第一次亲密接触网络防火墙

⊕ 网站首页 ⊕注册会员 ⊕ 本站免费电影 ⊕ 留言板 ⊕ 繁體中文

您现在的位置：陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文

专题栏目

最新热门

最新推荐

相关文章

QQ2009 Beta 1 第一时间
 搜狗输入法4.0 十亿人名
 网友竞逐音频播放器“第
 目前为止最大的一次更新
 DX10.1是DX10的最后一次
 用QQ一次发送多个文件给
 第一次被表白，竟然是个
 女学生第一次去公共浴室
 某女生写给男友的天下第
 爆笑：大学女生第一次看

第一次亲密接触网络防火墙

第一次亲密接触网络防火墙

作者：陈鹏文章来源：eNet 点击数：更新时间：2009-9-11 23:13:04

随着Internet的普及，触网的企业是与日俱增，但是网上黑客猖獗，一旦企业内部网连上Internet之后，如果你不采取任何安全措施，就会裸露在外、任人宰割，所以网络安全最首要的任务，就是如何防止黑客通过Internet非法入侵，于是防火墙技术就应运而生了。

　　一、防火墙是什么？

　　众所周知，Internet上信息传输的基本单位是数据包，所有的Internet通信都是通过数据包交换来完成的，而每个数据包都包含一个目标IP地址、端口号，以及源IP地址和端口号，其中IP地址与Internet上一台电脑对应，而端口号则和机器上的某种服务或会话相关联。

　　防火墙（下图1）就是用一段"代码墙"把电脑和Internet分隔开，它时刻检查出入防火墙的所有数据包，决定拦截或是放行这个包。通俗地讲，防火墙就象是设在局域网与外界之间的哨卡，所有出入网络的信息都要途经防火墙，接受防火墙的“盘查”，防火墙只会给“榜上有名”的数据“放行”。

　　

　　防火墙可以是一种硬件、固件或者软件，例如专用防火墙设备、就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而代理服务器等软件就是软件形式的防火墙。

　　二、使用防火墙的优越性

　　防火墙作为屏障，可以时刻抗击来自各种线路的攻击，阻止非法用户侵入内部网，限定局域网访问WEB站点和Internet服务权限；时刻监视网络安全，受到攻击时产生报警；对通过的信息记录在册、使我们对黑客的攻击能“有案可查”；防火墙一般有路由器功能，采用的NAT（网络地址转换）技术可使整个局域网对外只占用一个IP地址，节约了IP地址资源；防火墙还可以记录整个局域网的上网流量，据此查出带宽瓶颈、记录上网连接的费用情况。

　　三、防火墙的种类

　　防火墙从诞生到现在，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。

　　如果从结构上来分，防火墙有两种：即代理主机结构和路由器+过滤器结构，后一种结构如下所示：内部网络<----->过滤器(Filter)<---->路由器(Router)<---->Internet

　　如果从原理上来分，防火墙则可以分成4种类型：特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”。

　　1、特殊设计的硬件防火墙

　　这种防火墙基于硬件、性能最强，是防火墙中的“极品”，一般采用专门芯片。它采用的技术称为“状态检查”：与包过滤类似、首先在网络层拦截数据包，然后检查数据包，把该数据包与良性数据包已知状态进行比较，放过合格的数据包。典型产品有Cisco公司的Pix Firewall、美国NetScreen-100硬件防火墙等。

　　这种防火墙速度极快，大大快于其他类型防火墙，常用于对速度和安全性要求高的场合，例如保护和隔离局域网内某服务器。它安全性能最好，采用举世无双的安全算法，能对黑客完全隐藏IP地址，让你连攻击的目标都找不到！而且还能支持所有的Internet服务，有记录、核对功能，配置方便（一般几分钟完成），不要求日常管理。不过因为性能超群，其价格一般较贵。

　　2、电路层网关

　　电路层网关是一种仅依赖于TCP连接、简单进行中继的硬件设备，并不对通过的信息进行任何审查、过滤或协议管理，其主要作用是隐藏内部要保护网络的IP地址等信息，一般被安装在代理服务器与内部网主机之间，使代理服务器增强为混合网关。它对进入网络的信息进行应用层安全检查或代理服务，而让内部网透明访问Internet，如果你要求内部不能泄密、就不能安装它。

　　3、包过滤型防火墙（固件防火墙）

　　包过滤型防火墙（如下图2）是嵌有防火墙固件的路由器，可以对数据包进行过滤。它在OSI的3、4层按事先定好的过滤条件对数据包中信息（源地址、目的地址、所用端口等）进行检查，让合格的数据通过，过滤分为与服务相关与无关两种方式。

