㈠ 防火牆可以提供哪些機制
1.防火牆的概念
——防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網路和信息安全的基礎設施。
——在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網路的安全。
2.防火牆的功能
防火牆是網路安全的屏障:
——一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
——通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
——如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
——通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
——除了安全作用,防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
㈡ 防火牆到底是什麼呢
防火牆簡介
防火牆簡介
防火牆是一類防範措施的總稱,它使得內部網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。防火牆簡單的可以只用路由器實現,復雜的可以用主機甚至一個子網來實現。設置防火牆目的都是為了在內部網與外部網之間設立唯一的通道,簡化網路的安全管理。
防火牆的功能有:
1、過濾掉不安全服務和非法用戶
2、控制對特殊站點的訪問
3、提供監視Internet安全和預警的方便端點
由於互連網的開放性,有許多防範功能的防火牆也有一些防範不到的地方:
1、防火牆不能防範不經由防火牆的攻擊。例如,如果允許從受保護網內部不受限制的向外撥號,一些用戶可以形成與Internet的直接的連接,從而繞過防火牆,造成一個潛在的後門攻擊渠道。
2、防火牆不能防止感染了病毒的軟體或文件的傳輸。這只能在每台主機上裝反病毒軟體。
3、防火牆不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Internet主機上並被執行而發起攻擊時,就會發生數據驅動攻擊。
因此,防火牆只是一種整體安全防範政策的一部分。這種安全政策必須包括公開的、以便用戶知道自身責任的安全准則、職員培訓計劃以及與網路訪問、當地和遠程用戶認證、撥出撥入呼叫、磁碟和數據加密以及病毒防護的有關政策。
防火牆的特點
一般防火牆具備以下特點:
1、廣泛的服務支持:通過將動態的、應用層的過濾能力和認證相結合,可實現WWW瀏覽器、HTTP伺服器、 FTP等;
2、對私有數據的加密支持:保證通過Internet進行虛擬私人網路和商務活動不受損壞;
3、客戶端認證只允許指定的用戶訪問內部網路或選擇服務:企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分;
4、反欺騙:欺騙是從外部獲取網路訪問權的常用手段,它使數據包好似來自網路內部。防火牆能監視這樣的數據包並能扔掉它們;
5、C/S模式和跨平台支持:能使運行在一平台的管理模塊控制運行在另一平台的監視模塊。
實現防火牆的技術
防火牆的實現從層次上大體上可以分兩種:報文過濾和應用層網關。
報文過濾是在IP層實現的,因此,它可以只用路由器完成。報文過濾根據報文的源IP地址、目的IP地址、源埠、目的埠及報文傳遞方向等報頭信息來判斷是否允許報文通過。現在也出現了一種可以分析報文數據區內容的智能型報文過濾器。
報文過濾器的應用非常廣泛,因為CPU用來處理報文過濾的時間可以忽略不計。而且這種防護措施對用戶透明,合法用戶在進出網路時,根本感覺不到它的存在,使用起來很方便。報文過濾另一個也是很關鍵的弱點是不能在用戶級別上進行過濾,即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址,就可以很輕易地通過報文過濾器。
報文過濾的弱點可以用應用層網關解決。在應用層實現防火牆,方式多種多樣,下面是幾種應用層防火牆的設計實現。
1、應用代理伺服器(Application Gateway Proxy)
在網路應用層提供授權檢查及代理服務。當外部某台主機試圖訪問受保護網路時,必須先在防火牆上經過身份認證。通過身份認證後,防火牆運行一個專門為該網路設計的程序,把外部主機與內部主機連接。在這個過程中,防火牆可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣,受保護網路內部用戶訪問外部網時也需先登錄到防火牆上,通過驗證後,才可訪問。
