防火墻的基礎(chǔ)知識大全

什么是防火墻? 防火墻是使用一段"代碼墻"把你的電腦和internet分隔開。它檢查到達防火墻兩端的所有數(shù)據(jù)包，無論是進入還是發(fā)出，從而決定該攔截這個包還是將其放行。下面就讓小編帶你去看看關(guān)于防火墻的基礎(chǔ)知識大全吧，希望能幫助到大家!

都0202了，這些防火墻的知識你還不懂嗎?

硬件防火墻的原理

軟件防火墻及硬件防火墻中還有的其他功能，例如CF(內(nèi)容過濾)IDS(入侵偵測)IPS(入侵防護)等等的功能。

也就是說硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負擔，使路由更穩(wěn)定。

硬件防火墻是保障內(nèi)部網(wǎng)絡安全的一道重要屏障。

它的安全和穩(wěn)定，直接關(guān)系到整個內(nèi)部網(wǎng)絡的安全。

因此，日常例行的檢查對于保證硬件防火墻的安全是非常重要的。

系統(tǒng)中存在的很多隱患和故障在暴發(fā)前都會出現(xiàn)這樣或那樣的苗頭，例行檢查的任務就是要發(fā)現(xiàn)這些安全隱患，并盡可能將問題定位，方便問題的解決。

4種類型

(1)包過濾防火墻

包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。

包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。

但是，包過濾防火墻的安全性有一定的缺陷，因為系統(tǒng)對應用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。

(2)應用網(wǎng)關(guān)防火墻

應用網(wǎng)關(guān)防火墻檢查所有應用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡的安全性。

然而，應用網(wǎng)關(guān)防火墻是通過打破客戶機/服務器模式實現(xiàn)的。

每個客戶機/服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。

另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。

所以，應用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點。

(3)狀態(tài)檢測防火墻

狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎(chǔ)上，對于安全性有了大幅提升。

這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理。

可以這樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。(圖 3)

(4)復合型防火墻

復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC 架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括IDS功能，多單元融為一體，是一種新突破。

常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡流量里的攻擊，在網(wǎng)絡界面對應用層掃描，把防病毒、內(nèi)容過濾與防火墻結(jié)合起來，這體現(xiàn)了網(wǎng)絡與信息安全的新思路。

它在網(wǎng)絡邊界實施OSI 第七層的內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡邊緣布署病毒防護、內(nèi)容過濾等應用層服務措施。(圖 4)

四類防火墻的對比

包過濾防火墻

包過濾防火墻不檢查數(shù)據(jù)區(qū)，包過濾防火墻不建立連接狀態(tài)表，前后報文無關(guān)，應用層控制很弱。

應用網(wǎng)關(guān)防火墻

不檢查IP、 TCP 報頭，不建立連接狀態(tài)表，網(wǎng)絡層保護比較弱。

狀態(tài)檢測防火墻

不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報文相關(guān)，應用層控制很弱。

復合型防火墻

可以檢查整個數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡層保護強，應用層控制細，會話控制較弱。

防火墻術(shù)語

網(wǎng)關(guān)

在兩個設備之間提供轉(zhuǎn)發(fā)服務的系統(tǒng)。

網(wǎng)關(guān)是互聯(lián)網(wǎng)應用程序在兩臺主機之間處理流量的防火墻。

這個術(shù)語是非常常見的。

DMZ非軍事化區(qū)

為了配置管理方便，內(nèi)部網(wǎng)中需要向外提供服務的服務器往往放在一個單獨的網(wǎng)段，這個網(wǎng)段便是非軍事化區(qū)。

防火墻一般配備三塊網(wǎng)卡，在配置時一般分別分別連接內(nèi)部網(wǎng)，Internet和DMZ。

吞吐量

網(wǎng)絡中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成，防火墻對每個數(shù)據(jù)包的處理要耗費資源。

吞吐量是指在不丟包的情況下單位時間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。這是測量防火墻性能的重要指標。

最大連接數(shù)

