防火墻技術(shù)的介紹
防火墻技術(shù)的介紹
網(wǎng)絡(luò)的快速發(fā)展給人們帶來了極大的方便,不出家門便可坐知天下事、完成相應(yīng)工作。同時(shí)因特網(wǎng)也面臨著空前的威脅,各類網(wǎng)絡(luò)違法案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。目前新一代的計(jì)算機(jī)病毒將具有更多智能化的特征。因此,如何使用有效可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范圍之內(nèi)越來越受到人們的關(guān)注。防火墻技術(shù)作為內(nèi)、外網(wǎng)之間的屏障,可以有效的防御網(wǎng)絡(luò)攻擊。因此探索防火墻技術(shù)及如何選用合適的防火墻是非常必要的。下面就由學(xué)習(xí)啦小編給大家說說防火墻的技術(shù)知識(shí)。
防火墻技術(shù)的介紹一:
1 網(wǎng)絡(luò)安全面臨的威脅
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自三個(gè)方面
1)計(jì)算機(jī)病毒。當(dāng)前,計(jì)算機(jī)病毒高達(dá)數(shù)萬種,病毒通過各種途徑進(jìn)入網(wǎng)絡(luò),破壞網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)不能正常工作甚至癱瘓。
2)黑客侵襲。黑客以非法的手段進(jìn)入網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源。 通過隱蔽通道進(jìn)行非法活動(dòng),通過匿名用戶破壞網(wǎng)絡(luò),通過網(wǎng)絡(luò)監(jiān)聽截取用戶名和密碼,非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù),突破防火墻等。
3)拒絕服務(wù)攻擊。強(qiáng)行占用系統(tǒng)資源,使系統(tǒng)無法完成正常的需求響應(yīng)。例如“點(diǎn)在郵件炸彈”,它的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī),網(wǎng)絡(luò)癱瘓。
針對(duì)各種網(wǎng)絡(luò)威脅,我們應(yīng)該采用相應(yīng)的安全技術(shù),例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)、文件系統(tǒng)安全等技術(shù)。
2 防火墻技術(shù)
2.1 防火墻的概念
防火墻是設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況, 以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng), 保證了內(nèi)部網(wǎng)絡(luò)的安全。
2.2 防火墻的分類
防火墻總的來說可以分為兩類:軟件防火墻和硬件防火墻。
軟件防火墻需要以一臺(tái)計(jì)算機(jī)為載體,通過在操作系統(tǒng)底層工作來實(shí)現(xiàn)網(wǎng)絡(luò)管理和防御的功能,有時(shí)也稱為“個(gè)人”防火墻,功能有限。
硬件防火墻集成了軟硬件功能,并且軟、硬件都單獨(dú)設(shè)計(jì),采用專用的網(wǎng)絡(luò)芯片處理數(shù)據(jù)包。有自己特定的系統(tǒng)平臺(tái),避免了通用操作系統(tǒng)的安全性漏洞。功能強(qiáng)大,目前已經(jīng)普遍使用。我們下面多說的防火墻都只硬防火墻。
2.3 硬防火墻技術(shù)
我們在使用防火墻是首先要考慮是使用硬、還是軟防火墻。硬件防火墻由于獨(dú)立的芯片,在性能和自身安全性方面都較軟件防火墻先進(jìn)許多,在資金允許的情況下,盡量選擇硬防火墻。對(duì)于硬防火墻根據(jù)采用的過濾技術(shù)可分為:
