一、防火墙概念
Internet的迅速发展提供了发布信息和检索信息的场所,但也带来了信息污染和信息破坏的危险, 人们为了保护其数据和资源的安全,部署了防火墙。防火墙本质上是一种保护装置,它保护数据、资源和用户的声誉。
防火墙原是设计用来防止火灾从建筑物的一部分传播到另一部分的设施。从理论上讲,Internet防火墙服务也有类似目的,它防止Internet(或外部网络)上的危险(病毒、资源盗用等)传播到网络内部。Internet(或外部网络)防火墙服务于多个目的:
1、限制人们从一个特别的控制点进入;
2、防止入侵者接近你的其它防御设施;
3、限定人们从一个特别的点离开;
4、有效地阻止破坏者对你的计算机系统进行破坏。
防火墙常常被安装在内部网络连接到因特网(或外部网络)的节点上。
一)防火墙的优点
1、防火墙能够强化安全策略
因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
2、防火墙能有效地记录网络上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
3、防火墙限制暴露用户点
防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。
4、防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
(二)防火墙的不足
防火墙的缺点主要表现在以下几个方面。
1、不能防范恶意的知情者
防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理,如主机安全和用户教育等。
2、不能防范不通过它的连接
防火墙能够有效地防止通过它的传输信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
3、不能防备全部的威胁
防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一扇防火墙能自动防御所有新的威胁。
4、防火墙不能防范病毒
防火墙一般不能消除网络上的病毒。
二、防火墙技术
一提到网络安全人们首先想到的是防火墙。防火墙系统针对的是来自系统外部的攻击,一旦外部入侵者进入了系统,他们便不受任何阻挡。认证手段也与此类似,一旦入侵者骗过了认证系统,便成为了内部人员。
防火墙的基本类型有:包过滤型、代理服务型和状态包过滤型复合型。
(一)包过滤型防火墙
包过滤(Packet Filter)通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一种保安机制,它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。
网络中的应用虽然很多,但其最终的传输单位都是以数据包的形式出现,这种做法主要是因为网络要为多个系统提供共享服务。例如,文件传输时,必须将文件分割为小的数据包,每个数据包单独传输。每个数据包中除了包含所要传输的数据(内容),还包括源地址、目标地址等。
数据包是通过互联网络中的路由器,从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处,然后路由器查询自身的路由表,若有去往目的的路由,则将该包发送到下一个路由器或直接发往下一个网段;否则,将该包丢掉。与路由器不同的是,包过滤防火墙,除了判断是否有到达目的网段的路由之外,还要根据一组包过滤规则决定是否将包转发出去。
1、工作机制
包过滤技术可以允许或禁止某些包在网络上传递,它依据的是以下的判断: