基本定義
防火牆主要是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障,從而實現對計算機不
安全網路因素的阻斷。只有在防火牆同意情況下,用戶才能夠進入計算機內,如果不同意就會被阻擋於外,
防火牆技術的警報功能十分強大,在外部的用戶要進入到計算機內時,防火牆就會迅速的發出相應的警報,並提醒用戶的行為,並進行自我的判斷來決定是否允許外部的用戶進入到內部,只要是在網路環境內的用戶,這種防火牆都能夠進行有效的查詢,同時把查到信息朝用戶進行顯示,然後用戶需要按照自身需要對防火牆實施相應設定,對不允許的
用戶行為進行阻斷。通過防火牆還能夠對信息數據的流量實施有效查看,並且還能夠對數據信息的上傳和下載速度進行掌握,便於用戶對計算機使用的情況具有良好的控制判斷,計算機的內部情況也可以通過這種防火牆進行查看,還具有啟動與關閉程式的功能,而
計算機系統的內部中具有的日誌功能,其實也是防火牆對計算機的內部系統實時安全情況與每日流量情況進行的總結和整理。
防火牆是在兩個網路通訊時執行的一種
訪問控制尺度,能最大限度阻止網路中的黑客訪問你的網路。是指設定在不同網路(如可信任的企業
內部網和不可信的
公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網路的
信息流,且本身具有較強的抗攻擊能力。它是提供
信息安全服務,實現網路和信息安全的基礎設施。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了
內部網和
Internet之間的任何活動,保證了內部網路的安全。
防火牆功能
防火牆對流經它的
網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的連線埠。而且它還能禁止特定連線埠的流出通信,封鎖
特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
網路安全的屏障
一個防火牆(作為阻塞點、
控制點)能極大地提高一個
內部網絡的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的
套用協定才能通過防火牆,所以
網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的
NFS協定進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協定來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的
源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
通過以防火牆為中心的安全方案配置,能將所有
安全軟體(如口令、加密、
身份認證、審計等)配置在防火牆上。與將
網路安全問題分散到各個主機上相比,防火牆的集中
安全管理更經濟。例如在網路訪問時,
一次一密口令系統和其它的
身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
監控審計
如果所有的訪問都經過防火牆,那么,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的
統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路
需求分析和
威脅分析等而言也是非常重要的。
通過利用防火牆對
內部網絡的劃分,可實現內部網重點
網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些
安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如
Finger,
DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP位址就不會被外界所了解。除了安全作用,防火牆還支持具有Internet服務性的企業內部網路
技術體系VPN(
虛擬專用網)。
日誌記錄與事件通知
進出網路的
數據都必須經過防火牆,防火牆通過日誌對其進行記錄,能提供網路使用的詳細
