防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。防火墙(Firewall
),是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
一、网络防火墙概述
如果没有防火墙,内部网络上的服务器都暴露在局域网或Internet
上,极易受到攻击。也就是说,内部网络的安全性要由每一台服务器来决定,并且整个内部网络的安全性等于其中防护能力最弱的系统。防火墙作为一个分离器、限制器和分析器,用于执行两个网络之间的访问控制策略,有效地监控了内部网和Internet
之间的任何活动。
1. 网络防火墙的重要作用
在构建安全网络环境的过程中,防火墙作为第一道安全防线,既可为内部网络提供必要的访问控制,但又不会造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护网络内部的关键资源。由此可见,对于联接到Internet
的内部网络而言,选用防火墙是非常必要的。
●
网络安全的屏障
防火墙可通过过滤不安全的服务而降低风险,极大地提高内部网络的安全性。由于只有经过选择并授权允许的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS
协议进出受保护网络,使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP
选项中的源路由攻击和ICMP
重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文,并将情况及时通知防火墙管理员。
●
强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
图 防火墙逻辑位置示意图
●
对网络存取和访问进行监控审计
由于所有的访问都必须经过防火墙,所以防火墙就不仅能够制作完整的日志记录,而且还能够提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是一项非常重要的工作。这不仅有助于了解防火墙是否能够抵挡攻击者的探测和攻击,了解防火墙的控制是否充分有效,而且有助于作出网络需求分析和威胁分析。
●
防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,限制内部网络中不同部门之间互相访问,从而保障了网络内部敏感数据的安全。另外,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节,可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至由此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节,如Finger
、DNS
等服务。Finger
显示了主机的所有用户的用户名、真名、最后登录时间和使用shell
类型等。但是Finger
显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS
信息,这样一台主机的域名和IP
地址就不会被外界所了解。
2. 硬件防火墙与软件防火墙
防火墙分为软件防火墙和硬件防火墙两种。软件防火墙是安装在PC
平台的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计,有专用网络芯片处理数据包。同时,采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求,使硬件防火墙的实际带宽与理论值基本一致,有着高吞吐量、安全与速度兼顾的优点。
硬件防火墙与软件防火墙相比较,有很多优越性,如下表所示。
|
|
软件
|
硬件
|
|
安全性
|
OS:
为通用OS
,其安全性主要决定于OS
的安全性。
从本质上看,软件防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。
另外,就其本身而言,各种操作系统因其考虑通用性,故均做得很复杂,其安全隐和各类脆弱性不断发现,作为防火墙类安全控制设备,建立于这样的系统之上,其安全性能难以提高,也给各防火墙的管理增加了很多工作量。
|
OS
:自主开发;
为专用操作系统,仅服务于防火墙应用,或防火墙直接嵌在操作系统内,减少系统复杂程度,提高安全信任程度。
|
|
应用相关性
|
在通用操作系统上,必然运行相关或无关的各种应用,甚至为黑客程序,各种应用在操作系统内竞占资源,共同使用操作系统的相关调用,有意或无意的应用或操作可能给防火墙应用带来安全或其他方面的影响。
|
无其他任何应用存在
|
|
管理操作安全性
|
防火墙本身管理的唯一性是容易保证的,但防火墙的下层与操作系统紧密连接,如网络接口,其管理不依赖于防火墙本身,其它应用或应用管理可能会使网络接口不可用或崩溃,因此,要求防火墙管理员必须熟悉系统,并精通相关应用或业务。
|
防火墙提供专用管理接口,并有系列安全措施,管理员对系统的操作行为是唯一的、有限的,并严格安全审计。
|
|
性能
|
通用操作系统庞大,体系完善,在其上运行的各类应用的性能必然受到很大影响。
|
精简的操作系统,不处理无关的事务,效率很高。
|
|
可靠性
|
软件型防火墙的运行平台为各类商业级PC
或服务器,其不间断运行时间还较难满足使用要求,否则用户将付出较高代价购买高可靠性服务器系统,如热备份等。
通用操作系统本身的稳定性受多种因素影响,其稳定性和可靠性很难管理和保证,即使UNIX
系统,尽管其稳定性较高,但其受影响的面太宽,如其它应用导致的资源耗尽或系统重启动等,也会中断网络通信,影响正常业务,这对于重要和关键业务系统的影响或损失可能是很大的。
|
使用工业级或军用级专用器件生产设备,平均无故障时间很长,真正满足使用要求,也满足成本控制要求。
软件系统可靠性有本身可靠性保证,并且影响可靠性的相关因素很少。
|
|
可维护性
|
操作系统本身的维护、防火墙本身的维护、相关或无关应用的维护均与防火墙的维护密切相关。
在升级方面,相关的事务处理的难度和复杂程度也相对较高。
|
维护相对简单,维护行为由防火墙限定,无其他相关性,时间短,可能引起的网络中断时间很短。
升级简单,时间短,行为结果唯一。
|
|
管理员要求
|
对系统和相关应用精通,要求管理员具有较高的管理能力。
|
熟悉防火墙的相关管理命令操作即可。
|
|
应急处理适应能力
|
紧急情况下对处理的适应能力不高,可能导致操作系统的不可用,系统的重新安装将需很长时间。
|
硬件设备应急处理适应能力很强,系统初始化,启动,配置,恢复、断开等均快速完成。
|
|
|
最低0.47元/天 解锁文章
扫一扫
1485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
