防火墻是指設置在不同網絡(如可信內網和不可信公網)或網絡安全域之間的壹系列組件的組合。通過監控、限制和改變穿越防火墻的數據流,盡可能地從外部屏蔽網絡的內部信息、結構和運行,從而實現網絡的安全保護。
從邏輯上來說,防火墻是壹個分離器,壹個限制器,壹個分析器,有效地監控內網和互聯網之間的任何活動,保證內網的安全。
2.使用防火墻的好處
保護脆弱的服務
通過過濾不安全的服務,防火墻可以大大提高網絡安全性,降低子網中主機的風險。例如,防火墻可以禁止NIS和NFS服務通過,防火墻可以同時拒絕源路由和ICMP重定向數據包。
控制系統的訪問
防火墻可以提供對系統的訪問控制。例如,允許從外部訪問某些主機,而禁止訪問其他主機。例如,防火墻允許外部訪問特定的郵件服務器和Web服務器。
集中安全管理
防火墻實現了對企業內網的集中安全管理,防火墻中定義的安全規則可以應用於整個內網系統,而不需要為內網中的每臺機器設置安全策略。防火墻可以定義不同的身份驗證方法,而無需在每臺機器上安裝特定的身份驗證軟件。外部用戶只需要認證壹次就可以訪問內部網。
增強的保密性
使用防火墻可以防止攻擊者獲取有用的信息來攻擊網絡系統,如Figer和DNS。
記錄和統計網絡使用數據和非法使用數據。
防火墻可以記錄和統計通過防火墻的網絡通信,提供有關網絡使用的統計數據,防火墻可以提供統計數據來判斷可能的攻擊和檢測。
政策執行
防火墻提供了壹種制定和實施網絡安全策略的方法。未設置防火墻時,網絡安全取決於每臺主機的用戶。
3.防火墻的類型
防火墻壹般分為包過濾、應用層網關和代理服務器。
數據包過濾
包過濾技術是根據系統中設置的過濾邏輯在網絡層選擇數據包,這種過濾邏輯稱為訪問控制表。通過檢查數據流中每個數據包的源地址、目的地址、使用的端口號、協議狀態和其他因素,或者它們的組合,來確定是否允許數據包通過。包過濾防火墻邏輯簡單,價格低廉,易於安裝和使用,具有良好的網絡性能和透明性。它通常安裝在路由器上。路由器是連接內部網絡和互聯網不可或缺的設備,所以在原有網絡上增加這樣的防火墻幾乎不需要任何額外的成本。
包過濾防火墻有兩個缺點:壹是非法訪問壹旦突破防火墻,就可以攻擊主機上的軟件和配置漏洞;第二,數據包的源地址、目的地址、IP端口號都在數據包的頭部,很可能被竊聽或冒充。
應用層網關
應用層網關是在網絡應用層建立協議過濾和轉發的功能。它針對特定的網絡應用服務協議,使用指定的數據過濾邏輯,在過濾的同時,對數據包進行必要的分析、註冊和統計,形成報告。實際的應用程序網關通常安裝在專用的工作站系統上。
包過濾和應用網關防火墻有壹個相同的特點,就是只依靠特定的邏輯來決定是否允許數據包通過。壹旦滿足邏輯,防火墻內外的計算機系統建立直接聯系,防火墻外的用戶可能直接知道防火墻內部的網絡結構和運行狀態,有利於非法訪問和攻擊。
代表理性服務
代理服務也叫鏈路級網關或TCP通道,也有人把它歸為應用層網關。它是為了克服包過濾和應用網關技術的缺點而引入的防火墻技術。其特點是將所有穿越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統之間的應用層“鏈接”是通過兩臺端接代理服務器上的“鏈接”來實現的,外部計算機的網絡鏈接只能到達代理服務器,從而起到隔離防火墻內外計算機系統的作用。此外,代理服務還對過去的數據包進行分析、註冊,並形成報告。同時,當它發現被攻擊的跡象時,它會向網絡管理員發出警報,並保留攻擊的痕跡。
4.設置防火墻的元素
網絡戰略
影響防火墻系統的設計、安裝和使用的網絡策略可以分為兩個層次。高級網絡策略定義了允許和禁止的服務以及如何使用它們。低級網絡策略描述防火墻如何限制和過濾高級策略中定義的服務。
服務訪問策略
服務訪問策略側重於互聯網訪問服務和外部網絡訪問(如撥入策略、SLIP/PPP連接等。).服務訪問策略必須可行且合理。可行的策略必須在防範已知網絡風險和為用戶提供服務之間取得平衡。典型的服務訪問策略是:必要時允許增強認證的用戶從互聯網訪問壹些內部主機和服務;允許內部用戶訪問指定的互聯網主機和服務。
防火墻設計策略
防火墻設計策略基於特定的防火墻,並定義了完成服務訪問策略的規則。通常有兩種基本的設計策略:允許任何服務,除非明確禁止;除非明確允許,否則不允許任何服務。第壹種安全但不好用,第二種好用但不安全。通常采用第二種設計策略。大多數防火墻介於兩者之間。
增強型認證
互聯網上的許多入侵都源於脆弱的傳統用戶/密碼機制。多年來,用戶壹直被告知使用難以猜測和破譯的密碼。即便如此,攻擊者仍然在互聯網上監聽傳輸的密碼明文,使得傳統的密碼機制形同虛設。增強的認證機制包括智能卡、認證令牌、生理特征(指紋)和基於軟件的(RSA)技術,以克服傳統密碼的弱點。雖然有很多認證技術,但它們都使用增強的認證機制來生成難以被攻擊者重用的密碼和密鑰。目前,許多流行的增強機制使用壹次性有效密碼和密鑰(例如智能卡和認證令牌)。
5.大型網絡系統中防火墻的部署
根據網絡系統的安全需求,防火墻可以部署在以下位置:
當控制局域網中VLAN之間的信息流時。
內部網與互聯網連接時(企業單元與外部網絡連接時的應用網關)。
在廣域網系統中,出於安全的需要,總部的局域網可以將各分公司的局域網視為不安全的系統。(通過公網ChinaPac,ChinaDDN,幀中繼等連接。)總部局域網與各分公司連接時,通過防火墻隔離,通過VPN形成虛擬專用網。
總部的局域網和分公司的局域網是通過互聯網連接的,需要安裝各自的防火墻,利用NetScreen的VPN組成虛擬專用網。
當遠程用戶撥號訪問時加入虛擬專用網絡。
ISP可以利用NetScreen的負載均衡功能,在公共接入服務器和客戶端之間添加防火墻,實現負載分擔、訪問控制、用戶認證、流量控制、日誌記錄等功能。
當兩個網絡相連時,NetScreen硬件防火墻可以作為網關設備,實現地址轉換(NAT)、地址映射(map)、網絡隔離(DMZ)和訪問安全控制,從而消除傳統軟件防火墻的瓶頸問題。
6.防火墻在網絡系統中的作用
防火墻能有效防止外來入侵,它在網絡系統中的作用是:
控制進出網絡的信息流和數據包;
提供使用和流量的記錄和審計;
隱藏內部IP地址和網絡結構的詳細信息;
提供VPN功能;
參考資料:
/www/news/article_show.asp?id=12144