对防火墙应用技术的几点思考

随着信息化的不断深入,现在大家对网络安全也越为重视,防火墙在企业中的地位也越为突出,正由于如此,目前市场的防火墙产品非常之多,划分的标准也比较杂。现主要表现为以下两大类:

一、从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和基于硬件防火墙以及芯片级防火墙。

软件防火墙:这类防火墙必需运行在特定的计算机上,而且需要操作系统支持,大致又可分为网络版和个人版,一般而言网络版(或称企业版)需要网络操作系统,个人版一般安装在企业中的客户端操作系统之上。网络版软件主要有checkpoint、ISA 2004 企业版等,可将它们安装在一个企业的接入口,来有效的对内部局域网和Internet进行隔离。个人版有很多,如天网个人防火墙、Kaspersky Anti-Hacker、瑞星个人防火墙等,安装在各自的计算机上来保护你的电脑。

基于硬件防火墙:所谓基于硬件,是相对芯片级而言的,这类防火墙的硬件在现在市面上流行的主要是采用PC构架的兼容机,然后在此硬件之上安装经过处理(或称经过精简)的操作系统,主要是采用Linux这类操作系统进行相应的安全优化而来。值得注意的是此类防火墙和软件防火墙一样采用的依然是别人的内核,因此依然会受到你所安装的操作系统本身的安全性影响。基于硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目等。象servgate、联想网御等都属于此类防火墙。

芯片级防火墙:它是基于专用的防火墙硬件平台,所采用专用的ASIC芯片、并为此硬件平台量身定做专用的操作系统;精简的指令系统使它的运行速度远高于前两种防火墙,而且处理能力更强,性能更高,并且更安全;当然价格相对比较高。这类防火墙主要有NetScreen、FortiNet、Pix等。

二、依据防范的方式和侧重点的不同,可分为数据包过滤型、应用级网关型、服务型、规则型四种。

包过滤型:或称网络级防火墙。包过滤(Packet Filtering)主要是在网络层和传输层对数据包进行选择,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。选择的依据是根据各自设置的具体要求来进行,通常此操作被称为访问控制表(Access Control Table),只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。此类防火墙配置简单,价格便宜,易于安装和使用,一般都是和路由器联合使用,由于以上特点,很多厂商都在原有的路由器基础上增加了包过滤功能,这样便大大降低了成本。但这类防火墙缺点也很明显:第一是一旦非法访问攻破防火墙,即可对主机上的所有软件系统进行攻击;第二是IP包头信息容易被窃取和假冒。

应用级网关:应用级网关(Applicaion Level Gateways)是在网络应用层上建立协议过滤和转发功能。它能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。 在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应的软件,使用时工作量大,效率不如网络级防火墙。 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。所以虽是高安全产品,但实际在企业中的应用并不理想。

服务:又称电路级网关。服务(Proxy Server)是设置在Internet网关的专用应用级代码,它主要是针对包过滤和应用级网关技术存在的缺点而引入的。这种服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,这就引入了服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。服务技术主要通过专用计算机硬件(如工作站)来承担,这导致防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。

规则检查防火墙:该防火墙结合了包过滤防火墙、服务和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在网络层上通过IP地址和端口号过滤进出的数据包。它象服务一样,能够检测是否是特许包。又象应用级网关一样,可以在应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于前三种,从理论上就能比应用级在过滤数据包上更有效。

三、防火墙的选购

防火墙并不是万能的,不是说有了它就是安全了,并不是有了它就能提高上网的速度了;当我们在准备应用防火墙技术时,得考虑以下几点:第一是防火墙是不能防病毒的,同时也不能防垃圾邮件的,尽管有不少的防火墙产品声称其具有这功能,无非是增加了相应的几个模块,这在一定程度上使防火墙增加了数据处理的负担。第二是防火墙在处理数据时的延时,(所谓防火墙的延时,即数据转换或处理时所损耗的时间)一旦延时超过了网络数据通信所规定的时间,将无法支持实时服务的请求,现在要使这个延时达到最小,只能是购买高性能的设备,当然这样的话将需要更多的资金来支持。

目前防火墙技术进步很快,功能上也做的五花八门,用户选择上也比较困难。主要是以在达到一定安全的基础上选择更适合自己实际需要的功能。例如,对于没有固定主机的单位,可能需要身份认证的功能;对网络资源比较紧张的单位,可能需要带宽管理的功能以合理控制资源分配;对于有总部和分支机构的企业,就可能需要选择能支持VPN通讯功能的防火墙产品等等。

总之,防火墙是企业网安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。作为一种网络安全技术,选购的防火墙应具有简单实用的特点,并且透明度高,根据各个企业各自的需求,应地适宜的进行,选购时一般均在不修改原有网络应用系统的情况下达到一定的安全要求。