詳細解讀硬件防火墻的原理以及其與軟件防火墻的區(qū)別.doc

硬件防火墻的原理至于價格高，原因在于，軟件防火墻只有包過濾的功能，硬件防火墻中可能還有除軟件防火墻以外的其他功能，例如CF（內容過濾）IDS（入侵偵測）IPS（入侵防護）以及VPN等等的功能。 也就是說硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負擔，使路由更穩(wěn)定。 硬件防火墻是保障內部網(wǎng)絡安全的一道重要屏障。它的安全和穩(wěn)定，直接關系到整個內部網(wǎng)絡的安全。因此，日常例行的檢查對于保證硬件防火墻的安全是非常重要的。 系統(tǒng)中存在的很多隱患和故障在暴發(fā)前都會出現(xiàn)這樣或那樣的苗頭，例行檢查的任務就是要發(fā)現(xiàn)這些安全隱患，并盡可能將問題定位，方便問題的解決。 （1）包過濾防火墻 包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有一定的缺陷，因為系統(tǒng)對應用層信息無感知，也就是說，防火墻不理解通信的內容，所以可能被黑客所攻破。 圖1：包過濾防火墻工作原理圖 （2）應用網(wǎng)關防火墻 應用網(wǎng)關防火墻檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網(wǎng)絡的安全性。然而，應用網(wǎng)關防火墻是通過打破客戶機/服務器模式實現(xiàn)的。每個客戶機/服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網(wǎng)關防火墻具有可伸縮性差的缺點。（圖2） 圖2：應用網(wǎng)關防火墻工作原理圖 （3）狀態(tài)檢測防火墻 狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包，不關心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。（圖3） 圖3：狀態(tài)檢測防火墻工作原理圖 （4）復合型防火墻 復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡流量里的攻擊，在網(wǎng)絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現(xiàn)了網(wǎng)絡與信息安全的新思路。它在網(wǎng)絡邊界實施OSI第七層的內容掃描，實現(xiàn)了實時在網(wǎng)絡邊緣布署病毒防護、內容過濾等應用層服務措施。（圖4） 3、四類防火墻的對比 包過濾防火墻：包過濾防火墻不檢查數(shù)據(jù)區(qū)，包過濾防火墻不建立連接狀態(tài)表，前后報文無關，應用層控制很弱。 應用網(wǎng)關防火墻：不檢查IP、TCP報頭，不建立連接狀態(tài)表，網(wǎng)絡層保護比較弱。 狀態(tài)檢測防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報文相關，應用層控制很弱。 復合型防火墻：可以檢查整個數(shù)據(jù)包內容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡層保護強，應用層控制細，會話控制較弱。 4、防火墻術語 網(wǎng)關：在兩個設備之間提供轉發(fā)服務的系統(tǒng)。網(wǎng)關是互聯(lián)網(wǎng)應用程序在兩臺主機之間處理流量的防火墻。這個術語是非常常見的。 DMZ非軍事化區(qū)：為了配置管理方便，內部網(wǎng)中需要向外提供服務的服務器往往放在一個單獨的網(wǎng)段，這個網(wǎng)段便是非軍事化區(qū)。防火墻一般配備三塊網(wǎng)卡，在配置時一般分別分別連接內部網(wǎng)，internet和DMZ。 吞吐量：網(wǎng)絡中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成，防火墻對每個數(shù)據(jù)包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火墻的數(shù)據(jù)包數(shù)量。這是測量防火墻性能的重要指標。 最大連接數(shù)：和吞吐量一樣，數(shù)字越大越好。但是最大連接數(shù)更貼近實際網(wǎng)絡情況，網(wǎng)絡中大多數(shù)連接是指所建立的一個虛擬通道。防火墻對每個連接的處理也好耗費資源，因此最大連接數(shù)成為考驗防火墻這方面能力的指標。 數(shù)據(jù)包轉發(fā)率：是指在所有安全規(guī)則配置正確的情況下，防火墻對數(shù)據(jù)流量的處理速度。 SSL：SSL（Secure Sockets Layer）是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，當前版本為3.0。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。 網(wǎng)絡地址轉換：網(wǎng)絡地址轉換（NAT）是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態(tài)網(wǎng)絡地址轉換、動態(tài)網(wǎng)絡地址轉換、網(wǎng)絡地址及端口轉換、動態(tài)網(wǎng)絡地址及端口轉換、端口映射等。NAT常用于私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NAT后，可以隱藏受保護網(wǎng)絡的內部拓撲結構，在一定程度上提高網(wǎng)絡的安全性。