1、防火墙简介
防火墙有网络防火墙和计算机防火墙的提法。网络防火墙是指在外部网络和内部网络之间设置网络防火墙;计算机防火墙是指在外部网络和用户计算机之间设置防火墙。计算机防火墙也可以是用户计算机的一部分,我们这里说的都是网络防火墙。
所谓网络防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。
最初是针对 Internet 网络不安全因素所采取的一种保护措施,用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,受保护范围内的计算机流入流出的所有网络通信均要经过此防火墙。
防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施,下面我们来介绍防火墙的三种形式。
2、包过滤防火墙
包过滤防火墙应用在网络层,用于对每一个数据包进行检查,检查发送地址、目的地址、协议、端口信息,将检查到的内容与用户设置的规则相比较,以识别并丢弃那些带欺骗性的数据包。
优点:对用户透明,设置只须在包过滤路由器上进行,网络用户不知道它的存在;与应用程序无关,因其工作在网络层和传输层,所以无须对客户机和主机上的应用程序作任何改动,提高网络的性能。
缺陷:只能对网络层的数据包进行识别,不能够对应用层的一些协议进行识别,所以不能防范黑客攻击。不能分辨好的和坏的用户,只能区分好的包和坏的包。
假设管理员细心创建了一个规则,指示数据包过滤器丢弃所有发来的未知源地址的数据包。这条包过滤规则虽然使黑客访问变得更加困难,但并非不可能。黑客只需用某个已知可信客户机的地址替代某个恶意数据包的实际源地址就客达到目的。这一形式的攻击通常叫IP地址欺骗(IP Address Spoofing),这种攻击来对付包过滤防火墙非常有效。
3、应用代理网关防火墙
应用代理网关防火墙适用于特定的互联网服务,如超文本传输(HTTP),远程文件传输(FTP)。代理服务位于内部网络用户和Internet之间,由它来处理两端间的连线方式,将用户对互联网络的服务请求,依据已制定的安全规则向外提交。而且,对于用户的网络服务请求,代理服务器并非全部提交给互联网上真正的服务器。因为它能根据安全规则和用户的请求,判断是否代理执行该请求,有些请求可能会被否决。这种控制机制可以有效的控制整个连线的动作,不会被客户或服务器端欺骗。
代理服务:是运行在防火墙主机上的一些特定的应用程序或者服务器程序。代理服务替代了用户与互联网络的连接,对用户请求的外界服务而言,代理服务相当于一个网关,代理服务有时被称为应用层网关。
代理服务器:为用户提供替代连接并充当服务网关,代理服务器不允许任何网络内外的直接连接。它本身提供公共和专用的DNS、邮件服务器等功能。代理服务器重写数据包而不是简单地将其转发。网络内部的主机都隐藏在代理的后面,外部网络只知代理服务器的存在。
防火墙主机:是指由一个网络接口联接互联网络而另一个接口联接内部网络的双宿主主机,具有至少两个网络接口的通用计算机系统;也可以是一些可以访问因特网并可被内部主机访问的堡垒主机,它对互联网暴露,又是内部网络用户的主要连接点。
堡垒主机:多数情况下为双网卡(双宿主堡垒主机),分连不同的网络并将它们完全隔开(单宿主堡垒主机只有一个网卡则不能完全隔开),其经常被配为网关服务,暴露于互联网上最易受到攻击。
优点:
● 代理服务给用户的假象是其是直接与真正的服务器相连的;而在服务器端代理服务给出的假象是其是直接面对连在代理服务器上的用户。
● 在网络连接建立之前可以对用户身份进行认证。在代理软件中可以设置对用户进行身份验证,这样确保只有合法用户才能对网络资源进行访问。
● 丰富的审记和报警功能。应用代理型防火墙对通过的信息流可以以多种格式进行记录和保存,并可对特定事件向管理员进行报警。
● 灵活的安全机制。代理服务可对于不同的主机、用户及应用程序执行不同的安全规则,而不对所有对象执行同一标准。
缺陷:
● 对每种类型的服务都需要一个代理。由于对各种类型的服务和应用都需要一个代理,所以有时在服务器端需进行较为复杂的配置。
● 网络性能有所下降,代理内网所有用户请求,同过滤防火相比,服务器的性能和网络性能有所下降。
● 客户应用可能需要修改。由于代理软件分为服务器端软件和客户端软件,故客户机需安装相应软件或作相应的网络设置。
应用代理和包过滤区别:用快递员和小区保安来解释,包过滤相当于保安检查包裹地址是本小区而且快递公司比较正规就让快递员进入小区送快递;而代理则是拦下快递员,检查包裹,然后以自己的名义去给业主送快递。
