基本介紹
- 中文名:防火牆
- 外文名:Firewall
- 別名:防護牆、火牆
- 問世時間:1993年
- 作用:信息安全防護
- 屬性:安全硬體系統或安全軟體
基本定義,防火牆功能,重要性,意義與特徵,主要類型,關鍵技術,部署方式,具體套用,未來趨勢,
基本定義
所謂“防火牆”是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種建立在現代通信網路技術和信息安全技術基礎上的套用性安全技術,隔離技術。越來越多地套用於專用網路與公用網路的互聯環境之中,尤其以接入Internet網路為最甚。
防火牆主要是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障,從而實現對計算機不安全網路因素的阻斷。只有在防火牆同意情況下,用戶才能夠進入計算機內,如果不同意就會被阻擋於外,防火牆技術的警報功能十分強大,在外部的用戶要進入到計算機內時,防火牆就會迅速的發出相應的警報,並提醒用戶的行為,並進行自我的判斷來決定是否允許外部的用戶進入到內部,只要是在網路環境內的用戶,這種防火牆都能夠進行有效的查詢,同時把查到信息朝用戶進行顯示,然後用戶需要按照自身需要對防火牆實施相應設定,對不允許的用戶行為進行阻斷。通過防火牆還能夠對信息數據的流量實施有效查看,並且還能夠對數據信息的上傳和下載速度進行掌握,便於用戶對計算機使用的情況具有良好的控制判斷,計算機的內部情況也可以通過這種防火牆進行查看,還具有啟動與關閉程式的功能,而計算機系統的內部中具有的日誌功能,其實也是防火牆對計算機的內部系統實時安全情況與每日流量情況進行的總結和整理。
防火牆是在兩個網路通訊時執行的一種訪問控制尺度,能最大限度阻止網路中的黑客訪問你的網路。是指設定在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網路和信息安全的基礎設施。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網路的安全。
防火牆功能
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的連線埠。而且它還能禁止特定連線埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
網路安全的屏障
強化網路安全策略
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
監控審計
如果所有的訪問都經過防火牆,那么,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄
通過利用防火牆對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP位址就不會被外界所了解。除了安全作用,防火牆還支持具有Internet服務性的企業內部網路技術體系VPN(虛擬專用網)。
日誌記錄與事件通知
重要性
1、記錄計算機網路之中的數據信息
數據信息對於計算機網路建設工作有著積極的促進作用,同時其對於計算機網路安全也有著一定程度上的影響。通過防火牆技術能夠收集計算機網路在運行的過程當中的數據傳輸、信息訪問等多方面的內容,同時對收集的信息進行分類分組,藉此找出其中存在安全隱患的數據信息,採取針對性的措施進行解決,有效防止這些數據信息影響到計算機網路的安全。除此之外,工作人員在對防火牆之中記錄的數據信息進行總結之後,能夠明確不同類型的異常數據信息的特點,藉此能夠有效提高計算機網路風險防控工作的效率和質量。
2、防止工作人員訪問存在安全隱患的網站
3、控制不安全服務
計算機網路在運行的過程當中會出現許多不安全服務,這些不安全服務會嚴重影響到計算機網路的安全。通過套用防火牆技術能夠有效降低工作人員的實際操作風險,其能夠將不安全服務有效攔截下來,有效防止非法攻擊對計算機網路安全造成影響。此外,通過防火牆技術還能夠實現對計算機網路之中的各項工作進行實施監控,藉此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行,有效防止因為計算機網路問題給用戶帶來經濟損失。