統計信息。當發生可疑事件時,防火牆更能根據機制進行報警和通知,提供網路是否受到威脅的信息。
重要性
數據信息對於計算機網路建設工作有著積極的
促進作用,同時其對於計算機
網路安全也有著一定程度上的影響。通過防火牆技術能夠收集計算機網路在運行的過程當中的
數據傳輸、信息訪問等多方面的內容,同時對收集的信息進行分類分組,藉此找出其中存在安全隱患的數據信息,採取針對性的措施進行解決,有效防止這些數據
信息影響到計算機網路的安全。除此之外,工作人員在對防火牆之中記錄的數據信息進行總結之後,能夠明確不同類型的異常數據信息的特點,藉此能夠有效提高計算機網路風險防控工作的效率和質量。
2、防止工作人員訪問存在安全隱患的網站
計算機網路安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過
套用防火牆技術能夠對工作人員的操作進行
實時監控,一旦發現工作人員即將進入存在安全隱患的網站,防火牆就會立刻發出警報,藉此有效防止工作人員誤入存在安全隱患的網站,有效提高訪問工作的安全性。
計算機網路在運行的過程當中會出現許多不安全服務,這些不安全服務會嚴重影響到計算機網路的安全。通過套用防火牆技術能夠有效降低工作人員的實際
操作風險,其能夠將不安全服務有效攔截下來,有效防止非法攻擊對計算機網路安全造成影響。此外,通過防火牆技術還能夠實現對計算機網路之中的各項工作進行實施監控,藉此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行,有效防止因為計算機網路問題給用戶帶來經濟損失。
意義與特徵
防火牆的英文名為“FireWall”,它是一種最重要的網路防護設備。從專業角度講,防火牆是位於兩個(或多個)網路間,實施網路之間
訪問控制的一組組件集合。防火牆的本義是指古代構築和使用木製結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當於我們這裡所講的防火牆的“安全策略”,所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信,在這些小孔中安裝了過濾機制,也就是上面所介紹的“單嚮導通性”。
我們通常所說的
網路防火牆是借鑑了古代真正用於防火的防火牆的
喻義,它指的是隔離在
本地網路與外界網路之間的一道防禦系統。防火可以使企業內部
區域網路(LAN)網路與
Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。
典型的防火牆具有以下基本特性。
數據必經之地
內部網路和外部網路之間的所有網路數據流都必須經過防火牆。這是防火牆所處
網路位置特性,同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的通道,才可以全面、有效地保護
企業網部網路不受侵害。根據
美國國家安全局制定的《
信息保障技術框架》,防火牆適用於用戶
網路系統的邊界,屬於用戶
網路邊界的
安全保護設備。所謂
網路邊界即是採用不同安全策略的兩個
網路連線處,比如用戶網路和網際網路之間連線、和其它業務往來單位的網路連線、用戶內部網路不同部門之間的連線等。防火牆的目的就是在網路連線之間建立一個安全控制點,通過允許、拒絕或
重新定向經過防火牆的
數據流,實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系
網路結構一端連線
企事業單位內部的區域網路,而另一端則連線著網際網路。所有的內、外部網路之間的通信都要經過防火牆,只有符合安全策略的
數據流才能通過防火牆。
防火牆最基本的功能是確保
網路流量的合法性,並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的
防火牆模型開始談起,原始的防火牆是一台“雙穴主機”,即具備兩個網路接口,同時擁有兩個
網路層地址。防火牆將網路上的流量通過相應的
網路接口接收上來,按照OSI協定棧的七層結構順序上傳,在適當的協定層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網路接口送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似於橋接或路由器的、
