防火(huǒ)牆是(shì)指設置在不(bù)同網絡(如(rú)可(kě)信任ק€↕的(de)企業(yè)內(nèi)部網和(hé)不(bù♦α)可(kě)信的(de)公共網)或網絡安全✘域之間(jiān)的(de)一(yī)系列部件(jiàn)的(de)組合。↓ε它可(kě)以通(tōng)過監測、限制(zh✔επ¶ì)、更改跨越防火(huǒ)牆的(de)數(shù)據流,盡可(kě)能(nγαéng)地(dì)對(duì)外(wài)部屏蔽網絡內(nèi←πγ↑)部的(de)信息、結構和(hé)運行(xín≥≥ g)狀況,以此來(lái)實現(xiàn)網絡的(de)安₩÷全保護。在邏輯上(shàng),防火(huǒ)牆是(shì)一(yīβ≤α±)個(gè)分(fēn)離(lí)器(qì),一(yī)個(gè)限制(zhì•☆)器(qì),也(yě)是(shì)一(yī)個(gè)分(®fēn)析器(qì),有(yǒu)效地(dì)監♠¶¥₽控了(le)內(nèi)部網和(hé)Internet之間(jiān)的(de£§↑)任何活動,保證了(le)內(nèi)部網絡的(de)安全。
防火(huǒ)牆(Firewall),是(shì)一(yī ♠)種硬件(jiàn)設備或軟件(jiàn)系統,主要(₹¥±™yào)架設在內(nèi)部網絡和(hé)外(wài)部網絡間(ji∑ān),為(wèi)了(le)防止外(wài)界惡意程式對(d±✘ uì)內(nèi)部系統的(de)破壞,或者阻止內(nè™i)部重要(yào)信息向外(wài)流出,有(yǒu)雙向監督功€σ能(néng)。藉由防火(huǒ)牆管理(lǐ)員(yuán)的(de)設定, ₽∑可(kě)以彈性的(de)調整安全性的(de)等級。
防火(huǒ)牆分(fēn✘♦ )類及原理(lǐ)
防火(huǒ)牆總體(tǐ)上(shàng)分(fēn)為εΩ®™(wèi)包過濾、應用(yòng)級網關和(hé)代理(lǐ)服務器'φ≠(qì)等幾大(dà)類型。包含如(rú)☆ ↑下(xià)幾種核心技(jì)術(shù):
1、包過濾技(jì)術(shù)
包過濾技(jì)術(shù)是(shì)一(yī"✔₩)種簡單、有(yǒu)效的(de)安全控制(zhì)技(jì)術(shù)α¶,它工(gōng)作(zuò)在網絡層,通(tōng↓↕≤)過在網絡間(jiān)相(xiàng)互連接₩←的(de)設備上(shàng)加載允許、禁止來(l≥∑ái)自(zì)某些(xiē)特定的(de)源地(dì)址、目的(d§&¶♠e)地(dì)址、TCP端口号等規則,對(duì)通(tōng)£☆'₩過設備的(de)數(shù)據包進行(xíng)檢查,限制(z♠±★hì)數(shù)據包進出內(nèi)部網絡。
包過濾的(de)最大(dà)優點是(shì₽&₽§)對(duì)用(yòng)戶透明(míng),傳輸性能(néng)高(gāo®≥∏¥)。但(dàn)由于安全控制(zhì)層次在網絡層、傳輸"'$層,安全控制(zhì)的(de)力度也(yěΩ>)隻限于源地(dì)址、目的(de)地(dì)址和(hé)端口号,因而↑ β隻能(néng)進行(xíng)較為(wèi)初步的(de)安全←★控制(zhì),對(duì)于惡意的(de)擁塞攻擊、內(₩→nèi)存覆蓋攻擊或病毒等高(gāo)層次的(de)攻擊手段,則無能(¶γ€néng)為(wèi)力。
2、應用(yòng)代理(φ®lǐ)技(jì)術(shù)
應用(yòng)代理(lǐ÷¥≤)防火(huǒ)牆工(gōng)作(zuò)•>←↑在OSI的(de)第七層,它通(tōng)過檢查所有(yπα≥Ωǒu)應用(yòng)層的(de)信息包,并将檢查"₽的(de)內(nèi)容信息放(fàng)入決策過程,從(cóng)而提高(σ≠☆∏gāo)網絡的(de)安全性。