和吞吐量一樣，數(shù)字越大越好。

但是最大連接數(shù)更貼近實際網(wǎng)絡情況，網(wǎng)絡中大多數(shù)連接是指所建立的一個虛擬通道。

防火墻對每個連接的處理也好耗費資源，因此最大連接數(shù)成為考驗防火墻這方面能力的指標。

數(shù)據(jù)包轉(zhuǎn)發(fā)率：是指在所有安全規(guī)則配置正確的情況下，防火墻對數(shù)據(jù)流量的處理速度。

SSL

SSL(Secure Sockets Layer)是由 Netscape 公司開發(fā)的一套Internet 數(shù)據(jù)安全協(xié)議。

它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸SSL協(xié)議位于TCP/IP 協(xié)議與各種應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。

網(wǎng)絡地址轉(zhuǎn)換

網(wǎng)絡地址轉(zhuǎn)換(NAT)是一種將一個IP地址域映射到另一個IP 地址域技術(shù)，從而為終端主機提供透明路由。

NAT包括靜態(tài)網(wǎng)絡地址轉(zhuǎn)換、動態(tài)網(wǎng)絡地址轉(zhuǎn)換、網(wǎng)絡地址及端口轉(zhuǎn)換、動態(tài)網(wǎng)絡地址及端口轉(zhuǎn)換、端口映射等。

NAT常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問題。

在防火墻上實現(xiàn)NAT后，可以隱藏受保護網(wǎng)絡的內(nèi)部拓撲結(jié)構(gòu)，在一定程度上提高網(wǎng)絡的安全性。

如果反向NAT提供動態(tài)網(wǎng)絡地址及端口轉(zhuǎn)換功能，還可以實現(xiàn)負載均衡等功能。

堡壘主機

一種被強化的可以防御進攻的計算機，被暴露于因特網(wǎng)之上，作為進入內(nèi)部網(wǎng)絡的一個檢查點，以達到把整個網(wǎng)絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。

硬件防火墻和軟件防火墻對比

成本對比

硬件防火墻是軟硬件一體的，用戶購買后不需要再投入其他費用。

一般硬件防火墻的報價在1萬到2萬之間。

軟件防火墻有三方面的成本開銷：

軟件的成本、安裝軟件的設備成本以及設備上操作系統(tǒng)的成本。

Windows Server 2003 價格在4400-6000 之間。

備注：綜合以上的成本，要配置一套 軟件防火墻按最小的網(wǎng)絡要求，其成本在1萬左右。

穩(wěn)定性與安全性對比

穩(wěn)定性和安全性比較穩(wěn)定性能的優(yōu)劣主要來自于防火墻運行平臺即操作系統(tǒng)上。

硬件防火墻一般使用經(jīng)過內(nèi)核編譯后的Linu__ ，憑借Linu__本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。

Linu__ 永遠都不會崩潰，其穩(wěn)定性是由于它沒有像其他操作系統(tǒng)一樣內(nèi)核龐大且漏洞百出。

系統(tǒng)的穩(wěn)定性主要取決于系統(tǒng)設計的結(jié)構(gòu)。

計算機硬件的結(jié)構(gòu)自從1981設計開始就沒有作特別大的改動，而連續(xù)向后兼容性使那些編程風格極差的應用軟件勉強移植到Windows的最新版本，這種將就的軟件開發(fā)模式極大地阻礙了系統(tǒng)穩(wěn)定性的發(fā)展。

最令人注目的Linu__開放源代碼的開發(fā)模式，它保證了任何系統(tǒng)的漏洞都能被及時發(fā)現(xiàn)和修正。

Linu__ 采取了許多安全技術(shù)措施，包括對讀、寫進行權(quán)限控制、帶保護的子系統(tǒng)、審計跟蹤、核心授權(quán)等，這為網(wǎng)絡多用戶環(huán)境中的用戶提供了必要的安全保障。

軟件防火墻一般要安裝在windows 平臺上，實現(xiàn)簡單，但同時由于windows 本身的漏洞和不穩(wěn)定性帶來了軟件防火墻的安全性和穩(wěn)定性的問題。

