|
|
|
防火墙是指建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全的和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。由于防火墙是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制,防火墙适合于相对独立的网络。
|
|
|
|
实现防火墙的产品主要有两大类:一类是网络级防火墙,另一类是应用级防火墙。
|
|
|
|
|
|
网络级防火墙也称为过滤型防火墙,事实上是一种具有特殊功能的路由器,采用报文动态过滤技术,能够动态地检查流过的TCP/IP报文或分组头,根据企业所定义的规则,决定禁止某些报文通过或者允许某些报文通过,允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。
|
|
|
|
状态检测防火墙又称动态包过滤,是在传统包过滤上的功能扩展。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时也具有较好的性能、适应性和可扩展性。
|
|
|
|
状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚拟连接,当反向应答分组送达时,就认为一个虚拟连接已经建立。
|
|
|
|
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的,过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到地址欺骗型攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
|
|
|
|
|
|
应用级防火墙也称为应用网关型防火墙,目前已大多采用代理服务机制,即采用一个网关来管理应用服务,在其上安装对应于每种服务的特殊代码(代理服务程序),在此网关上控制与监督各类应用层服务的网络连接。例如对外部用户(或内部用户)的FTP、TELNET、SMTP等服务请求,检查用户的真实身份、请求合法性和源与目的地IP地址等,从而由网关决定接受或拒绝该服务请求,对于可接受的服务请求由代理服务机制连接内部网与外部网。代理服务程序的配置由企业网络管理员所控制。
|
|
|
|
目前常用的应用级防火墙大至上有4种类型,分别适合于不同规模的企业内部网:双穴主机网关、屏蔽主机网关、屏蔽子网关和应用代理服务器。一个共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。
|
|
|
|
(1)双穴主机(dual-homeD)网关:由堡垒主机作为应用网关,其中装有两块网卡分别连接外因特网和受保护的内部网,该主机运行防火墙软件,具有两个IP地址,并且能隔离内部主机与外部主机之间的所有可能连接。
|
|
|
|
(2)屏蔽主机(screened host)网关:也称甄别主机网关。在外部Internet与被保护的企业内部网之间插入了堡垒主机和路由器,通常是由IP分组过滤路由器去过滤或甄别出可能的不安全连接,再把所有授权的应用服务连接转向应用网关的代理服务机制。
|
|
|
|
(3)屏蔽子网(screened subnet)网关:也称甄别子网网关,适合于较大规模的网络使用。即在外部因特网与被保护的企业内部网之间插入了一个独立的子网,例如在子网中有两个路由器和一台堡垒主机(其上运行防火墙软件作为应用网关),内部网与外部网的一方各有一个分组过滤路由器,可根据不同甄别规则接受或拒绝网络通信,子网中的堡垒主机(或其他可供共享的服务器资源)是外部网与内部网都可能访问的唯一系统。
|
|
|
