来自网络外部和内部的安全威胁不断涌现,给网络的管理者和使用者带来了极大的困扰。目前,保障网络安全的有效措施主要有:防火墙、身份认证、加密、数字签名和内容检查等。防火墙的出现,在一定程度上满足了人们对网络安全的要求。抵御黑客最有效的措施就是安装防火墙。
防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是当前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。
1.防火墙概述
防火墙(Firewall)是这些年逐渐发展起来的一种保护计算机网络安全的技术性措施,形象地说,防火墙就是担当了“警察”的角色,它在网络上建立一个安全控制检查点来“保护”网络的安全。
一般防火墙设立检查点的位置在是内部网络和公用网络(例如Internet)之间,可对内部网络与外部网络之间进行的信息存取和传递操作等进行控制。它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也是不同网络或网络安全域之间信息的唯一出入口,能根据某个机构的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础和核心控制设备,能够有效地监控内部网和因特网之间的任何活动,防止发生不可预测的、潜在破坏性的侵入,从而保证了内部网络的安全。
逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的所有活动,保证了内部网络的安全。防火墙的示意图如图6-13所示。
图6-13 防火墙示意图
防火墙作为网络安全的第一道防线,已经成为世界上用得最多的网络安全产品之一。防火墙的作用主要体现在以下几方面。
·检查过滤通过控制点的信息。
·收集记录通过控制点的有关事件。
·屏蔽内部的网络结构,提高系统的安全性和灵活性。
·对网络攻击进行检测和报警。
但是,没有绝对的安全,防火墙同样也不是万能的,即使拥有当前最先进的防火墙,仍要注意以下问题:
·防火墙不能阻止病毒对系统的危害;
·如果系统允许远程访问,那么破坏者可以绕开防火墙的安全机制;
·技术是在不断进步的,新的未知的攻击技术对系统仍存在威胁;
·破坏者不通过网络在线窃取信息,那么最先进的防火墙也会形同虚设;
·其负面影响对合法用户的正常使用带来不便,对系统的性能也有影响。
防火墙通常是运行在一台计算机上的一个计算机软件,主要保护内部网络的重要信息不被非法授权访问、非法窃取或破坏,并记录内部网络和外部网络进行通信的有关安全日志信息,如通信发生的时间和允许通过数据包和被过滤掉的数据包等信息。
将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。例如,一台WWW代理服务器防火墙,它不是直接处理要求,而是验证请求发出者的身份、请求的目的地和请求的内容,如果一切符合要求的话,这个请求会被批准送到真正的WWW服务器上。当真正的WWW服务器处理完这个请求后并不直接把结果发送给请求者,而把结果送到代理服务器,代理服务器会按照事先的规则检查这个结果是否违反了安全策略,当一切信息都验证通过后,返回结果才会真正地送到请求者的手里。
企业在把公司的局域网接入Internet时,肯定不希望让人随意翻阅公司内部的工资单、个人资料或客户数据库等。即使在公司内部,同样也存在这种数据非法存取的可能性,例如一些对公司不满的员工可能会修改工资表或财务报告。而在设置了防火墙以后,就可以对网络数据的流动实现有效的管理,允许公司内部员工使用电子邮件、进行Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门相互之间的访问。新一代的防火墙还可以阻止网络内部人员将敏感数据向外传输,限制访问外部网络的一些危险站点。(www.xing528.com)
大部分防火墙软件加入了防病毒软件的功能,有的防火墙则直接集成了杀毒功能。对于个人计算机可以用防病毒软件建立病毒防火墙。
2.防火墙的主要类型
按照防火墙实现技术的不同,可以将防火墙分为以下几种类型。
(1)包过滤防火墙
包过滤(Packet Filtering,PF)是防火墙为系统提供安全保障的主要技术,可在网络层对数据包进行分析、选择和过滤。选择的依据是系统内设置的访问控制表(Access Control Table,ACT,又叫做规则表),规则表指定允许哪些类型的数据包可以流入或流出内部网络。一般过滤规则是以IP数据包信息为基础,通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、传输协议类型(TCP、UDP、ICMP)等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙的工作原理如图6-14所示。
包过滤防火墙一般可以直接集成在路由器上,在进行路由选择的同时完成数据包的选择与过滤,也可以由一台单独的计算机来完成数据包的过滤。例如,“天网个人防火墙”就属于包过滤类型防火墙,根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理,能够有效地提高计算机的抗攻击能力。
包过滤防火墙要遵循的一条基本原则就是“最小特权原则”,即明确允许管理员希望通过的那些数据包,禁止其他的数据包。
(2)代理防火墙
代理(Proxy)防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后根据其服务类型、服务内容、被服务对象、服务者申请的时间、申请者的服务域名范围等来决定是否接受此项服务,如果接受,就向内部网络转发这项请求。
图6-14 包过滤防火墙
该模式提供了十分先进的安全控制机制,它通过在协议栈的最高层(应用层)检查每一个包来提供足够的应用级连接信息。因为在应用层中具有足够的能见度,应用级代理防火墙很容易就能看见前面提及的每一个连接的细节,从而实现各种安全策略。这种防火墙很容易识别重要的应用程序命令,例如,FTP的上传请求put和下载请求get。
代理防火墙工作在应用层,且针对特定的应用层协议,通过代理可以实现比包过滤更严格的安全策略。它是运行在防火墙主机上的一些特定的应用程序或者服务程序,它们代表客户在服务器端进行连接请求。当代理服务器收到一个客户的连接请求时,它将核实客户请求,并用特定的安全化的代理应用程序来处理连接请求,并将处理后的请求传递到真实的服务器上,然后接受服务器应答,并作进一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络中请服务时发挥了中间转接和隔离内、外部网络的作用,所以又称为代理防火墙。
代理防火墙的应用层代理服务的数据控制及传输过程如图6-15所示。
代理防火墙最突出的特点是,能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。优点是外部计算机的网络链路只能达到代理服务器,从而起到隔离防火墙内外计算机系统的作用。缺点是执行速度慢,操作系统容易遭到攻击。
图6-15 代理防火墙
(3)状态检测防火墙
状态检测(Stateful Inspection)防火墙又叫做动态包过滤防火墙。这种模式在包过滤技术的基础上增加了更多的包和包之间的安全上下文检查,能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过,克服了包过滤防火墙和代理防火墙的局限性。状态检测防火墙在网络层拦截输入包,并利用足够的企图连接的状态信息做出决策(通过对高层的信息进行某种形式的逻辑或数学运算)如图6-16所示。
图6-16 状态监测防火墙
状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,以此作为依据决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连检测防火墙工作在协议栈的较低层,通过防火墙的所有数据包都在低层进行处理,不需要协议栈的上层来处理任何数据包,因此减少了高层协议头的开销,执行效率也大大提高了。
在实际使用中,一般综合采用以上几种技术,使防火墙产品能够满足对安全性、高效性、适应性和易管理性的要求,再集成防毒软件的功能来提高系统的防病毒能力和抗攻击能力。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
