防火墙概念
所谓“防火墙”是指一种计算机硬件和软件的结合,将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。它采用由系统管理员定义的规则,对一个安全网络和一个不安全网络之间的数据流加以控制。
设置防火墙目的
保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界(security perimeter)。
防火墙特征
防火墙置于两个网络之间,具有以下特征:
● 所有进出网络的数据流,都必须经过防火墙。
● 只有授权的数据流才允许通过。
1)、网络的安全屏障:防火墙能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。只有经过授权的通信才能通过防火墙,所以网络环境变得更安全。同时防火墙可以保护网络免受基于路由的攻击。
2)、强化网络安全策略:通过以防火墙为中心的安全策略方案配置,能将很多安全控制如:口令、加密、身份认证等配置在防火墙上。同很多网络安全策略相比,这种防火墙的集中安全管理更为经济有效。
3)、对网络存取和访问进行监控审计:当所有的访问都经过防火墙时,防火墙就能够记录下这些访问。同时,提供网络应用的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
4)、防止内部信息的外泄:利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,从而缩小了局部网络安全问题对全局网络造成的影响。另外,一个内部网络中不引人注意的细节可能包含了有关安全的线索,从而引起外部攻击者的兴趣,甚至因此暴露了内部网络的某些安全漏洞,使用防火墙就可以隐蔽那些内部细节。
实际应用中,防火墙还是有缺点的,主要表现在:不能防范恶意的知情者,不能防范不通过它的连接,不能防备全部的威胁,不能防范病毒。
构成防火墙系统的两个基本部件是包过滤路由器(Packet Filtering Router)应用级网关(Application Gateway)。最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成。
包过滤防火墙实际上基于路由器,因此它也称为筛选路由器。包过滤防火墙工作在网络层,有选择地让数据包在内部网和外部网之间进行交换。只有满足过滤逻辑的数据包才被转发到相应的目的出口端,其余数据包则从数据流中丢弃。
应用级网关是基于代理服务的防火墙,是运行在代理服务器上的一些特定的应用程序或服务器程序。应用级网关工作在应用层,掌握着应用系统中可用做安全决策的全部信息。通过对每种应用服务编制专门的代理程序来监视和控制应用层通信流。
防火墙技术根据其防范的方式和侧重点的不同而分为多种类型,但总体可分为两大类:一类基于包过滤(Pack Filter),另一类基于代理服务(Proxy Service)。它们的区别是基于包过滤的防火墙可以直接转发报文,对用户完全透明,因此速度较快;而基于代理的防火墙需要通过代理服务器(Proxy Server)建立连接,因此有更强的身份验证和日志功能。
代理服务(Proxy Service)即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的,这样便成功地实现了防火墙内外计算机系统的隔离。当代理服务器代表用户与建立连接时,可以用自己的IP地址代替内部网络的IP地址,所有内部网络中的站点对外部是不可见的。
应用级网关是防火墙技术中使用得较多的技术,也是一种安全性能较高的技术。在使用中,外部用户只能看到代理服务器,内部网络只接收代理服务器的服务请求。与包过滤防火墙相比,它更安全,还可加速访问。