防火牆技術

internet的發展給**結構、企事業單位帶來了革命性的改革和開放。他們正努力通過利用internet來提高辦事效率和市場反應速度，以便更具競爭力。通過internet，企業可以從異地取回重要資料，同時又要面對internet開放帶來的資料安全的新挑戰和新危險：即客戶、銷售商、移動使用者、異地員工和內部員工的安全訪問；以及保護企業的機密資訊不受黑客和工業間諜的入侵。因此企業必須加築安全的"戰壕"，而這個"戰壕"就是防火牆。

防火牆技術是建立在現代通訊網路技術和資訊保安技術基礎上的應用性安全技術，越來越多地應用於專用網路與公用網路的互聯環境之中，尤其以接入internet網路為最甚。

1．什麼是防火牆？

防火牆是指設定在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網路的資訊流，且本身具有較強的抗攻擊能力。它是提供資訊保安服務，實現網路和資訊保安的基礎設施。

在邏輯上，防火牆是乙個分離器，乙個限制器，也是乙個分析器，有效地監控了內部網和internet之間的任何活動，保證了內部網路的安全。

防火牆邏輯位置示意圖

2．防火牆能做什麼？

· 防火牆是網路安全的屏障：

乙個防火牆（作為阻塞點、控制點）能極大地提高乙個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的nfs協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如ip選項中的源路由攻擊和icmp重定向中的重定向路徑。防火牆應該可以拒絕所有以上型別攻擊的報文並通知防火牆管理員。

· 防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

· 對網路訪問和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計資料。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細資訊。另外，收集乙個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

· 防止內部資訊的外洩：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了區域性重點或敏感網路安全問題對全域性網路造成的影響。再者，隱私是內部網路非常關心的問題，乙個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如finger，dns等服務。finger顯示了主機的所有使用者的註冊名、真名，最後登入時間和使用shell型別等。但是finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道乙個系統使用的頻繁程度，這個系統是否有使用者正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的dns資訊，這樣一台主機的網域名稱和ip位址就不會被外界所了解。

除了安全作用，防火牆還支援具有internet服務特性的企業內部網路技術體系vpn。通過vpn，將企事業單位在地域上分布在全世界各地的lan或專用子網，有機地聯成乙個整體。不僅省去了專用通訊線路，而且為資訊共享提供了技術保障。

3．防火牆的種類

防火牆技術可根據防範的方式和側重點的不同而分為很多種型別，但總體來講可分為二大類：分組過濾、應用**。

· 分組過濾（packet filtering）：作用在網路層和傳輸層，它根據分組包頭源位址，目的位址和埠號、協議型別等標誌確定是否允許資料報通過。只有滿足過濾邏輯的資料報才被**到相應的目的地出口端，其餘資料報則被從資料流中丟棄。

||||||4.分組過濾型防火牆

分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網路服務採取特殊的處理方式；之所以廉價，因為大多數路由器都提供分組過濾功能；之所以有效，因為它能很大程度地滿足企業的安全要求。

包過濾的優點是不用改動客戶機和主機上的應用程式，因為它工作在網路層和傳輸層，與應用層無關。但其弱點也是明顯的：據以過濾判別的只有網路層和傳輸層的有限資訊，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，效能會受到很大地影響；由於缺少上下文關聯資訊，不能有效地過濾如udp、rpc一類的協議；另外，大多數過濾器中缺少審計和報警機制，且管理方式和使用者介面較差；對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程式中的作用有較深入的理解。因此，過濾器通常是和應用閘道器配合使用，共同組成防火牆系統。

5．應用**型防火牆

應用**型防火牆是內部網與外部網的隔離點，起著監視和隔絕應用層通訊流的作用。同時也常結合入過濾器的功能。它工作在osi模型的最高層，掌握著應用系統中可用作安全決策的全部資訊。

6.複合型防火牆

由於對更高安全性的要求，常把基於包過濾的方法與基於應用**的方法結合起來，形成複合型防火牆產品。這種結合通常是以下兩種方案。

遮蔽主機防火牆體系結構：在該結構中，分組過濾路由器或防火牆與internet相連，同時乙個堡壘機安裝在內部網路，通過在分組過濾路由器或防火牆上過濾規則的設定，使堡壘機成為internet上其它節點所能到達的唯一節點，這確保了內部網路不受未授權外部使用者的攻擊。

遮蔽子網防火牆體系結構：堡壘機放在乙個子網內，形成非軍事化區，兩個分組過濾路由器放在這一子網的兩端，使這一子網與internet及內部網路分離。在遮蔽子網防火牆體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火牆的安全基礎。

7.防火牆作業系統

防火牆應該建立在安全的作業系統之上，而安全的作業系統來自於對專用作業系統的安全加固和改造，從現有的諸多產品看，對安全作業系統核心的固化與改造主要從以下幾方面進行：取消危險的系統呼叫；限制命令的執行許可權；取消ip的**功能；檢查每個分組的介面；採用隨機連線序號；駐留分組過濾模組；取消動態路由功能；採用多個安全核心，等等。

8.nat技術

nat技術能透明地對所有內部位址作轉換，使外部網路無法了解內部網路的內部結構，同時使用nat的網路，與外部網路的連線只能由內部網路發起，極大地提高了內部網路的安全性。

nat的另乙個顯而易見的用途是解決ip位址匱乏問題。

9．防火牆的抗攻擊能力

作為一種安全防護裝置，防火牆在網路中自然是眾多攻擊者的目標，故抗攻擊能力也是防火牆的必備功能。

10.防火牆的侷限性

存在著一些防火牆不能防範的安全威脅，如防火牆不能防範不經過防火牆的攻擊。例如，如果允許從受保護的網路內部向外撥號，一些使用者就可能形成與internet的直接連線。另外，防火牆很難防範來自於網路內部的攻擊以及病毒的威脅。

防火牆技術

防火牆技術

穿透防火牆技術

防火牆技術（一）

防火牆技術

防火牆技術

穿透防火牆技術

防火牆技術（一）

相關推薦