一、防火牆的概念及其特性
防火牆的概念。防火牆又稱邊界防火牆,英文名為“FireWall”,是兩個(或多個)網絡間實施網絡之間出入口信息訪問均符合一確定安全標準的控件集合,一般是一臺主機或一臺路由器,設置在計算機和外部網之間的出入口並能有效控制自己計算機與外網之間信息數據存取的防禦系統。如果外部網絡信息數據交給計算機,防火牆就要進行信息數據的判斷分析,發現輸入的信息數據有危害,直接隔斷傳輸,實現對計算機的保護功能。
防火牆的特性。形象地說,防火牆就像是對乘坐民用航空器的旅客及其行李、進入機場控制區的其他人員及其物品,以及空運貨物、郵件實施安全檢查的安檢員,其基本功能是對進入自己計算機的外部網絡信息數據進行甄別判斷,以防未授權的或不安全的信息數據訪問進出計算機網絡。防火牆一般具有以下特性:(1)所有要進入自己計算機的外部網絡信息數據都必須經過防火牆;(2)符合一定安全要求標準的外部網絡信息數據經授權後才能進入計算機;(3)防火牆本身能經得住有害病毒的攻擊。就防火牆的防禦功能而言,防火牆防禦不了已經授權的外網信息數據和網絡內部系統間的攻擊,也修復不了防火牆本身的缺陷。
二、防火牆的種類
(一)傳統防火牆。傳統防火牆,即邊界防火牆,主要有兩種:一是包過濾技術,一是代理服務器。包過濾技術是路由器在計算機和外網之間的兩個接口之間的 IP 包進行過濾。IP 包事先根據系統設定邏輯數據包,對經過數據包的外網信息數據進行邏輯判斷分析,對不符合要求的外網數據流進行篩選,控制和隔離,從而實現網絡安全。代理服務器,也叫應用防火牆,通過應用網關代理服務實體對外網鏈接進行安全檢查,如有外網信息流不符合要求,即可使用內部網絡的服務,而且對內外服務點的連接進行監控,以便對安全漏洞收集信息。從傳統防火牆的技術原理可以看出,傳統防火牆對來自網絡內部信息數據造成的不安全防禦不了,而且傳統防火牆只在網絡接入點上進行集中檢查,易造成網絡流量的堵塞。
(二)分佈式防火牆。分佈式防火牆有狹義和廣義之分,廣義分佈式防火牆結構由網絡防火牆、主機防火牆和中心管理組成,是一種全新的防火牆體系。分佈式防火牆的工作原理:前提假設被保護主機以外的內部網數據信息還是外網數據信息都是不可信任的。然後,針對該主機上的運行設定對內、對外數據信息的安全策略;首先,由策略控制中心通過編程器對控制策略語言編譯成主機內部格式形成控制策略文件。然後,控制中心採用系統管理程序把策略數據信息分發給各臺主機,主機得到策略數據信息後,就會根據策略數據信息來分析判定是否接收來自內、外的數據信息包,分析判斷依據為 IP 安全協議或者策略數據信息。分佈式防火牆使用IP 安全協議,能有效地防止各種類型的被動和主動攻擊,而且是由主機來實施策略數據信息控制,依賴主機就能做出合適的分析判斷,安全係數更高。
(三)智能型防火牆。智能型防火牆由四部分組成,即內外路由器、智能認證服務器、智能主機和堡壘主機。設置在 Intranet 和 Internet 網之間的安全子網,即內外路由器。外部路由器用於防範通常的外部攻擊,例如,源路由攻擊、源地址欺騙等。內部路由器過濾通過 DMZ 與 Intranet 之間的 IP包等,主要防禦 DMZ 和 Internet 侵害 Intrane , 防止 DMZ 網絡流入在 Intranet 網上傳播的數據包。在 DMZ 網絡中,佈置有堡壘主機、 Modern 組,以及其他公用服務器佈置,智能認證服務器安放在 Intranet 網絡中。智能防火牆主要是依靠運行在堡壘主機和智能服務器上的專門設計的應用過濾管理程序和智能認證服務程序來控制執行。這樣,既可發揮包過濾的高效率,又可進行應用代理更嚴格更全面的安全控制 。(四)信任型防火牆群。防火牆群主要由主機防火牆、網絡防火牆、高性能防火牆組成 ,主要採用 VPN 通道和SSH 登錄管理方式隔離普通訪問者和系統用戶,從而實現從公共網絡區和內部網授權工作站對服務器所發起的安全訪問,即使是內部網用戶也必須從授權工作站登錄,且內部信任關係也不可跨越防火牆,杜絕了防火牆間的穿梭。防火牆群主要解決常規服務端口漏洞攻擊、網絡偵聽攻擊、賬號掃描攻擊、跳板入侵模式和拒絕服務攻擊等問題。主機防火牆通過 INPUT 和 OUTPUT 兩條鏈的配置保護負荷較重的流服務器 , 原理簡單 , 易於實現 , 且對系統性能影響較小;網絡防火牆主要適用於防護量大且提供同類服務的服務器;入侵檢測系統主要由入侵檢測和網絡入侵檢測組成,還配置有陷阱主機,偽造漏洞環境,並配置入侵檢測工具,對那些成功的入侵者可以在他獲得更多權限之前發現、阻止、追蹤甚至抓獲他(入侵者)。
閱讀更多 山藥蛋自媒體心得 的文章
