|
|
|
|
|
防火墙一词来自建筑物中的同名机构,从字面意思上说,它可以防止火灾从建筑物的一部分蔓延到其他部分。Internet防火墙也要起到同样的作用,防止Internet上的不安全因素蔓延到自己企业或组织的内部网。防火墙技术早在1994年就被RFC 1636列为信息系统安全机制不可缺少的一项措施。
|
|
|
|
从狭义上说,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上说,防火墙还包括整个网络的安全策略和安全行为。
|
|
|
|
AT&T的两位工程师William Cheswich和Steven Bellovin给出了防火墙的明确定义:所有的从外部到内部或从内部到外部的通信都必须经过它;只有有内部访问策略授权的通到现场安装所必须遵守的程序。信才能被允许通过;系统本身具有很强的高可靠性。
|
|
|
|
总之,防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,可有效地监视内部网络和Internet之间的任何活动,保证内部网络的安全;在物理实现上,防火墙是位于网络特殊位置的一组硬件设备——路由器、计算机或其他特制的硬件设备。防火墙可以是一个独立的系统,也可以在一个进行网络互联的路由器上实现防火墙。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(1)包过滤型防火墙。通过访问控制表,检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,来确定是否允许该数据包通过。
|
|
|
|
(2)应用网关防火墙。它工作在应用层,能针对特别的网络应用协议制定数据过滤规则。
|
|
|
|
(3)代理服务器防火墙。它工作在OSI模型的应用层,主要使用代理技术来阻断内部网络和外部网络之间的通信,达到隐藏内部网络的目的。
|
|
|
|
(4)状态检测防火墙。也叫自适应防火墙或动态包过滤防火墙。这种防火墙能通过状态检测技术动态记录、维护各个连接的协议状态,并且在网络层和IP之间插入一个检查模块,对IP包的信息进行分析检测,以决定是否允许通过防火墙。
|
|
|
|
(5)自适应代理防火墙。根据用户的安全策略,动态适应传输中的分组流量。它整合了动态包过滤防火墙技术和应用代理技术,本质上是状态检测防火墙。
|
|
|
|
|
|
|
|
|
|
|
|
(2)只允许本地安全策略认可的业务流通过防火墙,实行默认拒绝原则。
|
|
|
|
|
|
(4)具有透明性,方便内部网络用户,保证正常的信息通过。
|
|
|
|
|
|
|
|
防火墙主要包括以下5个部分:安全操作系统、过滤器、网关、域名服务、函件处理。
|
|
|
|
(1)安全操作系统。防火墙本身必须建立在安全操作系统中,由安全操作系统来保护防火墙的源代码和文件免遭入侵者的攻击。
|
|
|
|
(2)过滤器。外部过滤器保护网关不受攻击,内部过滤器在网关被攻破后提供对内部网络的保护。
|
|
|
|
(3)网关。提供中继服务,辅助过滤器控制业务流。可以在其上执行一些特定的应用程序或服务器程序,这些程序统称为"代理程序"。
|
|
|
|
(4)域名服务。将内部网络的域名和Internet相隔离,使内部网络中主机的IP地址不至于暴露给Internet中的用户。
|
|
|
|
(5)函件处理。保证内部网络用户和Internet用户之间的任何函件交换都必须经过防火墙处理。
|
|
|
|
|
|
|
|
(1)屏蔽路由器结构。通常由过滤路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。
|
|
|
|
(2)双穴主机结构。双穴主机具有两个网络接口,它的位置位于内部网络与Internet的连接处,运行应用代理程序,充当内、外网络之间的转发器,如下图所示。
|
|
|
|
|
|
|
|
(3)屏蔽主机结构。由屏蔽路由器与堡垒主机构成,屏蔽路由器位于内部网络与Internet之间的连接处,而堡垒主机位于内部网络,如下图所示。
|
|
|
|
|
|
|
|
(4)屏蔽子网结构。在屏蔽主机结构的基础上增加了一个周边防御网段,用以进一步隔离内部网络与外部网络,如下图所示。
|
|
|
|
|
|
|
|
周边防御网段是位于内部网络与外部网络之间的另一层安全网段,分别由内、外两个屏蔽路由器与其相连。周边防御网段所构成的安全子网又称为"非军事区"(DeMilitrized Zone, DMZ),这一网段受到安全威胁不会影响到内部网络。DMZ是放置公共信息的最佳位置,通常把WWW、FTP、电子邮件、电子商务等服务器都存放在该区域。而把内部服务器、个人PC等应用放置在内网中。
|
|
|