多連線埠的(網路接口≥2)轉發設備,它跨接於多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。
抗攻擊免疫力
防火牆自身應具有非常強的抗攻擊免疫力:這是防火牆之所以能擔當企業內部
網路安全防護重任的
先決條件。防火牆處於
網路邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領
防火牆作業系統本身是關鍵,只有自身具有完整
信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆
嵌入系統外,再沒有其它
應用程式在防火牆上運行。當然這些安全性也只能說是相對的。國內的防火牆幾乎被國外的品牌占據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商為
思科(Cisco)、CheckPoint、
NetScreen等,國內主流廠商為
東軟、
天融信、
聯想、方正等,它們都提供不同級別的防火牆產品。
防火牆的硬體
體系結構曾經歷過通用CPU架構、
ASIC架構和
網路處理器架構,他們各自的特點分別如下:通用
CPU架構:通用CPU架構最常見的是基於Intel
X86架構的防火牆,在百兆防火牆中Intel X86架構的硬體以其高靈活性和擴展性一直受到防火牆廠商的喜愛;由於採用了PCI匯流排接口,Intel X86架構的硬體雖然理論上能達到2
Gbps的
吞吐量甚至更高,但是在實際套用中,尤其是在小包情況下,遠遠達不到標稱性能,通用CPU的處理能力也很有限。國內
安全設備主要採用的就是基於
X86的通用CPU架構。ASIC架構:ASIC(Application Specific Integrated Circuit,專用
積體電路)技術是國外高端網路設備幾年前廣泛採用的技術。由於採用了硬體轉發模式、多
匯流排技術、數據層面與控制層面分離等技術,
ASIC架構防火牆解決了頻寬容量和性能不足的問題,穩定性也得到了很好的保證。
ASIC技術的性能優勢主要體現
網路層轉發上,而對於需要強大
計算能力的套用層數據的處理則不占優勢,而且面對頻繁變異的套用
安全問題,其靈活性和擴展性也難以滿足要求。由於該技術有較高的技術和資金門檻,主要是國內外知名廠商在採用,國外主要代表廠商是
Netscreen,國內主要代表廠商為
天融信。網路處理器架構:由於網路處理器所使用的
微碼編寫有一定技術難度,難以實現產品的最優性能,因此網路處理器架構的防火牆產品難以占有大量的市場份額。隨著
網路處理器的主要供應商Intel、
Broadcom、
IBM等相繼出售其網路處理器業務,該技術在
網路安全產品中的套用已經走到了盡頭。
主要類型
防火牆是現代網路
安全防護技術中的重要構成內容,可以有效地防護外部的侵擾與影響。隨著
網路技術手段的完善,防火牆技術的功能也在不斷地完善,可以實現對信息的過濾,保障信息的安全性。防火牆就是一種在內部與外部網路的中間過程中發揮作用的防禦系統,具有安全防護的價值與作用,通過防火牆可以實現內部與
外部資源的有效流通,及時處理各種安全隱患問題,進而提升了信息數據資料的安全性。防火牆技術具有一定的抗攻擊能力,對於外部攻擊具有
自我保護的作用,隨著
計算機技術的進步防火牆技術也在不斷發展。
(1)過濾型防火牆
過濾型防火牆是在
網路層與
傳輸層中,可以基於數據源頭的地址以及協定類型等標誌特徵進行分析,確定是否可以通過。在符合防火牆規定標準之下,滿足安全性能以及類型才可以進行信息的傳遞,而一些不安全的因素則會被防火牆過濾、阻擋。
套用代理防火牆主要的
工作範圍就是在OSI的最高層,位於套用層之上。其主要的特徵是可以完全隔離網路通信流,通過特定的代理程式就可以實現對套用層的監督與控制。這兩種防火牆是套用較為普遍的防火牆,其他一些防火牆套用效果也較為顯著,在實際套用中要綜合具體的需求以及狀況合理的選擇防火牆的類型,這樣才可以有效地避免防火牆的外部侵擾等問題的出現。
(3)複合型
截至2018年套用較為廣泛的防火牆技術當屬複合型防火牆技術,綜合了
包過濾防火牆技術以及套用代理防火牆技術的優點,譬如發過來的安全策略是包過濾策略,那么可以針對報文的