意義與特徵
防火牆的英文名為“FireWall”,它是一種最重要的網路防護設備。從專業角度講,防火牆是位於兩個(或多個)網路間,實施網路之間訪問控制的一組組件集合。防火牆的本義是指古代構築和使用木製結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當於我們這裡所講的防火牆的“安全策略”,所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信,在這些小孔中安裝了過濾機制,也就是上面所介紹的“單嚮導通性”。
我們通常所說的網路防火牆是借鑑了古代真正用於防火的防火牆的喻義,它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網路(LAN)網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。
典型的防火牆具有以下基本特性。
數據必經之地
抗攻擊免疫力
防火牆自身應具有非常強的抗攻擊免疫力:這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆作業系統本身是關鍵,只有自身具有完整信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程式在防火牆上運行。當然這些安全性也只能說是相對的。國內的防火牆幾乎被國外的品牌占據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內主流廠商為東軟、天融信、聯想、方正等,它們都提供不同級別的防火牆產品。
防火牆的硬體體系結構曾經歷過通用CPU架構、ASIC架構和網路處理器架構,他們各自的特點分別如下:通用CPU架構:通用CPU架構最常見的是基於Intel X86架構的防火牆,在百兆防火牆中Intel X86架構的硬體以其高靈活性和擴展性一直受到防火牆廠商的喜愛;由於採用了PCI匯流排接口,Intel X86架構的硬體雖然理論上能達到2Gbps的吞吐量甚至更高,但是在實際套用中,尤其是在小包情況下,遠遠達不到標稱性能,通用CPU的處理能力也很有限。國內安全設備主要採用的就是基於X86的通用CPU架構。ASIC架構:ASIC(Application Specific Integrated Circuit,專用積體電路)技術是國外高端網路設備幾年前廣泛採用的技術。由於採用了硬體轉發模式、多匯流排技術、數據層面與控制層面分離等技術, ASIC架構防火牆解決了頻寬容量和性能不足的問題,穩定性也得到了很好的保證。
ASIC技術的性能優勢主要體現網路層轉發上,而對於需要強大計算能力的套用層數據的處理則不占優勢,而且面對頻繁變異的套用安全問題,其靈活性和擴展性也難以滿足要求。由於該技術有較高的技術和資金門檻,主要是國內外知名廠商在採用,國外主要代表廠商是Netscreen,國內主要代表廠商為天融信。網路處理器架構:由於網路處理器所使用的微碼編寫有一定技術難度,難以實現產品的最優性能,因此網路處理器架構的防火牆產品難以占有大量的市場份額。隨著網路處理器的主要供應商Intel、Broadcom、IBM等相繼出售其網路處理器業務,該技術在網路安全產品中的套用已經走到了盡頭。
主要類型
(1)過濾型防火牆
過濾型防火牆是在網路層與傳輸層中,可以基於數據源頭的地址以及協定類型等標誌特徵進行分析,確定是否可以通過。在符合防火牆規定標準之下,滿足安全性能以及類型才可以進行信息的傳遞,而一些不安全的因素則會被防火牆過濾、阻擋。
(2)套用代理類型防火牆