應用(yòng)網關防火(huǒ)牆δ☆₽≥是(shì)通(tōng)過打破客戶機(jī)§ε/服務器(qì)模式實現(xiàn)的(d↓&¥&e)。每個(gè)客戶機(jī)/服務器(qì₹♠)通(tōng)信需要(yào)兩個(gè)連接:一(yī)個(•&↑gè)是(shì)從(cóng)客戶端到'α↓✔(dào)防火(huǒ)牆,另一(yī)個(gè)是(shì)<☆ 從(cóng)防火(huǒ)牆到(dào)服務器(qì)。另外(wài),< →≠每個(gè)代理(lǐ)需要(yào)一(yī)個(g ₽è)不(bù)同的(de)應用(yòng)進程,或一(y←λ↔ī)個(gè)後台運行(xíng)的(de)服務程序↑¶λ,對(duì)每個(gè)新的(de)應用(yòng)必須添加針對£φ®(duì)此應用(yòng)的(de)服務程序,否則不(bù✘≠ )能(néng)使用(yòng)該服務。所以,應用(yòng)網§§關防火(huǒ)牆具有(yǒu)可(kě)伸縮性差的(d™€e)缺點。
3、狀态檢測技(jì)術(sσ hù)
狀态檢測防火(huǒ)牆工(gōng☆♦≥)作(zuò)在OSI的(de)第二至四層Ω™∞™,采用(yòng)狀态檢測包過濾的(de)技(jì)術(₽≈♥★shù),是(shì)傳統包過濾功能(néng) λ$×擴展而來(lái)。狀态檢測防火(huǒ)牆在網絡層有(yǒu) ₽一(yī)個(gè)檢查引擎截獲數(shù)據包并抽α∑取出與應用(yòng)層狀态有(yǒu)關的(de)信息,并以此為(wèi)β∞依據決定對(duì)該連接是(shì)接受還(hái)是(shì≈¥₽)拒絕。這(zhè)種技(jì)術(shù)提供了(♣∏<<le)高(gāo)度安全的(de)解決方案,同時(shíσ¶•✘)具有(yǒu)較好(hǎo)的(de)适Ω♣應性和(hé)擴展性。狀态檢測防火(huε$ǒ)牆一(yī)般也(yě)包括一(yī)些(xiē)代理(lǐ)φ±♦級的(de)服務,它們提供附加的(de)對(du♠Ω✔ì)特定應用(yòng)程序數(shù)據內(nèi)φ✘容的(de)支持。
狀态檢測防火(huǒ)牆基本保持了(le→ λ↕)簡單包過濾防火(huǒ)牆的(de)優點,性能(néng≤↕σ>)比較好(hǎo),同時(shí)對(duì)應用(yòng)是(shì)←$β透明(míng)的(de),在此基礎上(α☆≥←shàng),對(duì)于安全性有(yǒu)了(le)大(dà)幅提升≈Ω♠ε。這(zhè)種防火(huǒ)牆摒棄了(le)簡單包過濾防火(huǒ)π§牆僅僅考察進出網絡的(de)數(shù)據包,不(bù)關心數(shù)¶↔∏據包狀态的(de)缺點,在防火(huǒ)牆的(de)核心部分®♦★(fēn)建立狀态連接表,維護了(le)連接,将進出網絡'的(de)數(shù)據當成一(yī)個(gè)個↕π(gè)的(de)事(shì)件(jiàn)來(lái)處理'σ(lǐ)。主要(yào)特點是(shì)由于缺乏對≤σ∞(duì)應用(yòng)層協議(yì)的↓&✘<(de)深度檢測功能(néng),無法徹底的(de)識别數(shù)據包中大(↓§≤dà)量的(de)垃圾郵件(jiàn)、廣告以及木(mù)馬程序等等。
4、完全內(nèi)容檢測技(jì)術(shù)↑₩£
完全內(nèi)容檢測技(jì)術(shù↔↕©)防火(huǒ)牆綜合狀态檢測與應用(yòng)♣ε代理(lǐ)技(jì)術(shù),并在此基礎上(shàng)進一(yφ" ™ī)步基于多(duō)層檢測架構,把防病毒、內(nèi)容過濾¶↓₹₽、應用(yòng)識别等功能(néng)φ×整合到(dào)防火(huǒ)牆裡(lǐ),其中還(hái)β∏包括IPS功能(néng),多(duō)單元♥₽融為(wèi)一(yī)體(tǐ),在網絡界面 ✘₩↓對(duì)應用(yòng)層掃描,把防病毒、內(nèi♠ ∞)容過濾與防火(huǒ)牆結合起來(lái),這(zhè)體(tǐ)現(↔xiàn)了(le)網絡與信息安全的(d≠↓e)新思路(lù),(因此也(yě)被稱£σ 為(wèi)“下(xià)一(yī)代防火(huǒ)牆技(j∞₹→∏ì)術(shù)”)。