報頭部分進行訪問控制;如果安全策略是代理策略,就可以針對報文的內容數據進行訪問控制,因此複合型防火牆技術綜合了其組成部分的優點,同時摒棄了兩種防火牆的原有缺點,大大提高了防火牆技術在套用實踐中的靈活性和安全性。
關鍵技術
1、包過濾技術
防火牆的
包過濾技術一般只套用於
OSI7層的模型
網路層的數據中,其能夠完成對防火牆的
狀態檢測,從而預先可以把邏輯策略進行確定。邏輯策略主要針對地址、連線埠與源地址,通過防火牆所有的
數據都需要進行分析,如果
數據包內具有的信息和策略要求是不相符的,則其數據包就能夠順利通過,如果是完全相符的,則其數據包就被迅速攔截。計算機數據包傳輸的過程中,一般都會分解成為很多由目的地址等組成的一種小型數據包,當它們通過防火牆的時候,儘管其能夠通過很多傳輸路徑進行傳輸,而最終都會匯合於同一地方,在這個目地點位置,所有的數據包都需要進行防火牆的檢測,在檢測合格後,才會允許通過,如果傳輸的過程中,出現數據包的丟失以及地址的變化等情況,則就會被拋棄。
計算機
信息傳輸的過程中,藉助防火牆還能夠有效的實現信息的加密,通過這種加密技術,相關人員就能夠對傳輸的信息進行有效的加密,其中信息密碼是
信息交流的雙方進行掌握,對信息進行接受的人員需要對加密的信息實施解密處理後,才能獲取所傳輸的信息數據,在防火牆加密
技術套用中,要時刻注意信息加密處理安全性的保障。在防火牆技術套用中,想要實現信息的安全傳輸,還需要做好用戶身份的驗證,在進行加密處理後,信息的傳輸需要對用戶授權,然後對信息接收方以及
傳送方要進行身份的驗證,從而建立
信息安全傳遞的通道,保證計算機的
網路信息在傳遞中具有良好的安全性,非法分子不擁有正確的
身份驗證條件,因此,其就不能對計算機的網路信息實施入侵。
3、防病毒技術
防火牆具有著防
病毒的功能,在防病毒技術的套用中,其主要包括病毒的預防、清除和檢測等方面。防火牆的防病毒預防功能來說,在網路的建設過程中,通過安裝相應的防火牆來對計算機和網際網路間的信息數據進行嚴格的控制,從而形成一種安全的屏障來對計算機
外網以及
區域網路數據實施保護。
計算機網路要想進行連線,一般都是通過網際網路和路由器連線實現的,則對網路保護就需要從
主幹網的部分開始,在主幹網的中心資源實施控制,防止伺服器出現非法的訪問,為了杜絕外來非法的入侵對信息進行盜用,在計算機連線的連線埠所接入的數據,還要進行
乙太網和
IP位址的嚴格檢查,被盜用IP位址會被丟棄,同時還會對重要信息資源進行全面記錄,保障其計算機的
信息網路具有良好安全性。
代理伺服器是
防火牆技術引用比較廣泛的功能,根據其計算機的網路運行方法可以通過防火牆技術設定相應的代理伺服器,從而藉助代理伺服器來進行信息的互動。在信息數據從區域網路向外網傳送時,其信息數據就會攜帶著正確
IP,非法攻擊者能夠分局信息數據IP作為追蹤的對象,來讓病毒進入到區域網路中,如果使用代理伺服器,則就能夠實現信息數據IP的虛擬化,非法攻擊者在進行
虛擬IP的跟蹤中,就不能夠獲取真實的解析信息,從而代理伺服器實現對計算機網路的
安全防護。另外,代理伺服器還能夠進行信息數據的中轉,對計算機區域網路以及外網信息的互動進行控制,對計算機的
網路安全起到保護。
部署方式
防火牆是為加強網路安全防護能力在網路中部署的硬體設備,有多種部署方式,常見的有橋模式、網關模式和NAT模式等。
1、橋模式
橋模式也可叫作透明模式。最簡單的網路由客戶端和伺服器組成,客戶端和伺服器處於
同一網段。為了安全方面的考慮,在客戶端和伺服器之間增加了防火牆設備,對經過的流量進行安全控制。正常的客戶端請求通過防火牆送達伺服器,伺服器將回響返回給客戶端,用戶不會感覺到
中間設備的存在。工作在橋模式下的防火牆沒有IP位址,當對網路進行擴容時無需對
網路地址進行重新規劃,但犧牲了路由、VPN等功能。
2、網關模式
網關模式適用於內外網不在同一網段的情況,防火牆設定網關地址實現路由器的功能,為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性,在進行訪問控制的同時實現了安全隔離,具備了一定的
私密性。
3、NAT模式
NAT(Network Address Translation)地址翻譯技術由防火牆對內部網路的
IP位址進行地址翻譯,使用防火牆的