應用網關代理的優點是既可以隱藏內部IP地址,也可以給單個用戶授權,即使攻擊者盜用了一個合法的IP地址,也通不過嚴格的身份認證。因此應用網關比報文過濾具有更高的安全性。但是這種認證使得應用網關不透明,用戶每次連接都要受到認證,這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序。
2、迴路級代理伺服器
即通常意義的代理伺服器,它適用於多個協議,但不能解釋應用協議,需要通過其他方式來獲得信息,所以,迴路級代理伺服器通常要求修改過的用戶程序。
套接字伺服器(Sockets Server)就是迴路級代理伺服器。套接字(Sockets)是一種網路應用層的國際標准。當受保護網路客戶機需要與外部網交互信息時,在防火牆上的套伺服器檢查客戶的User ID、IP源地址和IP目的地址,經過確認後,套伺服器才與外部的伺服器建立連接。對用戶來說,受保護網與外部網的信息交換是透明的,感覺不到防火牆的存在,那是因為網路用戶不需要登錄到防火牆上。但是客戶端的應用軟體必須支持 「Socketsified API」,受保護網路用戶訪問公共網所使用的IP地址也都是防火牆的IP地址。
3、代管伺服器
代管伺服器技術是把不安全的服務如FTP、Telnet等放到防火牆上,使它同時充當伺服器,對外部的請求作出回答。與應用層代理實現相比,代管伺服器技術不必為每種服務專門寫程序。而且,受保護網內部用戶想對外部網訪問時,也需先登錄到防火牆上,再向外提出請求,這樣從外部網向內就只能看到防火牆,從而隱藏了內部地址,提高了安全性。
4、IP通道(IP Tunnels)
如果一個大公司的兩個子公司相隔較遠,通過Internet通信。這種情況下,可以採用IP Tunnels來防止Internet上的黑客截取信息,從而在Internet上形成一個虛擬的企業網。
5、網路地址轉換器(NAT Network Address Translate)
當受保護網連到Internet上時,受保護網用戶若要訪問Internet,必須使用一個合法的IP地址。但由於合法Internet IP地址有限,而且受保護網路往往有自己的一套IP地址規劃(非正式IP地址)。網路地址轉換器就是在防火牆上裝一個合法IP地址集。當內部某一用戶要訪問Internet時,防火牆動態地從地址集中選一個未分配的地址分配給該用戶,該用戶即可使用這個合法地址進行通信。同時,對於內部的某些伺服器如Web伺服器,網路地址轉換器允許為其分配一個固定的合法地址。外部網路的用戶就可通過防火牆來訪問內部的伺服器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾,又對外隱藏了內部主機的IP地址,提高了安全性。
6、隔離域名伺服器(Split Domain Name Server )
這種技術是通過防火牆將受保護網路的域名伺服器與外部網的域名伺服器隔離,使外部網的域名伺服器只能看到防火牆的IP地址,無法了解受保護網路的具體情況,這樣可以保證受保護網路的IP地址不被外部網路知悉。
7、郵件技術(Mail Forwarding)
當防火牆採用上面所提到的幾種技術使得外部網路只知道防火牆的IP地址和域名時,從外部網路發來的郵件,就只能送到防火牆上。這時防火牆對郵件進行檢查,只有當發送郵件的源主機是被允許通過的,防火牆才對郵件的目的地址進行轉換,送到內部的郵件伺服器,由其進行轉發。
防火牆的體系結構及組合形式
1、屏蔽路由器(Screening Router)
這是防火牆最基本的構件。它可以由廠家專門生產的路由器實現,也可以用主機來實現。屏蔽路由器作為內外連接的唯一通道,要求所有的報文都必須在此通過檢查。路由器上可以裝基於IP層的報文過濾軟體,實現報文過濾功能。許多路由器本身帶有報文過濾配置選項,但一般比較簡單。
單純由屏蔽路由器構成的防火牆的危險帶包括路由器本身及路由器允許訪問的主機。它的缺點是一旦被攻陷後很難發現,而且不能識別不同的用戶。
2、雙穴主機網關(Dual Homed Gateway)
這種配置是用一台裝有兩塊網卡的堡壘主機做防火牆。兩塊網卡各自與受保護網和外部網相連。堡壘主機上運行著防火牆軟體,可以轉發應用程序,提供服務等。
雙穴主機網關優於屏蔽路由器的地方是:堡壘主機的系統軟體可用於維護系統日誌、硬體拷貝日誌或遠程日誌。這對於日後的檢查很有用。但這不能幫助網路管理者確認內網中哪些主機可能已被黑客入侵。
雙穴主機網關的一個致命弱點是:一旦入侵者侵入堡壘主機並使其只具有路由功能,則任何網上用戶均可以隨便訪問內網。
3、被屏蔽主機網關(Screened Host Gateway)
屏蔽主機網關易於實現也很安全,因此應用廣泛。例如,一個分組過濾路由器連接外部網路,同時一個堡壘主機安裝在內部網路上,通常在路由器上設立過濾規則,並使這個堡壘主機成為從外部網路唯一可直接到達的主機,這確保了內部網路不受未被授權的外部用戶的攻擊。
