快捷搜索:

防火墙功能分类及其局限性分析

Internet的成长给政府布局、企奇迹单位带来了革命性的革新和开放。他们正努力经由过程使用Internet来前进干事效率和市场反映速率,以便更具竞争力。经由过程Internet,企业可以从异地取回紧张数据,同时又要面对Internet开放带来的数据安然的新寻衅和新危险:即客户、贩卖商、移动用户、异地员工和内部员工的安然造访;以及保护企业的机密信息不受黑客和工业特工的入侵。是以企业必须加筑安然的“战壕”,而这个“战壕”便是防火墙。

防火墙技巧是建立在今世通信收集技巧和信息安然技巧根基上的利用性安然技巧,越来越多地利用于专用收集与公用收集的互联情况之中,尤其以接入Internet收集为最甚。

1.什么是防火墙?

防火墙是指设置在不合收集(如可托任的企业内部网和弗成信的公共网)或收集安然域之间的一系列部件的组合。它是不合收集或收集安然域之间信息的独一进出口,能根据企业的安然政策节制(容许、回绝、监测)进出收集的信息流,且本身具有较强的抗进击能力。它是供给信息安然办事,实现收集和信息安然的根基举措措施。

在逻辑上,防火墙是一个分离器,一个限定器,也是一个阐发器,有效地监控了内部网和Internet之间的任何活动,包管了内部收集的安然。

2.防火墙能做什么?

防火墙是收集安然的屏蔽:

一个防火墙(作为壅闭点、节制点)能极大年夜地前进一个内部收集的安然性,并经由过程过滤不安然的办事而低落风险。因为只有颠末精心选择的利用协议才能经由过程防火墙,以是收集情况变得更安然。如防火墙可以禁止诸如众所周知的不安然的NFS协议收支受保护收集,这样外部的进击者就弗成能使用这些脆弱的协议来进击内部收集。防火墙同时可以保护收集免受基于路由的进击,如IP选项中的源路由进击和ICMP重定向中的重定向路径。防火墙应该可以回绝所有以上类型进击的报文并看护防火墙治理员。

防火墙可以强化收集安然策略:

经由过程以防火墙为中间的安然规划设置设置设备摆设摆设,能将所有安然软件(如口令、加密、身份认证、审计等)设置设置设备摆设摆设在防火墙上。与将收集安然问题分散到各个主机上比拟,防火墙的集中安然治理更经济。例如在收集造访时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。

对收集存取和造访进行监控审计:

假如所有的造访都颠末防火墙,那么,防火墙就能记录下这些造访并作出日志记录,同时也能供给收集应用环境的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并供给收集是否受到监测和进击的具体信息。别的,网络一个收集的应用和误用环境也是异常紧张的。首先的来由是可以清楚防火墙是否能够抵挡进击者的探测和进击,并且清楚防火墙的节制是否充沛。而收集应用统计对收集需求阐发和要挟阐发等而言也是异常紧张的。

防止内部信息的外泄:

经由过程使用防火墙对内部收集的划分,可实现内部网重点网段的隔离,从而限定下场部重点或敏感收集安然问题对全局收集造成的影响。再者,隐私是内部收集异常关心的问题。Finger显示了主机的所有用户的注册名、真名,着末登录光阴和应用shell类型等。然则Finger显示的信息异常轻易被进击者所获悉。进击者可以知道一个系统应用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被进击时引起留意等等。防火墙可以同样壅闭有关内部收集中的DNS信息,这样一台主机的域名和IP地址就不会被外界所懂得。

除了安然感化,防火墙还支持具有Internet办事特点的企业内部收集技巧体系VPN。经由过程VPN,将企奇迹单位在地域上散播在全天下各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享供给了技巧保障。

3.防火墙的种类

防火墙技巧可根据警备的要领和偏重点的不合而分为很多种类型,但总体来讲可分为二大年夜类:分组过滤、利用代理。

分组过滤(Packet filtering):感化在收集层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否容许数据包经由过程。只有满意过滤逻辑的数据包才被转发到响应的目的地出口端,另外数据包则被从数据流中丢弃。

利用代理(Application Proxy):也叫利用网关(Application Gateway),它感化在利用层,其特征是完全"阻隔"了收集通信流,经由过程对每种利用办事体例专门的代理法度榜样,实现监视和节制利用层通信流的感化。实际中的利用网关平日由专用事情站实现。

4.分组过滤型防火墙

分组过滤或包过滤,是一种通用、廉价、有效的安然手段。之以是通用,由于它不针对各个详细的收集办事采取特殊的处置惩罚要领;之以是廉价,由于大年夜多半路由器都供给分组过滤功能;之以是有效,由于它能很大年夜程度地满意企业的安然要求。

包过滤在收集层和传输层起感化。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否容许分组包经由过程。所根据的信息滥觞于IP、TCP或UDP包头。

包过滤的优点是不用篡改客户机和主机上的利用法度榜样,由于它事情在收集层和传输层,与利用层无关。但其弱点也是显着的:据以过滤判其余只有收集层和传输层的有限信息,因而各类安然要求弗成能充分满意;在许多过滤器中,过滤规则的数目是有限定的,且跟着规则数目的增添,机能会受到很大年夜地影响;因为缺少高低文关联信息,不能有效地过滤如UDP、RPC一类的协议;别的,大年夜多半过滤器中缺少审计和报警机制,且治理要领和用户界面较差;对安然治理职员本质要求高,建立安然规则时,必须对协议本身及其在不合利用法度榜样中的感化有较深入的理解。是以,过滤器平日是和利用网关共同应用,合营组成防火墙系统。

5.利用代理型防火墙

利用代理型防火墙是内部网与外部网的隔离点,起着监视和阻遏利用层通信流的感化。同时也常结合入过滤器的功能。它事情在OSI模型的最高层,掌握着利用系统中可用作安然决策的整个信息。

6.复合型防火墙

因为对更高安然性的要求,常把基于包过滤的措施与基于利用代理的措施结合起来,形成复合型防火墙产品。这种结合平日因此下两种规划。

樊篱主机防火墙体系布局:在该布局中,分组过滤路由器或防火墙与Internet相连,同时一个碉堡机安装在内部收集,经由过程在分组过滤路由器或防火墙上过滤规则的设置,使碉堡机成为Internet上其它节点所能到达的独一节点,这确保了内部收集不受未授权外部用户的进击。

樊篱子网防火墙体系布局:碉堡机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部收集分离。在樊篱子网防火墙体系布局中,碉堡主机和分组过滤路由器合营构成了全部防火墙的安然根基。

7.防火墙操作系统

防火墙应该建立在安然的操作系统之上,而安然的操作系统来自于对专用操作系统的安然加固和改造,从现有的诸多产品看,对安然操作系统内核的固化与改造主要从以下几方面进行:取消危险的系统调用;限定敕令的履行权限;取消IP的转发功能;反省每个分组的接口;采纳随机连接序号;驻留分组过滤模块;取消动态路由功能;采纳多个安然内核,等等。

8.NAT技巧

NAT技巧能透明地对所有内部地址作转换,使外部收集无法懂得内部收集的内部布局,同时应用NAT的收集,与外部收集的连接只能由内部收集提议,极大年夜地前进了内部收集的安然性。

NAT的另一个显而易见的用途是办理IP地址匮乏问题。

9.防火墙的抗进击能力

作为一种安然防护设备,防火墙在收集中自然是浩繁进击者的目标,故抗进击能力也是防火墙的必备功能。

10.防火墙的局限性

存在着一些防火墙不能警备的安然要挟,如防火墙不能警备不颠末防火墙的进击。例如,假如容许从受保护的收集内部向外拨号,一些用户就可能形成与Internet的直接连接。别的,防火墙很难警备来自于收集内部的进击以及病毒的要挟。

您可能还会对下面的文章感兴趣: