防火墻是汽車中壹個部件的名稱。在汽車中,使用防火墻將乘客與發動機隔離,這樣壹旦汽車的發動機著火,防火墻不僅可以保護乘客的安全,還可以讓駕駛員繼續控制發動機。用計算機術語來說,當然不是這個意思。我們可以類比理解。在網絡中,所謂“防火墻”是指壹種將內網與公共接入網(如互聯網)隔離的方法,實際上是壹種隔離技術。防火墻是兩個網絡通信時實施的壹種訪問控制措施。它可以讓妳“同意”的人和數據進入妳的網絡,同時把妳“不同意”的人和數據拒之門外,最大限度地防止網絡中的黑客訪問妳的網絡。換句話說,如果妳不通過防火墻,公司內部的人就無法訪問互聯網,互聯網上的人也無法與公司內部的人交流。
防火墻是近年來保護計算機網絡安全的壹種新的技術手段。它是壹種隔離控制技術,在組織的網絡和不安全的網絡(如互聯網)之間設置屏障,防止非法訪問信息資源,也可以使用防火墻防止重要信息從企業的網絡非法輸出。防火墻作為互聯網的安全防護軟件,得到了廣泛的應用。通常,企業為了維護內部信息系統的安全,會在企業網絡和互聯網之間設置防火墻軟件。企業信息系統對來自互聯網的訪問采用選擇性接收模式。它可以允許或禁止對特定IP地址的訪問,也可以接受或拒絕TCP/IP上的特定應用程序。如果IP主機上有需要禁止的信息或者危險用戶,可以通過設置使用防火墻過濾掉該主機發來的數據包。如果企業只使用Internet電子郵件和WWW服務器向外界提供信息,可以在防火墻上設置,這樣只有這兩類應用的數據包才能通過。對於路由器來說,不僅要分析IP層的信息,還要進壹步了解TCP傳輸層甚至應用層的信息才能做出選擇。防火墻壹般安裝在路由器上保護子網,也可以安裝在主機上保護這臺主機不受侵害。
防火墻技術-類型
從實現原理來看,防火墻技術包括四大類:網絡級防火墻(也叫包過濾防火墻)、應用層網關、電路級網關和規則檢查防火墻。各有各的優勢,用哪壹種或者是否混合,要看具體需求。
1.網絡級防火墻:壹般是根據每個IP包的源地址和目的地址、應用、協議和端口來判斷是否通過。路由器是“傳統的”網絡級防火墻。大多數路由器可以通過檢查這些信息來決定是否轉發收到的數據包,但它無法判斷壹個IP數據包來自哪裏,去往哪裏。防火墻會檢查每個規則,直到發現數據包中的信息與規則匹配。如果不符合任何規則,防火墻將使用默認規則。通常,默認規則是要求防火墻丟棄數據包。其次,通過定義基於TCP或UDP包的端口號,防火墻可以判斷是否允許建立特定的連接,比如Telnet和FTP連接。
2.應用層網關:應用層網關可以檢查傳入和傳出的數據包,通過網關復制和傳輸數據,防止可信服務器和客戶端與不可信主機直接接觸。應用層網關可以理解應用層的協議,做壹些復雜的訪問控制,做精細的註冊和審計。它針對壹種特殊的網絡應用服務協議,即數據過濾協議,能夠對數據包進行分析並形成相關報告。應用網關嚴格控制壹些容易登錄的環境,控制所有的輸入輸出通信,防止有價值的程序和數據被竊取。在實際工作中,應用網關壹般由專用的工作站系統來完成。但是每個協議都需要相應的代理軟件,工作量大,效率不如網絡級防火墻。應用層網關具有更好的訪問控制,是目前最安全的防火墻技術,但實現難度大,部分應用層網關缺乏“透明性”。在實踐中,當用戶通過可信網絡上的防火墻訪問互聯網時,他們經常發現存在延遲,並且他們必須多次登錄才能訪問互聯網或內聯網。
3.電路級網關:電路級網關用於監控可信客戶端或服務器與不可信主機之間的TCP握手信息,從而判斷會話是否合法。電路級網關在OSI模型的會話層過濾數據包,會話層比包過濾防火墻高兩層。電路級網關還提供了壹個重要的安全功能:代理服務器。代理服務器是在因特網防火墻網關中設置的特殊應用級代碼。該代理服務允許網絡管理員允許或拒絕特定應用或應用的特定功能。包過濾技術和應用網關通過特定的邏輯判斷來決定是否允許特定的數據包通過。壹旦滿足判斷條件,防火墻內部網絡的結構和運行狀態就會“暴露”給外來用戶,這就引入了代理服務的概念,即防火墻內外計算機系統應用層的“鏈接”是由兩條以代理服務結尾的“鏈接”實現的,成功實現了防火墻內外計算機系統的隔離。同時,代理服務還可以用來實現強大的功能,如數據流監控、過濾、記錄和報告。代理服務技術主要由專用計算機硬件(如工作站)承擔。
