防火牆 概念

看到一篇寫防火牆分類等等的文章，覺得不錯，特黏貼下來以供品鑑！

 

　一、防火牆概念

　　防火牆的英文名爲“FireWall”，它是目前一種最重要的網絡防護設備。它的網絡中經常是以圖1所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極管圖標。而二極管我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因爲防火最初的設計思想是對內部網絡總是信任的，而對外部網絡卻總是不信任的，所以最初的防火牆是隻對外部進來的通信進行過濾，而對內部網絡用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網絡發出的通信連接要進行過濾，對內部網絡用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有“單向導通”性。

　　防火牆的本義是指古代構築和使用木製結構房屋的時侯，爲防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作爲屏障，這種防護構築物就被稱之爲“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這裏所講的防火牆的“安全策略”，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向導通性”。

　　我們這裏所介紹的網絡防火牆是借鑑了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防禦系統。防火可以使企業內部網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。

　　以上僅是一種宏觀意義的解釋，對於防火牆的概念，目前還沒有一個準確、標準的定義。通常人們認爲：防火牆是位於兩個(或多個)網絡間，實施網絡之間訪問控制的一組組件集合。它具有以下三個方面的基本特性：

　　內部網絡和外部網絡之間的所有網絡數據流都必須經過防火牆

　　這是防火牆所處網絡位置特性，同時也是一個前提。因爲只有當防火牆是內、外部網絡之間通信的惟一通道，纔可以全面、有效地保護企業網部網絡不受侵害。

　　根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網絡系統的邊界，屬於用戶網絡邊界的安全保護設備。所謂網絡邊界即是採用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火牆的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。

　　典型的防火牆體系網絡結構如圖1所示。從圖中可以看出，防火牆的一端連接企事業單位內部的局域網，而另一端則連接着互聯網。所有的內、外部網絡之間的通信都要經過防火牆。

　　只有符合安全策略的數據流才能通過防火牆

　　這是防火牆的工作原理特性。防火牆之所以能保護企業內部網絡，就是依據這樣的工作原理或者說是防護機制進行的。它可以由管理員自由設置企業內部網絡的安全策略，使允許的通信不受影響，而不允許的通信全部拒絕地內部網絡之外。

　　防火牆自身應具有非常強的抗***免疫力

　　這是防火牆之所以能擔當企業內部網絡安全防護重任的先決條件。就像公安幹警一樣，如果自己都沒有“百毒不侵”的過硬意志和本領，又如何經得住罪犯的種種誘惑和***呢？防火牆處於網絡邊緣，它就像一個邊界衛士一樣，每時每刻都要面對***的***，這樣就要求防火牆自身要具有非常強的抗擊***本領。它之所以具有這麼強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關係的操作系統纔可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。

　　二、防火牆的分類

　　認識了防火牆之後，我們就來對當前市場上的防火牆進行一下分類。目前市場的防火牆產品非常之多，劃分的標準也比較雜。在此我們對主流的分類標準進行介紹。

　　1. 從防火牆的軟、硬件形式分

　　很明顯，如果從防火牆的軟、硬件形式來分的話，防火牆可以分爲軟件防火牆和硬件防火牆。

　　最初的防火牆與我們平時所看後勁的集線器、交換機一樣，都屬於硬件產品。如圖2所示的是3Com公司的一款3Com SuperStack 3防火牆。它在外觀上與平常我們所見到的集線器和交換機類似，只是只有少數幾個接口，分別用於連接內、外部網絡，那是由防火牆的基本作用決定的。

　　隨着防火牆應用的逐步普及和計算機軟件技術的發展，爲了滿足不同層次用戶對防火牆技術的需求，許多網絡安全軟件廠商開發出了基於純軟件的防火牆，俗稱“個人防火牆”。之所以說它是“個人防火牆”，那是因爲它是安裝在主機中，只對一臺主機進行防護，而不是對整個網絡。

　　2. 從防火牆技術來分

　　防火牆技術雖然出現了許多，但總體來講可分爲“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火牆和Cisco公司的PIX防火牆爲代表，後者以美國NAI公司的Gauntlet防火牆爲代表。

　　(1). 包過濾(Packet filtering)型

　　包過濾型防火牆工作在OSI網絡參考模型的網絡層和傳輸層，它根據數據包頭源地址，目的地址、端口號和協議類型等標誌確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地，其餘數據包則被從數據流中丟棄。

　　包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因爲它不是針對各個具體的網絡服務採取特殊的處理方式，適用於所有網絡服務；之所以廉價，是因爲大多數路由器都提供數據包過濾功能，所以這類防火牆多數是由路由器集成的；之所以有效，是因爲它能很大程度上滿足了絕大多數企業安全要求。

