簡要介紹
在電腦運算領域中,防火牆(英文:Firewall)是一項協助確保信息安全的設備,會依照特定的規則,允許或是限制傳輸的數據通過。防火牆可能是一台專屬的硬體或是架設在一般硬體上的一套軟體。
簡介
網路防火牆就是一個位於計算機和它所連線的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的連線埠。而且它還能禁止特定連線埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
作用
防火牆作為內部網與外部網之間的一種訪問控制設備, 常常安裝在內部網和外部網交界點上。
防火牆具有很好的網路安全保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將
防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
主要作用
(1)Internet防火牆可以防止Internet上的危險(病毒、資源盜用)傳播到網路內部。
(2)能強化安全策略;
(3)能有效記錄Internet上的活動;
(4)可限制暴露用戶點;
(5)它是安全策略的檢查點。
類型
防火牆有不同類型。一個防火牆可以是硬體自身的一部分,你可以將網際網路連線和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。
------------------------------
適合於校園的硬體防火牆要具有連線百兆網路,千兆網路能力。由於硬體防火牆位於路由器的下一層,現在的校園網路一般都採用了百兆或者千兆以上的網路,所以我們需要連線高頻寬的硬體防火牆。
適合於校園的硬體防火牆必需具備很強的防黑能力和入侵監控能力,這也是硬體防火牆的基本特徵。目前網路黑客攻擊的主要手段有DOS(DDOS)攻擊,IP位址欺騙,特洛伊木馬,口令字攻擊, 郵件 詐欺等。這些攻擊方式不光來自外部網路,也來自內部網路。適合於校園的硬體防火牆必須要具有防止這些外網和區域網路攻擊的能力。硬體防火牆是由 軟體 和硬體組成,其中的軟體提供了升級功能,這樣就能幫助我們修補不斷發現的 漏洞 。
由於校園網路內部有訪問一些非法網站的事情發生,為了禁止訪問非法網站,硬體防火牆不光需要有能夠防止區域網路訪問非法的功能,還必需具有監控網路的功能,因為現在一些不良網站每天都有新的出現,只有通過監控,才能根據相關信息禁止這些非法網站。
適合於校園網路的硬體防火牆要讓管理員易於管理,畢竟學校並不會聘請專業管理員來管理硬體防火牆。這種易於管理表現在硬體防火牆所搭配的軟體上,目前市場上主要有搭配專業軟體的硬體防火牆和搭配 Linux 或Unix 作業系統 的硬體防火牆,用戶可根據自己實際情況來選擇。
相關內容
按照新的國家標準防火牆有傳統防火牆的功能,VPN的功能,入侵偵測\防禦的功能,安全網關的功能,數據審計的功能,以後還會有網閘的功能,除了VPN,爭取一篇文章講完。
擁有了這些功能的防火牆就是UTM,這篇文章將會一一講解。
從網路的位置上劃分防火牆分為個人防火牆和網路防火牆。個人防火牆後面單獨講。
首先防火牆是網路設備,所以防火牆擁有路由器的基本功能,只是沒有那么快的速度。
防火牆擁有兩大基本功能----包過濾和代理伺服器。
包過濾
眾所周知現在使用的是TCP/IP協定。在這個協定下實際上只有物理層,數據鏈路層,網路層3層。往上還有個傳輸層也就是TCP/UDP的傳輸方式,當然也有少量的協定比如ICMP.所以絕大部分應用程式網路包都會用TCP/UDP封裝後發出。先不管應用程式的數據格式(也很難管,一千種應用程式基本上有一千多種私有協定)。防火牆只能從數據鏈路層和網路層出發來處理這些數據(MAC地址和IP位址、連線埠)最多再加上時間策略,這樣基本的防火牆的包過濾功能就實現了。禁止XX IP訪問YY IP,允許XX IP YY時間訪問 ZZ IP。這個是初級包過濾功能。在cisco路由器有ACL訪問控制列表就有這個功能。在linux的開源防火牆iptables也有這樣的功能。