雖然 Microsoft 也在努力的彌補這些問題，Windows 2003 server本身的漏洞就比前期的Windows NT少了很多，但與Linu__ 比起來還是漏洞倍出。

在病毒侵害方面，從linu__發(fā)展到如今，Linu__ 幾乎不感染病毒。

而作為Windows平臺下的病毒我們就不必多說了，只要是使用過電腦的人都有感受。

如果遭遇廣泛傳播的ARP欺騙病毒，容易造成了內(nèi)網(wǎng)不穩(wěn)定、網(wǎng)絡時斷時序、經(jīng)常掉線，無法開展正常的工作，使得很多的網(wǎng)絡管理人員束手無策。

軟硬件防火墻的吞吐量和包轉(zhuǎn)發(fā)率比較

吞吐量和報文轉(zhuǎn)發(fā)率是關(guān)系防火墻應用的主要指標。

硬件防火墻的硬件設備是經(jīng)專業(yè)廠商定制的，在定制之初就充分考慮了吞吐量的問題，在這一點上遠遠勝于軟件防火墻。

因為軟件防火墻的硬件是用戶自己選擇的很多情況下都沒有考慮吞吐量的問題，況且windows系統(tǒng)本身就很耗費硬件資源，其吞吐量和處理大數(shù)據(jù)流的能力遠不及硬件防火墻，這一點是不言而喻的。

吞吐量太小的話，防火墻就是網(wǎng)絡的瓶頸，會帶來網(wǎng)絡速度慢、上網(wǎng)帶寬不夠等等問題。

防火墻工作原理上的比較

軟件防火墻一般可以是包過濾機制。

包過濾過濾規(guī)則簡單，只能檢查到第三層網(wǎng)絡層，只對源或目的IP做檢查，防火墻的能力遠不及狀態(tài)檢測防火墻，連最基本的黑客攻擊手法IP偽裝都無法解決，并且要對所經(jīng)過的所有數(shù)據(jù)包做檢查，所以速度比較慢。

硬件防火墻主要采用第四代狀態(tài)檢測機制。

狀態(tài)檢測是在通信發(fā)起連接時就檢查規(guī)則是否允許建立連接，然后在緩存的狀態(tài)檢測表中添加一條記錄，以后就不必去檢查規(guī)則了只要查看狀態(tài)監(jiān)測表就OK了，速度上有了很大的提升。

因其工作的層次有了提高，其防黑功能比包過濾強了很多，狀態(tài)檢測防火墻跟蹤的不僅是包中包含的信息。

為了跟蹤包的狀態(tài)，防火墻還記錄有用的信息以幫助識別包，例如已有的網(wǎng)絡連接、數(shù)據(jù)的傳出請求等。

例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關(guān)信息，是關(guān)于位于特定IP 地址的應用程序最近向發(fā)出包的源地址請求視頻信號的信息。

如果傳入的包是要傳給發(fā)出請求的相同系統(tǒng)，防火墻進行匹配，包就可以被允許通過。

硬件防火墻比軟件防火墻在實現(xiàn)的機制上有很大的不同，也帶來了軟硬件防火墻在防黑能力上很大差異。

在對內(nèi)網(wǎng)的控制方面比較

軟件防火墻由于本身的工作原理造成了它不具備內(nèi)網(wǎng)具體化的控制管理，比如，不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對具體的IP 和MAC 做上網(wǎng)控制等，其主要的功能在于對外。

硬件防火墻在基于狀態(tài)檢測的機制上，安全廠商又可以根據(jù)市場的不同需求開發(fā)應用層過濾規(guī)則，來滿足對內(nèi)網(wǎng)的控制，能夠在高層進行過濾，做到了軟件防火墻不能做到的很多事。

尤其是ARP病毒，硬件防火墻針對其入侵的原理，都做了相應的策略，徹底解除了ARP病毒的危害。

現(xiàn)在的網(wǎng)絡安全(防火墻 )已經(jīng)不僅僅局限于對外的防止黑客攻擊上，更多的企業(yè)內(nèi)部網(wǎng)絡經(jīng)常存在諸如上網(wǎng)速度慢、時斷時序、郵件收發(fā)不正常等問題。

