信息安全學(xué)結(jié)6-防火墻概述.doc

（六）防火墻概述作者：山石1. 防火墻的概念防火墻（Firewall）是一種用來加強網(wǎng)絡(luò)之間訪問控制的特殊的網(wǎng)絡(luò)互連設(shè)備，是一種非常有效的網(wǎng)絡(luò)安全模型。核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。目的是為了在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。防火墻可在鏈路層、網(wǎng)絡(luò)層和應(yīng)用層上實現(xiàn)，其功能的本質(zhì)特征是隔離內(nèi)外網(wǎng)絡(luò)和對進(jìn)出信息流實施訪問控制。隔離方法可以是基于物理的，也可以是基于邏輯的。從網(wǎng)絡(luò)防御體系上看，防火墻屬于一種被動防御的保護(hù)裝置。2. 防火墻的功能l 網(wǎng)絡(luò)安全的屏障l 過濾不安全的服務(wù)（內(nèi)部提供的和內(nèi)部訪問外部的不安全服務(wù)）l 阻斷特定的網(wǎng)絡(luò)攻擊（聯(lián)動技術(shù)的產(chǎn)生）l 部署NAT機制（Network Address Translation 網(wǎng)絡(luò)地址裝換）l 提供了監(jiān)視局域網(wǎng)安全和預(yù)警的方便端點。提供包括安全和統(tǒng)計數(shù)據(jù)在內(nèi)的審計數(shù)據(jù)，好的防火墻還能靈活設(shè)置各種報警方式。3. 防火墻的分類3.1. 個人防火墻個人防火墻是在操作系統(tǒng)上運行的軟件，可為個人計算機提供簡單的防火墻功能。位置是安裝在個人PC上，而不是放置在網(wǎng)絡(luò)邊界。因此，個人防火墻關(guān)心的不是一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)的安全，而是單個主機和與之相連接的主機或網(wǎng)絡(luò)之間的安全，考慮的并不是兩個網(wǎng)絡(luò)之間的安全問題，與邊界防火墻不同。3.2. 軟件防火墻作為網(wǎng)絡(luò)防火墻的軟件防火墻具有比個人防火墻更強的控制功能和更高的性能。不僅支持Windows系統(tǒng)，并且多數(shù)還支持Unix或Linux系統(tǒng)。個人防火墻也是一種純軟件的防火墻，但其應(yīng)用范圍較小，且只支持Windows系統(tǒng)，功能相對來說要弱很多，并且安全性和并發(fā)連接處理能力較差。3.3. 一般硬件防火墻這里說的一般硬件防火墻，之所以加上一般二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到OS（操作系統(tǒng)）本身的安全性影響。 一般硬件防火墻一般至少應(yīng)具備三個端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見四端口防火墻一般將第四個端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。一般都采用PC架構(gòu)（就是一臺嵌入式主機），但使用的各個配件都量身定制。一般由小型的防火墻廠商開發(fā)，或者是大型廠商開發(fā)的中低端產(chǎn)品，應(yīng)用于中小型企業(yè)，功能比較全，但性能一般。3.4. 芯片級防火墻采用專用芯片（非X86芯片）來處理防火墻核心策略的一種硬件防火墻，也稱為芯片級防火墻。一般采用專用集成電路（ASIC）芯片或者網(wǎng)絡(luò)處理器（NP）芯片，專有芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。采用ASIC芯片的方法在國外比較流行,技術(shù)也比較成熟,做這類防火墻最出名的廠商有Net Screen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)）,因此防火墻本身的漏洞比較少，不過價格相對比較高昂。3.5. 分布式防火墻前面提到的幾種防火墻都屬于邊界防火墻（Perimeter Firewall），它無法對內(nèi)部網(wǎng)絡(luò)實現(xiàn)有效的保護(hù)。隨著人們對網(wǎng)絡(luò)安全防護(hù)要求的提高，產(chǎn)生了一種新型的防火墻體系結(jié)構(gòu)分布式防火墻。分布式防火墻由安全策略管理服務(wù)器Server以及客戶端防火墻Client組成.客戶端防火墻工作在各個從服務(wù)器、工作站、個人計算機上，根據(jù)安全策略文件的內(nèi)容，依靠包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢查，保護(hù)計算機在正常使用網(wǎng)絡(luò)時不會受到惡意的攻擊，提高了網(wǎng)絡(luò)安全性。而安全策略管理服務(wù)器則負(fù)責(zé)安全策略、用戶、日志、審計等的管理。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負(fù)責(zé)管理系統(tǒng)日志、多主機的統(tǒng)一管理，使終端用戶“零”負(fù)擔(dān)。4. 防火墻的局限性（1）網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價的。防火墻的使用也會削弱網(wǎng)絡(luò)的功能：l 由于防火墻的隔離作用，在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時使它與外部網(wǎng)絡(luò)的信息交流受到阻礙。l 由于在防火墻上附加各種信息服務(wù)的代理軟件，增大了網(wǎng)絡(luò)管理開銷，還減慢了信息傳輸速率，在大量使用分布式應(yīng)用的情況下，使用防火墻是不切實際的。（2）防火墻只是整個網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬無一失：l 只能防范經(jīng)過其本身的非法訪問和攻擊，對繞過防火墻的訪問和攻擊無能為力l 不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