　　与服务相关的过滤能据特定服务控制数据的流动。例如Telnet服务器在TCP的23号端口监听远端连接，如果要阻塞Telnet服务，只需把包过滤路由器设置成丢弃所有TCP端口号=23的数据包。与服务无关的过滤可以抵御源IP地址欺骗、源路由、极小数据段式攻击，这几种攻击都很难用基本的包头信息来识别，因为它们都与服务无关。

　　包过滤型防火墙可以实现网络层安全，对用户和应用透明。通过它的信息都无需先进行用户名、口令的登录，由于它对流量的影响较小，在使用时你不会感到它的存在。它配置简单方便、价格低廉，一般用于局域网的第一道防线。

　　4、应用级网关（即代理服务器/软件防火墙）

　　应用层网关（下图2），又称“代理服务器”，其上运行代理服务器软件，是一种软件防火墙，可以定义比包过滤防火墙更严格的安全策略。

　　第一次亲密接触防火墙

　　与包过滤路由器不同，代理服务器允许信息内外流动、但不允许直接交换数据包。代理服务器在提供代理服务前一般都要求附加认证、且每种代理在用户访问前一般都要授权，通过配置代理来限制外界对内部网的访问。如果网管没有为某种应用安装代理程序，则该项服务就不会支持且不能通过防火墙系统转发，在代理服务器上安装有限的代理服务，可以减少攻击。

　　代理服务器提供的审计、记录功能是发现和终止黑客攻击的有力武器；在代理服务器上任何代理发生问题、或出现脆弱性，只需简单的卸出、而不会影响其它代理的工作；代理服务除读取初始化配置文件外、一般不进行磁盘操作、这使得黑客很难在代理服务器上安装特洛伊马等危险程序。

　　四、防火墙技术管窥

　　1、包过滤技术

　　包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

　　包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。使用包过滤技术时，要特别注意一般应用的数据通信大多都是双向的，在设置过滤规则时必须予以考虑。

　　2、状态检测

　　状态检测与包过滤相类似的，是更为有效的安全控制方法。对于新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。

　　状态检测的优点是：由于不需要对每个数据包进行规则检查，而是对一个连接的后续数据包通过散列算法、直接进行状态检查，从而使得性能得到了较大提高；而且由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。此外，部分状态检测型防火墙还支持多种用户认证方式，提供了应用级的安全认证手段，增加了某些应用的代理功能，使得安全控制力度更为细致。

　　3、代理服务

　　代理服务是运行于内部网络与外部网络之间的主机上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序进行连接映射。由于代理机制完全阻断了内部网络与外部网络的直接联系，保证了内部网络拓扑结构等重要信息被限制在代理网关内侧，不会外泄，从而减少了黑客攻击时所需的必要信息。

　　缺点：代理服务器的应用也受到诸多限制。例如当一项新的应用加入时，如果代理服务程序不予支持，则此应用不能使用；其次代理服务器的处理性能也远不及状态检测高。

　　五、防火墙的选购

　　1、按需选购

　　选购时首先要弄清楚这款防火墙具有哪些功能，然后根据你需要的功能来选择防火墙产品。通常一个防火墙产品应有以下的基本功能：

　　◆先进的认证手段或挂钩程序，可以安装认证方法；

　　◆能运用过滤技术允许和禁止服务，集中和过滤拨入访问，可以根据数据包的性质（例如目标/源IP地址、协议类型、源/目的TCP/UDP端口等）进行包过滤；拥有界面友好、易于编程的IP过滤语言。

　　◆支持FTP和Telnet等服务代理，包含NNTP、XWindow、HTTP和Gopher等代理服务程序

　　◆具有精简日志的能力，可以记录网络流量和可疑的活动。

　　许多企业对有防火墙会有特殊的要求，例如有的希望防火墙应该有网络地址转换功能(NAT，隐藏网络的IP，使黑客无法直接攻击)、双重DNS、虚拟专用网络(VPN)、特殊控制需求等功能，这时候你就应该选择满足上述要求的防火墙。

　　2、安全检查功能完备的

　　优秀的防火墙应该为用户提供完整的安全检查功能，为用户管理时记录、改进和追踪等等安全操作提供便利，因为防火墙并不能有效地杜绝所有的恶意封包，例如用合法掩护非法的情形仍需用户自己去发现，这时候一个完备的安全检查功能就显得很重要了。

　　3、使用要方便的

　　优秀的防火墙，应该管理和使用极其容易，建议选购使用方便的防火墙。例如一个防火墙如果有设定困难、需要具备完整知识、不易除错等缺点，就会给用户带来负担，也增加了管理防火墙的工作量。

　　4、自身安全措施完备的

　　由于防火墙也是网络上的主机，因此其自身也存在着安全问题，如果防火墙连自身安全都不能保证，那么即使它的控制功能极强，也不可能保证网络的安全。建议选购自身安全保护措施完备的产品。由于防火墙主机上要先运行操作系统，然后才执行防火墙软件，所以操作系统的安全决定了防火墙本身是否安全，优秀的防火墙通常都会堵住操作系统上的各种安全隐患，弥补操作系统的各种不足。