我們分析其主要的原因，在于內(nèi)網(wǎng)用戶的使用問題，很多的用戶上班時間使用BT下載、瀏覽一些不正規(guī)的網(wǎng)站，這樣都會引起內(nèi)網(wǎng)的諸多問題，比如病毒，很多病毒傳播都是使用者不良行為而造成的。

所以說內(nèi)網(wǎng)用戶的控制和管理是非常必要的。

防火墻基礎(chǔ)知識

防火墻的分類

防火墻有很多種分類方法:根據(jù)采用的核心技術(shù),按照應用對象的不同,或者按照實現(xiàn)方法的不同。

每種分類方法都各有特點,例如,基于具體實現(xiàn)方法分類,可以分為三種類型:

一、軟件防火墻

防火墻運行于特定的計算機上,一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關(guān)。軟件防火墻與其他的軟件產(chǎn)品一樣,需要先在計算機上安裝并做好配置后方可使用。使用這類防火墻,需要網(wǎng)絡管理人員對使用的操作系統(tǒng)平臺比較熟悉。

二、硬件防火墻

由計算機硬件、通用操作系統(tǒng)和防火墻軟件組成。在定制的計算機硬件上,采用通用計算機系統(tǒng)、Flash盤、網(wǎng)卡組成的硬件平臺上運行Linu__,FreeBSD和Solaris等經(jīng)過最小化安全處理后的操作系統(tǒng)及集成的防火墻軟件。其特點是開發(fā)成本低、性能實用,而且穩(wěn)定性和擴展性較好。但是由于此類防火墻依賴操作系統(tǒng)內(nèi)核,因此受到操作系統(tǒng)本身安全性的影響,處理速度較慢。

三、專用防火墻

采用特別優(yōu)化設計的硬件體系結(jié)構(gòu),使用專用的操作系統(tǒng)。此類防火墻在穩(wěn)定性和傳輸性方面有著得天獨厚的優(yōu)勢,速度快、處理能力強、性能高。由于采用專用操作系統(tǒng),因而容易配置和管理,本身漏洞也比較少,但是擴展能力有限,價格也較高。由于專用防火墻系列化程度好,用戶可以根據(jù)應用環(huán)境選擇合適的產(chǎn)品

防火墻功能

防火墻可以監(jiān)控進出網(wǎng)絡的通信量,從而僅讓安全的或者經(jīng)過審核的網(wǎng)絡數(shù)據(jù)進入內(nèi)部網(wǎng)絡,同時抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)。防火墻的作用是防止不希望的、未授權(quán)的通信進出被保護的網(wǎng)絡,迫使網(wǎng)絡管理員強化網(wǎng)絡安全政策。

防火墻能增強機構(gòu)內(nèi)部網(wǎng)絡的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務可以被外界訪問,外界的哪些人可以訪問內(nèi)部服務及哪些外部服務可以被內(nèi)部人員訪問。防火墻只允許授權(quán)的數(shù)據(jù)通過,同時防火墻本身也必須能夠免于滲透。一般來說,防火墻具有以下幾種功能:

允許網(wǎng)絡管理員定義網(wǎng)絡邊界來防止非法用戶進入內(nèi)部網(wǎng)絡,過濾掉不安全服務和非法用戶。防火墻在公司私有網(wǎng)絡和分網(wǎng)間建立網(wǎng)絡邊界,強制所有進出流量都通過這些網(wǎng)絡邊界,從而在較少的地方來實現(xiàn)安全目的。網(wǎng)絡邊界的另一個名字叫做檢查點。

很方便地監(jiān)視網(wǎng)絡的安全性,并及時報警。防火墻還能夠強制記錄日志,并且提供警報功能。通過在防火墻上實現(xiàn)日志服務,安全管理員可以監(jiān)視所有來自外部網(wǎng)絡的流量。優(yōu)秀的防火墻應該設置合理的安全策略。

