1.所謂防火牆指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(SecurityGateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成
- 2.ICF工作原理
ICF被視爲狀態防火牆,狀態防火牆可監視通過其路徑的所有通訊,並且檢查所處理的每個消息的源和目標地址。爲了防止來自連接公用端的未經請求的通信進入專用端,ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中,ICF將跟蹤源自該計算機的通信。與ICS一起使用時,ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網絡計算機的通信。所有Internet傳入通信都會針對於該表中的各項進行比較。只有當表中有匹配項時(這說明通訊交換是從計算機或專用網絡內部開始的),才允許將傳入Internet通信傳送給網絡中的計算機。
源自外部源ICF計算機的通訊(如Internet)將被防火牆阻止,除非在“服務”選項卡上設置允許該通訊通過。ICF不會向你發送活動通知,而是靜態地阻止未經請求的通訊,防止像端口掃描這樣的常見***襲擊。 - 3.防火牆的種類
a.防火牆從誕生開始,已經歷了四個發展階段:基於路由器的防火牆、用戶化的防火牆工具套、建立在通用操作系統上的防火牆、具有安全操作系統的防火牆。常見的防火牆屬於具有安全操作系統的防火牆,例如NETEYE、NETSCREEN、TALENTIT等。
b.從結構上來分,防火牆有兩種:即代理主機結構和路由器+過濾器結構
c.從原理上來分,防火牆則可以分成4種類型:特殊設計的硬件防火牆、數據包過濾型、電路層網關和應用級網關。安全性能高的防火牆系統都是組合運用多種類型防火牆,構築多道防火牆“防禦工事”。
網絡層防火牆
網絡層防火牆可視爲一種IP封包過濾器,運作在底層的TCP/IP協議堆棧上。我們可以以枚舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆(病毒除外,防火牆不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火牆設備可能只能套用內置的規則。
我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項“否定規則”就予以放行。操作系統及網絡設備大多已內置防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:來源IP地址、來源端口號、目的IP地址或端口號、服務類型(如WWW或是FTP)。也能經由通信協議、TTL值、來源的網域名稱或網段...等屬性來進行過濾。
應用層防火牆
應用層防火牆是在TCP/IP堆棧的“應用層”上運作,您使用瀏覽器時所產生的數據流或是使用FTP時的數據流都是屬於這一層。應用層防火牆可以攔截進出某應用程序的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器裏。
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是***程序的快速蔓延。不過就實現而言,這個方法既煩且雜(軟件有千千百百種啊),所以大部分的防火牆都不會考慮以這種方法設計。
XML防火牆是一種新型態的應用層防火牆。
[2]根據側重不同,可分爲:包過濾型防火牆、應用層網關型防火牆、服務器型防火牆。
數據庫防火牆
數據庫防火牆是一款基於數據庫協議分析與控制技術的數據庫安全防護系統。基於主動防禦機制,實現數據庫的訪問行爲控制、危險操作阻斷、可疑行爲審計。
數據庫防火牆通過SQL協議分析,根據預定義的禁止和許可策略讓合法的SQL操作通過,阻斷非法違規操作,形成數據庫的外圍防禦圈,實現SQL危險操作的主動預防、實時審計。
數據庫防火牆面對來自於外部的***行爲,提供SQL注入禁止和數據庫虛擬補丁包功能。
基本特性
(一)內部網絡和外部網絡之間的所有網絡數據流都必須經過防火牆
這是防火牆所處網絡位置特性,同時也是一個前提。因爲只有當防火牆是內、外部網絡之間通信的唯一通道,纔可以全面、有效地保護企業網內部網絡不受侵害。
根據美國國家安全局制定的《信息保障技術框架》,防火牆適用於用戶網絡系統的邊界,屬於用戶網絡邊界的安全保護設備。所謂網絡邊界即是採用不同安全策略的兩個網絡連接處,比如用戶網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火牆的目的就是在網絡連接之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火牆的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。
典型的防火牆體系網絡結構如下圖所示。防火牆的一端連接企事業單位內部的局域網,而另一端則連接着互聯網。所有的內、外部網絡之間的通信都要經過防火牆。
(二)只有符合安全策略的數據流才能通過防火牆
