新聞中心

EEPW首頁 > 手機(jī)與無線通信 > 設(shè)計(jì)應(yīng)用 > 全方位講解硬件防火墻的選擇

全方位講解硬件防火墻的選擇

作者: 時(shí)間:2011-11-17 來源:網(wǎng)絡(luò) 收藏

是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,通過監(jiān)測、限制、更改跨越的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,有地接受外部訪問,對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對(duì)服務(wù)器與外部網(wǎng)絡(luò)的訪問,在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障,以防止發(fā)生不可預(yù)測的、潛在的破壞性侵入。有兩種,防火墻和軟件防火墻,他們都能起到保護(hù)作用并篩選出網(wǎng)絡(luò)上的攻擊者。在這里主要給大家介紹一下我們?cè)谄髽I(yè)網(wǎng)絡(luò)安全實(shí)際運(yùn)用中所常見的防火墻。

本文引用地址:http://butianyuan.cn/article/155524.htm

  一、防火墻基礎(chǔ)原理

  1、防火墻技術(shù)

  防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務(wù)。下面,我們將介紹這些手段的工作機(jī)理及特點(diǎn),并介紹一些防火墻的主流產(chǎn)品。

  包過濾技術(shù)是一種簡單、有效的安全控制技術(shù),它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則,對(duì)通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查,限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過濾的最大優(yōu)點(diǎn)是對(duì)用戶透明,傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層,安全控制的力度也只限于源地址、目的地址和端口號(hào),因而只能進(jìn)行較為初步的安全控制,對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段,則無能為力。

  狀態(tài)檢測是比包過濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接,狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則,允許符合規(guī)則的連接通過,并在內(nèi)存中記錄下該連接的相關(guān)信息,生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包,只要符合狀態(tài)表,就可以通過。這種方式的好處在于:由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查,而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法,直接進(jìn)行狀態(tài)檢查,從而使得性能得到了較大提高;而且,由于狀態(tài)表是動(dòng)態(tài)的,因而可以有地、動(dòng)態(tài)地開通1024號(hào)以上的端口,使得安全性得到進(jìn)一步地提高。

  2、防火墻工作原理

 ?。?)包過濾防火墻

  包過濾防火墻一般在路由器上實(shí)現(xiàn),用以過濾用戶定義的內(nèi)容,如IP地址。包過濾防火墻的工作原理是:系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能,可擴(kuò)展能力強(qiáng)。但是,包過濾防火墻的安全性有一定的缺陷,因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無感知,也就是說,防火墻不理解通信的內(nèi)容,所以可能被黑客所攻破。

全方位講解硬件防火墻的選擇(多圖)
圖1:包過濾防火墻工作原理圖

 ?。?)應(yīng)用網(wǎng)關(guān)防火墻

  應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包,并將檢查的內(nèi)容信息放入決策過程,從而提高網(wǎng)絡(luò)的安全性。然而,應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)/服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)/服務(wù)器通信需要兩個(gè)連接:一個(gè)是從客戶端到防火墻,另一個(gè)是從防火墻到服務(wù)器。另外,每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程,或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序,對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序,否則不能使用該服務(wù)。所以,應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。(圖2)

全方位講解硬件防火墻的選擇(多圖)
圖2:應(yīng)用網(wǎng)關(guān)防火墻工作原理圖

 ?。?)狀態(tài)檢測防火墻

  狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點(diǎn),性能比較好,同時(shí)對(duì)應(yīng)用是透明的,在此基礎(chǔ)上,對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn),在防火墻的核心部分建立狀態(tài)連接表,維護(hù)了連接,將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理??梢赃@樣說,狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為,而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。(圖3)

全方位講解硬件防火墻的選擇(多圖)
圖3:狀態(tài)檢測防火墻工作原理圖

(4)復(fù)合型防火墻

  復(fù)合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻,進(jìn)一步基于ASIC架構(gòu),把防病毒、內(nèi)容過濾整合到防火墻里,其中還包括VPN、IDS功能,多單元融為一體,是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊,在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描,把防病毒、內(nèi)容過濾與防火墻結(jié)合起來,這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描,實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。(圖4)

全方位講解硬件防火墻的選擇(多圖)(2)
圖4:復(fù)合型防火墻工作原理圖

  3、四類防火墻的對(duì)比

  包過濾防火墻:包過濾防火墻不檢查數(shù)據(jù)區(qū),包過濾防火墻不建立連接狀態(tài)表,前后報(bào)文無關(guān),應(yīng)用層控制很弱。

  應(yīng)用網(wǎng)關(guān)防火墻:不檢查IP、TCP報(bào)頭,不建立連接狀態(tài)表,網(wǎng)絡(luò)層保護(hù)比較弱。