可以作為部署NAT(Network Address Translation,網(wǎng)絡地址變換)的位置。利用NAT技術(shù)可以將有限的外網(wǎng)IP地址與內(nèi)部IP地址對應起來,有效緩解地址空間短缺的問題。

是審計和記錄網(wǎng)絡使用費用的合適地點,也可以查出潛在的帶寬瓶頸位置。

限定用戶訪問特殊站點。

防止入侵者接近自己的防御設施。

可以設置某獨立網(wǎng)段,并在此部署WWW服務器和廠丁尸服務器,作為向外部發(fā)布內(nèi)部信息的地點,這就是經(jīng)常提到的?；饏^(qū)(DMZ)。

防火墻局限性

即使擁有最先進的防火墻,如果沒有良好的管理,網(wǎng)絡也會面臨很大的威脅。由于互聯(lián)網(wǎng)的開放性,即使具有許多防范功能的防火墻也可能無法抵擋網(wǎng)絡攻擊。簡單而言,防火墻具有如下局限性:

沒有經(jīng)過防火墻的數(shù)據(jù),防火墻無法檢查。

防火墻不能解決來自內(nèi)部網(wǎng)絡的攻擊和安全問題。防火墻可以設計為既防外也防內(nèi),但絕大多數(shù)公司會因為不方便而不要求防火墻防內(nèi)。

防火墻不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設備,就像門衛(wèi)一樣,只能按照對其配置的規(guī)則進行有效的工作,而不能自作主張。

防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個安全設備,但防火墻本身必須存放在安全的地方。

防火墻不能防止利用標準網(wǎng)絡協(xié)議中的缺陷進行的攻擊。一旦防火墻準許某些標準網(wǎng)絡協(xié)議,就不能防止利用該協(xié)議中的缺陷進行的攻擊。

防火墻不能防止利用服務器系統(tǒng)漏洞所進行的攻擊。黑客通過防火墻準許的訪問端口對該服務器的漏洞進行攻擊,防火墻無法發(fā)現(xiàn)并阻止這種攻擊。

防火墻不能防止被病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能,即使集成了第三方的防病毒軟件,也沒有一種軟件可以查殺所有的病毒。

防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當表面看來無害的文件被拷貝到內(nèi)部網(wǎng)的主機上并執(zhí)行時,可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。

防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的合法用戶主動泄密,防火墻是無能為力的。

防火墻不能防止本身的安全漏洞的威脅。防火墻有時無法保護自己,目前還沒有廠商絕對保證防火墻不會存在安全漏洞。

可以阻斷攻擊,但不能消滅攻擊源。

不能抵抗最新的未設置策略的攻擊漏洞。

在某些流量大、并發(fā)請求多的情況下,很容易導致?lián)砣?成為整個網(wǎng)絡的瓶頸。

大多數(shù)防火墻無法阻止針對服務器合法開放端口的攻擊。

分布式防火墻體系結(jié)構(gòu)

分布式防火墻負責對網(wǎng)絡邊界、各子網(wǎng)和網(wǎng)絡內(nèi)部各結(jié)點之間的安全防護。分布式防火墻是一個完整的系統(tǒng),而不是單一的產(chǎn)品。根據(jù)其需要完成的功能,分布式防火墻體系結(jié)構(gòu)包含如下部分:

網(wǎng)絡防火墻(Network Firewall)這一部分有的公司采用的是純軟件方式,而有的還可以提供相應的硬件支持。網(wǎng)絡防火墻用于內(nèi)部網(wǎng)與外部網(wǎng)之間,以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護。與傳統(tǒng)邊界防火墻相比,網(wǎng)絡防火墻增加了一種針對內(nèi)部子網(wǎng)之間的安全防護層,這樣整個網(wǎng)絡的安全防護體系就顯得更加全面,更加可靠。

主機防火墻(Host Firewall)同樣也有純軟件和硬件兩種,用于保護網(wǎng)絡中的服務器和桌面機。這也是傳統(tǒng)邊界防火墻所不具有的,算是對傳統(tǒng)邊界防火墻在安全體系方面的一個完善。該類防火墻作用在同一內(nèi)部子網(wǎng)之間的工作站與服務器之間,確保內(nèi)部網(wǎng)絡服務器的安全。這樣一來,防火墻的作用不僅用于內(nèi)部網(wǎng)與外部網(wǎng)之間的防護,還可應用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務器之間的防護。

