類型包括包過濾、網(wǎng)絡地址轉化—NAT、應用代理和狀態(tài)檢測。

　　1.包過濾

　　包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判規(guī)則。

　　包過濾技術的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

　　但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術，只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

　　2.網(wǎng)絡地址轉化—NAT

　　網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。

　　在內部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內部網(wǎng)絡時，它并不知道內部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。

　　3.應用代理

　　應用代理完全接管了用戶與服務器的訪問，把用戶主機與服務器之間的數(shù)據(jù)包的交換通道給隔離起來。應用代理不允許外部主機連接到內部的網(wǎng)絡，只允許內部主機使用代理服務器訪問Internet主機，同時只有被認為””可信任的””代理服務器才可以允許通過應用代理。在實際的應用中，應用代理的功能是由代理服務器來完成的。代理型防火墻的優(yōu)點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置，大大增加了系統(tǒng)管理的復雜性。

　　4.狀態(tài)檢測

　　防火墻技術是網(wǎng)絡安全領域應用較普遍的一種技術，傳統(tǒng)上防火墻基本分為兩大類，即包過濾防火墻和應用網(wǎng)關防火墻，這兩種防火墻由于其受限的地方，逐漸不能適應當前的需求，因此新一代的防火墻Stateful-inspection防火墻應運而生，這種防火墻既繼承了傳統(tǒng)防火墻的優(yōu)點，又克服了傳統(tǒng)防火墻的缺點，是一種革新式的防火墻。

　　Stateful-inspection防火墻是新一代的防火墻技術，由Check Point公司引入。它監(jiān)視每一個有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當前數(shù)據(jù)包及其狀態(tài)信息和其前一時刻的數(shù)據(jù)包及其狀態(tài)信息進行比較，從而得到該數(shù)據(jù)包的控制信息，來達到保護網(wǎng)絡安全的目的。和應用網(wǎng)關不同，Stateful-inspection防火墻使用用戶定義的過濾規(guī)則，不依賴預先的應用信息，執(zhí)行效率比應用網(wǎng)關高，而且它不識別特定的應用信息，因此不用對不同的應用信息制定不同的應用規(guī)則，伸縮性好

　　三、防火墻的發(fā)展趨勢

　　1.新需求引發(fā)的技術走向

　　防火墻技術的發(fā)展離不開社會需求的變化，著眼未來，防火墻技術有的新需求如下：遠程辦公的增長：企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制?，F(xiàn)在一些廠商推出的(虛擬專用網(wǎng))技術就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。

　　2.黑客攻擊引發(fā)的技術走向

　　防火墻作為內網(wǎng)的貼身保鏢。黑客攻擊的特點也決定了防火墻的技術走向。數(shù)據(jù)包的深度檢測：IT業(yè)界權威機構Gagner認為代理不是阻止未來黑客攻擊的關鍵，但是防火墻應能分辨并阻止數(shù)據(jù)包的惡意行為。包檢測的技術方案需要增加簽名檢測等新的功能，以查找已經(jīng)的攻擊，并分辨出哪些是正常的數(shù)據(jù)流，哪些是異常數(shù)據(jù)流。協(xié)同性：從黑客攻擊事件分析，對外提供Web等應用的服務器是防護的重點。單單依靠防火墻難以防范所有的攻擊行為，這就需要將防火墻技術、入侵檢測技術、病毒檢測技術有效協(xié)同，共同完成保護網(wǎng)絡安全的任務。目前主要支持和IDS的聯(lián)動和認證服務器進行聯(lián)動。

　　現(xiàn)有防火墻技術仍無法給我們一個相當安全的網(wǎng)絡。攻擊時的變數(shù)太大，所以對網(wǎng)絡安全的需求對防火墻提出了更高的要求，在防火墻目前還不算長的生命周期中，雖然問題不斷，但是防火墻也從具有普通的過濾功能，逐步豐富了自身的功能，擔當了更重的任務。未來，防火墻將成為網(wǎng)絡安全技術中不可缺少的一部分。

　　淺談防火墻技術二：

　　一、防火墻的概念

　　防火墻是網(wǎng)絡安全工具中最早成熟、最早產(chǎn)品化的。網(wǎng)絡防火墻一般定義為兩個網(wǎng)絡間執(zhí)行訪問控制策略的一個或一組系統(tǒng)。防火墻現(xiàn)在已成為許多組織將其內部網(wǎng)介入外部網(wǎng)所必需的安全措施了。特別意義上說，防火墻是部件和系統(tǒng)的匯集器，它置于兩個網(wǎng)絡之間，并具有如下特性：所有從內部通向外部的通信業(yè)務都必須經(jīng)過它;只有被預定本地安全策略授權的信息流才被允許通過;該系統(tǒng)自身具有很高的抗攻擊能力。簡言之，防火墻是由于保護可信網(wǎng)絡免受非可信網(wǎng)絡的威脅，同時仍允許雙方通信。

