计算机网络安全管理 作者 王群 第5章.pptVIP

第5章 防火墙技术及应用 5.1 防火墙技术概述 防火墙的产生动因之一是防范非法用户的入侵，为主机或局域网提供安全防护。目前，防火墙已成为大多数机构构建可信赖安全网络的主要支柱。 5.1.1 防火墙的概念 ?防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。 防火墙本身应具有较强的抗攻击能力，能够提供信息安全服务。防火墙是实现网络和信息安全的基础设施，一个高效可靠的防火墙应用具备以下的基本特性： ? 防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外和从外到里的所有信息都必须通过防火墙； ? 通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过； ? 防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。 5.1.2 防火墙的基本功能 5.1.3 防火墙的基本原理 所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查，而且检查的项目越多、层次越深，则防火墙越安全。由于现在计算机网络结构采用自顶向下的分层模型，而分层的主要依据是各层的功能划分，不同层次功能的实现又是通过相关的协议来实现的。所以，防火墙检查的重点是网络协议及采用相关协议封装的数据。 对于一台防火墙来说，如果我们知道了其运行在OSI参考模型的哪一层，我们就可以知道它的体系结构是什么，主要的功能是什么。例如，当防火墙主要工作在OSI参考模型的网络层时，由于网络层的数据是IP分组，所以防火墙主要针对IP分组进行安全检查，这时读者需要结合IP分组的结构（如源IP地址、目的IP地址等）来掌握防火墙的功能，进而有针对性地在网络中部署防火墙产品。再如，当防火墙主要工作在应用层时，读者就需要根据应用层的不同协议（如http、DNS、SMTP、FTP、Telnet等）来了解防火墙的主要功能。 5.1.4 软件防火墙与硬件防火墙的比较 从传统概念上讲，防火墙分为软件防火墙和硬件防火墙。其中，防火墙软件（不管是硬件防火墙还是软件防火墙，防火墙都必须要有软件的支撑）进入系统的层次越浅，对底层操作系统的安全依赖性就越小。 软件防火墙的最大特点是基于操作系统。软件防火墙能能够对访问一个软件的过程进行安全控制。硬件防火墙采用专用的操作系统平台，甚至将操作系统固化在芯片中，从整体来看，是一个硬件设备。 软件防火墙由于技术的因素，有几个致命的弱点： （1） 软件防火墙使用的多样性是一个严重缺点，因为操作系统本身的缺陷可能成为软件防火墙致命的弱点，而硬件防火墙的安全性则相对较高。 （2） 从速度上看，硬件防火墙的速度优势是明显的。软件防火墙由于操作系统的限制，很容易成为网络的瓶颈，硬件防火墙则较好地消除了这个缺陷。 （3） 软件防火墙的安装、配置过程较为复杂，不便于使用，尤其不便于一般用户使用。 由于上述因素，目前软件防火墙的应用越来越少，更多的是硬件防火墙 5.1.5 硬件防火墙的实现技术 防火墙的硬件实现技术主要有三种：Intel X86架构、ASIC硬件加速技术和NP加速技术。 1．Intel X86架构 Intel X86架构以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功，百兆级的处理能力正好在这种架构的范围里，因此，百兆级防火墙采用此种结构的厂家较多，性价比也最好。 然而对于千兆网来说，X86架构的CPU由于考虑了各种应用的需要，具有一般化的通用 体系结构和指令集，以支持复杂的运算并容易开发新的功能，其处理速度相对较慢，可扩展性较差，很难满足千兆网络对于高线速的需求。 2． ASIC架构 ASIC（Application Specific Integrated Circuit，专用集成电路）是为某一类设备专门开发的芯片级集成电路。ASIC通过把指令或计算逻辑固化到硬件中，可以获得很高的处理能力。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的利用，是公认的使防火墙达到线速千兆，满足千兆环境骨干级应用的技术方案。ASIC架构具有以下的缺点： · ASIC将指令或计算逻辑固化到了硬件中，缺乏灵活性，也不便于修改和升级。 · 深层次（如传输层）包分析增加了ASIC的复杂度，不能满足千兆防火墙产品对网络协议进行2~7层处理的需求。 · ASIC的开发周期长，典型设计周期18个月。 · ASIC设计费用昂贵且风险较大。 业界著名的Netscreen防火墙就是采用该技术的代表