　　在整個防火牆技術的發展過程中，包過濾技術出現了兩種不同版本，稱爲“第一代靜態包過濾”和“第二代動態包過濾”。

　　●第一代靜態包過濾類型防火牆

　　這類防火牆幾乎是與路由器同時產生的，它是根據定義好的過濾規則審查每個數據包，以便確定其是否與某一條包過濾規則匹配。過濾規則基於數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。

　　●第二代動態包過濾類型防火牆

　　這此防火牆採用動態設置包過濾規則的方法，避免了靜態包過濾所具有的問題。這種技術後來發展成爲包狀態監測(Stateful Inspection)技術。採用這種技術的防火牆對通過其建立的每一個連接都進行跟蹤，並且根據需要可動態地在過濾規則中增加或更新條目。

　　包過濾方式的優點是不用改動客戶機和主機上的應用程序，因爲它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據只是網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨着規則數目的增加，性能會受到很大地影響；由於缺少上下文關聯信息，不能有效地過濾如UDP、RPC一類的協議；另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”***。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火牆系統。

　 (2). 應用代理(Application Proxy)型

　　應用代理型防火牆是工作在OSI的最高層，即應用層。其特點是完全"阻隔"了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。其典型網絡結構如圖3所示。

　　在代理型防火牆技術的發展過程中，它也經歷了兩個不同的版本，即：第一代應用網關型代理防火和第二代自適應代理防火牆。

　　●第一代應用網關(Application Gateway)型防火牆

　　這類防火牆是通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火牆處理後，就好像是源於防火牆外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火牆被網絡安全專家和媒體公認爲是最安全的防火牆。它的核心技術就是代理服務器技術。

　　●第二代自適應代理(Adaptive proxy)型防火牆

　　它是近幾年纔得到廣泛應用的一種新防火牆類型。它可以結合代理類型防火牆的安全性和包過濾防火牆的高速度等優點，在毫不損失安全性的基礎之上將代理型防火牆的性能提高10倍以上。組成這種類型防火牆的基本要素有兩個：自適應代理服務器(Adaptive Proxy Server)與動態包過濾器(Dynamic Packet filter)。

　　在“自適應代理服務器”與“動態包過濾器”之間存在一個控制通道。在對防火牆進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然後，自適應代理就可以根據用戶的配置信息，決定是使用代理服務從應用層代理請求還是從網絡層轉發包。如果是後者，它將動態地通知包過濾器增減過濾規則，滿足用戶對速度和安全性的雙重要求。

　　代理類型防火牆的最突出的優點就是安全。由於它工作於最高層，所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網絡層的數據進行過濾。

　　另外代理型防火牆採取是一種代理機制，它可以爲每一種應用服務建立一個專門的代理，所以內外部網絡之間的通信不是直接的，而都需先經過代理服務器審覈，通過後再由代理服務器代爲連接，根本沒有給內、外部網絡計算機任何直接會話的機會，從而避免了***者使用數據驅動類型的***方式***內部網。包過濾類型的防火牆是很難徹底避免這一漏洞的。就像你要向一個陌生人物遞交一份聲明一樣，如果你先將這份聲明交給你的律師，然後律師就會審查你的聲明，確認沒有什麼負面的影響後才由他交給那個陌生人。在此期間，陌生人對你的存在一無所知，因爲他僅與你的律師進行交接。如果要對你進行侵犯，他直接面對的將是你的律師，而你的律師當然比你更加清楚該如何對付這種人。

　　有優點就有缺點，任何事物都一樣。代理防火牆的最大缺點就是速度相對比較慢，當用戶對內外部網絡網關的吞吐量要求比較高時，代理防火牆就會成爲內外部網絡之間的瓶頸。那因爲防火牆需要爲不同的網絡服務建立專門的代理服務，在自己的代理程序爲內、外部網絡用戶建立連接時需要時間，所以給系統性能帶來了一些負面影響，但通常不會很明顯。

　　3. 從防火牆結構分

　　從防火牆結構上分，防火牆主要有：單一主機防火牆、路由器集成式防火牆和分佈式防火牆三種。

　　單一主機防火牆是最爲傳統的防火牆，它就像本文圖2所介紹的那款3Com防火牆一樣，獨立於其它網絡設備，它位於網絡邊界。

　　這種防火牆其實與一臺計算機結構差不多(如圖4所示的是一款硬件防火牆)，同樣包括CPU、內存、硬盤等基本組件，當然主板更是不能少了，且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火牆都集成了兩個以上的以太網卡，因爲它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火牆所用的基本程序，如包過濾程序和代理服務器程序等，有的防火牆還把日誌記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機一樣，因爲它的工作性質，決定了它要具備非常高的穩定性、實用性，具備非常高的系統吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠。

　　隨着防火牆技術的發展及應用需求的提高，原來作爲單一主機的防火牆現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火牆功能，還有的防火牆已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統，這種防火牆，俗稱“分佈式防火牆”。