　　二、防火墻的功能

　　本質上來講，防火墻認為是兩個網(wǎng)絡間的隔斷，只允許所選定的一些形式的通信通過。防火墻另外一個重要特征是它自身抵抗攻擊的能力：防火墻自身應當不易被攻入，因為攻入防火墻就給攻擊者進入內部網(wǎng)一個立足點。從安全需求看，理想的防火墻應具備以下功能：能夠分析進出網(wǎng)絡的數(shù)據(jù);能夠通過識別、認證和授權對進出網(wǎng)絡的行為進行訪問控制;能夠封堵安全策略禁止的業(yè)務;能夠審計跟蹤通過的信息內容和活動;能夠對網(wǎng)絡入侵行為進行檢測和報警。

　　三、防火墻的類型

　　1.應用網(wǎng)關(也稱為基于代理的)防火墻

　　它通常被配置為“雙宿主網(wǎng)關”，具有兩個網(wǎng)絡接口卡，同時介入內部和外部網(wǎng)。由于網(wǎng)關可以與兩個網(wǎng)絡通信，它是安裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就成為“代理”，通常是為其所提供的服務定制的。代理服務不允許字節(jié)連接，而是與代理服務器通信。各個應用代理在用戶和服務之間處理所有的通信，能夠對通過它的數(shù)據(jù)進行詳細的審計追蹤。代理級防火墻具有以下主要優(yōu)點：代理服務可以識別并實施高層協(xié)議，如http和ftp等;代理服務包含通過防火墻服務器的通信信息;通過提供透明服務，可以讓使用代理的用戶感覺在直接與外部通信。

　　2.基于狀態(tài)檢查的動態(tài)包過濾防火墻

　　目前，最新的防火墻技術是基于狀態(tài)檢查的，提供“動態(tài)包過濾”的功能?；跔顟B(tài)檢查的動態(tài)包過濾是一種新型的防火墻技術，就象代理防火墻和包過濾路由器的交叉產(chǎn)物。對終端用戶來講，它看起來只工作在網(wǎng)絡層，但事實上該防火墻同代理防火墻一樣可在應用層檢查流經(jīng)的通信。它能夠監(jiān)視活動連接的狀態(tài)并根據(jù)這些信息決定哪些包允許通過防火墻，對通過安全邊界的數(shù)據(jù)使用虛連接。如果一個相應包產(chǎn)生并返回給原請求者，則虛連接建立并允許該包通過防火墻，該連接終止即斷開此虛連接，相當于動態(tài)地更改安全規(guī)則庫。

　　四、防火墻的體系結構

　　1.屏蔽路由器(ScreeningRouter)

　　屏蔽路由器可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來實現(xiàn)。屏蔽路由器作為內外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。單純由屏蔽路由器構成的防火墻的危險包括路由器本身及路由器允許訪問的主機。屏蔽路由器的缺點是一旦被攻擊后很難發(fā)現(xiàn)，而且不能識別不同的用戶。

　　2.雙穴主機網(wǎng)關(DualHomedGateway)

　　雙穴主機網(wǎng)關是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連。堡壘主機上運行著防火墻軟件，可以轉發(fā)應用程序，提供服務等。與屏蔽路由器相比，雙穴主機網(wǎng)關堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件拷貝日志或遠程日志。但弱點也比較突出，一旦黑客侵入堡壘主機并使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內部網(wǎng)。

　　3.被屏蔽主機網(wǎng)關(ScreenedGatewy)

　　屏蔽主機網(wǎng)關易于實現(xiàn)也最為安全。一個堡壘主機安裝在內部網(wǎng)絡上，通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網(wǎng)絡唯一可直接到達的主機，這確保了內部網(wǎng)絡不受未被授權的外部用戶的攻擊。如果受保護網(wǎng)是一個虛擬擴展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內部網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器，網(wǎng)關的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面，內網(wǎng)中的其余主機就會受到很大威脅。這與雙穴主機網(wǎng)關受攻擊時的情形差不多。

　　4.被屏蔽子網(wǎng)(ScreenedSubnet)

　　被屏蔽子網(wǎng)就是在內部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內部網(wǎng)絡和外部網(wǎng)絡分開。在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內構成一個DNS，內部網(wǎng)絡和外部網(wǎng)絡均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設有一堡壘主機作為唯一可訪問點，支持終端交互或作為應用網(wǎng)關代理。這種配置的危險僅包括堡壘主機、子網(wǎng)主機及所有連接內網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡訪問路由器或只允許內網(wǎng)中的某些主機訪問它，則攻擊會變得很困難。