防火墙由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性的形象说法,它是一种计算机硬件和软件的结合,使Intemet与ln付anet之间建立起一个安全网关(Secuhty Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用得较少,例如,国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入、流出的所有网络通信均要经过此防火墙。
防火墙工作原理简介
防火墙就是一种过滤塞(目前这么理解不算错),可以让自己喜欢的东西通过这个塞子,别的东西部统统过滤掉。在网络世界里,要由防火墙过滤的就是承载通信数据的通信包。天下的防火墙至少都会说两个词:论s或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥,但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCPnP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(例如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品应该归入安全路由器一类。以上的产品都可以称为防火墙,因为它们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是放弃。
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址做出放行/丢弃决定。
防火墙的功能
防火墙对流经它的网络通信进行扫描,以便过滤一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。可以将防火墙配置成许多不同的保护级别。高级别的保护可能会禁止一些服务,如视频流等,但这只是自己的保护选择。
防火墙有以下几方面的功能。
1防火墙是网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务来降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如lP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 2防火墙可以强化网路安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙上。
3对网路存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的服务,如Finger、DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用sheU类型等。但是F而ger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Intemet服务特性的企业内部网络技术体系VPN(虚拟专用网)。防火墙可以使企业内部局域网(LAN)与Intemet之间或者与其他外部网络互相隔离、限制网络互访来保护内部网络。典型的防火墙具有以下3个方面的基本特性。
(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性,同时也是一个前提。只有当防火墙是内、外部网络之间通信的唯一通道时,才可以全面、有效地保护企业网不受侵害。 根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界是采用不同安全策略的两个网络连接处,比如用户网络和Intemet之间连接、和其他业务往来单位的网络连接、用户内部网络不同部l门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙连接方式是:防火墙的一端连接企事业单位内部的局域网,而另一端则连接着Intemet。所有的内、外部网络之间的通信都要经过防火墙。
(2)只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台"双穴主机",即具备两个网络接口,同时拥有两个网络层地址。防火墙通过相应的网络接口接收网络上的流量,按照051协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。从这个角度来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口要2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程中完成对报女的审查工作。
(3)防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领,防火墙操作系统是关键,只有防火墙自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。当然这些安全性也只能说是相对的。目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、Chec炸oint、NetScreen等,国内主流厂商为东软十天融信、联想、方正等,它们都提供不同级别的防火墙产品。
防火墙中的配置
防火墙的配置有3种:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dud-homed方式最简单。Dual-homedGateway放置在两个网络之间,这个Dual-hom讨Gateway又称为Bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受"黑客"攻击的首选目标,它自已一旦被攻破,整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bast」onhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。 Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称为"停火区"(DMZ,即DeMlit而zedZone),Bastionhost放置在"停火区"内。这种结构安全性好,只有兰两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。 |