4.規則檢查防火墻:這種防火墻結合了包過濾防火墻、電路級網關和應用層網關的特點。與包過濾防火墻壹樣,規則檢查防火墻可以通過OSI網絡層的IP地址和端口號過濾傳入和傳出的數據包。和電路級網關壹樣,可以檢查SYN和ACK標簽以及序列號是否邏輯有序。當然,就像應用層網關壹樣,它可以在OSI應用層檢查數據包的內容,看是否符合企業網絡的安全規則。盡管規則檢查防火墻集成了前三者的特征,但它與應用程序級網關的不同之處在於,它不會破壞客戶端/服務器模式來分析應用層的數據,並且它允許可信客戶端與不可信主機建立直接連接。規則檢查防火墻不依賴於與應用層相關的代理,而是依靠壹些算法來識別傳入和傳出的應用層數據。這些算法通過了解合法數據包的模式來比較傳入和傳出的數據包,這在理論上比應用層代理過濾數據包更有效。
防火墻技術-使用防火墻
防火墻有很好的保護功能。入侵者必須首先越過防火墻的安全線,然後才能聯系目標計算機。您可以將防火墻配置為許多不同的保護級別。高級別的保護可能會禁止壹些服務,比如視頻流,但至少這是妳自己的保護選擇。
在防火墻技術的具體應用中,我們還應該考慮兩個方面:
1.防火墻不能防病毒,雖然很多防火墻產品都宣稱有這個功能。2.防火墻技術的另壹個弱點是防火墻之間的數據更新是壹個難題。如果延遲過大,將無法支持實時服務請求。而且防火墻使用過濾技術,通常會降低網絡性能50%以上。如果購買高速路由器來提升網絡性能,會大大增加經濟預算。
總之,防火墻是壹種流行的企業網絡安全解決方案,即將公共數據和服務置於防火墻之外,使其對防火墻內部資源的訪問受到限制。防火墻作為壹種網絡安全技術,簡單實用,透明性高,在不修改原有網絡應用系統的情況下,就能滿足壹定的安全需求。
防火墻技術-功能
防火墻掃描流經它的網絡流量,這可以在攻擊在目標計算機上執行之前過濾掉壹些攻擊。防火墻也可以關閉未使用的端口。此外,它還可以禁止特定端口的傳出通信,並阻止特洛伊馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自未知入侵者的所有通信。1,防火墻是網絡安全的屏障:壹個防火墻(作為阻斷點和控制點)可以通過過濾不安全的服務,大大提高內部網絡的安全性,降低風險。因為只有精心選擇的應用協議才能通過防火墻,所以網絡環境變得更加安全。例如,防火墻可以禁止眾所周知的不安全NFS協議進入或離開受保護的網絡,因此外部攻擊者不可能使用這些脆弱的協議來攻擊內部網絡。防火墻還可以保護網絡免受基於路由的攻擊,例如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該能夠拒絕上述攻擊類型的所有消息,並通知防火墻管理員。
2.防火墻可以加強網絡安全策略:所有安全軟件(如密碼、加密、身份認證、審計等。)可以通過以防火墻為中心的安全方案配置在防火墻上進行配置。相對於將網絡安全問題分散到各個主機,防火墻的集中安全管理更經濟。比如在網絡訪問中,壹次性密碼系統等認證系統可以集中在防火墻上,而不是分散在各個主機上。
3.監控和審計網絡訪問:如果所有訪問都通過防火墻,防火墻可以記錄這些訪問並做日誌記錄,還可以提供網絡使用的統計數據。當可疑行為發生時,防火墻可以發出適當的警報,並提供有關網絡是否受到監控或攻擊的詳細信息。另外,收集壹個網絡的使用情況和誤用情況也是非常重要的。第壹個原因是明確防火墻是否能抵禦攻擊者的檢測和攻擊,防火墻的控制是否充分。網絡使用統計對於網絡需求分析和威脅分析也非常重要。
4.防止內部信息泄露:通過防火墻劃分內部網絡,可以隔離內部網絡的關鍵網段,從而限制本地關鍵或敏感網絡安全問題對全局網絡的影響。此外,隱私是內部網絡非常關心的問題。壹個內部網絡中不起眼的細節,可能蘊含著安全方面的線索,引起外部攻擊者的興趣,甚至暴露出內部網絡的壹些安全漏洞。使用防火墻可以隱藏那些泄露內部細節的服務,如Finger和DNS。手指顯示該主機所有用戶的註冊名稱、真實姓名、上次登錄時間和外殼類型。但是手指顯示的信息非常容易被攻擊者獲知。攻擊者可以知道壹個系統的使用頻率,是否有用戶在線,系統被攻擊時是否引人註意等等。防火墻還可以阻止有關內部網絡的DNS信息,這樣主機的域名和IP地址就不會為外界所知。除了安全功能外,防火墻還支持VPN(虛擬專用網),這是壹種具有互聯網服務特性的企業內部網絡技術系統。
防火墻技術-重要特征
防火墻的英文名是“FireWall”,是目前最重要的網絡防護設備。從專業的角度來看,防火墻是位於兩個(或多個)網絡之間,實現網絡間訪問控制的壹組組件。防火墻的本義是指在古代建造和使用木質房屋時,為了防止火災的發生和蔓延,人們在房屋周圍堆砌堅固的石塊作為屏障。這種保護結構被稱為“防火墻”。實際上,與防火墻壹起工作的是“門”。如果沒有門,每個房間的人怎麽交流,這些房間的人怎麽進去?發生火災時,這些人如何逃離現場?這個門相當於我們這裏說的防火墻的“安全策略”,所以我們這裏說的防火墻其實不是壹堵堅固的墻,而是壹堵有壹些洞的墻。這些孔是留給那些被允許的通信的,在這些孔中安裝了過濾機制,也就是上面所說的“單向導通”。
我們通常所說的網絡防火墻是指隔離在本地網絡和外部網絡之間的防禦系統。防火可以將內網與互聯網或其他外部網絡隔離,並限制網絡訪問以保護內網。典型的防火墻有以下三個基本特征:(1)所有內網和外網之間的網絡數據流都必須經過防火墻。這是防火墻所在網絡位置的特點,也是前提條件。因為只有當防火墻是內外網之間唯壹的溝通渠道時,才能充分有效地保護企業網絡不受侵害。根據美國國家安全局制定的信息保障技術框架,防火墻適用於用戶網絡系統的邊界,屬於用戶網絡邊界的安全防護設備。所謂網絡邊界,就是兩個安全策略不同的網絡之間的連接,比如用戶的網絡與互聯網的連接,與其他業務單元的連接,以及用戶內部網絡不同部門之間的連接。防火墻的目的是在網絡連接之間建立壹個安全控制點,並通過允許、拒絕或重定向通過防火墻的數據流來審計和控制進出內部網絡的服務和訪問。
典型的防火墻網絡結構壹端連接到企事業單位的局域網,另壹端連接到互聯網。內部和外部網絡之間的所有通信都必須通過防火墻。(2)只有符合安全策略的數據流才能通過防火墻。防火墻最基本的功能是保證網絡流量的合法性,在此前提下,網絡流量可以從壹個鏈路快速轉發到另壹個鏈路。從最早的防火墻模型開始,最初的防火墻是“雙孔主機”,即同時擁有兩個網絡接口和兩個網絡層地址。防火墻通過相應的網絡接口接收網絡上的流量,按照OSI協議棧的七層結構順序上傳,在相應的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網絡接口發送出去,同時對不符合通過條件的進行攔截。所以從這個角度來說,防火墻是壹個多端口(網絡接口>:=2)的轉發設備,橫跨在多個分離的物理網段之間,在報文轉發的過程中完成對報文的審核。
(C)防火墻本身應該具有非常強的抗攻擊能力:這是防火墻承擔內部網絡安全保護重任的前提條件。防火墻處於網絡的邊緣,就像壹個邊防,時刻面臨著黑客的入侵,這就要求防火墻本身具有非常強的抗入侵能力。之所以有這麽強的能力,防火墻操作系統本身是關鍵,只有完全信任關系的操作系統才能談及系統的安全性。其次,防火墻本身的服務功能非常低,除了專用的防火墻嵌入式系統之外,防火墻上沒有其他應用程序運行。當然,這些安全只能說是相對的。目前國內防火墻幾乎都被國外品牌占據,國外品牌的優勢主要是技術和知名度高於國內產品。國產防火墻廠商更了解國內用戶,在價格上更有優勢。防火墻產品中,國外主流廠商有思科、CheckPoint、NetScreen等。,而國內主流廠商有東軟、天榮信、聯想、方正等。,它們都提供不同級別的防火墻產品。
防火墻的硬件架構經歷了通用CPU架構、ASIC架構和網絡處理器架構,各自的特點如下:通用CPU架構:最常見的通用CPU架構是基於Intel X86架構的防火墻,基於Intel X86架構的硬件以其高靈活性和可擴展性壹直受到防火墻廠商的青睞;由於采用了PCI總線接口,Intel X86架構硬件的吞吐量理論上可以達到2Gbps甚至更高,但在實際應用中,尤其是在小數據包的情況下,遠遠達不到標稱的性能,通用CPU的處理能力有限。基於X86的通用CPU架構主要用於國內安防設備。ASIC架構:ASIC(專用集成電路)技術在幾年前就被國外高端網絡設備廣泛使用。ASIC架構防火墻由於采用了硬件轉發模式、多總線技術、數據層和控制層分離,解決了帶寬容量和性能不足的問題,其穩定性也得到了很好的保障。
ASIC技術的性能優勢主要體現在網絡層轉發,但對於需要強大計算能力的應用層數據的處理並不占優勢,面對應用安全問題的頻繁變異,其靈活性和擴展性難以滿足要求。由於該技術技術和資金門檻較高,主要被國內外知名廠商采用。國外主要代表廠商是網屏,國內主要代表廠商是天榮信。網絡處理器架構:由於網絡處理器使用的微碼在技術上很難達到產品的最優性能,因此基於網絡處理器架構的防火墻產品很難占據較大的市場份額。隨著Intel、Broadcom、IBM等網絡處理器主要供應商陸續出售其網絡處理器服務,該技術在網絡安全產品中的應用已經走到了盡頭。