信息安全學(xué)結(jié)6-防火墻概述.doc

（六）防火墻概述作者：山石1. 防火墻的概念防火墻（Firewall）是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊的網(wǎng)絡(luò)互連設(shè)備，是一種非常有效的網(wǎng)絡(luò)安全模型。核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。目的是為了在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。防火墻可在鏈路層、網(wǎng)絡(luò)層和應(yīng)用層上實(shí)現(xiàn)，其功能的本質(zhì)特征是隔離內(nèi)外網(wǎng)絡(luò)和對(duì)進(jìn)出信息流實(shí)施訪問(wèn)控制。隔離方法可以是基于物理的，也可以是基于邏輯的。從網(wǎng)絡(luò)防御體系上看，防火墻屬于一種被動(dòng)防御的保護(hù)裝置。2. 防火墻的功能l 網(wǎng)絡(luò)安全的屏障l 過(guò)濾不安全的服務(wù)（內(nèi)部提供的和內(nèi)部訪問(wèn)外部的不安全服務(wù)）l 阻斷特定的網(wǎng)絡(luò)攻擊（聯(lián)動(dòng)技術(shù)的產(chǎn)生）l 部署NAT機(jī)制（Network Address Translation 網(wǎng)絡(luò)地址裝換）l 提供了監(jiān)視局域網(wǎng)安全和預(yù)警的方便端點(diǎn)。提供包括安全和統(tǒng)計(jì)數(shù)據(jù)在內(nèi)的審計(jì)數(shù)據(jù)，好的防火墻還能靈活設(shè)置各種報(bào)警方式。3. 防火墻的分類3.1. 個(gè)人防火墻個(gè)人防火墻是在操作系統(tǒng)上運(yùn)行的軟件，可為個(gè)人計(jì)算機(jī)提供簡(jiǎn)單的防火墻功能。位置是安裝在個(gè)人PC上，而不是放置在網(wǎng)絡(luò)邊界。因此，個(gè)人防火墻關(guān)心的不是一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)的安全，而是單個(gè)主機(jī)和與之相連接的主機(jī)或網(wǎng)絡(luò)之間的安全，考慮的并不是兩個(gè)網(wǎng)絡(luò)之間的安全問(wèn)題，與邊界防火墻不同。3.2. 軟件防火墻作為網(wǎng)絡(luò)防火墻的軟件防火墻具有比個(gè)人防火墻更強(qiáng)的控制功能和更高的性能。不僅支持Windows系統(tǒng)，并且多數(shù)還支持Unix或Linux系統(tǒng)。個(gè)人防火墻也是一種純軟件的防火墻，但其應(yīng)用范圍較小，且只支持Windows系統(tǒng)，功能相對(duì)來(lái)說(shuō)要弱很多，并且安全性和并發(fā)連接處理能力較差。3.3. 一般硬件防火墻這里說(shuō)的一般硬件防火墻，之所以加上一般二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到OS（操作系統(tǒng)）本身的安全性影響。 一般硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見(jiàn)四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。一般都采用PC架構(gòu)（就是一臺(tái)嵌入式主機(jī)），但使用的各個(gè)配件都量身定制。一般由小型的防火墻廠商開發(fā)，或者是大型廠商開發(fā)的中低端產(chǎn)品，應(yīng)用于中小型企業(yè)，功能比較全，但性能一般。3.4. 芯片級(jí)防火墻采用專用芯片（非X86芯片）來(lái)處理防火墻核心策略的一種硬件防火墻，也稱為芯片級(jí)防火墻。一般采用專用集成電路（ASIC）芯片或者網(wǎng)絡(luò)處理器（NP）芯片，專有芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。芯片級(jí)防火墻基于專門的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。采用ASIC芯片的方法在國(guó)外比較流行,技術(shù)也比較成熟,做這類防火墻最出名的廠商有Net Screen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)）,因此防火墻本身的漏洞比較少，不過(guò)價(jià)格相對(duì)比較高昂。3.5. 分布式防火墻前面提到的幾種防火墻都屬于邊界防火墻（Perimeter Firewall），它無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)有效的保護(hù)。隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高，產(chǎn)生了一種新型的防火墻體系結(jié)構(gòu)分布式防火墻。分布式防火墻由安全策略管理服務(wù)器Server以及客戶端防火墻Client組成.客戶端防火墻工作在各個(gè)從服務(wù)器、工作站、個(gè)人計(jì)算機(jī)上，根據(jù)安全策略文件的內(nèi)容，依靠包過(guò)濾、特洛伊木馬過(guò)濾和腳本過(guò)濾的三層過(guò)濾檢查，保護(hù)計(jì)算機(jī)在正常使用網(wǎng)絡(luò)時(shí)不會(huì)受到惡意的攻擊，提高了網(wǎng)絡(luò)安全性。而安全策略管理服務(wù)器則負(fù)責(zé)安全策略、用戶、日志、審計(jì)等的管理。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負(fù)責(zé)管理系統(tǒng)日志、多主機(jī)的統(tǒng)一管理，使終端用戶“零”負(fù)擔(dān)。4. 防火墻的局限性（1）網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價(jià)的。防火墻的使用也會(huì)削弱網(wǎng)絡(luò)的功能：l 由于防火墻的隔離作用，在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時(shí)使它與外部網(wǎng)絡(luò)的信息交流受到阻礙。l 由于在防火墻上附加各種信息服務(wù)的代理軟件，增大了網(wǎng)絡(luò)管理開銷，還減慢了信息傳輸速率，在大量使用分布式應(yīng)用的情況下，使用防火墻是不切實(shí)際的。（2）防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬(wàn)無(wú)一失：l 只能防范經(jīng)過(guò)其本身的非法訪問(wèn)和攻擊，對(duì)繞過(guò)防火墻的訪問(wèn)和攻擊無(wú)能為力l 不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