7-28: 试述防火墙的工作原理和所提供的功能。什么叫做网络级防火墙和应用级防火墙?
防火墙的工作原理:防火墙中的分组过滤路由器检查进出被保护网络的分组数据,按照系统管理员事先设置好的防火墙规则来与分组进行匹配,符合条件的分组就能通过,否则就丢弃。 防火墙提供的功能有两个:一个是阻止,另一个是允许。阻止就是阻止某种类型的通信量通过防火墙。允许的功能与阻止的恰好相反。不过在大多数情况下防火墙的主要功能是阻止。
网络级防火墙:主要是用来防止整个网络出现外来非法的入侵,
属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制定好的一套准则的数据,而后者则是检查用户的登录是否合法。
应用级防火墙:从应用程序来进行介入控制。通常使用应用网关或代理服务器来区分各种应用。
摘要
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用。
一 防火墙是什么
防火墙是一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降低这类安全威胁所带来的安全风险。由于防火墙不可能阻止所有入侵的发生,作为系统防御的第二防线,入侵检测系统IDS网络活动,并进行报警以便进一步采取相应措施。
防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。这个访问控制策略是由使用防火墙的单位自行制定的,这种安全策略应该最适合本单位的需要,防火墙位于互联网和内部网络之间。互联网这边是防火墙的外面,而内部网络这边是防火墙的里面。一般都把防火墙里面的网络称为“可信的网络”,而把防火墙外面的网络称为“不可信的网络”。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
二 防火墙发展历史
20世纪80年代,最早的防火墙几乎与路由器同时出现,第一代防墙主要基于包过滤(Packet filter)技术,是依附于路由器的包过滤功能实现的防火墙;随着网络安全重要性和性能要求的提高,防火墙渐渐发展为一个独立结构的、有专门功能的设备。 到1989年,贝尔验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙,即电路层防火墙;到20世纪90年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做代理防火墙);到1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,市面上出现了第四代防火墙,即以色列的CheckPoint公司推出的基于这种技术的商业化产品;到了1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。基于实现方式划分,可分为如下四个阶段:
第一代防火墙:基于路由器的防火墙,由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第二代防火墙:用户化的防火墙,将过滤功能从路由器中独立出来,并加上审计和告警功能。针对用户需求,提供模块化的软件包,是纯软件产品。
第三代防火墙:建立在通用操作系统上的防火墙,近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的,也有以硬件方式实现的。
第四代防火墙:具有安全操作系统的防火墙:具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上得到提高。
三 防火墙技术分类
(1)分组过滤路由器:是一种具有分组过滤功能的路由器,它根据过滤规则对进出内部网络的分组执行转发或者丢弃。过滤规则是基于分组的网络层或运输层首部的信息,例如:源/目的IP地址,源/目的端口,协议类型(TCP或UDP),等等。我们知道,TCP的端口号指出了在TCP上面的应用层服务。例如,端口号为23是TELNET,端口号119是新闻网USENET,等等。所以,如果在分组上过滤器中将所有目的端口号为23的入分组(incoming packet)都进行阻拦,那么所有外单位用户就不能使用TELNET登录到本单位的主机上。同理,如果某公司不愿意其雇员在上班时花费大量时间去看互联网的USENET新闻,就可将目的端口号为119的出分组阻拦住,使其无法发送到互联网。
分组过滤器可以是无状态,即独立的处理每一个分组。也可以是有状态的,即要跟踪每一个连接或会话的通信状态,并根据这些状态信息来决定是否转发分组。例如,一个目的地是某个客户动态分配端口的进入分组,它被允许通过的唯一条件是:该分组是该端口发出合法请求的一个响应。这样的规则只能通过有状态的检查来实现。
分组过滤路由器的优点是简单高效,且对于用户是透明的,但不能对高层数据进行过滤。例如,不能禁止某个用户对某个特定应用进行某个特定的操作,不能支持应用层数据鉴别。这些功能需要使用应用网关技术来实现。
(2)应用网关也称为代理服务器,它在应用层通信中扮演报文中继的角色。一种网络应用需要一个应用网关。所有进出网络的应用程序报文都必须通过应用网关。当某应用客户进程向服务器发送一份请求报文时,先发送给应用网关,应用网关在应用层大开该报文,查看该请求是否合法/。如果请求合法,应用网关以客户进程的身份将请求报文转发给原始服务器。如果不合法,应用网关以客户进程的身份将请求报文转发给原始服务器。如果不合法,报文则被丢弃。例如,一个邮件网关在检查每一个邮件时,根据邮件地址,或邮件的其他首部,甚至是报文的内容来确定该邮件能否通过防火墙。
应用网关也有一些缺点。首先,每种应用都需要一个不同的应用网关(可以运行在同一台主机)其次,在应用层转发和处理报文,处理负担较重。另外,对应用程序不透明,需要在应用程序客户端配置应用网关地址。
四 防火墙功能概述
防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测,控管规则过滤,实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。
防火墙的主体功能归纳为以下几点:
(1)根据应用程序访问规则可对应用程序连网动作进行过滤
(2)对应用程序访问规则具有自学习功能。
(3)可实时监控,监视网络活动。
(4)具有日志,以记录网络访问动作的详细信息。
(5)被拦阻时能通过声音或闪烁图标给用户报警提示。防火墙仅靠这些
核心技术功能是远远不够的。核心技术是基础必须在这个基础之上加
入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。
五 防火墙的不足
防火墙对网络的威胁进行极好的防范,但是,它们不是安全解决方按的全部。某些威胁是防火墙力所不及的。防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权,从而导致事故。防火墙也不能防止像社会工程攻击――一种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息,如网络的口令。另外,一些用来传送数据的电话线很有可能被用来入侵内部网络。
另一个防止的是怀有恶意的代码:病毒和特洛伊木马。虽然现在有些防火墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
六 防火墙主要技术特点
(1)应用层采用Winsock 2 SPI进行网络数据控制、过滤;
(2)核心层采用NDIS HOOK进行控制,尤其是在Windows 2000 下,此技术属微软未公开技术。此防火墙还采用两种封包过滤技术:一是应用层封包过滤,采用Winsock 2 SPI ;二是核心层封包过滤,采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上,属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。比如IE、OUTLOOK等常见的应用程序都是使用Socket进行通信。采用
Winsock 2 SPI的优点是非常明显的:其工作在应用层以DLL的形式存在,编程、测试方便;跨Windows 平台,可以直接在Windows98/ME/NT/2000/XP 上通用,Windows95 只需安装上Winsock 2 for 95,也可以正常运行;效率高,由于工作在应用层,CPU 占用率低;封包还没有按照低层协议进行切片,所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。
七 结论
随着Internet和Intranet技术的发展,网络的安全已经显得越来越重要,网络病毒对企业造成的危害已经相当广泛和严重,相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内和外的攻击;克服传统“边界防火墙”的缺点,集成了IDS、VPN和防病毒等防病毒等安全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际应用和发展的安全要求。
防火墙是为用户提供信息的保密,认证和完整性保护机制网络中的服务,数据以及系统免受侵扰和破坏。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。