关键字:防火墙技术防火墙体系结构构建
随着Internet的发展,网络已经成为人民生活不可缺少的一部分,网络安全问题也被提上日程,作为保护局域子网的一种有效手段,防火墙技术备受睐。
1.防火墙的定义
Internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网连接的点上。Internet防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合,是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有对的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关或网点与工nternet的连接处,但是防火墙系统也可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。
防火墙的局限性:1)不能防范恶意的知情者:2)不能防范不通过它的连接:3)不能防范全部的威胁。4)不能防范病毒。
由此可见,要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用。
2防火墙的技术原理
目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:
(1)包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则,通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如UDP和RPC难以有效的过滤。
(2)技术
技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。服务器是针对某种应用服务而写的,工作在应用层。
优点:它将内部用户和外界隔离开来,使得从外面只能看到服务器而看不到任何内部资源。与包过滤技术相比,技术是一种更安全的技术。
缺点:在应用支持方面存在不足,执行速度较慢。
(3)状态监视技术
这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤
进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠
与应用层有关的,而是依靠某种算法来识别进出的应用层数据,这些算法通
过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级在
过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个。
3.防火墙的体系结构
目前,防火墙的体系结构有以几种:
(1)包过滤防火墙
也称作过滤过滤路由器,它是最基本、最简单的一种防火墙,可以在一般的路由器上实现,也可以在基于主机的路由器上实现。配置图如下图所示:
包过滤防火墙
内部网络的所有出入都必须通过过滤路由器,路由器审查每个数据包,根据过滤规则决定允许或拒绝数据包。
优点:1)易实现;2)不要求运行的应用程序做任何改动或安装特定的软件,也无需对用户进行特定的培训。
缺点:1)依赖一个单一的设备来保护系统,一旦该设备(过滤路由器)发生故障,则网络门户开放。2)很少或没有日志记录能力,当网络被入侵时,无法保留攻击者的踪迹。包防火墙适于小型简单的网络。
(2)双宿主主机防火墙
关键词:防火墙;堡垒主机;包过滤;应用网关;防火墙的应用
中图分类号:TP393.08文献标识码:A文章编号:1007-9599(2011)21-0000-02
FirewallTechnologyResearchandApplication
LiBing
(ChangshaNanfangProfessionalCollege,Changsha410208,China)
Abstract:TherapiddevelopmentoftheInternet,howtosynchronizetoensurenetworksecurity,isaveryimportantissue,andfirewalltechnologyisbasedonthisresearchproblem,firewalltechnology,thecoreideaisinaninsecureenvironmentoftheInternettoconstructarelativelysecuresubnetenvironment.Inthispaper,thebasicfirewallfeaturestostart,themainanalysisofthefirewallarchitectureanditsimplementationtechniques,thefinalchoiceofafirewall,configuration,applicationprinciples.
Keywords:Firewall;Bastionhost;Packetfiltering;Applicationgateway;Firewallapplications
随着Internet的广泛应用,网络安全成为人们热衷的话题之一。而网络安全问题主要是由于网络的开放性、无边界性、自由性等其他因素造成的。出于对上述问题的考虑,我们应该把被保护的网络从开放的、无边界的网络环境中独立出来,成为可管理、控制、安全的内部网络。而实现它的最基本的分隔手段就是防火墙。为了确保信息的安全及网络系统的可用性,防火墙技术及其应用是网络安全系统中的一项重要举措。本文结合实际的工作经验,探讨防火墙的体系结构及防火墙的技术实现,最后给出防火墙的选择依据和使用建议。
一、防火墙