  狀態(tài)檢測防火墻:不檢查數(shù)據(jù)區(qū),建立連接狀態(tài)表,前后報(bào)文相關(guān),應(yīng)用層控制很弱。

  復(fù)合型防火墻:可以檢查整個(gè)數(shù)據(jù)包內(nèi)容,根據(jù)需要建立連接狀態(tài)表,網(wǎng)絡(luò)層保護(hù)強(qiáng),應(yīng)用層控制細(xì),會(huì)話控制較弱。

  4、防火墻術(shù)語

  網(wǎng)關(guān):在兩個(gè)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)是互聯(lián)網(wǎng)應(yīng)用程序在兩臺(tái)主機(jī)之間處理流量的防火墻。這個(gè)術(shù)語是非常常見的。

  DMZ非軍事化區(qū):為了配置管理方便,內(nèi)部網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個(gè)單獨(dú)的網(wǎng)段,這個(gè)網(wǎng)段便是非軍事化區(qū)。防火墻一般配備三塊網(wǎng)卡,在配置時(shí)一般分別分別連接內(nèi)部網(wǎng),internet和DMZ。

  吞吐量:網(wǎng)絡(luò)中的數(shù)據(jù)是由一個(gè)個(gè)數(shù)據(jù)包組成,防火墻對(duì)每個(gè)數(shù)據(jù)包的處理要耗費(fèi)資源。吞吐量是指在不丟包的情況下單位時(shí)間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。這是測量防火墻性能的重要指標(biāo)。

  最大連接數(shù):和吞吐量一樣,數(shù)字越大越好。但是最大連接數(shù)更貼近實(shí)際網(wǎng)絡(luò)情況,網(wǎng)絡(luò)中大多數(shù)連接是指所建立的一個(gè)虛擬通道。防火墻對(duì)每個(gè)連接的處理也好耗費(fèi)資源,因此最大連接數(shù)成為考驗(yàn)防火墻這方面能力的指標(biāo)。

  數(shù)據(jù)包轉(zhuǎn)發(fā)率:是指在所有安全規(guī)則配置正確的情況下,防火墻對(duì)數(shù)據(jù)流量的處理速度。

  SSL:SSL(Secure Sockets Layer)是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議,當(dāng)前版本為3.0。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。

  網(wǎng)絡(luò)地址轉(zhuǎn)換:網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是一種將一個(gè)IP地址域映射到另一個(gè)IP地址域技術(shù),從而為終端主機(jī)提供透明路由。NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。NAT常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實(shí)現(xiàn)NAT后,可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu),在一定程度上提高網(wǎng)絡(luò)的安全性。如果反向NAT提供動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能,還可以實(shí)現(xiàn)負(fù)載均衡等功能。

  堡壘主機(jī):一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī),被暴露于因特網(wǎng)之上,作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn),以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決,從而省時(shí)省力,不用考慮其它主機(jī)的安全的目的。

  二、市場上常見的防火墻

 ?。?)NetScreen 208 Firewall

  NetScreen科技公司推出的NetScreen防火墻產(chǎn)品是一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品。NetScreen采用內(nèi)置的ASIC技術(shù),其安全設(shè)備具有低延時(shí)、高效的IPSec加密和防火墻功能,可以無縫地部署到任何網(wǎng)絡(luò)。設(shè)備安裝和操控也是非常容易,可以通過多種管理界面包括內(nèi)置的WebUI界面、命令行界面或NetScreen中央管理方案進(jìn)行管理。NetScreen將所有功能集成于單一硬件產(chǎn)品中,它不僅易于安裝和管理,而且能夠提供更高可靠性和安全性。由于NetScreen設(shè)備沒有其它品牌產(chǎn)品對(duì)硬盤驅(qū)動(dòng)器所存在的穩(wěn)定性問題,所以它是對(duì)在線時(shí)間要求極高的用戶的最佳方案。采用NetScreen設(shè)備,只需要對(duì)防火墻、VPN和流量管理功能進(jìn)行配置和管理,減省了配置另外的硬件和復(fù)雜性操作系統(tǒng)的需要。這個(gè)做法縮短了安裝和管理的時(shí)間,并在防范安全漏洞的工作上,省略設(shè)置的步驟。NetScreen-100 Firewall比適合中型企業(yè)的網(wǎng)絡(luò)安全需求。