中心管理(Central Management)這是防火墻服務器管理軟件,負責總體安全策略的策劃、管理、分發(fā)及日志的匯總。這是新的防火墻管理功能,也是以前傳統(tǒng)邊界防火墻所不具有的。這樣防火墻就可進行智能管理,提高了防火墻安全防護的靈活性,具備了可管理性。

分布式防火墻特點

分布式防火墻的技術(shù)具有以下幾個主要特點:

采用主機駐留方式,駐留在被保護的主機上,該主機以外的網(wǎng)絡不管是處在網(wǎng)絡內(nèi)部還是網(wǎng)絡外部都認為是不可信任的,因此可以針對該主機上運行的具體應用和對外提供的服務設定針對性很強的安全策略。

采用嵌入操作系統(tǒng)內(nèi)核,這主要是針對目前的純軟件式分布式防火墻來說的。分布式主機防火墻也運行在主機上,所以其運行機制是主機防火墻的關(guān)鍵技術(shù)之一。為了自身的安全和徹底堵住操作系統(tǒng)的漏洞,主機防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運行,直接接管網(wǎng)卡,在檢查所有數(shù)據(jù)包之后再提交操作系統(tǒng)。為實現(xiàn)這樣的運行機制,除防火墻廠商自身的開發(fā)技術(shù)外,與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件,因為需要一些操作系統(tǒng)不公開內(nèi)部技術(shù)接口。不能實現(xiàn)這種分布式運行模式的主機防火墻由于受到操作系統(tǒng)安全性的制約,存在著明顯的安全隱患。

類似于個人防火墻,但分布式防火墻與個人防火墻之間有著本質(zhì)的差別。首先個人防火墻的安全策略由系統(tǒng)使用者自己設置,全面功能和管理都在本機上實現(xiàn),其目標是防止主機以外的任何外部用戶攻擊;而分布式防火墻的安全策略由整個系統(tǒng)管理員統(tǒng)一安排和設置,除了對主機起到保護作用外,還對該主機的對外訪問加以控制,并且這種安全機制是主機使用者不可見和不可改動的。其次,個人防火墻直接面向個人用戶,而分布式防火墻體系中的主機防火墻是面向企業(yè)級用戶的,與分布式防火墻其他產(chǎn)品共同構(gòu)成一個企業(yè)級應用方案,形成一個安全策略中心進行統(tǒng)一管理,所以在一定程度上也面對整個網(wǎng)絡。

防火墻基礎(chǔ)知識講解

什么是防火墻？

防火墻也被稱為防護墻，它是一種位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡安全系統(tǒng)，可以將內(nèi)部網(wǎng)絡和外部網(wǎng)絡隔離。通常，防火墻可以保護內(nèi)部/私有局域網(wǎng)免受外部攻擊，并防止重要數(shù)據(jù)泄露。在沒有防火墻的情況下，路由器會在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間盲目傳遞流量且沒有過濾機制，而防火墻不僅能夠監(jiān)控流量，還能夠阻止未經(jīng)授權(quán)的流量。

在網(wǎng)絡中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。

除了將內(nèi)部局域網(wǎng)與外部Internet隔離之外，防火墻還可以將局域網(wǎng)中的普通數(shù)據(jù)和重要數(shù)據(jù)進行分離，所以也可以避免內(nèi)部入侵。

防火墻的工作原理

防火墻有硬件防火墻和軟件防火墻這兩種類型，硬件防火墻允許您通過端口的傳輸控制協(xié)議(TCP)或用戶數(shù)據(jù)報協(xié)議(UDP)來定義阻塞規(guī)則，例如禁止不必要的端口和IP地址的訪問。軟件防火墻就像互連內(nèi)部網(wǎng)絡和外部網(wǎng)絡的代理服務器，它可以讓內(nèi)部網(wǎng)絡不直接與外部網(wǎng)絡進行通信，但是很多企業(yè)和數(shù)據(jù)中心會將這兩種類型的防火墻進行組合，主要是因為這樣做可以更加有效地提升網(wǎng)絡的安全性。