如果受保護網是一個虛擬擴展的本地網,即沒有子網和路由器,那麼內網的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網關的基本控制策略由安裝在上面的軟體決定。如果攻擊者設法登錄到它上面,內網中的其餘主機就會受到很大威脅。這與雙穴主機網關受攻擊時的情形差不多。
4、被屏蔽子網 (Screened Subnet)
這種方法是在內部網路和外部網路之間建立一個被隔離的子網,用兩台分組過濾路由器將這一子網分別與內部網路和外部網路分開。在很多實現中,兩個分組過濾路由器放在子網的兩端,在子網內構成一個「非軍事區」DMZ。有的屏蔽子網中還設有一堡壘主機作為唯一可訪問點,支持終端交互或作為應用網關代理。這種配置的危險帶僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。
如果攻擊者試圖完全破壞防火牆,他必須重新配置連接三個網的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發現,這樣也還是可能的。但若禁止網路訪問路由器或只允許內網中的某些主機訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機,然後進入內網主機,再返回來破壞屏蔽路由器,整個過程中不能引發警報。
建造防火牆時,一般很少採用單一的技術,通常是多種解決不同問題的技術的組合。這種組合主要取決於網管中心向用戶提供什麼樣的服務,以及網管中心能接受什麼等級風險。採用哪種技術主要取決於經費,投資的大小或技術人員的技術、時間等因素。一般有以下幾種形式:
1、使用多堡壘主機;
2、合並內部路由器與外部路由器;
3、合並堡壘主機與外部路由器;
4、合並堡壘主機與內部路由器;
5、使用多台內部路由器;
6、使用多台外部路由器;
7、使用多個周邊網路;
8、使用雙重宿主主機與屏蔽子網。
㈢ 防火牆是什麼
您好!關於您的問題回答如下:防火牆是一類防範措施的總稱,它使得內部網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。防火牆簡單的可以只用路由器實現,復雜的可以用主機甚至一個子網來實現。設置防火牆目的都是為了在內部網與外部網之間設立唯一的通道,簡化網路的安全管理。
防火牆的功能有:
1、過濾掉不安全服務和非法用戶
2、控制對特殊站點的訪問
3、提供監視Internet安全和預警的方便端點
由於互連網的開放性,有許多防範功能的防火牆也有一些防範不到的地方:
1、防火牆不能防範不經由防火牆的攻擊。例如,如果允許從受保護網內部不受限制的向外撥號,一些用戶可以形成與Internet的直接的連接,從而繞過防火牆,造成一個潛在的後門攻擊渠道。
2、防火牆不能防止感染了病毒的軟體或文件的傳輸。這只能在每台主機上裝反病毒軟體。
3、防火牆不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Internet主機上並被執行而發起攻擊時,就會發生數據驅動攻擊。
因此,防火牆只是一種整體安全防範政策的一部分。這種安全政策必須包括公開的、以便用戶知道自身責任的安全准則、職員培訓計劃以及與網路訪問、當地和遠程用戶認證、撥出撥入呼叫、磁碟和數據加密以及病毒防護的有關政策。
防火牆的特點
一般防火牆具備以下特點:
1、廣泛的服務支持:通過將動態的、應用層的過濾能力和認證相結合,可實現WWW瀏覽器、HTTP伺服器、 FTP等;
2、對私有數據的加密支持:保證通過Internet進行虛擬私人網路和商務活動不受損壞;
3、客戶端認證只允許指定的用戶訪問內部網路或選擇服務:企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分;
4、反欺騙:欺騙是從外部獲取網路訪問權的常用手段,它使數據包好似來自網路內部。防火牆能監視這樣的數據包並能扔掉它們;
5、C/S模式和跨平台支持:能使運行在一平台的管理模塊控制運行在另一平台的監視模塊。
實現防火牆的技術
防火牆的實現從層次上大體上可以分兩種:報文過濾和應用層網關。
報文過濾是在IP層實現的,因此,它可以只用路由器完成。報文過濾根據報文的源IP地址、目的IP地址、源埠、目的埠及報文傳遞方向等報頭信息來判斷是否允許報文通過。現在也出現了一種可以分析報文數據區內容的智能型報文過濾器。
報文過濾器的應用非常廣泛,因為CPU用來處理報文過濾的時間可以忽略不計。而且這種防護措施對用戶透明,合法用戶在進出網路時,根本感覺不到它的存在,使用起來很方便。報文過濾另一個也是很關鍵的弱點是不能在用戶級別上進行過濾,即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址,就可以很輕易地通過報文過濾器。
