书城政治公务人员信息安全知识读本
2859500000009

第9章 防火墙技术与应用

57.什么是防火墙?

广义的防火墙并不专指某种设备,而是一套安全性策略的总图6.1防火墙在网络中的位置称,是网络安全的第一道防线,如图6.1所示。它可以是一个路由器、一台计算机,或者是一组设备。

部署防火墙一般可以参考以下原则:

①限制他人进入内部网络,过滤掉不安全服务和非法用户。

②防止入侵者接近防御设施。

③限定用户访问特殊站点。

④监视Internet安全,提供方便。

58.防火墙主要有哪些类型?

防火墙从软、硬件形式上可分为软件防火墙、硬件防火墙和纯硬件防火墙。按防火墙对流经数据的处理方法可分为包过滤防火墙和代理技术防火墙。

(1)软件防火墙

软件防火墙通过软件实现防火墙的功能,需要在计算机上安装防火墙软件并做好配置工作。

(2)硬件防火墙

硬件防火墙基于普通的PC架构,运行经过裁剪和简化的现有操作系统,如Unix、Linux和FreeBSD系统,其安全性会受到操作系统本身的安全性影响。

(3)纯硬件防火墙

纯硬件防火墙基于专门的硬件平台,包括专有的ASIC芯片,采用专用的操作系统。其中,专用的ASIC芯片具有更高的处理速度、更强的处理能力;而专用的操作系统漏洞比较少,安全性能高。

当然,纯硬件防火墙的价格也相对比较高。

硬件防火墙和纯硬件防火墙都是具有防火墙功能的硬件产品,它们的区别在于是否基于专用的硬件平台,是否采用专用的操作系统。

59.什么是包过滤防火墙?

包过滤防火墙是通过事先设定的规则确定数据包是否能被运送的安全防护系统。经过长期的发展,包过滤防火墙不断完善过滤技术,在过滤的判断依据上考虑得越来越周到。包过滤防火墙主要有四种:

(1)静态包过滤(StaticPacketFilter)防火墙这类防火墙具有最基本的包过滤功能,它对网络层将要进入IP转发过程的数据包进行检查,主要检查其中的包头信息(如源地址、目标地址、TCP包、UDP包、ICMP包等)是否符合某一规则,符合则进行转发,否则就丢弃。

静态包过滤防火墙存在几个明显的缺点:①维护困难,有效IP规则的制定和维护会耗费大量精力;②不能防止欺骗攻击,黑客可以伪装成受信任IP攻击;③不对应用层过滤,无法实现限制员工仅使用HTTP协议访问网页、禁用FTP服务等需求。

(2)动态包过滤(DynamicPacketFilter)防火墙动态包过滤较之静态包过滤有了很大的进步,它采用动态端口分配(Dynamicportallocation)技术,为每一个数据包设置来源端口,这些端口不预先指定,根据需要随机分派,在服务完成后立即关闭,这就可以有效预防欺骗数据包的攻击;同时,动态包过滤防火墙会自行修改和更新现有防火墙的规则,简化了设置环节。

(3)状态检测(StatefulInspection)防火墙此类防火墙在进行包过滤的同时对网络通信的各层实施监测,抽取状态信息,动态生成状态表,并根据状态表跟踪每一个通信的会话状态,判定数据包是否符合已经允许的会话。

比起传统的包过滤技术,状态检测防火墙不仅依据规则表进行过滤,还根据状态表进行决策,因此能够有效地兼顾较高层次网络数据的安全。比起应用网关防火墙,状态检测防火墙不需要为每一个应用都建立服务程序,保证了效率。因此,状态检测防火墙是一种安全和效率平衡得较好的方案,目前被广泛的运用。

(4)深度包检测(DeepPacketInspection)防火墙深度包检测技术包括了状态检测防火墙的全部功能,又引进了入侵检测和防范攻击的能力。它会对数据包中的具体数据流进行检测,可以根据特征检测找出恶意行为实行过滤,阻止异常访问。为了适应SSL加密等加密应用的推广,此类防火墙都具有加/解密功能,以便对加密数据进行深度监测。为了防止隐藏在数据包中的攻击数据,防火墙会比对确认应用数据流是否与协议一致,检查其合法性。深度检测技术还允许修改或转换URL、包头和参数。

60.什么是代理防火墙?

代理防火墙是运用了代理技术的防火墙,它参与通信的全过程,在通信双方之间转发数据,隔绝通信双方的直接会话,确保绝对的安全。代理防火墙经历了两个发展阶段:

(1)应用层代理防火墙

应用层代理防火墙也叫应用层网关,该防火墙参与一个TCP连接的全过程,所有通信都必须经应用层代理程序转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。

应用代理网关的优点是:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。缺点是:

①安全策略难以配置。由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点并能合理地配置安全策略。由于配置繁琐,难以理解,容易出现配置失误,最终影响内网的安全防范能力。

②效率低下。对于内网的一个应用请求,应用代理需要建立多个服务代理来处理客户端的访问请求,以保护内网Web服务器、数据库服务器、文件服务器、邮件服务器以及业务程序等,处理延迟很长。因此,应用代理防火墙不能支持大规模的并发连接。

另外,由于防火墙要求内置一些已知应用程序的代理,使得一些新出现的应用不能很好地支持。

(2)自适应代理防火墙

自适应代理防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍以上。这类防火墙的基本要素有两个:自适应代理服务器与动态包过滤器。在两者之间存在一个控制通道,在对防火墙进行配置时,用户只是将所需要的服务类型、安全级别等信息进行设置,然后自适应代理就可以根据用户配置信息,决定从应用层代理请求还是从网络层转发包。如果是后者,它将动态通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。

61.如何选购防火墙?

现在市场上防火墙种类繁多,挑选时需遵循“合理配置、按需选购”的原则,根据自身需求进行科学分析,不能一味追求技术先进、全面的昂贵产品。判断一个防火墙产品的性能,主要考察三个指标:并发连接数、吞吐量、安全过滤带宽。

(1)并发连接数

并发连接数是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数(即用户数),因此,在购买防火墙时需要首先对网络中的用户数有一个大概的估计。一般情况下防火墙的并发连接数越大,性能越好。如果并发连接数过大,也会带来一些负面的影响,比如消耗系统资源,特别是当CPU不足以处理大量数据时,易造成系统崩溃。

(2)吞吐量

吞吐量是指防火墙在不丢包的情况下单位时间内能够处理的数据包数量。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定。防火墙是内外网之间的唯一数据通道,因此吞吐量决定着网络的传输效率。如果吞吐量太小,就会成为网络瓶颈,给网络的传输效率带来负面影响。一般而言,吞吐量越高,价格也越高,应结合自身网络的数据流量合理选择。

(3)安全过滤带宽

安全过滤带宽反映防火墙在安全状态下的整体过滤性能。所谓安全即采用某种加密算法,如DES(56位)或3DES(168位)。

防火墙的吞吐量越大,其对应的安全过滤带宽也会越高。

62.为什么要用个人防火墙软件?

在计算机的个人应用中普遍存在误区,认为杀毒软件和防火墙软件功能雷同,重杀毒软件,忽略防火墙。

如果将网络看成公路网,杀毒软件和防火墙软件都是这个公路网的管理者,杀毒软件关注的是公路上面有没有违规车辆?有没有走私车辆?防火墙软件则控制整个公路网的通行规则,这边是单行线,只许从南向北,那边只允许轿车通过。两者配合才能保证安全。

个人防火墙软件一般需要在安全性和易用性之间作出选择。

一般来说,软件可达到的安全性越高,对软件使用者的专业知识背景要求就越高。有些专业的防火墙软件默认封堵所有的数据包,只有针对各种情况的数据流一一设定安全性才能正常使用;还有些软件能够根据运行的程序设定简单的规则,虽然安全性有所下降,但是更适合普通用户。

63.防火墙不能做什么?

防火墙是内外网络之间的唯一通道,它能够检查在这通道中通过的数据,按照预先设置的策略来决定是否允许该数据进入内部网络或者从内部网络出去,从而避免不良、有害数据进入网络攻击计算机,也可以防止内部机密数据泄露出去。但防火墙对于内部网络的数据是不能做任何处理的,一旦内部网络中存在病毒,防火墙将无法采取有效措施,这时我们就需要杀毒软件对网络内部的文件、信息进行扫描并采取如清除、隔离等措施。此外,对于内部未经授权、恶意破坏的使用者,防火墙也难以控制。

64.什么是统一威胁管理?

统一威胁管理(UnifiedThreatManagement,简称UTM)是由硬件、软件和网络技术组成的安全多功能一体设备。防火墙、入侵防御和防病毒是UTM设备的三项基本功能,此外,还包括反垃圾邮件、VPN、内容过滤等。

图6.2所示为自适应安全设备,它能够将安全性与VPN服务自适应识别和防御(AIM)架构有机结合起来。