雖然初級包過濾解決了非法IP和MAC地址訪問的問題,但是不能避免用戶使用惡意代碼危害內部系統,這樣入侵偵測\防禦,數據審計的技術就應運而生。雖然大量的私有協定是沒有辦法全部識別的,常見的套用網路協定還是能夠被分析的。比如HTTP協定,各個資料庫sql語句的網路協定,POP3協定。入侵偵測\防禦的功能就是識別這些協定,判斷輸入的數據包中是否有惡意行為。入侵偵測與數據審計則是光記錄的數據包並判斷是否有惡意行為。入侵防禦則是如果提前能夠判斷則阻斷之後的數據包的通訊。什麼樣的數據包是包含的內容是惡意的,能夠支持哪些網路協定包括私有協定,能否快速回響和處理新的威脅。這個是未來防火牆開發的重點。
入侵偵測\防禦,審計有開源的snort軟體。裡面集成了一部分規則庫。每遇到一個網路包都會匹配規則如果命中就報警,否則就通過如果。顯然規則過多處理起來比較慢,防火牆就會成為網路通訊的瓶頸,規則少則安全的防護程度比較低。這個就是黑名單策略的防火牆的阿格琉斯之踵。並且在遇到未知的惡意代碼時入侵偵測\防禦沒有防範能力的。snort,snortsam,iptables就能構成簡單的防火牆和入侵偵測還有入侵防禦系統,這三個都是在linux上開源的。
為了對付入侵偵測就有了數據包的碎片技術----把大的數據包切分成多個小數據包。一個好的防火牆是能夠重組或者直接丟棄長度過小的數據包的。
從客戶套用的角度出發防火牆還應該能夠劃分作用域。這個就是網閘幹的事情。比如一個公司財務部門伺服器只能允許財務部或者高管訪問,甚至不允許運維人員通過防火牆的的外部訪問(要訪問就去機房裡面訪問)。網閘就是劃分的網路的域,一般採用白名單策略。只有允許的訪問才能通過,其餘的都予以禁止。
好的防火牆還應該能夠識別下載檔案中的惡意代碼比如木馬檔案。這個技術包過濾可以實現,更多的是在代理伺服器上面實現。
代理伺服器
對代理伺服器好的解釋是禁止了區域網路的結構,有效保護了內部主機。通俗說法就是對內部主機加上了防彈馬甲。比如內部有一台windows2003的伺服器。對外提供asp.net的網頁服務。除了asp.net相關的安全性之外拿下網站也可以先拿下作業系統。如果有了一台linux的防火牆就必須先攻陷防火牆才能訪問windows2003伺服器。並且除了防火牆上開的asp.net的連線埠外是沒有辦法直接連線到2003伺服器的其他連線埠的。
代理伺服器對內部主機的保護是把外部用戶直接到2003伺服器的訪問變成了用戶連結防火牆,防火牆連線2003伺服器的訪問。對單個主機代理伺服器能夠提供系統安全保護,連線埠的天然過濾。對網路能夠禁止內部網路結構。比如這時對伺服器做DDOS攻擊變成了對防火牆的DDOS攻擊,雖然網路的吞吐能力下降了,內部主機受到的影響較小。
對保護病毒的檔案的處理使用包過濾就顯得力不從心了。畢竟病毒的特徵碼千變萬化。不可能每一個數據包都採用大規模的規則去匹配。代理伺服器的作用是替代主機把檔案下載到防火牆裡面。然後通過防火牆的防毒軟體來查殺檔案。
開源的代理伺服器有squid軟體。開源的防毒軟體有ClamWin。
個人防火牆與網路防火牆
這裡把防火牆單獨拎出來講。從巨觀上來講網路防火牆開發的難度比個人防火牆要低,速度要快,業務針對性要強。而個人防火牆則功能更強,開發難度更大,速度較慢。
比如大家都是各用各的PC機,上面擁有幾十到幾萬種軟體。都要安全就是個人防火牆幹的事情了。首先個人防火牆為了阻止木馬建立通訊要么使用傻瓜式的每次通訊的時候問用戶某某軟體需要訪問某某IP是否允許,要么自己判斷。事實上就算是專業人士也常常不懂。所以好的個人防火牆應該識別相當一部分的軟體通訊情況。比如QQ,迅雷。這樣協定少說也是幾百種。
從另一個方面現在很多木馬執行許可權比防火牆要高,偽裝性也高。許可權高的使用核心的網路通訊,單純只監聽socket的防火牆是沒法發現通訊的。所以好的個人防火牆應該監控核心關鍵API函式和系統運行的進程。這一點和防毒軟體越來越接近。
網路防火牆如果是處理提供有限功能的伺服器反倒是容易了。比如一個JSP的伺服器。對外只有8080連線埠。那么防火牆處理起來比較簡單。只用分析一下HTTP協定和伺服器運維的內容就行了。別的一律禁止。
到此為止除了VPN技術以外防火牆所有的功能都介紹完了。