4、状态检测技术防火墙
网关防火墙的一个挑战就是吞吐量,开发状态检测功能是为了让规则能够运用到会话发起过程,从而在大为提高安全防范能力的同时也改进了流量处理速度。同时,状态检测防火墙也摒弃了包过滤防火墙仅考查数据包的 IP 地址等有限几个参数,而不关心数据包连接状态变化的缺点。
与过滤型类似,又称为动态过滤型技术,它增加了控制连接的能力,通过状态检测,当有新建的连接时,会要求与预先设置的规则相匹配,如满足要求,允许连接,并在内存中记录下该连接的信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。
状态检测防火墙的工作过程:
无论何时,当防火墙接收到一个初始化TCP连接的SYN包,这个带有SYN的数据包被防火墙的规则库检查。该包在规则库里依次序比较,如果在检查了所有的规则后,该包都没有被接受,那么拒绝该次连接。如果该包被接受,那么本次会话被记录到位于内核模式中的状态监测表里,这时需要设置一个时间溢出值。
随后的数据包(没有带有一个SYN标志)就和该状态监测表的内容进行比较。如果会话是在状态表内,而且该数据包是会话的一部分,该数据包被接受。如果不是会话的一部分,该数据包被丢弃。这种方式提高了系统的性能,因为每一个数据包不是和规则库比较,而是和状态监测表比较。只有在SYN的数据包到来时才和规则库比较。所有的数据包与状态检测表的比较都在内核模式下进行所以应该很快。
5、复合型防火墙
由于对更高安全性的要求,如仅仅使用某种单项技术来建立正确完整防火墙是不大可能达到企业所需的安全目标的。在实际的实施方案时,经常要用若干的技术混合的复合型防火墙方可解决面对的各种问题,即在现有防火墙产品和技术中,将包过滤技术和多种应用技术融合到一起,构成复合型防火墙体系。
复合型防火墙解决方案通常有如下两种:屏蔽主机防火墙体系结构和屏蔽子网防火墙体系结构。
6、屏蔽主机防火墙
屏蔽主机防火墙体系统结构由包过滤路由器和堡垒主机构成。实现了网络层安全(包过滤)和应用层安全(代理服务)。
对于这种防火墙系统,堡垒主机配置在内部网络上,而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置,由于内部主机与堡垒主机处于同一个网络,内部系统是否允许直接访问Internet,或者是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。在实际的应用中,为了增强安全性,一般堡垒主机应至少有两个网卡,这样可以物理的隔离子网。
优点:因为它实现了网络层安全(包过滤)和应用层安全(代理),因此安全等级比屏蔽路由器要高。
缺点:堡垒主机可能被绕过,堡垒主机与其他内部主机间没有任何保护网络安全的东西存在,一旦被攻破,内网就会暴露。
7、屏蔽子网防火墙
屏蔽子网防火墙体系统结构将堡垒机放在一个子网内,形成“非军事区(DMZ)”,两个分组过滤路由器(包过滤)放在子网的两端,使子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。
这个防火墙系统建立的是最安全的防火墙系统,因为在定义了“非军事区”(DMZ)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组、以及其它公用服务器放在DMZ网络中。
在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行信息传输是严格禁止的。
优点:
● 使得入侵更加困难,入侵者必须从外向内突破3个不同的设备才能侵袭内部网络:外部路由器,堡垒主机,还有内部路由器。 如果将内外路由器分别采用不同厂商的路由器,则入侵的难度还会加大。
● 内外网不能直接通信,由于外部路由器只能向Internet通告DMZ网络的存在,内部路由器也只向内部网络通告DMZ网络的存在,这样网络管理员就既可以保证内部对外网是“不可见”的,同样也就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。
● 更大的吞吐量,内部路由器在作为内部网络和Internet之间最后的防火墙系统时,能够支持比双宿堡垒主机更大的数据包吞吐量。
8、防火墙局限性
● 防火墙无法防范通过防火墙以外的其它途径的攻击。
● 也不能防范这样的攻击:伪装成超级用户或诈称新雇员的攻击。
● 防火墙不能有效地防范像病毒这类东西的入侵。对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,这就需要病毒防火墙了。
