防火墻五大功能

　　防火墻能增強機構(gòu)內(nèi)部網(wǎng)絡的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務以及哪些外部服務可以被內(nèi)部人員訪問。防火墻必須只允許授權的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。

　　防火墻的五大功能

　　一般來說，電腦防火墻具有以下幾種功能：

　　1.允許網(wǎng)絡管理員定義一個中心點來防止非法用戶進入內(nèi)部網(wǎng)絡。

　　2.可以很方便地監(jiān)視網(wǎng)絡的安全性，并報警。

　　3.可以作為部署NAT(Network Address Translation，網(wǎng)絡地址變換)的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應起來，用來緩解地址空間短缺的問題。

　　4.是審計和記錄Internet使用費用的一個最佳地點。網(wǎng)絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機構(gòu)的核算模式提供部門級的計費。

　　兩種防火墻技術的對比

　　包過濾防火墻

　　優(yōu)點

　　價格較低

　　性能開銷小，處理速度較快

　　缺點

　　定義復雜，容易出現(xiàn)因配置不當帶來問題

　　允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險

　　代理防火墻

　　內(nèi)置了專門為了提高安全性而編制的Proxy應用程序，能夠透徹地理解相關服務的命令，對來往的數(shù)據(jù)包進行安全化處理

　　速度較慢，不太適用于高速網(wǎng)(ATM或千兆位以太網(wǎng)等)之間的應用

　　5.可以連接到一個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務器和FTP服務器，將其作為向外部發(fā)布內(nèi)部信息的地點。從技術角度來講，就是所謂的?；饏^(qū)(DMZ)。

　　防火墻的兩大分類

　　盡管防火墻的發(fā)展經(jīng)過了上述的幾代，但是按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法，大致可以將防火墻分為兩大體系：包過濾防火墻和代理防火墻(應用層網(wǎng)關防火墻)。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

　　1.包過濾防?

　　第一代：靜態(tài)包過濾

　　這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。

　　第二代：動態(tài)包過濾

　　2. 代理防火墻

　　第一代：代理防火墻

　　代理防火墻也叫應用層網(wǎng)關(Application Gateway)防火墻。這種防火墻通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。

　　所謂代理服務器，是指代表客戶處理在服務器連接請求的程序。當代理服務器得到一個客戶的連接意圖時，它們將核實客戶請求，并經(jīng)過特定的安全化的Proxy應用程序處理連接請求，將處理后的請求傳遞到真實的服務器上，然后接受服務器應答，并做進一步處理后，將答復交給發(fā)出請求的最終客戶。代理服務器在外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請服務時發(fā)揮了中間轉(zhuǎn)接的作用。

　　代理類型防火墻的最突出的優(yōu)點就是安全。由于每一個內(nèi)外網(wǎng)絡之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定的服務如Http編寫的安全化的應用程序進行處理，然后由防火墻本身提交請求和應答，沒有給內(nèi)外網(wǎng)絡的計算機以任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。包過濾類型的防火墻是很難徹底避免這一漏洞的。就像你要向一個陌生的重要人物遞交一份聲明一樣，如果你先將這份聲明交給你的律師，然后律師就會審查你的聲明，確認沒有什么負面的影響后才由他交給那個陌生人。在此期間，陌生人對你的存在一無所知，如果要對你進行侵犯，他面對的將是你的律師，而你的律師當然比你更加清楚該如何對付這種人。

　　代理防火墻的最大缺點就是速度相對比較慢，當用戶對內(nèi)外網(wǎng)絡網(wǎng)關的吞吐量要求比較高時，(比如要求達到75-100Mbps時)代理防火墻就會成為內(nèi)外網(wǎng)絡之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠低于這個數(shù)字。在現(xiàn)實環(huán)境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網(wǎng)(ATM或千兆位以太網(wǎng)等)之間的防火墻。電腦基礎

　　第二代：自適應代理防火墻

　　自適應代理技術(Adaptive proxy)是最近在商業(yè)應用防火墻中實現(xiàn)的一種革命性的技術。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應代理服務器(Adaptive Proxy Server)與動態(tài)包過濾器(Dynamic Packet filter)。

　　圖4 自適應代理防火墻

　　在自適應代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后，自適應代理就可以根據(jù)用戶的配置信息，決定是使用代理服務從應用層代理請求還是從網(wǎng)絡層轉(zhuǎn)發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求。

　　小資料

　　防火墻的發(fā)展史

　　第一代防火墻

　　第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術。下圖表示了計算機防火墻技術的簡單發(fā)展歷史。

　　第二、三代防火墻

　　1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結(jié)構(gòu)。計算機基礎

　　第四代防火墻

　　1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產(chǎn)品。

　　第五代防火墻

　　1998年，NAI公司推出了一種自適應代理(Adaptive proxy)技術，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

　　這種類型的防火墻采用動態(tài)設置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術后來發(fā)展成為所謂包狀態(tài)監(jiān)測(Stateful Inspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加。