IP位址替換內部網路的源地址向外部網路傳送數據;當外部網路的回響數據流量返回到防火牆後,防火牆再將目的地址替換為內部網路的源地址。NAT模式能夠實現外部網路不能直接看到內部網路的IP位址,進一步增強了對內部網路的安全防護。同時,在NAT模式的網路中,內部網路可以使用
私網地址,可以解決IP位址數量受限的問題。
如果在NAT模式的基礎上需要實現外部網路訪問內部
網路服務的需求時,還可以使用地址/
連線埠映射(MAP)技術,在防火牆上進行地址/連線埠映射配置,當外部網路用戶需要訪問內部服務時,防火牆將請求映射到內部伺服器上;當內部伺服器返回相應數據時,防火牆再將
數據轉發給外部網路。使用地址/連線埠映射技術實現了外部用戶能夠訪問內部服務,但是外部用戶無法看到內部伺服器的真實地址,只能看到防火牆的地址,增強了內部伺服器的安全性。
防火牆都部署在網路的出入口,是
網路通信的大門,這就要求防火牆的部署必須具備
高可靠性。一般IT設備的使用壽命被設計為3至5年,當單點設備發生故障時,要通過冗餘技術實現可靠性,可以通過如
虛擬路由冗餘協定(
VRRP)等技術實現主備冗餘。到2019年為止,主流的
網路設備都支持高可靠性設計。
具體套用
防火牆在區域網路中的設定位置是比較固定的,一般將其設定在伺服器的入口處,通過對外部的訪問者進行控制,從而達到保護內部網路的作用,而處於內部網路的用戶,可以根據自己的需求明確許可權規劃,使用戶可以訪問規劃內的路徑。總的來說,區域網路中的防火牆主要起到以下兩個作用:一是
認證套用,區域網路中的多項行為具有遠程的特點,只有在約束的情況下,通過相關認證才能進行;二是記錄訪問記錄,避免自身的攻擊,形成
安全策略。
套用於外網中的防火牆,主要發揮其防範作用,
外網在防火牆授權的情況下,才可以進入
區域網路。針對外網布設防火牆時,必須保障
全面性,促使外網的所有
網路活動均可在防火牆的監視下,如果外網出現非法入侵,防火牆則可主動拒絕為外網提供服務。基於防火牆的作用下,區域網路對於外網而言,處於完全封閉的狀態,
外網無法解析到
區域網路的任何信息。防火牆成為外網進入區域網路的唯一途徑,所以防火牆能夠詳細記錄外網活動,匯總成日誌,防火牆通過分析日常日誌,判斷外網行為是否具有攻擊特性。
未來趨勢
隨著網路技術的不斷發展,防火牆
相關產品和技術也在不斷進步。
智慧型防火牆:在防火牆產品中加入人工智慧
識別技術,不但提高防火牆的
安全防範能力,而且由於防火牆具有
自學習功能,可以防範來自網路的最新型攻擊。
分散式防火牆:一種全新的防火牆體系結構。
網路防火牆、主機防火牆和管理中心是分散式防火牆的構成組件。傳統防火牆實際上是在網路邊緣上實現防護的防火牆,而
分散式防火牆則在網路內部增加了另外一層安全防護。
分散式防火牆的優點有:支持
移動計算;支持加密和認證功能,與
網路拓撲無關等。
網路產品的系統化套用:主要是指某些廠商的安全產品直接與防火牆進行融合,打包銷售。另外,有些廠商的產品之間雖然各自獨立,當各個產品之間可以進行通信。
(2)防火牆的技術發展趨勢
包
過濾技術作為防火牆技術中最核心的技術之一,自身具有比較明顯的缺點:不具備身份驗證機制和用戶角色配置功能。因此,一些產品開發商就將
AAA認證系統集成到防火牆中,確保防火牆具備支持基於用戶角色的安全策略功能。多級過濾技術就是在防火牆中設定多層過濾規則。在網路層,利用分組過濾技術攔截所有假冒的IP源地址和源路由分組;根據過濾規則,傳輸層攔截所有禁止出/入的協定和
數據包;在套用層,利用
FTP、
SMTP等網關對各種Internet的服務進行監測和控制。
綜合來講,上述技術都是對已有防火牆技術的有效補充,是提升已有防火牆技術的彌補措施。
(3)防火牆的體系結構發展趨勢
隨著軟硬體處理能力、
網路頻寬的不斷提升,防火牆的數據處理能力也在得到提升。尤其近幾年多媒體流技術(線上視頻)的發展,要求防火牆的處理
時延必須越來越小。基於以上業務需求,防火牆製造商開發了基於網路處理器和基於ASIC(ApplicationSpecificIntegratedCircuits,專用積體電路)的防火牆產品。基於網路處理器的防火牆本質上還是依賴於
軟體系統的解決方案,因此
軟體性能的好壞直接影響防火牆的性能。而基於
ASIC的防火牆產品具有定製化、可程式的硬體晶片以及與之相匹配的軟體系統,因此性能的優越性不言而喻,可以很好地滿足客戶對系統靈活性和高性能的要求。