1.防火墙概念
如何既能和外部互联网进行有效通信,充分利用互联网上的丰富信息,又能保证内部网络或计算机系统的安全?防火墙技术应运而生。
防火墙(Firewall)是建立在内、外网络边界上的过滤封锁机制,是计算机硬件和软件的结合,其作用是保护内部的计算机或网络免受外部非法用户的侵入。内部网络被认为是安全和可信赖的,而外部网络(一般是指互联网)被认为是不安全和不可信赖的。防火墙的作用,就是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制来保证内部网络的安全。防火墙并不阻止合法用户的正常访问。
防火墙的本义指古代建造和使用木质结构房屋的时候,为防止外部火灾的蔓延将房屋引燃,人们将不怕火烧的石块堆砌在房屋周围作为屏障,这种石墙被称为防火墙。现在所说的用于网络环境的防火墙是借用了古代真正用于防火的防火墙的喻义,它指的是隔离在本地计算机或网络与外部网络之间的一道防御系统。防火墙可以是多层次的,如教师可以设置防火墙把自己的计算机与学院局域网隔离,学院网管人员设置防火墙把学院局域网与学校局域网隔离,学校网管人员设置防火墙把学校局域网与外部互联网隔离,如图4-25所示。
图4-25 多层防火墙保护
2.防火墙的功能
防火墙的主要功能如下:
(1)访问控制。通过禁止或允许特定用户访问特定资源,保护内部网络的数据和软件等资源,防火墙需要识别哪个用户可以访问哪类资源。
(2)内容控制。根据数据内容进行控制,如可以根据电子邮件的内容识别出垃圾邮件并过滤掉垃圾邮件。
(3)日志记录。防火墙能记录下经过防火墙的访问行为,同时能够提供网络使用情况的统计数据。当发生可疑访问时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
(4)安全管理。通过以防火墙为中心的安全方案配置,能将所有安全措施(如密码、加密、身份认证和审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的这种集中式安全管理更经济、更方便。
(5)内部信息保护。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而防止局部重点或敏感网络安全问题对全局网络安全的影响。还有,内部网络中某些信息往往会引起攻击者的兴趣,因而暴露出内部网络的某些安全漏洞。例如,Finger(一个查询用户信息的程序)服务能够显示当前用户名单以及用户详细信息,DNS(域名服务器)能够提供网络中各主机的域名及相应的IP地址。防火墙能够封锁这类服务,以防止外部用户利用这些信息对内部网络进行攻击。
3.防火墙的结构
在防火墙和网络的配置上,主要有4种常用结构:包过滤防火墙、双宿主网关防火墙、屏蔽主机防火墙和屏蔽子网防火墙。
(1)包过滤防火墙
在互联网与内部网的连接处安装一台用于包过滤的路由器,构成包过滤防火墙,如图4-26所示。在路由器中设置包过滤规则,路由器根据这些规则审查每个数据包并决定允许或拒绝数据包的通过,允许通过的数据包根据路由表中的信息被转发,不允许通过的数据包被丢弃。(www.daowen.com)
图4-26 包过滤防火墙
(2)双宿主网关防火墙
一台带有两个网络接口的主机,一个网络接口用于连接内部网,另一个网络接口用于连接外部网,这就构成了双宿主网关防火墙,一个网络接口相当于一个网关,如图4-27所示。外部网中的用户不能直接访问内部网,这就保证了内部网的安全,两个网络之间的通信通过应用层数据共享或应用层代理服务来完成。作为防火墙的主机应具有可靠的身份认证系统,以阻挡来自外部网络的非法访问。
图4-27 双宿主网关防火墙
(3)屏蔽主机防火墙
屏蔽主机防火墙由包过滤路由器和堡垒主机组成,包过滤路由器安装在内部网和外部网的连接点上,访问内部网所有其他主机必须经过的主机称为堡垒主机,堡垒主机屏蔽(隔离)了外部网对内部网的直接访问,堡垒主机配置在内部网上,如图4-28所示。设置了屏蔽主机防火墙,外部网上的用户需经由包过滤路由器,再经由堡垒主机才能访问内部网,包过滤路由器和堡垒主机都可以设置安全策略,所以屏蔽主机防火墙的安全等级要高于包过滤防火墙。
图4-28 屏蔽主机防火墙
(4)屏蔽子网防火墙
屏蔽子网防火墙由两个包过滤路由器和一台堡垒主机组成,如图4-29所示,在两个包过滤路由器之间建立一个内部的屏蔽子网,也称为非军事区(Demilitarized Zone,DMZ)或隔离区。DMZ是为了解决安装防火墙后外部网不能直接访问内部网服务器的问题,而设立的一个外部网与内部网之间的缓冲区,用于放置堡垒主机以及内部网中需要对外公开的公共服务器等,公共服务器有企业Web服务器、FTP服务器等。
图4-29 屏蔽子网防火墙
在屏蔽子网防火墙方案中,对于由外部网到内部网的访问,外部包过滤路由器用于阻止外部网的攻击,并管理外部网对DMZ的访问。内部包过滤路由器管理DMZ对内部网的访问。一个黑客必须通过三个独立的安全区域(外部包过滤路由器、堡垒主机和内部包过滤路由器)才能够到达内部网,提高了攻击难度,也就提高了内部网的安全性,当然成本也比较高。
常用的防火墙产品有美国思科系统公司(Cisco Systems,Inc.)的PIX 系列产品、美国Juniper网络公司的NetScreen 系列产品、我国的华三通信公司(H3C,原华为3Com)的Sec-Path系列产品。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。