硬件防火墻如何選擇

一、網(wǎng)絡吞吐量

因為防火墻是通過對進入與出去的數(shù)據(jù)進行過濾來識別是否符合安全策略的，所以在流量比較高時，要求防火墻能以最快的速度及時對所有數(shù)據(jù)包進行檢測。否則就可能造成比較長的延時，甚至發(fā)生死機。所以網(wǎng)絡吞吐量指標非常重要，它體現(xiàn)了防火墻的可用性能，也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的延時代價。如果防火墻對網(wǎng)絡造成較大的延時，給用戶造成較大的損失。

選購防火墻的時候第一個要看的指標就是防火墻的吞吐量。當然，這個吞吐量也不是越大越好。因為吞吐量越大的話，防火墻的價格也就越高。要根據(jù)企業(yè)的實際情況，如現(xiàn)在接入互聯(lián)網(wǎng)的帶寬等因素，來選擇的合適的帶寬。

二、協(xié)議的優(yōu)先級。

現(xiàn)在視頻應用在企業(yè)中使用是越來越廣泛。如視頻會議系統(tǒng)、語音電話等等在企業(yè)中都很普及。而這些應用都會占用企業(yè)比較大的帶寬。如果企業(yè)帶寬跟不上的話，這些應用的質(zhì)量將會受到很大的影響，如通話的質(zhì)量可能會時斷時續(xù)。就好像手機信號差一樣。雖然可以通過提高互聯(lián)網(wǎng)的接入速度來改善這種情況，但是這不是首選方案。因為增加帶寬需要企業(yè)花費比較大的投資。故最理想的解決方案是對企業(yè)的通信流量進行管理。通過防火墻把一些關(guān)鍵應用的流量設置為比較高的優(yōu)先級。在網(wǎng)絡傳輸中，要首先保障這些通信流量能夠優(yōu)先通過。這就可以明顯改善語音通話等視頻應用的效果。

三、具有一定的擴展性。

企業(yè)的網(wǎng)絡不可能永遠的一成不變。隨著企業(yè)規(guī)模的擴大，公司內(nèi)部的網(wǎng)絡會不斷的升級，以符合企業(yè)日益發(fā)展的需要。那么如何考慮呢?

一是為了后續(xù)擴展的需要，最好能夠購買那些模塊化設計的防火墻。如此的話，后續(xù)增添其他功能的話，只需要購買模塊即可。而不需要更換整個硬件防火墻。也就是說選擇的硬件防火墻系統(tǒng)最好是一個可隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能型包過濾器，最終到一個獨立的應用網(wǎng)關(guān)的等等。只有如此，才能輕松面對企業(yè)信息化應用的升級。

二是考慮網(wǎng)絡接口的問題。通常情況下防火墻最基本的配置有兩個網(wǎng)絡接口：內(nèi)部的和外部的網(wǎng)絡接口。這些接口對應著訪問網(wǎng)絡的信任程度。其中外部網(wǎng)絡接口連接的是不可信賴的網(wǎng)絡，而內(nèi)部網(wǎng)絡接口連接的是得到信任的網(wǎng)絡。在內(nèi)部網(wǎng)部署時，連接到外部的接口可能需要和公司的主要部分連接，這時可能比外部網(wǎng)絡的信任度高，但又稍微低于內(nèi)部網(wǎng)絡的信任度。但是隨著公司因特網(wǎng)商業(yè)需求的復雜化，只有兩個接口的防火墻明顯具有局限性，可能無法滿足企業(yè)業(yè)務方面的需求。如企業(yè)可能出于安全的需要，以后很有可能要用到第三個接口DMZ接口。為此為了以后信息化應用升級的考慮，在防火墻選購時，還需要關(guān)注是否有足夠豐富的接口;或者考慮以后是否可以通過模塊的形式來增加可用的接口。