套用代理防火牆主要的工作範圍就是在OSI的最高層,位於套用層之上。其主要的特徵是可以完全隔離網路通信流,通過特定的代理程式就可以實現對套用層的監督與控制。這兩種防火牆是套用較為普遍的防火牆,其他一些防火牆套用效果也較為顯著,在實際套用中要綜合具體的需求以及狀況合理的選擇防火牆的類型,這樣才可以有效地避免防火牆的外部侵擾等問題的出現。
(3)複合型
截至2018年套用較為廣泛的防火牆技術當屬複合型防火牆技術,綜合了包過濾防火牆技術以及套用代理防火牆技術的優點,譬如發過來的安全策略是包過濾策略,那么可以針對報文的報頭部分進行訪問控制;如果安全策略是代理策略,就可以針對報文的內容數據進行訪問控制,因此複合型防火牆技術綜合了其組成部分的優點,同時摒棄了兩種防火牆的原有缺點,大大提高了防火牆技術在套用實踐中的靈活性和安全性。
關鍵技術
1、包過濾技術
防火牆的包過濾技術一般只套用於OSI7層的模型網路層的數據中,其能夠完成對防火牆的狀態檢測,從而預先可以把邏輯策略進行確定。邏輯策略主要針對地址、連線埠與源地址,通過防火牆所有的數據都需要進行分析,如果數據包內具有的信息和策略要求是不相符的,則其數據包就能夠順利通過,如果是完全相符的,則其數據包就被迅速攔截。計算機數據包傳輸的過程中,一般都會分解成為很多由目的地址等組成的一種小型數據包,當它們通過防火牆的時候,儘管其能夠通過很多傳輸路徑進行傳輸,而最終都會匯合於同一地方,在這個目地點位置,所有的數據包都需要進行防火牆的檢測,在檢測合格後,才會允許通過,如果傳輸的過程中,出現數據包的丟失以及地址的變化等情況,則就會被拋棄。
2、加密技術
計算機信息傳輸的過程中,藉助防火牆還能夠有效的實現信息的加密,通過這種加密技術,相關人員就能夠對傳輸的信息進行有效的加密,其中信息密碼是信息交流的雙方進行掌握,對信息進行接受的人員需要對加密的信息實施解密處理後,才能獲取所傳輸的信息數據,在防火牆加密技術套用中,要時刻注意信息加密處理安全性的保障。在防火牆技術套用中,想要實現信息的安全傳輸,還需要做好用戶身份的驗證,在進行加密處理後,信息的傳輸需要對用戶授權,然後對信息接收方以及傳送方要進行身份的驗證,從而建立信息安全傳遞的通道,保證計算機的網路信息在傳遞中具有良好的安全性,非法分子不擁有正確的身份驗證條件,因此,其就不能對計算機的網路信息實施入侵。
3、防病毒技術
防火牆具有著防病毒的功能,在防病毒技術的套用中,其主要包括病毒的預防、清除和檢測等方面。防火牆的防病毒預防功能來說,在網路的建設過程中,通過安裝相應的防火牆來對計算機和網際網路間的信息數據進行嚴格的控制,從而形成一種安全的屏障來對計算機外網以及區域網路數據實施保護。計算機網路要想進行連線,一般都是通過網際網路和路由器連線實現的,則對網路保護就需要從主幹網的部分開始,在主幹網的中心資源實施控制,防止伺服器出現非法的訪問,為了杜絕外來非法的入侵對信息進行盜用,在計算機連線的連線埠所接入的數據,還要進行乙太網和IP位址的嚴格檢查,被盜用IP位址會被丟棄,同時還會對重要信息資源進行全面記錄,保障其計算機的信息網路具有良好安全性。
4、代理伺服器
代理伺服器是防火牆技術引用比較廣泛的功能,根據其計算機的網路運行方法可以通過防火牆技術設定相應的代理伺服器,從而藉助代理伺服器來進行信息的互動。在信息數據從區域網路向外網傳送時,其信息數據就會攜帶著正確IP,非法攻擊者能夠分局信息數據IP作為追蹤的對象,來讓病毒進入到區域網路中,如果使用代理伺服器,則就能夠實現信息數據IP的虛擬化,非法攻擊者在進行虛擬IP的跟蹤中,就不能夠獲取真實的解析信息,從而代理伺服器實現對計算機網路的安全防護。另外,代理伺服器還能夠進行信息數據的中轉,對計算機區域網路以及外網信息的互動進行控制,對計算機的網路安全起到保護。
部署方式
防火牆是為加強網路安全防護能力在網路中部署的硬體設備,有多種部署方式,常見的有橋模式、網關模式和NAT模式等。
1、橋模式