2.3.1 包過濾防火墻。包過濾防火墻是最簡單的一種防火墻,又分為動(dòng)態(tài)包過濾和靜態(tài)包過濾型防火墻。一般作用在網(wǎng)絡(luò)層,故也稱網(wǎng)絡(luò)層防火墻或IP過濾器。它工作在IP 層和TCP層,根據(jù)防火墻的規(guī)則表,來檢測攻擊行為。處理包的速度比應(yīng)用型防火墻快,且提供透明的服務(wù),用戶不用改變客戶端程序。但因只涉及到TCP層,因此提供的安全級(jí)別較低;而且不支持用戶認(rèn)證;不提供日志功能。目前在廣大中小型企業(yè)中應(yīng)用最廣,主要是價(jià)格便宜,性能也不錯(cuò)。安全性不足的缺點(diǎn)在這類企業(yè)中表現(xiàn)的不明顯。
2.3.2 應(yīng)用代理型防火墻。應(yīng)用代理型防火墻是目前最為主流的防火墻技術(shù),也是應(yīng)用最廣的防火墻類型。特別是在一些中型或中型以上的網(wǎng)絡(luò)中。有非常全面的安全防護(hù)技術(shù)和措施,可以為企業(yè)提供全方位的安全防護(hù)和管理,但價(jià)格比包過濾型要貴許多。明顯缺點(diǎn)是速度比包過濾型慢。
2.3.3 狀態(tài)包過濾型防火墻。這類防火墻屬于混合型防火墻,具有包過濾和應(yīng)用代理兩種技術(shù)的優(yōu)勢。傳輸速率和安全性得到進(jìn)一步提高。尚處于發(fā)展之中,只是一些較大型企業(yè)或應(yīng)用復(fù)雜的網(wǎng)絡(luò)中采用,如WEB服務(wù)器、數(shù)據(jù)庫應(yīng)用、電子商務(wù)應(yīng)用等。
2.4 防火墻使用參考
2.4.1 小型辦公和家用網(wǎng)絡(luò)。小型辦公和家用網(wǎng)絡(luò)(small office home office.SOHO)要管理的用戶和機(jī)器比較少,且只需要訪問極少量的網(wǎng)絡(luò)服務(wù),如電子郵件、web以及有時(shí)需要的流媒體。在這種情況下,簡單的數(shù)據(jù)包過濾防火墻就可以了。現(xiàn)在大部分的SOHO路由器都具有防火墻、、地址映射、端口映射、DHCP服務(wù)、自動(dòng)撥號(hào)、支持虛擬服務(wù)器以及動(dòng)態(tài)DNS功能。
華為Quidway R1600,清華同方D-link、Netgear,3Com等公司的寬帶路由。Cisco和check point也提供小型辦公版本的PIX和FireWall-1,但價(jià)格要高一些。
2.4.2 中小企業(yè)網(wǎng)絡(luò)。中小型企業(yè)網(wǎng)絡(luò)以及遠(yuǎn)程辦公環(huán)境需要提供WEB服務(wù)、電子郵件、流媒體以及文件傳輸和終端訪問。防火墻多考慮高容量、高速度、低延時(shí)、高可靠性以及防火墻本身的健壯性,并且開始支持雙機(jī)熱備份。
東軟NetEye、WatchGuard Firebox、和SonicWall等產(chǎn)品比較適合這種場合。
2.4.3 大型網(wǎng)絡(luò)。大型企業(yè)、校園網(wǎng)和服務(wù)提供商面對(duì)的是復(fù)雜的大型環(huán)境,擁有眾多用戶并提供眾多復(fù)雜服務(wù),有些服務(wù)看似簡單,但需要防護(hù)墻開發(fā)多個(gè)端口,如:VoIP和NetMeeting,這兩種服務(wù)都需要為25種以上的不同服務(wù)開放端口。固在復(fù)雜的網(wǎng)絡(luò)中,應(yīng)該使用支持集中式防火墻管理和配置功能的防火墻。如:Cisco PIX、Check Point FireWall-1和NetScreen等。
3 總結(jié)
防火墻在網(wǎng)絡(luò)安全中的重要性是眾所周知的,選擇合適的防火墻是在組建網(wǎng)絡(luò)時(shí)應(yīng)首先考慮的問題。但我們要明白盡管利用防火墻可以保護(hù)內(nèi)部網(wǎng)免受外部黑客的攻擊,但其只能提高網(wǎng)絡(luò)的安全性,不可能保證網(wǎng)絡(luò)的絕對(duì)安全。
防火墻技術(shù)的介紹二:
一、防火墻定義