報文過濾的弱點可以用應用層網關解決。在應用層實現防火牆,方式多種多樣,下面是幾種應用層防火牆的設計實現。
1、應用代理伺服器(Application Gateway Proxy)
在網路應用層提供授權檢查及代理服務。當外部某台主機試圖訪問受保護網路時,必須先在防火牆上經過身份認證。通過身份認證後,防火牆運行一個專門為該網路設計的程序,把外部主機與內部主機連接。在這個過程中,防火牆可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣,受保護網路內部用戶訪問外部網時也需先登錄到防火牆上,通過驗證後,才可訪問。
應用網關代理的優點是既可以隱藏內部IP地址,也可以給單個用戶授權,即使攻擊者盜用了一個合法的IP地址,也通不過嚴格的身份認證。因此應用網關比報文過濾具有更高的安全性。但是這種認證使得應用網關不透明,用戶每次連接都要受到認證,這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序。
2、迴路級代理伺服器
即通常意義的代理伺服器,它適用於多個協議,但不能解釋應用協議,需要通過其他方式來獲得信息,所以,迴路級代理伺服器通常要求修改過的用戶程序。
套接字伺服器(Sockets Server)就是迴路級代理伺服器。套接字(Sockets)是一種網路應用層的國際標准。當受保護網路客戶機需要與外部網交互信息時,在防火牆上的套伺服器檢查客戶的User ID、IP源地址和IP目的地址,經過確認後,套伺服器才與外部的伺服器建立連接。對用戶來說,受保護網與外部網的信息交換是透明的,感覺不到防火牆的存在,那是因為網路用戶不需要登錄到防火牆上。但是客戶端的應用軟體必須支持 「Socketsified API」,受保護網路用戶訪問公共網所使用的IP地址也都是防火牆的IP地址。
3、代管伺服器
代管伺服器技術是把不安全的服務如FTP、Telnet等放到防火牆上,使它同時充當伺服器,對外部的請求作出回答。與應用層代理實現相比,代管伺服器技術不必為每種服務專門寫程序。而且,受保護網內部用戶想對外部網訪問時,也需先登錄到防火牆上,再向外提出請求,這樣從外部網向內就只能看到防火牆,從而隱藏了內部地址,提高了安全性。
4、IP通道(IP Tunnels)
如果一個大公司的兩個子公司相隔較遠,通過Internet通信。這種情況下,可以採用IP Tunnels來防止Internet上的黑客截取信息,從而在Internet上形成一個虛擬的企業網。
5、網路地址轉換器(NAT Network Address Translate)
當受保護網連到Internet上時,受保護網用戶若要訪問Internet,必須使用一個合法的IP地址。但由於合法Internet IP地址有限,而且受保護網路往往有自己的一套IP地址規劃(非正式IP地址)。網路地址轉換器就是在防火牆上裝一個合法IP地址集。當內部某一用戶要訪問Internet時,防火牆動態地從地址集中選一個未分配的地址分配給該用戶,該用戶即可使用這個合法地址進行通信。同時,對於內部的某些伺服器如 Web伺服器,網路地址轉換器允許為其分配一個固定的合法地址。外部網路的用戶就可通過防火牆來訪問內部的伺服器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾,又對外隱藏了內部主機的IP地址,提高了安全性。
6、隔離域名伺服器(Split Domain Name Server )
這種技術是通過防火牆將受保護網路的域名伺服器與外部網的域名伺服器隔離,使外部網的域名伺服器只能看到防火牆的IP地址,無法了解受保護網路的具體情況,這樣可以保證受保護網路的IP地址不被外部網路知悉。
7、郵件技術(Mail Forwarding)
當防火牆採用上面所提到的幾種技術使得外部網路只知道防火牆的IP地址和域名時,從外部網路發來的郵件,就只能送到防火牆上。這時防火牆對郵件進行檢查,只有當發送郵件的源主機是被允許通過的,防火牆才對郵件的目的地址進行轉換,送到內部的郵件伺服器,由其進行轉發。
防火牆的體系結構及組合形式
1、屏蔽路由器(Screening Router)
這是防火牆最基本的構件。它可以由廠家專門生產的路由器實現,也可以用主機來實現。屏蔽路由器作為內外連接的唯一通道,要求所有的報文都必須在此通過檢查。路由器上可以裝基於IP層的報文過濾軟體,實現報文過濾功能。許多路由器本身帶有報文過濾配置選項,但一般比較簡單。
單純由屏蔽路由器構成的防火牆的危險帶包括路由器本身及路由器允許訪問的主機。它的缺點是一旦被攻陷後很難發現,而且不能識別不同的用戶。
2、雙穴主機網關(Dual Homed Gateway)
