常見的防火牆技術介紹

詳見：http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt280

防火牆是一個系統或一組系統，它在內網與Internet間執行一定的安全策略。典型的防火牆應包含如下模塊中的一個或多個：包過濾路由器、應用層網關（或代理服務器）以及鏈路層網關。

防火牆的功能大體為以下五個方面：

1、通過防火牆可以定義一個關鍵點以防止外來入侵

2、監控網絡的安全並在異常情況下給出報警提示

3、提供網絡地址轉換功能

4、防火牆可查詢或登記Internet的使用情況

5、防火牆是為客戶提供服務的理想位置，即在其上可以配置相應的服務，使Internet用戶僅可以訪問此類服務，而禁止對保護網絡的其他系統的訪問。

 

2.2.1     傳統的邊界防火牆

1、過濾式防火牆

包過濾是第一代防火牆技術，它主要包含了前面提到的包過濾路由器。這是一種通用、廉價、有效的安全手段。它對每一個數據報的包頭，按照包過濾規則進行判定，與規則相匹配的包依據路由表信息繼續轉發，否則丟棄。

它的優點很明顯：

Ø  它工作在網絡層，所以效率高速度也很快而且它不用改動客戶機和主機上的應用程序。

Ø  大多數防火牆配置成無狀態的包過濾路由器，因而實現包過濾幾乎沒有任何耗費。

Ø  另外，它對用戶和應用來說是透明的，每台主機無需安裝特定的軟件，使用起來比較方便。

不過它的缺點也很明顯：

Ø  在許多過濾器中，過濾規則的數目是有限制的，且隨着規則數目的增加，將降低路由器包的吞吐量，同時耗費更多CPU的時間而影響系統的性能

Ø  大多數過濾器中缺少審計和報警機制

Ø  不能在用戶級別上進行過濾

Ø  任何直接通過路由器的包都可能被利用做為發起一個數據驅動的攻擊

Ø  再者IP包過濾難以進行行之有效的流量控制，因為它可以許可或拒絕一個特定的服務，但無法理解一個特定服務的內容或數據。　　

2、代理服務器型防火牆

代理服務器型防火牆通常也稱為應用代理型防火牆，他主要包含前面提到的應用層網關。這種防火牆通常由兩部分構成，服務器端程序和客戶端程序。客戶端程序與中間節點連接，中間節點再與提供服務的服務器實際連接。與包過濾防火牆不同的是，內外網間不存在直接的連接，而且代理服務器提供日志和審計服務。

它的優點在於：

Ø  代理易於配置

Ø  代理能生成各項記錄，便於觀察用戶的使用情況

Ø  代理能靈活、完全地控制進出的流量和內容

Ø  代理能過濾數據內容

Ø  代理能為用戶提供透明的加密機制

Ø  代理可以方便地與其他安全手段集成

Ø  當然，它最大的優點在於網絡管理員對每一個服務的完全控制權

它的缺點在於

Ø  代理速度較路由器慢

Ø  代理對用戶不透明

Ø  對於每項服務代理可能要求不同的服務器，當然也可以把所有代理集中於一個服務器，但是那樣對代理效率影響比較大

Ø  代理服務不能保證你免受所有協議弱點的限制

Ø  代理不能改進底層協議的安全性

 

2.2.2     主機防火牆

主機防火牆是部署在單個主機上的，它結合一些基於應用的安全檢查，它能明顯地降低內網攻擊的危害。基於網絡的IDS監聽整個內網上的網絡通信，發現攻擊行為並報警，能有效地威懾試圖在內網中發動攻擊的黑客。但是，它們的缺點也很明顯。企業內部通常有十幾台甚至上百台的計算機，為每一台主機部署主機防火牆，是一件十分吃力的工作。當安全策略需要升級或變更時，控制維護和管理成本將成為很棘手的問題。而基於網絡的IDS的缺陷在於它面對高速大流量的網絡時，丟包漏報的問題比較突出，且由於它多采用全網監聽的工作模式，在交換式網絡環境中部署和應用都受到很大限制。

2.2.3     分布式防火牆

分布式防火牆是目前防火牆發展的一個熱點，它是針對邊界防火牆存在的缺陷來提出的。

分布式防火牆的部署大多數下圖所示：

分布式防火牆有狹義和廣義之分。堵住內網漏洞是分布式防火牆的專長。

1、廣義分布式防火牆

廣義分布式防火牆是一種全新的防火牆體系結構，包括網絡防火牆、主機防火牆和中心管理三部分。

Ø  網絡防火牆部署於內部網與外部網之間以及內網子網之間。網絡防火牆區別於邊界防火牆的特征在於，網絡防火牆需支持內部網可能有的IP和非IP協議，而邊界防火牆並不需要。

Ø  主機防火牆對網絡中的服務器和桌面系統進行防護，主機的物理位置可能在企業網中，也可能在企業網外。

Ø  由於邊界防火牆只是網絡中的單一設備，對其進行的管理也只能是局部管理。對於廣義分布式防火牆來說，每個防火牆作為安全監測機制的組成部分，必須根據不同的安全要求被布置在網絡中任何需要的位置上。對廣義分布防火牆的管理必須是統一進行的，中心管理是分布式防火牆系統的核心和重要特征之一。安全策略的分發及日志的匯總都是中心管理具備的功能。

2、狹義分布式防火牆

狹義分布式防火牆是指駐留在網絡主機（如服務器或桌面機）並對主機系統提供安全防護的軟件產品，駐留主機是這類防火牆的重要特征。這類防火牆將該駐留主機以外的其他網絡都認作是不可信任的，並對駐留主機運行的應用和對外提供的服務設定針對性很強的安全策略。采用嵌入操作系統內核是狹義防火牆的另一特點。操作系統自身存在許多安全漏洞，使運行其上的應用軟件受到威脅，防火牆軟件也不能幸免。為徹底堵住操作系統漏洞，狹義防火牆的安全監測核心引擎必須嵌入操作系統內核，直接接管網卡，對所有數據包進行檢查后再提交給操作系統。要想實現這種運行機制，防火牆廠商必須要與操作系統廠商進行技術合作。不能實現嵌入式運行模式的狹義防火牆由於受到操作系統安全機制的制約，存在明顯的安全隱患。