防火墻是近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,是組建安全網(wǎng)絡(luò)的重要組成部分。它是局域網(wǎng)和國際互連網(wǎng)(Intemet)之間的一道安全屏障,能夠阻止對(duì)信息資源的非法訪問。它是用一個(gè)或者一組網(wǎng)絡(luò)設(shè)備將兩個(gè)網(wǎng)絡(luò)連接在一起,用于檢測和控制兩個(gè)網(wǎng)絡(luò)之間的通信流,根據(jù)對(duì)流經(jīng)的信息包的合法性判斷,實(shí)現(xiàn)對(duì)重要信息資源的訪問控制,達(dá)到保護(hù)信息系統(tǒng)安全的目標(biāo)。防火墻是一種被動(dòng)防御技術(shù),它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù),對(duì)來自于
內(nèi)部的非法訪問難以實(shí)現(xiàn)有效的控制。防火墻在網(wǎng)絡(luò)中的邏輯位置如圖1所示。
二、防火墻的基本功能
設(shè)立防火墻的目的就是要保護(hù)一個(gè)網(wǎng)絡(luò)不被另一個(gè)網(wǎng)絡(luò)攻擊,對(duì)網(wǎng)絡(luò)的保護(hù)通常包括幾個(gè)工作:拒絕未經(jīng)授權(quán)的用戶訪問、阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)、允許合法的用戶無障礙訪問想要的資源。防火墻的主要功能體現(xiàn)在以下幾個(gè)方面:
1、防火墻作為網(wǎng)絡(luò)安全的屏障
防火墻可以很好的增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性能,能夠過濾不安全的服務(wù),從而降低了系統(tǒng)風(fēng)險(xiǎn)。只有經(jīng)過防火墻許可的流量才能通過防火墻,防火墻同時(shí)具有保護(hù)網(wǎng)絡(luò)免受某些基于路由攻擊的能力,如源路由攻擊和基于ICMP重定向中的重定向攻擊。
2、對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)
防火墻能夠記錄下所有流經(jīng)防火墻的訪問,同時(shí)可以得出日志記錄,還能夠?qū)W(wǎng)絡(luò)的使用情況進(jìn)行統(tǒng)計(jì),對(duì)可疑的操作,防護(hù)墻能及時(shí)的報(bào)警并提供相應(yīng)的信息,如是否受到監(jiān)測和攻擊。
3、防止內(nèi)部信息的對(duì)外泄漏
內(nèi)部網(wǎng)絡(luò)的劃分可依據(jù)防火墻進(jìn)行,以實(shí)現(xiàn)隔離內(nèi)部重點(diǎn)網(wǎng)段,以便減少局部重點(diǎn)或敏感網(wǎng)絡(luò)安全對(duì)全局的影響。內(nèi)部網(wǎng)絡(luò)中的一個(gè)忽略的小細(xì)節(jié)可能被外部攻擊者發(fā)現(xiàn)并加以利用,也會(huì)給內(nèi)部網(wǎng)絡(luò)的帶來極大的安全風(fēng)險(xiǎn),增加全局網(wǎng)絡(luò)的安全負(fù)擔(dān)。使用防火墻就可以隱蔽那些容易透露內(nèi)部細(xì)節(jié)的服務(wù),如Finger和DNS等服務(wù)。
4、可以作為部署NAT的地點(diǎn)
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是一種將私有地址轉(zhuǎn)化為合法IP地址的技術(shù),它被廣泛應(yīng)用于各種類型的Interne接入。NAT技術(shù)能夠很好的解決IP地址的不足的問題,還能夠隱藏內(nèi)部主機(jī)的IP地址,避免受到來自網(wǎng)絡(luò)外部的攻擊。
三、防火墻分類
防火墻的實(shí)現(xiàn)方式多種多樣,從實(shí)現(xiàn)技術(shù)力一式劃分防火墻主要分為數(shù)據(jù)包過濾、應(yīng)用代理、狀態(tài)檢測等幾種。
1、包過濾技術(shù)
