- 什么是防火墻
在計算機網絡中是指設置在可信任的內部網絡和不可信任的外部網絡之間的屏障,通過強化邊界控制保障內容安全,同時不妨礙內部對外部的訪問。
20世紀80年代,最早的防火墻幾乎與路由器同時出現,第一代防火墻主要基于包過濾(Packet filter)技術,是依附于路由器的包過濾功能實現的防火墻;隨著網絡安全重要性和性能要求的提高,防火墻漸漸發展為一個獨立結構的、有專門功能的設備。
1989年,貝爾實驗室最早推出了第二代防火墻,即電路層防火墻。
20世紀90年代初,開始推出第三代防火墻,即應用層防火墻(或者叫做代理防火墻)。
1992年,USC信息科學院開發出了基于動態包過濾(Dynamic packet filter)技術的,后來演變為目前所說的狀態監視(Stateful inspection)技術。基于此技術,1994年,市面上出現了第四代防火墻,
1998年,NAI公司推出了一種自適應代理(Adaptive proxy)技術,并在其產品Gauntlet Firewall for NT中得以實現,給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
- 防火墻的作用
強化網絡安全策略:具有不同信任的互連網絡
防止網絡故障蔓延
對網絡訪問進行監控審核和報警
提供流量控制(帶寬管理)和計費
利用IPSec實現VPN
實現MAC與IP地址的綁定 - 防火墻的局限性
防火墻存在被繞過的可能
無法抵御內部威脅
不能防止對開放端口(服務)的攻擊
防火墻可以阻斷攻擊,但無法消除攻擊源
防火墻自身也可能會受到攻擊 - 防火墻的種類
4.1 技術原理區分
4.1.1 包過濾型防火墻
最簡單最快的防火墻,也是任何防火墻系統的基礎。它可以檢查的每個IP數據包,按過濾規則 允許或拒絕。
能夠查看的信息包括:
源IP,目的IP
TCP/UDP 端口號
承載協議
即網絡層和傳輸層的數據報文。
可能受到的攻擊:
? IP地址欺騙:信任一個假地址
4.1.2 代理防火墻
整個網絡環境中,充當一個代理的角色。
工作過程:
用戶的請求發送給代理防火墻。
代理防火墻驗證請求為合法后,向網絡應用服務器發送請求。
網絡應用服務器處理后,將響應信息返回給代理防火墻,再發送給用戶。
4.1.3 狀態檢測防火墻
狀態檢測型防火墻擴展了包過濾防火墻,跟蹤每個TCP連接的狀態,將屬于同一個連接的所有包作為一個整體的數據流看待。
即 隸屬于同一個會話的數據包,會更快流過設備,而不是每次都匹配過濾規則。
相比較包過濾防火墻,降低傳輸時間,提高處理效率。
4.1.4 地址轉換防火墻
附有網絡地址轉換(NAT)功能的防火墻,或網絡地址端口轉換(NAPT)。
4.2 實現形態區分
4.2.1 軟件防火墻
4.2.2 硬件防火墻
4.3 部署位置區分
4.3.1 邊界防火墻
4.3.2 個人防火墻
4.3.3 混合防火墻
5. 防火墻的工作模式
三種工作模式:
5.1 路由模式
防火墻以第三層對外連接(接口具有IP地址)
5.2 透明模式
防火墻以第二層對外連接(接口無IP地址)
5.3 混合模式
防火墻既有 工作在路由模式的接口,也有工作在透明模式的接口。
- 防火墻的部署
根據使用場景,選擇部署防火墻系統。例如,小型網絡環境的路由設備或其他主機中,加入防火墻的功能,從而節省成本;大型網絡系統中,有分布式防火墻和防火墻集群。
6.1 屏蔽路由器和屏蔽主機
屏蔽路由器:具有數據包過濾功能的路由器
屏蔽主機:具有數據包過濾功能的主機
二者都可以部署為簡單的防火墻,通過配置完成防火墻的功能。
6.2 雙穴主機或雙宿主機
雙穴主機:有兩個網絡接口的計算機系統,一個連接內網,一個連接外網。
6.3 堡壘主機
堡壘主機(Bastion Host):網絡上一種配置了安全防范措施的計算機。
6.4 屏蔽子網防火墻
屏蔽子網防火墻:在被保護網絡和Internet之間設置了獨立的子網作為防火墻。典型例DMZ。
DMZ一般是兩臺防火墻之間的區域,
- 防火墻的性能指標
7.1 指標量
吞吐量:不丟包的情況下能夠達到的最大速率。影響網絡性能的重要指標之一。
延時:防火墻設備處理數據包的速度,從接受bit流到輸出bit流的時間段。影響網絡性能的重要指標之一。
丟包率:在連續負載的情況下,由于防火墻設備資源不足導致數據包丟失的百分比。影響穩定性可靠性。
背靠背:體現防火墻對突發數據的處理能力。
最大并發連接數
最大并發連接建立速率
最大策略數
平均無故障間隔時間
支持的最大用戶數
)
)
)
錯誤 -14: Pipe connection has been broken。)
)
