防火牆分類2
防火牆技術雖然出現了許多,但總體來講可分為“包過濾型”和“套用代理型”兩大類。前者以以色列的Checkpoint防火牆和美國Cisco公司的PIX防火牆為代表,後者以美國NAI公司的Gauntlet防火牆為代表。(1). 包過濾(Packet Filtering)型
包過濾型防火牆工作在OSI網路參考模型的網路層和傳輸層,它根據數據包頭源地址,目的地址、連線埠號和協定類型等標誌確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地,其餘數據包則被從數據流中丟棄。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網路服務採取特殊的處理方式,適用於所有網路服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火牆多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火牆技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。
●第一代靜態包過濾類型防火牆
這類防火牆幾乎是與路由器同時產生的,它是根據定義好的過濾規則審查每個數據包,以便確定其是否與某一條包過濾規則匹配。過濾規則基於數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協定(TCP、UDP、ICMP等等)、TCP/UDP目標連線埠、ICMP訊息類型等。
●第二代動態包過濾類型防火牆
這類防火牆採用動態設定包過濾規則的方法,避免了靜態包過濾所具有的問題。這種技術後來發展成為包狀態監測(Stateful Inspection)技術。採用這種技術的防火牆對通過其建立的每一個連線都進行跟蹤,並且根據需要可動態地在過濾規則中增加或更新條目。
包過濾方式的優點是不用改動客戶機和主機上的應用程式,因為它工作在網路層和傳輸層,與套用層無關。但其弱點也是明顯的:過濾判別的依據只是網路層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由於缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協定;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協定本身及其在不同應用程式中的作用有較深入的理解。因此,過濾器通常是和套用網關配合使用,共同組成防火牆系統。
(2). 套用代理(Application Proxy)型
套用代理型防火牆是工作在OSI的最高層,即套用層。其特點是完全"阻隔"了網路通信流,通過對每種套用服務編制專門的代理程式,實現監視和控制套用層通信流的作用。其典型網路結構如圖所示。
在代理型防火牆技術的發展過程中,它也經歷了兩個不同的版本,即:第一代套用網關型代理防火和第二代自適應代理防火牆。
第一代套用網關(Application Gateway)型防火牆
這類防火牆是通過一種代理(Proxy)技術參與到一個TCP連線的全過程。從內部發出的數據包經過這樣的防火牆處理後,就好像是源於防火牆外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種類型的防火牆被網路安全專家和媒體公認為是最安全的防火牆。它的核心技術就是代理伺服器技術。
第二代自適應代理(Adaptive proxy)型防火牆
它是近幾年才得到廣泛套用的一種新防火牆類型。它可以結合代理類型防火牆的安全性和包過濾防火牆的高速度等優點,在毫不損失安全性的基礎之上將代理型防火牆的性能提高10倍以上。組成這種類型防火牆的基本要素有兩個:自適應代理伺服器(Adaptive Proxy Server)與動態包過濾器(Dynamic Packet filter)。
在“自適應代理伺服器”與“動態包過濾器”之間存在一個控制通道。在對防火牆進行配置時,用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設定就可以了。然後,自適應代理就可以根據用戶的配置信息,決定是使用代理服務從套用層代理請求還是從網路層轉發包。如果是後者,它將動態地通知包過濾器增減過濾規則,滿足用戶對速度和安全性的雙重要求。
代理類型防火牆的最突出的優點就是安全。由於它工作於最高層,所以它可以對網路中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網路層的數據進行過濾。
另外代理型防火牆採取是一種代理機制,它可以為每一種套用服務建立一個專門的代理,所以內外部網路之間的通信不是直接的,而都需先經過代理伺服器審核,通過後再由代理伺服器代為連線,根本沒有給內、外部網路計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。
代理防火牆的最大缺點就是速度相對比較慢,當用戶對內外部網路網關的吞吐量要求比較高時,代理防火牆就會成為內外部網路之間的瓶頸。那因為防火牆需要為不同的網路服務建立專門的代理服務,在自己的代理程式為內、外部網路用戶建立連線時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。