　　原來單一主機的防火牆由於價格非常昂貴，僅有少數大型企業才能承受得起，爲了降低企業網絡投資，現在許多中、高檔路由器中集成了防火牆功能。如Cisco IOS防火牆系列。但這種防火牆通常是較低級的包過濾型。這樣企業就再同時購買路由器和防火牆，大大降低了網絡設備購買成本。

　　分佈式防火牆再也不是隻是位於網絡邊界，而是***於網絡的每一臺主機，對整個內部網絡的主機實施保護。在網絡服務器中，通常會安裝一個用於防火牆系統管理軟件，在服務器及各主機上安裝有集成網卡功能的PCI防火牆卡 ，這樣一塊防火牆卡同時兼有網卡和防火牆的雙重功能。這樣一個防火牆系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視爲“不可信”的，都需要嚴格過濾。而不是傳統邊界防火牆那樣，僅對外部網絡發出的通信請求“不信任”。關於這一點，我們將在防火牆新技術篇中將詳細介紹。

　　4. 按防火牆的應用部署位置分

　　如果按防火牆的應用部署位置分，可以分爲邊界防火牆、個人防火牆和混合防火牆三大類。

　　邊界防火牆是最傳統的那種，它們於內、外部網絡的邊界，所起的作用的對內、外部網絡實施隔離，保護邊界內部網絡。這類防火牆一般都是硬件類型的，價格較貴，性能較好。

　　個人防火牆安裝於單臺主機中，防護的也只是單臺主機。這類防火牆應用於廣大的個人用戶，通常爲軟件防火牆，價格最便宜，性能也最差。

　　混合式防火牆可以說就是“分佈式防火牆”或者“嵌入式防火牆”，它是一整套防火牆系統，由若干個軟、硬件組件組成，分佈於內、外部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬於最新的防火牆技術之一，性能最好，價格也最貴。

　　5. 按防火牆性能分

　　如果按防火牆的性能來分可以分爲百兆級防火牆和千兆級防火牆兩類。因爲防火牆通常位於網絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬，或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火牆因包過濾或應用代理所產生的延時也越小，對整個網絡通信性能的影響也就越小。

　　三、防火牆的主要功能

　　以上介紹了防火牆的含義，其實我們可以從防火牆的這些解釋中可以理解到防火牆的功能。具體來說，防火牆主要有以下幾方面功能：

　　創建一個阻塞點；
　　隔離不同網絡，防止內部信息的外泄
　　強化安全策略
　　有效地審計和記錄內、外部網絡上的活動

　　1. 創建一個阻塞點

　　防火牆在一個公司內部網絡和外部網絡間建立一個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火牆設備就可以監視，過濾和檢查所有進來和出去的流量。這樣一個檢查點，在網絡安全行業中稱之爲“阻塞點”。通過強制所有進出流量都通過這些檢查點，網絡管理員可以集中在較少的地方來實現安全目的。如果沒有這樣一個供監視和控制信息的點，系統或安全管理員則要在大量的地方來進行監測。

　　2. 隔離不同網絡，防止內部信息的外泄

　　這是防火牆的最基本功能，它通過隔離內、外部網絡來確保內部網絡的安全。也限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。企業祕密是大家普遍非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部***者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被***者所截獲，***者通過所獲取的信息可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網等信息。防火牆可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所瞭解。

　　3. 強化網絡安全策略

　　通過以防火牆爲中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火牆上。與將網絡安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。各種安全措施的有機結合，更能有效地對網絡安全性能起到加強作用。

　　4. 有效地審計和記錄內、外部網絡上的活動

　　防火牆可以對內、外部網絡存取和訪問進行監控審計。如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並進行日誌記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網絡是否受到監測和***的詳細信息。這爲網絡管理人員提供非常重要的安全管理信息，可以使管理員清楚防火牆是否能夠抵擋***者的探測和***，並且清楚防火牆的控制是否充足。

　　以上是從宏觀方面對防火牆的功能所進行的綜合描述，如果從技術微觀方面分的話，它主要體現在如下方面：

　　1. 包過濾

　　包過濾是防火牆所要實現的最基本功能，現在的防火牆已經由最初的地址、端口判定控制，發展到判斷通信報文協議頭的各部分，以及通信協議的應用層命令、內容、用戶認證、用戶規則甚至狀態檢測等等。

　　2. 審計和報警機制

　　在防火牆結合網絡配置和安全策略對相關數據分析完成以後，就要做出接受、拒絕、丟棄或加密等決定。如果某個訪問違反安全策略，審計和報警機制開始起作用，並作記錄和報告。審計是一種重要的安全舉措，用以監控通信行爲和完善安全策略，檢查安全漏洞和錯誤配置。報警機制是在有通信違反相關安全策略後，防火牆可以有多種方式及時向管理員進行報警，如聲音、郵件、電話、手機短信息等。