它在網絡邊界實施OSI第七層的(de)內(¥✘↔≈nèi)容掃描,實現(xiàn)了(le)實時(shí)在↓≠網絡邊緣布署病毒防護、內(nèi)容過濾等應用(yòng)層服務措施。↑完全內(nèi)容檢測技(jì)術(shù)防火(huǒ)>∞®β牆可(kě)以檢查整個(gè)數(shù)據包內(n ≈♠èi)容,根據需要(yào)建立連接狀态表™÷,網絡層保護強,應用(yòng)層控制(zhì↑→↓)細等優點,但(dàn)由于功能(néng)集成度高(♠εgāo),對(duì)産品硬件(jiàn)的(de)要♦₽£(yào)求比較高(gāo)。
防火(huǒ)牆作(zuò)用(yòng)
保護脆弱的(de)服務
通(tōng)過過濾不(bù)安全的(de)服"♥≤務,Firewall可(kě)以極大(dà)地(dì)提高(gāo)網絡Ω∏&安全和(hé)減少(shǎo)子(zǐ)網中主機(jī)的(de)♣←¥₹風(fēng)險。例如(rú),Firewall可(kě)以禁止NIS☆§÷、NFS服務通(tōng)過,Firewall同時(shí)可($<kě)以拒絕源路(lù)由和(hé)ICMP重定向∏γ封包。
控制(zhì)對(duì)★γ≤∞系統的(de)訪問(wèn)
Firewall可(kě)以提供對(duì)γ™ε"系統的(de)訪問(wèn)控制(zhì)。如(rú)®σλ允許從(cóng)外(wài)部訪問(wèn)↑★≥某些(xiē)主機(jī),同時(shí)禁止訪問(wèn☆¥δ♠)另外(wài)的(de)主機(jī)。例如(rú☆™↔),Firewall允許外(wài)部訪問(wèn)特定的(de)Mail S♠ 'λerver和(hé)Web Server。
集中的(de)安全管理(lǐ)
Firewall對(duì)企業(yè)內(nèi)部網&α實現(xiàn)集中的(de)安全管理(lǐ),在Firewaσ☆±₹ll定義的(de)安全規則可(kě)以運行(xíng)于§整個(gè)內(nèi)部網絡系統,而無須在內(♦← nèi)部網每台機(jī)器(qì)上(shàng)₽' 分(fēn)别設立安全策略。Firewall可(kě)以定義不(₽∞¶bù)同的(de)認證方法,而不(bù)需要(yào)在每台機(₩¥®jī)器(qì)上(shàng)分(fēn)别安裝特定>¥÷的(de)認證軟件(jiàn)。外(wài)部用(yòng)戶也(yě)隻需σ要(yào)經過一(yī)次認證即可(kě)訪問(wèn)內₽σβ≠(nèi)部網。
增強的(de)保密性
使用(yòng)Firewall可(kě)以阻止δ₹攻擊者獲取攻擊網絡系統的(de)有(yǒu)"•÷用(yòng)信息,如(rú)Figer和(hé)DNS。
記錄和(hé)統計(jì)網絡利用(yòng)數(shù)♦φ☆>據以及非法使用(yòng)數(shù)據
Firewall可(kě) γ₹≤以記錄和(hé)統計(jì)通(tōng)過Firewall的↕↑♥∏(de)網絡通(tōng)訊,提供關于網絡使用(yòng)的(de)統計₹ σ(jì)數(shù)據,并且,Firewall可(kě)以提供 ↔♦¶統計(jì)數(shù)據,來(lái) ♦∏判斷可(kě)能(néng)的(de)攻擊和(hé)探測。
策略執行(xíng)
Firewall提供了(le)制(zhì)定✔÷ 和(hé)執行(xíng)網絡安全策略的(de)手段。未設置Firewa λll時(shí),網絡安全取決于每台主機(j ✔÷ī)的(de)用(yòng)戶。