防火墙工作原理及应用.docVIP

PAGE PAGE 1 防火墙工作原理及应用 当网络涉及不同的信任级别时（例如内部网、Internet或者网络划分），要保证安全必须安装控制设备。此类控制设备几乎总是某种形式的防火墙。 4.1 防火墙概念与分类 网络防火墙是隔离内部网与Internet之间的一道防御系统，这里有一个门，允许人们在内部网和开放的Internet之间通信。访问者必须首先穿越防火墙的安全防线，才能接触目标计算机，网络防火墙如图4.1所示。 4.1.1 防火墙简介 在没有防火墙时，局域网内部的每个节点都暴露给Internet上的其它主机，此时内部网的安全性要由每个节点的坚固程度来决定，且安全性等同于其中最薄弱的节点。使用防火墙后，防火墙会将内部网的安全性统一到它自身，网络安全性在防火墙系统上得到加固，而不是分布在内部网的所有节点上。 防火墙把内部网与Internet隔离，仅让安全、核准了的信息进入，而阻止对内部网构成威胁的数据，它防止黑客更改、拷贝、毁坏重要信息；同时又不会妨碍人们对Internet的访问。 防火墙的工作原理 防火墙的基本功能 作为一个中心“遏制点”，将内部网的安全管理集中起来，所有的通信都经过防火墙； 只放行经过授权的网络流量，屏蔽非法请求，防止越权访问,并产生安全报警； 能经受得起对其自身的攻击。 防火墙能为管理人员提供对下列问题的答案： 什么人在使用网络? 他们什么时间，使用了什么网络资源? 他们连接了什么站点? 他们在网上做什么? 谁要上网,但是没有成功? 防火墙工作在OSI参考模型上 防火墙的发展史 第一代防火墙技术由附加在边界路由器上的访问控制表ACL (Access Control Table)构成，采用了包过滤技术。 第二代代理防火墙即电路层网关和应用层网关。 1994年，以色列的Check Point公司开发出了第一个基于动态包过滤技术的防火墙产品。 1998年，美国的网络联盟公司NAI (Network Associates Inc.)又推出了一种自适应代理技术。 防火墙的两大分类 尽管防火墙的发展经过了将近20年，但是按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙。前者以Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以NAI公司的Gauntlet防火墙为代表，表4.2为防火墙两大体系性能的比较。 防火墙两大体系性能的比较 防火墙的组成 防火墙既可以是一台路由器、一台PC或者一台主机，也可以是由多台主机构成的体系。应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界，本地网络通过输入点和输出点与其它网络相连，这些连接点都应该装有防火墙，然而在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护。 防火墙放置的位置 防火墙的分类 根据采用的技术不同，可分为包过滤防火墙和代理服务防火墙； 按照应用对象的不同，可分为企业级防火墙与个人防火墙； 依据实现的方法不同，又可分为软件防火墙、硬件防火墙和专用防火墙。 软件防火墙 防火墙运行于特定的计算机上，一般来说这台计算机就是整个网络的网关。软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网络管理人员对所工作的操作系统平台比较熟悉。 硬件防火墙 由PC硬件、通用操作系统和防火墙软件组成。在定制的PC硬件上，采用通用PC系统、Flash盘、网卡组成的硬件平台上运行Linux、FreeBSD、Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。特点是开发成本低、性能实用、稳定性和扩展性较好，价格也低廉。由于此类防火墙依赖操作系统内核，因此会受到操作系统本身安全性影响，处理速度也慢。 专用防火墙 采用特别优化设计的硬件体系结构，使用专用的操作系统，此类防火墙在稳定性和传输性能方面有着得天独厚的优势，速度快，处理能力强，性能高；由于使用专用操作系统，容易配置和管理，本身漏洞也比较少，但是扩展能力有限，价格也较高。由于专用防火墙系列化程度好，用户可根据应用环境选择合适的产品。 4.1.2 包过滤防火墙 1 包过滤原理 包过滤(Packet Filter)是所有防火墙中最核心的功能，进行包过滤的标准是根据安全策略制定的。通常情况下靠网络管理员在防火墙设备的ACL中设定。与代理服务器相比，它的优势是不占用网络带宽来传输信息。 包过滤规则一般存放于路由器的ACL中。在ACL中定义了各种规则来表明是否同意或拒绝数据包的通过。 如果没有一条规则能匹配，防火墙就会使用默认规则，一般情况下，默认规则要求防火墙丢弃该包。包过滤的核心是安全策略即包过滤算法的设计。 ACL对数据包的过滤 ACL处理入数据包的过程 2 无状态包过滤