這種配置是用一台裝有兩塊網卡的堡壘主機做防火牆。兩塊網卡各自與受保護網和外部網相連。堡壘主機上運行著防火牆軟體,可以轉發應用程序,提供服務等。
雙穴主機網關優於屏蔽路由器的地方是:堡壘主機的系統軟體可用於維護系統日誌、硬體拷貝日誌或遠程日誌。這對於日後的檢查很有用。但這不能幫助網路管理者確認內網中哪些主機可能已被黑客入侵。
雙穴主機網關的一個致命弱點是:一旦入侵者侵入堡壘主機並使其只具有路由功能,則任何網上用戶均可以隨便訪問內網。
3、被屏蔽主機網關(Screened Host Gateway)
屏蔽主機網關易於實現也很安全,因此應用廣泛。例如,一個分組過濾路由器連接外部網路,同時一個堡壘主機安裝在內部網路上,通常在路由器上設立過濾規則,並使這個堡壘主機成為從外部網路唯一可直接到達的主機,這確保了內部網路不受未被授權的外部用戶的攻擊。
如果受保護網是一個虛擬擴展的本地網,即沒有子網和路由器,那麼內網的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網關的基本控制策略由安裝在上面的軟體決定。如果攻擊者設法登錄到它上面,內網中的其餘主機就會受到很大威脅。這與雙穴主機網關受攻擊時的情形差不多。
4、被屏蔽子網 (Screened Subnet)
這種方法是在內部網路和外部網路之間建立一個被隔離的子網,用兩台分組過濾路由器將這一子網分別與內部網路和外部網路分開。在很多實現中,兩個分組過濾路由器放在子網的兩端,在子網內構成一個「非軍事區」DMZ。有的屏蔽子網中還設有一堡壘主機作為唯一可訪問點,支持終端交互或作為應用網關代理。這種配置的危險帶僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。
如果攻擊者試圖完全破壞防火牆,他必須重新配置連接三個網的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發現,這樣也還是可能的。但若禁止網路訪問路由器或只允許內網中的某些主機訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機,然後進入內網主機,再返回來破壞屏蔽路由器,整個過程中不能引發警報。
建造防火牆時,一般很少採用單一的技術,通常是多種解決不同問題的技術的組合。這種組合主要取決於網管中心向用戶提供什麼樣的服務,以及網管中心能接受什麼等級風險。採用哪種技術主要取決於經費,投資的大小或技術人員的技術、時間等因素。一般有以下幾種形式:
1、使用多堡壘主機;
2、合並內部路由器與外部路由器;
3、合並堡壘主機與外部路由器;
4、合並堡壘主機與內部路由器;
5、使用多台內部路由器;
6、使用多台外部路由器;
7、使用多個周邊網路;
8、使用雙重宿主主機與屏蔽子網。
內部防火牆
建立防火牆的目的在於保護內部網免受外部網的侵擾。有時為了某些原因,我們還需要對內部網的部分站點再加以保護以免受內部的其它站點的侵襲。因此,有時我們需要在同一結構的兩個部分之間,或者在同一內部網的兩個不同組織結構之間再建立防火牆(也被稱為內部防火牆)。
防火牆的未來發展趨勢
目前,防火牆技術已經引起了人們的注意,隨著新技術的發展,混合使用包過濾技術、代理服務技術和其它一些新技術的防火牆正向我們走來。
越來越多的客戶端和伺服器端的應用程序本身就支持代理服務方式。比如,許多WWW 客戶服務軟體包就具有代理能力,而許多象SOCKS 這樣的軟體在運行編譯時也支持類代理服務。
包過濾系統向著更具柔性和多功能的方向發展。比如動態包過濾系統,在CheckPoint Firewall-1、Karl Brige/Karl Brouter 以 及 Morning Star Secure Connect router 中的包過濾規則可由路由器靈活、快速的來設置。一個輸出的UDP 數據包可以引起對應的允許應答UDP 創立一個臨時的包過濾規則,允許其對應的UDP 包進入內部網。
被稱為「 第三代」產品的第一批系統已開始進入市場。如Border 網路技術公司的Border 產品和Truest 信息系統公司的Gauntlet 3.0 產品從外部向內看起來像是代理服務(任何外部服務請求都來自於同一主機),而由內部向外看像一個包過濾系統(內部用戶認為他們直接與外部網交互)。這些產品通過對大量內部網的外向連接請求的計帳系統和包的批次修改對防火牆的內外提供相關的偽像。Karl Bridge/Karl Brouter 產品拓展了包過濾的范圍,它對應用層上的包過濾和授權進行了擴展。這比傳統的包過濾要精細得多。
目前,人們正在設計新的IP 協議(也被稱為IP version 6)。IP 協議的變化將對防火牆的建立與運行產生深刻的影響。同時,目前大多數網路上的機器的信息流都有可能被偷看到,但更新式的網路技術如幀中繼,非同步傳輸模式(ATM)可將數據包源地址直接發送給目的地址,從而防止信息流在傳輸中途被泄露。