?。?)Cisco Secure PIX 515-E Firewall

  Cisco Secure PIX防火墻是Cisco防火墻家族中的專用防火墻設(shè)施。Cisco Secure PIX 515-E防火墻系通過端到端安全服務(wù)的有機(jī)組合,提供了很高的安全性。適合那些僅需要與自己企業(yè)網(wǎng)進(jìn)行雙向通信的遠(yuǎn)程站點(diǎn),或由企業(yè)網(wǎng)在自己的企業(yè)防火墻上提供所有的Web服務(wù)的情況。Cisco Secure PIX 515-E與普通的CPU密集型專用代理服務(wù)器(對(duì)應(yīng)用級(jí)的每一個(gè)數(shù)據(jù)包都要進(jìn)行大量處理)不同,Cisco Secure PIX 515-E防火墻采用非UNIX、安全、實(shí)時(shí)的內(nèi)置系統(tǒng)??商峁U(kuò)展和重新配置IP網(wǎng)絡(luò)的特性,同時(shí)不會(huì)引起IP地址短缺問題。NAT既可利用現(xiàn)有IP地址,也可利用Internet指定號(hào)碼機(jī)構(gòu)[IANA]預(yù)留池[RFC.1918]規(guī)定的地址來實(shí)現(xiàn)這一特性。Cisco Secure PIX 515-E還可根據(jù)需要有性地允許地址是否進(jìn)行轉(zhuǎn)化。CISCO保證NAT將同所有其它的PIX防火墻特性(如多媒體應(yīng)用支持)共同工作。Cisco Secure PIX 515-E Firewall比適合中小型企業(yè)的網(wǎng)絡(luò)安全需求。

 ?。?)天融信網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻

  北京天融信公司的網(wǎng)絡(luò)衛(wèi)士是我國第一套自主版權(quán)的防火墻系統(tǒng),目前在我國電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻是我國首創(chuàng)的核檢測防火墻,更加安全更加穩(wěn)定。網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻系統(tǒng)集中了包過濾防火墻、應(yīng)用代理、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、用戶身份鑒別、虛擬專用網(wǎng)、Web頁面保護(hù)、用戶權(quán)限控制、安全審計(jì)、攻擊檢測、流量控制與計(jì)費(fèi)等功能,可以為不同類型的Internet接入網(wǎng)絡(luò)提供的網(wǎng)絡(luò)安全服務(wù)。網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)是中國人自己設(shè)計(jì)的,因此管理界面完全是中文化的,使管理工作更加方便,網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻的管理界面是所有防火墻中最直觀的。網(wǎng)絡(luò)衛(wèi)士NGFW4000-S防火墻比適合中型企業(yè)的網(wǎng)絡(luò)安全需求。

 ?。?)東軟NetEye 4032防火墻

  NetEye 4032防火墻是NetEye防火墻系列中的最新版本,該系統(tǒng)在性能,可靠性,管理性等方面大大提高。其基于狀態(tài)包過濾的流過濾體系結(jié)構(gòu),保證從數(shù)據(jù)鏈路層到應(yīng)用層的完全高性能過濾,可以進(jìn)行應(yīng)用級(jí)插件的及時(shí)升級(jí),攻擊方式的及時(shí)響應(yīng),實(shí)現(xiàn)動(dòng)態(tài)的保障網(wǎng)絡(luò)安全。NetEye防火墻4032對(duì)流過濾引擎進(jìn)行了優(yōu)化,進(jìn)一步提高了性能和穩(wěn)定性,同時(shí)豐富了應(yīng)用級(jí)插件、安全防御插件,并且提升了開發(fā)相應(yīng)插件的速度。網(wǎng)絡(luò)安全本身是一個(gè)動(dòng)態(tài)的,其變化非常迅速,每天都有可能有新的攻擊方式產(chǎn)生。安全策略必須能夠隨著攻擊方式的產(chǎn)生而進(jìn)行動(dòng)態(tài)的調(diào)整,這樣才能夠動(dòng)態(tài)的保護(hù)網(wǎng)絡(luò)的安全?;跔顟B(tài)包過濾的流過濾體系結(jié)構(gòu),具有動(dòng)態(tài)保護(hù)網(wǎng)絡(luò)安全的特性,使NetEye防火墻能夠有效的抵御各種新的攻擊,動(dòng)態(tài)保障網(wǎng)絡(luò)安全。東軟NetEye 4032防火墻比適合中小型企業(yè)的網(wǎng)絡(luò)安全需求。

  三、防火墻的基本配置

  下面我以國內(nèi)防火墻第一品牌天融信NGFW 4000為例給各位一下在一個(gè)典型的網(wǎng)絡(luò)環(huán)境中應(yīng)該如何來配置防火墻。

全方位講解硬件防火墻的選擇(多圖)(3)
圖5:網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

tcp/ip相關(guān)文章:tcp/ip是什么



上一頁 1 2 下一頁

關(guān)鍵詞: 選擇 防火墻 硬件 講解 全方位

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