電腦防火牆基礎知識
防火牆能增強機構內部網路的安全性。防火牆系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火牆必須只允許授權的數據通過,而且防火牆本身也必須能夠免於滲透。
防火牆的五大功能
一般來說,防火牆具有以下幾種功能:
1.允許網路管理員定義一個中心點來防止非法用戶進入內部網路。
2.可以很方便地監視網路的安全性,並報警。
3.可以作為部署NAT(Network Address Translation,網路地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。
4.是審計和記錄Internet使用費用的一個最佳地點。網路管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,並能夠依據本機構的核算模式提供部門級的計費。
兩種防火牆技術的對比
包過濾防火牆
優點
價格較低
性能開銷小,處理速度較快
缺點
定義複雜,容易出現因配置不當帶來問題
允許數據包直接通過,容易造成數據驅動式攻擊的潛在危險
代理防火牆
內置了專門為了提高安全性而編制的Proxy應用程式,能夠透徹地理解相關服務的命令,對來往的數據包進行安全化處理
速度較慢,不太適用於高速網(ATM或千兆位以太網等)之間的應用
5.可以連接到一個單獨的網段上,從物理上和內部網段隔開,並在此部署WWW伺服器和FTP伺服器,將其作為向外部發佈內部資訊的地點。從技術角度來講,就是所謂的停火區(DMZ)。
防火牆的兩大分類
儘管防火牆的發展經過了上述的幾代,但是按照防火牆對內外來往數據的處理方法,大致可以將防火牆分為兩大體系:包過濾防火牆和代理防火牆(應用層網關防火牆)。前者以以色列的Checkpoint防火牆和Cisco公司的PIX防火牆為代表,後者以美國NAI公司的Gauntlet防火牆為代表。
1.包過濾防?
第一代:靜態包過濾
這種類型的防火牆根據定義好的過濾規則審查每個數據包,以便確定其是否與某一條包過濾規則匹配。過濾規則基於數據包的報頭資訊進行制訂。報頭資訊中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火牆要遵循的一條基本原則是“最小特權原則”,即明確允許那些管理員希望通過的數據包,禁止其他的數據包。
第二代:動態包過濾
圖2 動態包過濾防火牆
2. 代理防火牆
第一代:代理防火牆
代理防火牆也叫應用層網關(Application Gateway)防火牆。這種防火牆通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火牆處理後,就好像是源於防火牆外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種類型的防火牆被網路安全專家和媒體公認為是最安全的防火牆。它的核心技術就是代理伺服器技術。 |