防火墙概念与分类

防火墙概念与分类

1.防火墙简介

?防火墙允许授权的数据通过，而拒绝未经授权的数据通信。网络防火墙是隔离内部网与Internet之间的一道防御系统，允许人们在内部网和开放的Internet之间通信。访问者必须首先穿越防火墙的安全防线，才能接触目标计算机。

?在没有防火墙时，局域网内部的每个节点都暴露给Internet上的其它主机，此时内部网的安全性要由每个节点的坚固程度来决定，且安全性等同于其中最薄弱的节点。使用防火墙后，防火墙会将内部网的安全性统一到它自身，网络安全性在防火墙系统上得到加固，而不是分布在内部网的所有节点上。

?防火墙基本功能：

1. 作为一个中心“遏制点”，将内部网的安全管理集中起来，所有的通信都经过防火墙；

2. 只放行经过授权的网络流量，屏蔽非法请求，防止越权访问,并产生安全报警；

3. 能经受得起对其自身的攻击。

?防火墙工作在OSI参考模型上：

?防火墙的发展史：

1. 第一代防火墙技术由附加在边界路由器上的访问控制表**ACL (Access Control

Table)**构成，采用了包过滤技术。

2. 第二代代理防火墙即电路层网关和应用层网关。

3. 1994年，以色列的Check Point公司开发出了第一个基于动态包过滤技术的防火墙

产品。

4. 1998年，美国的网络联盟公司NAI (Network Associates Inc.)又推出了一种自适应

代理技术。

?防火墙的两大分类：包过滤防火墙和代理防火墙。前者以Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以NAI公司的Gauntlet防火墙为代表。

?防火墙的组成：防火墙既可以是一台路由器、一台PC或者一台主机，也可以是由多台主机构成的体系。应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界，本地网络通过输入点和输出点与其它网络相连，这些连接点都应该装有防火墙，然而在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护。

?防火墙的分类：

1. 根据采用的技术不同，可分为包过滤防火墙和代理服务防火墙；

2. 按照应用对象的不同，可分为企业级防火墙与个人防火墙；

3. 依据实现的方法不同，又可分为软件防火墙、硬件防火墙和专用防火墙。

?软件防火墙：防火墙运行于特定的计算机上，一般来说这台计算机就是整个网络的网关。软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网络管理人员对所工作的操作系统平台比较熟悉。

?硬件防火墙：由PC硬件、通用操作系统和防火墙软件组成。在定制的PC硬件上，采用通用PC系统、Flash盘、网卡组成的硬件平台上运行Linux、FreeBSD、

Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。特点是开发成本低、性能实用、稳定性和扩展性较好，价格也低廉。由于此类防火墙依赖操作系统内核，因此会受到操作系统本身安全性影响，处理速度也慢。

?专用防火墙：采用特别优化设计的硬件体系结构，使用专用的操作系统，此类防火墙在稳定性和传输性能方面有着得天独厚的优势，速度快，处理能力强，性能高；由于使用专用操作系统，容易配置和管理，本身漏洞也比较少，但是扩展能力有限，价格也较高。由于专用防火墙系列化程度好，用户可根据应用环境选择合适的产品。

2.包过滤防火墙

?包过滤(Packet Filter)是所有防火墙中最核心的功能，进行包过滤的标准是根据安全策略制定的。通常情况下靠网络管理员在防火墙设备的ACL中设定。与代理服务器相比，它的优势是不占用网络带宽来传输信息。

?包过滤规则一般存放于路由器的ACL中。在ACL中定义了各种规则来表明是否同意或拒绝数据包的通过。

?如果没有一条规则能匹配，防火墙就会使用默认规则，一般情况下，默认规则要求防火墙丢弃该包。包过滤的核心是安全策略即包过滤算法的设计。

?无状态包过滤防火墙：无状态包过滤也叫静态包过滤或者无检查包过滤。防火墙在检查数据包报头时，不关心服务器和客户机之间的连接状态，只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信息来允许或者拒绝数据包。