包過濾作用在網(wǎng)絡(luò)層和傳輸層,對(duì)流經(jīng)防火墻的數(shù)據(jù)包依據(jù)系統(tǒng)設(shè)置的過濾規(guī)則進(jìn)行檢查和選擇。TCP/IP協(xié)議通信的數(shù)據(jù)包可分為數(shù)據(jù)和包頭兩部分,根據(jù)包頭源地址、目的地址、端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過,只有滿足過濾規(guī)則的數(shù)據(jù)包才能被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被丟棄,數(shù)據(jù)包過濾時(shí)按順序進(jìn)行檢查,直到有規(guī)則匹配為止。實(shí)際實(shí)現(xiàn)了內(nèi)部主機(jī)允許直接訪問外網(wǎng),而外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)則要受到限制。
包過濾技術(shù)具有速度快、效率高的優(yōu)點(diǎn),并且對(duì)用戶透明,對(duì)網(wǎng)絡(luò)的性能影響不大,適合于應(yīng)用環(huán)境簡單的網(wǎng)絡(luò)環(huán)境。但由于其工作在網(wǎng)絡(luò)層和傳輸層,它過濾的信息是有限的,很多安全要求不能得到滿足,隨著規(guī)則數(shù)目的增加,會(huì)降低網(wǎng)絡(luò)的性能。
2、應(yīng)用代理型防火墻
應(yīng)用代理型防火墻作用在應(yīng)用層,它完全隔離了網(wǎng)絡(luò)的通信流,對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的功能??蛻魴C(jī)和服務(wù)器之間的數(shù)據(jù)交流被代理服務(wù)器完全阻擋,當(dāng)終端需要數(shù)據(jù)時(shí),先將請求發(fā)給代理,由代理向服務(wù)器發(fā)送請求,同樣由代理向終端返回?cái)?shù)據(jù),這種情況下,內(nèi)外主機(jī)之間沒有直接的數(shù)據(jù)通道,阻斷了外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)的侵入。
該種類型的防火墻具有較好的安全性能,工作在051的最高層,起著監(jiān)視和隔絕應(yīng)用層通信流的作用。這種類型往往會(huì)增加系統(tǒng)管理的復(fù)雜性,降低系統(tǒng)的整體性能。
3、狀態(tài)檢測技術(shù)
狀態(tài)檢測防火墻采用了狀態(tài)檢測包過濾技術(shù),在網(wǎng)絡(luò)層有一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取與應(yīng)用層狀態(tài)有關(guān)的信息,并以此為依據(jù)決定該連接是接受還是拒絕,該種技術(shù)提供了高度安全的解決方案,具有較好的適應(yīng)性和擴(kuò)展性。該種防火墻摒棄了包過濾防火墻僅檢查輸入網(wǎng)絡(luò)的數(shù)據(jù)包,而不關(guān)心數(shù)據(jù)包連接狀態(tài)的缺點(diǎn),在防火墻的核心建立狀態(tài)連接表,在對(duì)數(shù)據(jù)包進(jìn)行檢查時(shí),除了依據(jù)規(guī)則表,也會(huì)將數(shù)據(jù)包能否符合會(huì)話所處的狀態(tài)考慮進(jìn)來,因此提供了完整的對(duì)傳輸層的控制能力。狀態(tài)檢測防火墻工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之問,確保了截取和檢查所有通過網(wǎng)絡(luò)的原始數(shù)據(jù)包。它工作在較低層,但是它能夠檢測所有應(yīng)用層的數(shù)據(jù)包,從中提取有用信息,如IP地址、端口號(hào)、數(shù)據(jù)內(nèi)容等,使得安全性得到很大提高;狀態(tài)檢測防火墻和應(yīng)用代理防火墻不同,它不需要為每個(gè)應(yīng)用都建立一個(gè)服務(wù)程序,只是根據(jù)從數(shù)據(jù)包中提取出的信息、對(duì)應(yīng)的安全策略及過濾規(guī)規(guī)處理數(shù)據(jù)包,具有很好的伸縮性和擴(kuò)展性。
防火墻是現(xiàn)今廣泛采用的計(jì)算機(jī)安全技術(shù)之一。對(duì)于防火墻的應(yīng)用,能夠更加有效的保證網(wǎng)絡(luò)的安全使用。