　　防火牆的審計和報警機制在防火牆體系中是很重要的，只有有了審計和報警功能，管理人員纔可能及時知道網絡是否受到了***。通過防火牆日誌啓示還可以進行統計、分析，得出系統安全存在最大不足和隱患，進而可以有針對性地進行改進。

　　但要注意的，由於要對整個網絡通信進行日誌記錄，所以防火牆的日誌記錄數據量比較大，在防火牆自身上是不可能能存儲這麼龐大的日誌文件的。通常採用外掛方式，即將日誌掛接在內部網絡的一臺專門存放日誌的日誌服務器上。

　　3.NAT(Network Address Translation，網絡地址轉換)

　　網絡地址轉換功能現在也已成爲防火牆的標準配置之一。通過此項功能就可以很好地屏蔽內部網絡的IP地址，對內部網絡用戶起到了保護作用。

　　NAT又分“SNAT (Source NAT)”和“DNAT (Destination NAT)”。SNAT就是改變轉發數據包的源地址，對內部網絡地址進行轉換，對外部網絡是屏蔽的，使得外部非常用戶對內部主機的***更加困難，同時可以節省有限的公網IP資源，通過少數一個或幾個公網IP地址共享上網。而DNAT就是改變轉發數據包的目的地址，外部網絡主機向內部網絡主機發出通信連接時，防火牆首先把目的地址轉換爲自己的地址，然後再轉發外部網絡的通信連接，這樣實際上外部網絡主機與內部網絡主機的通信變成了防火牆與內部網絡主機的通信。在防火牆中主要用於外部網絡主機對內部網絡和DMZ區(非軍事區)主機的訪問。

　　4.Proxy(代理)

　　在防火牆代理服務中，主要有如下兩種實現方式：

　　透明代理(Transparent proxy)

　　透明代理是指內部網絡主機需要訪問外部網絡主機時，不需要做任何設置，完全意識不到防火牆的存在。其基本原理是防火牆截取內部網絡主機與外部網絡通信，由防火牆本身完成與外部網絡主機通信，然後把結果傳回給發出通信連接的內部網絡主機，在這個過程中，無論內部網絡主機還是外部網絡主機都意識不到它們其實是在和防火牆通信。而從外部網絡只能看到防火牆，這就隱藏了內部網絡網絡，提高了安全性。

　　傳統代理

　　傳統代理工作原理與透明代理相似，所不同的是它需要在客戶端設置代理服務器。如前所述，代理能實現較高的安全性，不足之處是響應變慢。

　　5.流量控制(帶寬管理)和統計分析、流量計費

　　流量控制可以分爲基於IP地址的控制和基於用戶的控制。基於IP地址的控制是對通過防火牆各個網絡接口的流量進行控制，基於用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應用或用戶佔用過多的資源。並且通過流量控制可以保證重要用戶和重要接口的連接。

　　流量統計是建立在流量控制基礎之上的。一般防火牆通過對基於IP、服務、時間、協議等等進行統計，並可以與管理界面實現掛接，實時或者以統計報表的形式輸出結果。流量計費從而也是非常容易實現的。

　　6.***(虛擬專用網)

　　在傳統的防火牆設備中，是不允許進行***通信的，以往的***網絡設備也是作爲單獨產品出現的，現在更多的廠家把兩種技術集成在一起。***作爲一種新的網絡技術，它具有較強的通信優勢。支持***通信，已成爲一種趨勢，不僅防火牆如此，交換機、路由器也如此。這比單獨開始一種***設備來說更加合理，不僅體現在經濟上，而且體現在功能上。

　　7.URL級信息過濾

　　隨着互聯網應用的普及，各企業對互聯網的依賴性越來越強了。過去了一些簡單的郵件收發互聯網應用已不能滿足企業應用需求了。像***通信一樣，企業很可能還需要與合作伙伴、供應商或分支機構進行雙向通信，這樣的通信是相當頻繁的，如果也按傳統的防火牆過濾原理，對每一個通信請求都進行嚴格的審覈的話，很可能引發通信瓶頸，造成通信性能下降。這時如果對某些站點或目錄進行特權訪問或禁止的話，就可以不必這樣頻繁的審覈了。這就是目前最主流的網站、內容等信息過濾配置。在許多代理服務器軟件中都可以實現這一點，在防火牆中也有些具備這一功能。

　　8. 其他特殊功能

　　除了以上介紹的六個方面的主要功能外，有的防火牆還具有一些特殊功能，這些特殊功能純粹是爲了迎合特殊客戶的需要或者爲贏得賣點而設計的。如特定的用戶權限配置(包括使用時間、郵件發送權限、件傳輸權限、使用的主機、所能進行的互聯網應用等)，這些依需求不同而定。有的防火牆還加入了病毒掃描功能。