㈣ 急~~~~~~~~~計算機網路問題
作為企業用戶首選的網路安全產品,防火牆一直是用戶和廠商關注的焦點。為了能夠為
用戶從眼花繚亂的產品中選擇出滿足需求的防火牆提供客觀依據,《網路世界》評測實驗室
對目前市場上主流的防火牆產品進行了一次比較評測。
《網路世界》評測實驗室依然本著科學、客觀公正的原則,不向廠商收取費用,向所有
希望參加評測的廠商開放。
我們此次評測徵集的產品包括百兆和千兆防火牆兩個系列。此次送測產品有來自國內外
12家廠商的14款產品,其中百兆防火牆包括來自安氏互聯網有限公司的LinkTrust CyberWal
l -100Pro、方正數碼的方正方御FGFW,聯想網御2000,NetScreen-208、清華得實NetST210
4 、ServGate公司的SG300、神州數碼的DCFW-1800、天融信網路衛士NGFW4000、三星SecuiW
all 防火牆以及衛士通龍馬的龍馬衛士防火牆,千兆防火牆包括北大青鳥JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火牆和北大青鳥JB-FW1防
火牆性能測試尚未全部完成就自行退出本次比較測試。在我們評測工程師的共同努力下,順
利完成了對其他12款產品的評測任務。
測試內容主要涵蓋性能、防攻擊能力以及功能三個方面,這其中包括按照RFC2504、RFC
2647以及我國標准進行的定量測試和定性測試。我們性能測試和防攻擊能力主要採用Spiren
t公司的SmartBits 6000B測試儀作為主要測試設備,利用SmartFlow和WebSuite Firewall測
試軟體進行測試。在測防攻擊能力時,為准確判定被攻擊方收到的包是否是攻擊包,我們還
使用NAI公司的Sniffer Pro軟體進行了抓包分析。
在功能測試方面,我們的評測工程師則以第一手的感受告訴讀者防火牆在易用性、可管
理性、VPN、加密認證以及日誌審計等多方面功能。
最後,我們還要感謝向我們提供測試工具的思博倫通信公司以及NAI公司,同時也對那些
勇於參加此次防火牆產品公開比較評測的廠商表示贊賞。
性能綜述
對於網路設備來說,性能都是率先要考慮的問題。與其他網路設備相比,防火牆的性能
一直被認為是影響網路性能的瓶頸。如何在啟動各項功能的同時確保防火牆的高性能對防火
牆來說是巨大的挑戰。
在我們測試的過程中,感受最深的一點就是由於防火牆之間體系結構和實現方式的巨大
差異性,從而也就使得不同防火牆之間的性能差異非常明顯。從防火牆的硬體體系結構來講
,目前主要有三種,一種使用ASIC體系,一種採用網路處理器(NP),還有一種也是最常見
的,採用普通計算機體系結構,各種體系結構對數據包的處理能力有著顯著的差異。防火牆
軟體本身的運行效率也會對性能產生較大影響,目前防火牆軟體平台有的是在開放式系統(
如Linux,OpenBSD)上進行了優化,有的使用自己專用的操作系統,還有的根本就沒有操作
系統。我們在進行性能測試時努力地將影響防火牆性能的因素降到最小,測試防火牆性能時
將防火牆配置為最簡單的方式:路由模式下內外網全通。
我們此次測試過程中,針對百兆與千兆防火牆的性能測試項目相同,主要包括:雙向性
能、單向性能、起NAT功能後的性能和最大並發連接數。雙向性能測試項目為吞吐量、10%線
速下的延遲、吞吐量下的延遲以及幀丟失率;單向性能測試項目包括吞吐量、10%線速下的延
遲;起NAT功能後的性能測試包括吞吐量、10%線速下的延遲。
百兆防火牆性能解析
作為用戶選擇和衡量防火牆性能最重要的指標之一,吞吐量的高低決定了防火牆在不丟
幀的情況下轉發數據包的最大速率。在雙向吞吐量中,64位元組幀,安氏領信防火牆表現最為
出眾,達到了51.96%的線速,NetsScreen-208也能夠達到44.15%,
在單向吞吐量測試中,64位元組幀長NetScreen-208防火牆成績已經達到83.60%,位居第一
,其次是方正方御防火牆,結果為71.72%。
延遲決定了數據包通過防火牆的時間。雙向10%線速的延遲測試結果表明,聯想網御200
0與龍馬衛士的數值不分伯仲,名列前茅。
幀丟失率決定防火牆在持續負載狀態下應該轉發,但由於缺乏資源而無法轉發的幀的百
分比。該指標與吞吐量有一定的關聯性,吞吐量比較高的防火牆幀丟失率一般比較低。在測
試的5種幀長度下,NetScreen-208在256、512和1518位元組幀下結果為0,64位元組幀下結果為5
7.45%。
一般來講,防火牆起NAT後的性能要比起之前的單向性能略微低一些,因為啟用NAT功能
自然要多佔用一些系統的資源。安氏領信防火牆與清華得實NetST 2104防火牆在起NAT功能後