防火牆最基本的功能是確保網絡流量的合法性,並在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起,原始的防火牆是一臺“雙穴主機”,即具備兩個網絡接口,同時擁有兩個網絡層地址。防火牆將網絡上的流量通過相應的網絡接口接收上來,按照OSI協議棧的七層結構順序上傳,在適當的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網絡接口送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似於橋接或路由器的、多端口的(網絡接口>=2)轉發設備,它跨接於多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。
(三)防火牆自身應具有非常強的抗***免疫力
這是防火牆之所以能擔當企業內部網絡安全防護重任的先決條件。防火牆處於網絡邊緣,它就像一個邊界衛士一樣,每時每刻都要面對***的***,這樣就要求防火牆自身要具有非常強的抗擊***本領。它之所以具有這麼強的本領防火牆操作系統本身是關鍵,只有自身具有完整信任關係的操作系統纔可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。
目前國內的防火牆幾乎被國外的品牌佔據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶瞭解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商爲思科(Cisco)、CheckPoint、NetScreen等,國內主流廠商爲東軟、天融信、山石網科、網禦神州、聯想、方正等,它們都提供不同級別的防火牆產品。
(四)應用層防火牆具備更細緻的防護能力
自從Gartner提出下一代防火牆概念以來,信息安全行業越來越認識到應用層***成爲當下取代傳統***,最大程度危害用戶的信息安全,而傳統防火牆由於不具備區分端口和應用的能力,以至於傳統防火牆僅僅只能防禦傳統的***,基於應用層的***則毫無辦法。
從2011年開始,國內廠家通過多年的技術積累,開始推出下一代防火牆,在國內從第一家推出下一代防火牆的深信服開始,至今包擴東軟,天融信等在內的傳統防火牆廠商也開始相互[3]效仿,陸續推出了下一代防火牆,下一代防火牆具備應用層分析的能力,能夠基於不同的應用特徵,實現應用層的***過濾,在具備傳統IPS、WAF、防火牆功能的同時,兼具了應用層的高性能和智能聯動兩大特性,能夠更好的針對應用層***進行防護。
(五)數據庫防火牆針對數據庫惡意***的阻斷能力
虛擬補丁技術:針對CVE公佈的數據庫漏洞,提供漏洞特徵檢測技術。
高危訪問控制技術:提供對數據庫用戶的登錄、操作行爲,提供根據地點、時間、用戶、操作類型、對象等特徵定義高危訪問行爲。
SQL注入禁止技術:提供SQL注入特徵庫。
返回行超標禁止技術:提供對敏感表的返回行數控制。
SQL黑名單技術:提供對非法SQL的語法抽象描述。
高危訪問控制技術:提供對數據庫用戶的登錄、操作行爲,提供根據地點、時間、用戶、操作類型、對象等特徵定義高危訪問行爲。
SQL注入禁止技術:提供SQL注入特徵庫。
返回行超標禁止技術:提供對敏感表的返回行數控制。
SQL黑名單技術:提供對非法SQL的語法抽象描述。
主要優點
(1)防火牆能強化安全策略。
(2)防火牆能有效地記錄Internet上的活動。
(3)防火牆限制暴露用戶點。防火牆能夠用來隔開網絡中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。
(4)防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆,防火牆便成爲安全問題的檢查點,使可疑的訪問被拒絕於門外。
一個防火牆(作爲阻塞點、控制點)能極大地提高一個內部網絡的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網絡環境變得更安全。如防火牆可以禁止諸如衆所周知的不安全的NFS協議進出受保護網絡,這樣外部的***者就不可能利用這些脆弱的協議來***內部網絡。防火牆同時可以保護網絡免受基於路由的***,如IP選項中的源路由***和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型***的報文並通知防火牆管理員。
強化網絡安全策略
通過以防火牆爲中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火牆上。與將網絡安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上,而集中在防火牆一身上。
監控網絡存取和訪問
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網絡是否受到監測和***的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋***者的探測和***,並且清楚防火牆的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄
通過利用防火牆對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部***者的興趣,甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被***者所獲悉。***者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被***時引起注意等等。防火牆可以同樣阻塞有關內部網絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所瞭解。