?优点：速度快、效率高，对流量的管理较出色；由于所有的通信必须通过防火墙，所以绕过是困难的；同时对用户和应用是透明的。

?缺点：它允许外部网络直接连接到内部网络主机；只要数据包符合ACL规则都可以通过，因此它不能区分包的“好”与“坏” ；它不能识别IP欺诈。它也不支持用户身份认证，不提供日志功能；虽然可以过滤端口，但是不能过滤服务。

?IP欺骗：当外部主机伪装内部主机的IP地址时，防火墙能够阻止这种类型的IP欺骗。但是当外部主机伪装成可信任的外部主机的IP地址时，防火墙却不能阻止它们。由于无状态包过滤防火墙不能为挂起的通信维持一个记录，所以它就必须根据数据包的格式来判断该数据包是否属于先前所允许的对话。这就使其有受到IP欺诈的可能性，并且无法识别UDP数据包和ICMP包的状态。

?无法过滤服务：对于一些比较新的多媒体应用在会话开始之前端口号是未知的。

?有状态包过滤防火墙：有状态包过滤也叫状态包检查SPI（State-fulPacket Inspection）或者动态包过滤（Dynamic packet filter），后来发展成为包状态监测技术，它是包过滤器和应用级网关的一种折衷方案。具有包过滤机制的速度和灵活，也有应用级网关的应用层安全的优点。

?SPI防火墙：采用SPI技术的防火墙除了有一个过滤规则集外，还要对通过它的每一个连接都进行跟踪，汲取相关的通信和应用程序的状态信息，形成一个当前连接的状态列表。列表中至少包括源和目的IP地址、源和目的端口号、TCP序列号信息，以及与那个特定会话相关的每条TCP/UDP连接的附加标记。当一个会话经过防火墙时，SPI防火墙把数据包与状态表、规则集进行对比，只允许与状态表和规则集匹配的项通过。

?优点：具有识别带有欺骗性源IP地址包的能力；检查的层面能够从网络层至应用层；具有详细记录通过的每个包的信息的能力，其中包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。

?缺点：所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。但是，硬件速度越快，这个问题就越不易察觉。

3.代理服务防火墙

?最初，代理服务器将常用的页面存储在缓冲区中，以便提高网络通信的速度。后来代理服务器逐渐发展为能够提供强大安全功能的一种技术。代理能在应用层实现防火墙功能，代理技术针对每一个特定应用都有一个程序，通过代理可以实现比包过滤更严格的安全策略。

?代理服务器（Proxy Server）防火墙是基于软件的。运行在内部用户和外部主机之间，并且在它们之间转发数据，它像真的墙一样挡在内部网和Internet之间。从外面来的访问者只能看到代理服务器但看不见任何内部资源；而内部客户根本感觉不到代理服务器的存在，他们可以自由访问外部站点。代理可以提供极好的访问控制、登录能力以及地址转换功能，对进出防火墙的信息进行记录，便于管理员监视和管理系统。

?代理服务器和包过滤的比较：

4.电路级网关

?电路级网关不允许TCP端到端的连接，而是要建立两个连接。其中一个连接是网关到内部主机，另一个是网关到外部主机。一旦两个连接被建立，网关只简单地进行数据中转，即它只在内部连接和外部连接之间来回拷贝字节，并将源IP地址转换为自己的地址，使得外界认为是网关和目的地址在进行连接。由于电路级网关在会话建立连接后不对所传输的内容作进一步的分析，因此安全性稍低。

?优点：提供网络地址转换NAT（Network Address Translation），在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性；和基于包过滤防火墙一样的规则，具有包过滤防火墙提供的所有优点。

?缺点：不能很好地区分好包与坏包、易受IP欺骗类的攻击；需要修改应用程序和执行程序；要求终端用户通过身份认证。

5.应用级网关

?应用级网关主要工作在应用层。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内部网。

?在应用级网关中，每一种协议都需要相应的代理软件，常用的代理服务软件有如HTTP、SMTP、FTP、Telnet等，但是对于新开发的应用，尚没有相应的代理服

务。有些应用级网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在服务器缓存中存在时，服务器将检查所缓存的页面是否是最新的版本（即该页面是否已更新），如果是最新版本，则直接提交给用户，否则，到真正的服务器上请求最新的页面，然后再转发给用户。