64位元組幀的吞吐量比單向吞吐量結果略高。
最大並發連接數決定了防火牆能夠同時支持的並發用戶數,這對於防火牆來說也是一個
非常有特色也是非常重要的性能指標,尤其是在受防火牆保護的網路向外部網路提供Web服務
的情況下。天融信NGFW 4000以100萬的最大並發連接數名列榜首,而龍馬衛士防火牆結果也
達到80萬。
我們的抗攻擊能力測試項目主要通過SmartBits 6000B模擬7種主要DoS攻擊。我們還在防
攻擊測試中試圖建立5萬個TCP/HTTP連接,考察防火牆在啟動防攻擊能力的同時處理正常連接
的能力。
Syn Flood目前是一種最常見的攻擊方式,防火牆對它的防護實現原理也不相同,比如,
安氏領信防火牆與NetScreen-208採用SYN代理的方式,在測試這兩款防火牆時我們建立的是
50000個TCP連接背景流,兩者能夠過濾掉所有攻擊包。SG-300、聯想網御2000在正常建立TC
P/HTTP連接的情況下防住了所有攻擊包。大多數防火牆都能夠將Smurf、Ping of Death和La
nd-based三種攻擊包全部都過濾掉。
Teardrop攻擊測試將合法的數據包拆分成三段數據包,其中一段包的偏移量不正常。對
於這種攻擊,我們通過Sniffer獲得的結果分析防火牆有三種防護方法,一種是將三段攻擊包
都丟棄掉,一種是將不正常的攻擊包丟棄掉,而將剩餘的兩段數據包組合成正常的數據包允
許穿過防火牆,還有一種是將第二段丟棄,另外兩段分別穿過防火牆,這三種方式都能有效
防住這種攻擊。實際測試結果顯示方正方御、安氏領信、SG-300、龍馬衛士屬於第一種情況
,神州數碼DCFW-1800、得實NetST2104、聯想網御2000屬於第二種情況,Netscreen-208屬於
第三種情況。
對於Ping Sweep和Ping Flood攻擊,所有防火牆都能夠防住這兩種攻擊,SG-300防火牆
過濾掉了所有攻擊包,而方正方御防火牆只通過了1個包。雖然其餘防火牆或多或少地有一些
ping包通過,但大部分攻擊包都能夠被過濾掉,這種結果主要取決於防火牆軟體中設定的每
秒鍾通過的ping包數量。
千兆防火牆性能結果分析
由於千兆防火牆主要應用於電信級或者大型的數據中心,因此性能在千兆防火牆中所佔
的地位要比百兆防火牆更加重要。總的來說,三款千兆防火牆之間的差異相當大,但性能結
果都明顯要高於百兆防火牆。
雙向吞吐量測試結果中,NetScreen-5200 64、128、256、512、1518位元組幀結果分別為
58.99%、73.05%、85.55%、94.53%、97.27%線速。千兆防火牆的延遲與百兆防火牆相比降低
都十分明顯,NetScreen-5200的雙向10%線速下的延遲相當低,64位元組幀長僅為4.68祍,1518?紙謚〕さ囊倉揮?4.94祍。起NAT功能後,NetScreen-5200防火牆64位元組幀長的吞吐量為62.
5%。由於ServGate SG2000H不支持路由模式,所有隻測了NAT 結果,該防火牆在1518位元組幀
長達到了100%線速。阿姆瑞特F600+起NAT功能對其性能影響很小。最大並發連接數的測試結
果表明,NetScreen-5200防火牆達到100萬。
在防攻擊能力測試中, 三款千兆防火牆對於Smurf和Land-based攻擊的防護都很好,沒
有一個攻擊包通過防火牆。對於Ping of Death攻擊, NetScreen-5200和阿姆瑞特F600+防火
牆丟棄了所有的攻擊包,SG2000H防火牆測試時對發送的45個攻擊包,丟棄了後面的兩個攻擊
包,這樣也不會對網路造成太大的危害。在防護Teardrop攻擊時,F600+防火牆丟棄了所有的
攻擊包,ServGate-2000防火牆只保留了第一個攻擊包,NetSreen-5200防火牆則保留了第一
和第三個攻擊包,這三種情況都能夠防護該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊
測試結果為1000個攻擊包全都過濾掉。
功能綜述
在我們此次測試防火牆的過程中,感受到了不同防火牆產品之間的千差萬別,並通過親
自配置體會到防火牆在易用性、管理性以及日誌審計等方面的各自特色。
包過濾、狀態檢測和應用層代理是防火牆主要的三種實現技術,從此次參測的防火牆產
品中我們可以明顯地看到狀態檢測或將狀態檢測與其他兩種技術混合在一起是主流的實現原
理。
在工作方式方面,大部分防火牆都支持路由模式和橋模式(透明模式),來自ServGate
公司的SG300和SG2000H,其工作方式主要是橋模式和 NAT模式,沒有一般產品所具有的路由
模式。天融信NGFW 4000和衛士通龍馬的龍馬衛士防火牆還支持混合模式。
百兆防火牆
與交換機走向融合?