　　最后应该选购售后服务完善的防火墙，因为新产品的安全性也只是相对的，时间一长就会有人研究新的破解方法，所以好的防火墙产品还应该拥有完善及时的售后服务体系，保证用户能及时堵住新的安全漏洞。

　　六、常见防火墙产品介绍

　　目前防火墙产品在网络安全产品中，算得上琳琅满目的一种，它主要分为基于代理服务方式和基于状态检测方式两大类，下面我们来简单介绍几种常见的产品：

　　1、Firewall-1 (CheckPoint)

　　这是最为流行一种防火墙，属于Unix、WinNT平台上的软件防火墙，状态检测型的，支持网络地址翻译（NAT）、流量分担、VPN、加密认证等功能。其综合性能较为优秀，因为首先其安全控制力度很高，可以进行基于内容的安全检查（例如对URL进行控制）；对某些应用，它甚至可以限制可使用的命令（如FTP）。其次，它不仅可以基于地址、应用设置过滤规则，而且还提供了多种用户认证机制，如User Authentication、Client Authentication和Session Authentication，使安全控制方式更趋灵活。再次，Firewall-1是一个开放的安全系统，提供了API，用户可以根据需要配置安全检查模块，如病毒检查模块，而且还提供了可安装在Bay路由器、Lannet交换机的防火墙模块。

　　由于Firewall-1采用状态检测方式，因而处理性能也较高，对于10BaseT接口，完全可以达到线速，号称可达80Mbps。此外，Firewall-1的用户管理方式也很优秀，用户可以通过GUI同防火墙管理模块通信，维护安全规则；而防火墙管理模块则负责编译安全规则，并下载到各个防火墙模块中。对于用户而言，管理线条十分清晰，不易疏漏，修改方便。同时Firewall-1管理界面的功能丰富，不仅可以对AXENT Raptor、Cisco PIX等防火墙进行管理，还可以在管理界面中对Bay、Cisco、3Com等公司的路由器进行ACL设置。

　　Firewall-1存在的问题主要是其底层操作系统对路由的支持，以及不具备ARP Proxy等方面，特别是后者，在做地址转换（NAT）时，不仅要配置防火墙，还要对操作系统的路由表进行修改，大大增加了NAT配置的复杂程度。

　　2、PIX (Cisco)

　　PIX是典型的网络层包过滤专用防火墙，属于硬件防火墙，状态检测型的，支持网络地址翻译（NAT），在国内的163/169网络上面应用很多。由于它采用了专用的操作系统，因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言，PIX是同类产品中最好的，对100BaseT可达线速。因此，对于数据流量要求高的场合，如大型的ISP，应该是首选。

　　Cisco公司同样提供了集中式的防火墙管理工具Cisco Security Policy Manager，可以通过命令行方式或是基于Web的命令行方式对PIX进行配置，但这种方式不支持集中管理模式，必须对每台设备单独进行配置。而且，配置复杂的过滤规则是相当麻烦的。

　　缺点是：对其他厂商产品的支持、日志管理、事件管理等方面没有Check Point防火墙管理模块那么强劲；没有能力防御应用层的攻击、无法进行内容过滤，例如Java、ActiveX以及病毒过滤等。

　　3、AXENT Raptor

　　与Firewall-1和PIX不同，Raptor完全是基于代理技术的软件防火墙，它是代理服务型防火墙中的佼佼者。这主要体现在，相对于其他代理型防火墙而言，可支持的应用类型多；相对于状态检测型防火墙而言，由于所采用的技术手段不同，使得Raptor在安全控制的力度上较上述产品更加细致。 Raptor防火墙管理界面也相当简单，甚至可以对NT服务器的读、写操作进行控制，并对SMB（Server Message Block）进行限制。对Oracle数据库，Raptor还可以作为SQL Net的代理，从而对数据库操作提供更好的保护。

　　缺点：由于Raptor防火墙所采用的技术，决定了其处理性能较前面两种防火墙低。而且对用户新增的应用，如果没有相应的代理程序，就不可能透过防火墙。

　　4、NetScreen

　　NetScreen独特之处是流量控制及实时监控流量控制功能，为网络管理员提供了全部监测和管理网络的信息，诸如DMZ，服务器负载平衡和带宽优先级设置等先进功能，它能同时响应高达5，000条防火墙策略规则，以及VPN加密（IPSec）VPN IPSEC，DES，Triple DES ，而且支持透明的无IP地址设置。

【责任编辑张洪】

文章录入：陈鹏责任编辑：陈鹏

上一篇文章： Iris网络嗅探器使用与技巧

下一篇文章：多系统共用一个瑞星杀毒软件

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】