?优点：能够有效地实现防火墙内外计算机系统的隔离，安全性好，还可用于实施较强的数据流监控、过滤、记录和报告等功能。

?缺点：实现麻烦，对于那些为了使用代理服务器而修改自己应用的终端用户来说，这种选择缺乏透明度。另外由于代理服务器必须采用操作系统服务来执行代理过程，所以它通常是建立在操作系统之上的，由此带来的问题是增加了开销、降低了性能，而且由于通用操作系统是众所周知的，所以该操作系统容易被攻击的漏洞也是公开的。

6.自适应代理防火墙

?虽然应用代理防火墙具有很好的安全性，但速度不尽如人意。自适应代理技术（Adaptive proxy）结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点，组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive

Proxy Server）与动态包过滤器。在自适应代理防火墙中，初始的安全检查仍在应用层中进行，保证实现传统防火墙的最大安全性；而一旦可信任身份得到认证，建立了安全通道，随后的数据包就可重新定向到网络层。这使得它在毫不损失安全性的基础上将代理服务器防火墙的性能提高10倍以上。

7.复合防火墙

?由于防火墙所处的优越位置（内部网与Internet的分界点），在实际应用中除了基本的过滤和访问控制外，防火墙又添加了NAT、VPN、IDS、AAA、QoS、加密、内容过滤、防病毒、路由管理、网络监视等功能。刚开始这些功能都是由另外的设备提供，这些设备在网络中的位置处于串行或者并行。目前通常的解决办法是将这些特性合并到防火墙中，当整合了这些功能的防火墙正常运转时，网络连接既安全可靠，又效率高。

?网络地址转换：网络地址转换NAT（Network Address Translation），是一种将一个IP地址域映射到另一个IP地址域的技术，从而为终端主机提供透明路由。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT 后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。它可以在边界路由器、包过滤防火墙以及代理服务防火墙上实现。

?虚拟专用网络：虚拟专用网络VPN (Virtual Private Network)，是在公共网络中建立专用网络，数据通过安全的“加密通道”在公网中传播。目前，VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，用于公司总部和分支机构、合作伙伴之间以及移动办公用户通过公网进行通信，并且达到安全的目的。

?入侵检测系统：入侵检测系统IDS（Intrusion Detection System），是主动保护自己免受攻击的一种网络安全技术。它要对侵入计算机网络和主机的行为进行发现并进行一定的阻止。通常IDS安装在计算机网络或计算机系统的若干关键点，进行网络和系统的信息收集和分析，从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象。它扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响

应），提高了信息安全基础结构的完整性。

?认证、授权、审计：认证、授权、审计AAA (Authentication，Authorization，Accounting)，Cisco系统表述集中式身份验证服务器三大主要功能的术语，它是网络安全策略的一个组成部分。认证：确认远端访问用户的身份，判断访问者是否为合法的网络用户。授权：对用户进行认证后，授权服务将决定该用户可以访问哪些资源，允许该用户执行哪些操作。审计：为统计、计费和审计目的记录用户使用网络服务中的所有操作，包括使用的服务类型、起始时间、数据流量等信息。

?服务质量：服务质量QoS（Quality of Service），是网络的一种安全机制。拥有QoS的网络是一种智能网络，它可以对网络上传输的视音频流等对实时性要求较高的数据提供优先服务，从而保证较低的延迟。如果不实施QoS，IP电话、电视会议及

关键任务数据等应用只能作为“尽力而为”业务传输，这将导致在网络拥塞时话音和视频的不稳定性。

?其它：防火墙还应包含先进的鉴别措施，如信息的保密性保护、信息的完整性校验，以及授权管理技术等。网络管理安全越完善，体系架构就越复杂。管理网络的多台安全设备，还需要集中的网管。

8.个人防火墙

?个人版防火墙是安装在PC机系统里的一段“代码墙”把你的电脑和Internet分隔开。

它检查到达防火墙两端的所有数据包，无论是进入还是发出，从而决定该拦截这个包还是将其放行。也就是说：在不妨碍你正常上网浏览的同时，阻止Internet上的其他用户对你的计算机进行的非法访问。

?一个好的个人版防火墙必须是低的系统资源消耗，高的处理效率，具有简单易懂的设置界面，具有灵活而有效的规则设定。