橋模式也可叫作透明模式。最簡單的網路由客戶端和伺服器組成,客戶端和伺服器處於同一網段。為了安全方面的考慮,在客戶端和伺服器之間增加了防火牆設備,對經過的流量進行安全控制。正常的客戶端請求通過防火牆送達伺服器,伺服器將回響返回給客戶端,用戶不會感覺到中間設備的存在。工作在橋模式下的防火牆沒有IP位址,當對網路進行擴容時無需對網路地址進行重新規劃,但犧牲了路由、VPN等功能。
防火牆技術
2、網關模式
網關模式適用於內外網不在同一網段的情況,防火牆設定網關地址實現路由器的功能,為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性,在進行訪問控制的同時實現了安全隔離,具備了一定的私密性。
3、NAT模式
NAT(Network Address Translation)地址翻譯技術由防火牆對內部網路的IP位址進行地址翻譯,使用防火牆的IP位址替換內部網路的源地址向外部網路傳送數據;當外部網路的回響數據流量返回到防火牆後,防火牆再將目的地址替換為內部網路的源地址。NAT模式能夠實現外部網路不能直接看到內部網路的IP位址,進一步增強了對內部網路的安全防護。同時,在NAT模式的網路中,內部網路可以使用私網地址,可以解決IP位址數量受限的問題。
如果在NAT模式的基礎上需要實現外部網路訪問內部網路服務的需求時,還可以使用地址/連線埠映射(MAP)技術,在防火牆上進行地址/連線埠映射配置,當外部網路用戶需要訪問內部服務時,防火牆將請求映射到內部伺服器上;當內部伺服器返回相應數據時,防火牆再將數據轉發給外部網路。使用地址/連線埠映射技術實現了外部用戶能夠訪問內部服務,但是外部用戶無法看到內部伺服器的真實地址,只能看到防火牆的地址,增強了內部伺服器的安全性。
4、高可靠性設計
具體套用
1、區域網路中的防火牆技術
防火牆在區域網路中的設定位置是比較固定的,一般將其設定在伺服器的入口處,通過對外部的訪問者進行控制,從而達到保護內部網路的作用,而處於內部網路的用戶,可以根據自己的需求明確許可權規劃,使用戶可以訪問規劃內的路徑。總的來說,區域網路中的防火牆主要起到以下兩個作用:一是認證套用,區域網路中的多項行為具有遠程的特點,只有在約束的情況下,通過相關認證才能進行;二是記錄訪問記錄,避免自身的攻擊,形成安全策略。
2、外網中的防火牆技術
套用於外網中的防火牆,主要發揮其防範作用,外網在防火牆授權的情況下,才可以進入區域網路。針對外網布設防火牆時,必須保障全面性,促使外網的所有網路活動均可在防火牆的監視下,如果外網出現非法入侵,防火牆則可主動拒絕為外網提供服務。基於防火牆的作用下,區域網路對於外網而言,處於完全封閉的狀態,外網無法解析到區域網路的任何信息。防火牆成為外網進入區域網路的唯一途徑,所以防火牆能夠詳細記錄外網活動,匯總成日誌,防火牆通過分析日常日誌,判斷外網行為是否具有攻擊特性。
未來趨勢
隨著網路技術的不斷發展,防火牆相關產品和技術也在不斷進步。
(1)防火牆的產品發展趨勢
分散式防火牆:一種全新的防火牆體系結構。網路防火牆、主機防火牆和管理中心是分散式防火牆的構成組件。傳統防火牆實際上是在網路邊緣上實現防護的防火牆,而分散式防火牆則在網路內部增加了另外一層安全防護。分散式防火牆的優點有:支持移動計算;支持加密和認證功能,與網路拓撲無關等。
網路產品的系統化套用:主要是指某些廠商的安全產品直接與防火牆進行融合,打包銷售。另外,有些廠商的產品之間雖然各自獨立,當各個產品之間可以進行通信。
(2)防火牆的技術發展趨勢
包過濾技術作為防火牆技術中最核心的技術之一,自身具有比較明顯的缺點:不具備身份驗證機制和用戶角色配置功能。因此,一些產品開發商就將AAA認證系統集成到防火牆中,確保防火牆具備支持基於用戶角色的安全策略功能。多級過濾技術就是在防火牆中設定多層過濾規則。在網路層,利用分組過濾技術攔截所有假冒的IP源地址和源路由分組;根據過濾規則,傳輸層攔截所有禁止出/入的協定和數據包;在套用層,利用FTP、SMTP等網關對各種Internet的服務進行監測和控制。
綜合來講,上述技術都是對已有防火牆技術的有效補充,是提升已有防火牆技術的彌補措施。
(3)防火牆的體系結構發展趨勢
