对防火墙应用技术几点思考.docVIP

对防火墙应用技术几点思考随着信息化的不断深入,现在大家对网络安全也越为重视,防火墙在企业中的地位也越为突出,正由于如此,目前市场的防火墙产品非常之多,划分的标准也比较杂。现主要表现为以下两大类: 一、从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和基于硬件防火墙以及芯片级防火墙。 软件防火墙:这类防火墙必需运行在特定的计算机上,而且需要操作系统支持,大致又可分为网络版和个人版,一般而言网络版(或称企业版)需要网络操作系统,个人版一般安装在企业中的客户端操作系统之上。网络版软件主要有checkpoint、ISA 2004 企业版等,可将它们安装在一个企业的接入口,来有效的对内部局域网和Internet进行隔离。个人版有很多,如天网个人防火墙、Kaspersky Anti-Hacker、瑞星个人防火墙等,安装在各自的计算机上来保护你的电脑。 基于硬件防火墙:所谓基于硬件,是相对芯片级而言的,这类防火墙的硬件在现在市面上流行的主要是采用PC构架的兼容机,然后在此硬件之上安装经过处理(或称经过精简)的操作系统,主要是采用Linux这类操作系统进行相应的安全优化而来。值得注意的是此类防火墙和软件防火墙一样采用的依然是别人的内核,因此依然会受到你所安装的操作系统本身的安全性影响。基于硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目等。象servgate、联想网御等都属于此类防火墙。 芯片级防火墙:它是基于专用的防火墙硬件平台,所采用专用的ASIC芯片、并为此硬件平台量身定做专用的操作系统;精简的指令系统使它的运行速度远高于前两种防火墙,而且处理能力更强,性能更高,并且更安全;当然价格相对比较高。这类防火墙主要有NetScreen、FortiNet、Pix等。 二、依据防范的方式和侧重点的不同,可分为数据包过滤型、应用级网关型、代理服务型、规则型四种。 包过滤型:或称网络级防火墙。包过滤(Packet Filtering)主要是在网络层和传输层对数据包进行选择,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。选择的依据是根据各自设置的具体要求来进行,通常此操作被称为访问控制表(Access Control Table),只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。此类防火墙配置简单,价格便宜,易于安装和使用,一般都是和路由器联合使用,由于以上特点,很多厂商都在原有的路由器基础上增加了包过滤功能,这样便大大降低了成本。但这类防火墙缺点也很明显:第一是一旦非法访问攻破防火墙,即可对主机上的所有软件系统进行攻击;第二是IP包头信息容易被窃取和假冒。 应用级网关:应用级网关(Applicaion Level Gateways)是在网络应用层上建立协议过滤和转发功能。它能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。 在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。所以虽是高安全产品,但实际在企业中的应用并不理想。 代理服务:又称电路级网关。代理服务(Proxy Server)是设置在Internet网关的专用应用级代码,它主要是针对包过滤和应用级网关技术存在的缺点而引入的。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承