如果反向NAT提供動態(tài)網(wǎng)絡地址及端口轉換功能，還可以實現(xiàn)負載均衡等功能。 堡壘主機：一種被強化的可以防御進攻的計算機，被暴露于因特網(wǎng)之上，作為進入內部網(wǎng)絡的一個檢查點，以達到把整個網(wǎng)絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。硬件防火墻和軟件防火墻的比較成本比較硬件防火墻是軟硬件一體的，用戶購買后不需要再投入其他費用。一般硬件防火墻的報價在1萬到2萬之間。 軟件防火墻有三方面的成本開銷：軟件的成本、安裝軟件的設備成本以及設備上操作系統(tǒng)的成本。Windows Server 2003價格在4400-6000之間。 備注：綜合以上的成本，要配置一套軟件防火墻按最小的網(wǎng)絡要求，其成本在1.0萬左右。穩(wěn)定性和安全性比較穩(wěn)定性能的優(yōu)劣主要來自于防火墻運行平臺即操作系統(tǒng)上。硬件防火墻一般使用經(jīng)過內核編譯后的Linux，憑借Linux本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性，Linux永遠都不會崩潰，其穩(wěn)定性是由于它沒有像其他操作系統(tǒng)一樣內核龐大且漏洞百出。系統(tǒng)的穩(wěn)定性主要取決于系統(tǒng)設計的結構。計算機硬件的結構自從1981設計開始就沒有作特別大的改動，而連續(xù)向后兼容性使那些編程風格極差的應用軟件勉強移植到Windows的最新版本，這種將就的軟件開發(fā)模式極大地阻礙了系統(tǒng)穩(wěn)定性的發(fā)展。最令人注目的Linux開放源代碼的開發(fā)模式，它保證了任何系統(tǒng)的漏洞都能被及時發(fā)現(xiàn)和修正。Linux采取了許多安全技術措施，包括對讀、寫進行權限控制、帶保護的子系統(tǒng)、審計跟蹤、核心授權等，這為網(wǎng)絡多用戶環(huán)境中的用戶提供了必要的安全保障。軟件防火墻一般要安裝在windows平臺上，實現(xiàn)簡單，但同時由于windows本身的漏洞和不穩(wěn)定性帶來了軟件防火墻的安全性和穩(wěn)定性的問題。雖然Microsoft也在努力的彌補這些問題，Windows 2003 server本身的漏洞就比前期的Windows NT少了很多，但與Linux比起來還是漏洞倍出。在病毒侵害方面，從linux發(fā)展到如今，Linux幾乎不感染病毒。而作為Windows 平臺下的病毒我們就不必多說了，只要是使用過電腦的人都有感受。像近幾個月以來在內網(wǎng)中廣泛傳播的ARP欺騙病毒，造成了內網(wǎng)不穩(wěn)定、網(wǎng)絡時斷時序、經(jīng)常掉線，無法開展正常的工作，使得很多的網(wǎng)絡管理人員束手無策。軟硬件防火墻的吞吐量和包轉發(fā)率比較吞吐量和報文轉發(fā)率是關系防火墻應用的主要指標，硬件防火墻的硬件設備是經(jīng)專業(yè)廠商定制的，在定制之初就充分考慮了吞吐量的問題，在這一點上遠遠勝于軟件防火墻，因為軟件防火墻的硬件是用戶自己選擇的很多情況下都沒有考慮吞吐量的問題，況且windows系統(tǒng)本身就很耗費硬件資源，其吞吐量和處理大數(shù)據(jù)流的能力遠不及硬件防火墻，這一點是不言而喻的。吞吐量太小的話，防火墻就是網(wǎng)絡的瓶頸，會帶來網(wǎng)絡速度慢、上網(wǎng)帶寬不夠等等問題。防火墻工作原理上的比較軟件防火墻一般可以是包過濾機制。包過濾過濾規(guī)則簡單，只能檢查到第三層網(wǎng)絡層，只對源或目的IP做檢查，防火墻的能力遠不及狀態(tài)檢測防火墻，連最基本的黑客攻擊手法IP偽裝都無法解決，并且要對所經(jīng)過的所有數(shù)據(jù)包做檢查，所以速度比較慢。硬件防火墻主要采用第四代狀態(tài)檢測機制。狀態(tài)檢測是在通信發(fā)起連接時就檢查規(guī)則是否允許建立連接，然后在緩存的狀態(tài)檢測表中添加一條記錄，以后就不必去檢查規(guī)則了只要查看狀態(tài)監(jiān)測表就OK了，速度上有了很大的提升。因其工作的層次有了提高，其防黑功能比包過濾強了很多，狀態(tài)檢測防火墻跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態(tài)，防火墻還記錄有用的信息以幫助識別包，例如已有的網(wǎng)絡連接、數(shù)據(jù)的傳出請求等。例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關信息，是關于位于特定IP地址的應用程序最近向發(fā)出包的源地址請求視頻信號的信息。如果傳入的包是要傳給發(fā)出請求的相同系統(tǒng)，防火墻進行匹配，包就可以被允許通過。硬件防火墻比軟件防火墻在實現(xiàn)的機制上有很大的不同，也帶來了軟硬件防火墻在防黑能力上很大差異。在對內網(wǎng)的控制方面比較軟件防火墻由于本身的工作原理造成了它不具備內網(wǎng)具體化的控制管理，比如，不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對具體的IP和MAC做上網(wǎng)控制等，其主要的功能在于對外。硬件防火墻在基于狀態(tài)檢測的機制上，安全廠商又可以根據(jù)市場的不同需求開發(fā)應用層過濾規(guī)則，來滿足對內網(wǎng)的控制，能夠在高層進行過濾，做到了軟件防火墻不能做到的很多事。尤其是近期流行的ARP病毒，硬件防火墻針