从狭义上说防火墙是指安装了防火墙软件的主机或路由器系统;从广义上说防火墙还包括整个网络的安全策略和安全行为。AT&T的两位工程师WilliamCheswich和StevenBellovin给出了防火墙的明确定义:所有的从外部到内部或从内部到外部的通信都必须经过它;只有内部访问策略授权的通信才能被允许通过;系统本身有很强的高可靠性。所以防火墙在网络之间执行访问控制策略,是内部网络和外部网络之间的安全防范系统。从逻辑上讲,防火墙是分离器、限制器和分析器,有效地监视了内部网络和外部网络之间的任何活动,保证了内部网络的安全;在物理实现上,防火墙是位于网络特殊位置的一组硬件设备――路由器、计算机或者其他特制的硬件设备。
(一)防火墙的功能
防火墙作为网络安全的重要屏障,它主要有以下功能:(1)是一个安全策略的检查站,对网络攻击进行检查和报警;(2)强化安全策略,过滤不安全的服务和非法用户;(3)有效记录网络活动,管理进出网络的访问行为;(4)屏蔽内部网络的拓扑结构,使内部网络结构对外不可知。
虽然防火墙能对网络威胁起到很好的防范作用,但它不是安全解决方案的全部,防火墙也有局限性,主要体现在以下几点:(1)不能防御已经授权的访问,以及存在于网络内部之间的系统攻击;(2)不能防御合法用户恶意的攻击,以及各种非预期的威胁;(3)不能修复脆弱的管理措施和存在问题的安全策略;(4)不能防御一些不经过防火墙的攻击和威胁。
总之,只有清楚防火墙的优势和缺陷,才有利于我们更好地应用防火墙;下面,我们从防火墙的体系结构入手来探讨防火墙防范理论,从中明确各类防火墙的优势和缺陷。
(二)防火墙的体系结构
1.屏蔽路由器。这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,对所接受的每个数据包作允许或拒绝的决定。采用这种结构的防火墙优点在于速度快、费用低、实现方便但安全性差,而且它还有路由功能,内部网络的结构并没有被隐藏,一旦被攻陷后很难发现,不能识别不同的用户。
2.双穴主机。这种配置是用一台装有两块网卡的堡垒主机做防火墙,位于内外网络之间,并分别与内外网络相连,通过禁止堡垒主机的IP转发功能来实现在物理上将内外网络隔开。外部网络(通常是Internet)能够与堡垒主机通信,内部网络也能够与堡垒主机通信,但外部网络与内部网络不能直接通信,它们之间的通信必须通过堡垒主机的过滤和控制。内外网络之间进出的信息都需要堡垒主机来实现,所以它负载较大,容易成为系统瓶颈。双穴主机优于屏蔽路由器的是:堡垒主机的系统软件可用于维护系统日志。这对于日后的检查很有用。双穴主机的一个致命弱点是:一旦入侵者侵入堡垒主机并使其具有路由功能,则外部网上用户就可以随便访问内部网。
3.被屏蔽主机。被屏蔽主机体系结构防火墙使用一个路由器把内部网络与外部网络隔开,在这种体系结构中,主要的安全由数据包过滤提供,数据包过滤用于防止人们绕过服务器直接相连。这种体系结构涉及到堡垒主机,堡垒主机是因特网上能够唯一连接到内部网络上的主机。任何外部网络要访问内部网络的服务都必须连接到堡垒主机,因此堡垒主机要保持更高等级的安全。如果攻击者设法登录到堡垒主机上,内网中的其余主机就会受到很大威胁。这与双穴主机结构受攻击时的情形差不多。
4.被屏蔽子网。被屏蔽子网体系结构通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为两个屏蔽路由器,每一个都连接到周边网,一个位于周边网与内部网络之间,另一个位于周边网与外部网络之间,这样就在内部与外部网络之间形成一个隔离带,通常我们称它为“DMZ”非军事区。要侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器,即使侵袭者侵入堡垒主机,仍然必须通过内部路由器。总之,被屏蔽子网结构是一种比较完整的防火墙体系结构。
综上所述,我们在布置防火墙时,一般很少采用单一的结构,通常是多种解决不同问题的结构组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么样的等级风险。
二、防火墙的技术实现
(一)包过滤技术。包过滤技术是最早使用的一种防火墙技术,包过滤技术实现的包过滤防火墙,它根据定义好的规则审查每个数据包并确定数据包是否与过滤规则匹配,从而决定数据包是否能够通过,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。因此系统就具有很好的传输性能,易扩展。但是这种防火墙不太安全,因为系统不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。
(二)应用网关技术。应用网关技术是建立在应用层上的协议过滤,它能针对特别的网络应用服务协议制定数据过滤逻辑,是基于软件的,并且能够对数据包分析并形成相关的报告,提供比较成熟的日志功能,但是速度比较慢。
(三)服务。服务来阻断内部网络和外部网络之间的通信,达到隐藏内部网络的目的,不允许内部网络和外部网络之间直接通信,具有很高的安全性。但这是以牺牲速度为代价的,并且对用户不透明,要求用户了解通信细节。
(四)状态检测技术。动态包过滤防火墙,具有很高的效率,通过状态检测技术动态记录、维护各个连接的协议状态,根据过去通信信息和其他应用程序获得的状态信息来动态生成过滤规则。根据新生成的规则过滤新的通信。当新的通信结束后,生成的新规则自动被删除。它引入了动态规则的概念,对网络端口可以动态地打开和关闭,减少网络攻击的可能性,使网络安全得到提高。
(五)自适应技术。自适应技术根据用户的安全策略,动态适应传输中的分组流量。它整合了动态包过滤技术和应用技术。通过应用层验证新的连接,如果新的连接是合法的,它可以被重新定向到网络层,它同时具有技术的安全性和状态检测技术的高效率。
从上述分析可获得:
1.工作层次是决定防火墙效率及安全的主要因素;一般来说,工作层次越低,则工作效率越高,安全性越低;反之,工作层次越高,工作效率越低,安全性越高。
2.防火墙采用的机制,若采用过滤机制,效率高但安全性低;采用机制,安全性高,效率低。
3.不同技术实现的防火墙,有不同的功能,不同的工作方式和原理,也有不同的优势和缺陷,但只有对不同防火墙技术进行研究与分析比较,才会有更好的防火墙产品,对防火墙技术的发展会起到促进作用。为此,建议防火墙采用以下技术实现:(1)综合技术和包过滤技术;(2)从数据链链路层一直到应用层施加全方位的控制;(3)提供透明模式,减轻客户端的配置工作;(4)提供身份验证功能,并在各种验证机制中选择使用;(5)网络地址翻译,一方面缓解IP地址不足,同时对外隐藏内部信息,实现内容安全,可自动进行病毒扫描;(6)流量分析,了解各种服务所占通信流量,或某一服务具体使用情况;(7)提供加密通信隧道来防止黑客截取信息,实现VPN;(8)攻击检测以便实时检查各种网络攻击痕迹,并采取相应的对策;(9)增加防止基于协议攻击的手段,例如:防止IP欺骗,TCPSYN攻击等;(10)服务器负载均衡。
三、防火墙的应用
(一)防火墙的选择原则。防火墙是一类防范措施的总称,简单的防火墙只用路由器实现,复杂的要用一台主机甚至一个子网来实现,它可以在IP层设置规则,也可以用应用层软件来阻止外来攻击,所以我们要根据实际需要,对防火墙进行选择应用,我们通过对防火墙的评价和分析来决定采用什么样的防火墙。如何评估防火墙是个很复杂的问题,因为用户在这方面有不同的需求,很难给出统一的标准,一般说来,选择防火墙应把握以下原则:1.防火墙自身的安全性。大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙提供多少网络服务,往往忽略一点,防火墙也是网络上的主机,自身也存在安全问题,如若不能确保自身安全,则防火墙的控制功能再强,也终究不能保护内部网络。2.防火墙的管理难易度。防火墙的管理难易度是选择防火墙时考虑的因素之一。若防火墙的管理过于繁琐,则可能会造成配置上的错误,影响其功能。一般企业之所以很少以已有的网络设备直接当作防火墙,是因为除了先前提到的包过滤并不能达到完全的控制之外,配置工作困难、必须具备完整的知识以及不易排错等管理问题更是一般企业不愿意使用的主要原因。正因如此,当前很多防火墙都支持图形化界面配置,配置简单高效。3.能否向使用者提供完善的售后服务。由于有新的产品出现,就有人会研究新的破解方法,所以一个好的防火墙供应商必须有一个庞大的组织作为使用者的安全后盾,为其提供升级与维修服务。4.应该考虑企业的特殊需求。企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常常成为选择防火墙的考虑因素之一,常见的需求如下:IP地址转换;双重DNS;流量分析;扫毒功能;负载均衡、特殊控制需求等。
最后,费用问题是我们用户一直关心的问题。在市场上,防火墙的售价极为悬殊,从几万元到数十万元,甚至到百万元。因为各企业用户使用的安全程度不尽相同,因此厂商所推出的产品也有所区分,甚至有些公司还推出类似模块化的功能产品,以符合各种不同企业的安全要求。安全性越高,实现越复杂,费用也相应的越高,反之费用较低。这就需要对网络中要保护的信息和数据进行详细的经济性评估。所以在选择防火墙时,费用与安全性的折衷是不可避免的,这也就决定了“绝对安全”的防火墙是不存在的。但是可以在现有经济条件下尽可能选择满足企业组织需求,并有一定扩展能力的防火墙。
(二)防火墙的管理与配置。当用户选择、安装合适的防火墙后,需要对防火墙进行配置和管理,需要制定安全策略来进行合理有效的配置,必须经过复核已配置的防火墙,看是否满足了最初的安全需求。
首先必须把握如下配置原则:(1)应该明确单位的需求,想要如何操作这个系统,允许或拒绝哪些业务流量;(2)想要达到什么级别的监测和控制。根据网络用户的实际需要,建立相应的风险级别,随之便可形成一个需要监测、允许、禁止的清单。再根据清单的要求来设置防火墙的各项功能。
其次,管理和维护防火墙有以下几个要求:(1)必须经过一定的专业培训,对所处的网络有一个清楚的了解和认识;(2)定期进行扫描和检测,以便及时发现问题,及时堵上漏洞;(3)保证系统监控及防火墙通信线路通畅,根据不同时期和不同时间进行网络安全监控;(4)与厂家保持联系,以便及时获得有关升级、维护信息。
最后,在实际使用中要把握以下原则:(1)由内到外,由外到内的业务流量都要经过防火墙;(2)只允许本地安全策略认可的业务流通过防火墙,实行默认拒绝原则;(3)严格限制外部网络的用户进入内部网络;(4)具有透明性,方便内部网络用户,保证正常的信息通过。
四、结束语
本文着重探讨了防火墙的体系结构、技术实现及防火墙的应用。防火墙作为一种网络安全机制,不可否认具有很多优点,但目前防火墙在安全性、效率和功能上的矛盾还是比较突出,未来的防火墙目标就是要求高安全性和高性能并存。从当前防火墙的产品和功能上,我们可以看到一些动向和趋势:过滤深度在不断加强,逐渐有病毒扫描功能;算法不断优化,降低对网络流量的影响、对网络攻击检测的能力不断提高、与硬件进一步结合,安全协议的开发使用等。
参考文献:
[1]刘建伟,王育民.网络安全――技术与实践[M].清华大学出版社,2005
关键词:网络安全;防火墙
1从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packetfiltering)型。
包过滤方式是一种整理、廉价和有效的安全手段。之所以整理,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(ApplicationProxy)型。
应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).