當我們拿到要測試的防火牆時,有一個非常直觀的感覺是防火牆不再只是傳統的三個端
口,正在朝向多個埠方向發展,帶有4個埠的防火牆非常常見,我們都知道三個埠是用
來劃分內網、外網和DMZ區,那麼增加的第4個埠有什麼用呢?不同產品差別很大,但以用
作配置管理的為主,安氏的防火牆將該埠作為與IDS互動的埠,比較獨特。像天融信網路
衛士NGFW4000則可以最多擴展到12個埠,Netscreen-208有8個固定埠,Netscreen-5200
則是模塊化的千兆防火牆,可以插帶8個miniGBIC 1000Base-SX/LX千兆埠或24個百錐絲?的模塊,這顯示了防火牆與交換機融合的市場趨勢。
對DHCP協議的支持方面,防火牆一般可以作為DHCP信息的中繼代理,安氏領信防火牆、
清華得實NetST2104、天融信NGFW4000都有這個功能。而Netscreen-208、SG300還可以作為D
HCP 伺服器和客戶端,這是非常獨特的地方。
在VLAN支持方面,Netscreen防火牆又一次顯示了強大的實力。與交換機類似,Netscre
en-208支持每個埠劃分為子埠,每個子埠屬於不同的VLAN,支持802.1Q,並且不同子
埠還可以屬於不同區域。安氏領信、聯想網御2000、天融信NGFW4000防火牆則有相應選項
支持VLAN,主要支持802.1Q和Cisco的ISL。
管理特色凸現
管理功能是一個產品是否易用的重要標志,對此我們考察了防火牆對管理員的許可權設置
、各種管理方式的易用性以及帶寬管理特性。
不同的防火牆對管理員的許可權分級方式不同,但總的來說,不同的管理員許可權在保護防
火牆的信息的同時,通過三權分立確保了防火牆的管理者職責分明,各司其職。方正方御FG
FW通過實施域管理權、策略管理、審計管理、日誌查看四個不同許可權對管理員許可權進行限制
。
目前,對防火牆的管理一般分為本地管理和遠程管理兩種方式,具體來說,主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。總的來講,像Netscreen-208、神州數碼防火
牆支持命令行、Telnet、GUI管理工具以及Web管理這幾種方式,非常方便用戶從中選擇自己
喜歡的方式。但我們在測試過程中發現不少防火牆的命令行比較難懂,對於很多用戶來說使
用會比較困難,而安氏、Netscreen-208、天融信、清華得實防火牆的命令行方式比較簡潔明
了,這為喜歡用命令行進行防火牆配置的用戶來說帶來了便捷。當然,很多防火牆的CLI命令
功能比較簡單,主要功能還是留給了GUI管理軟體,方正、聯想防火牆是非常典型的例子。
從易用性的角度來講,Web管理是最好的方式。安氏、Netscreen-208的Web管理界面給我
們留下了最深刻的印象,漂亮的界面以及非常清晰的菜單選項可以使用戶輕松配置管理防火
牆的各方面,同時Web管理一般都支持基於SSL加密的HTTPS方式訪問。當然,對於要集中管理
多台防火牆來說,GUI管理軟體應該是不錯的選擇。聯想網御2000、天融信、清華得實、方正
方御的GUI管理軟體安裝和使用都比較容易。
帶寬管理正在成為防火牆中必不可少的功能,通過帶寬管理和流量控制在為用戶提供更
好服務質量、防止帶寬浪費的同時也能夠有效防止某些攻擊。此次送測的9款百兆防火牆都支
持帶寬管理。比如神州數碼DCFW-1800防火牆能夠實時檢測用戶流量,對不同的用戶,每天分
配固定的流量,當流量達到時切斷該用戶的訪問。龍馬衛士防火牆通過支持基於IP和用戶的
流量控制實現對防火牆各個介面的帶寬控制。
VPN和加密認證
防火牆與VPN的集成是一個重要發展方向。此次參測的防火牆中安氏領信防火牆、方正網
御FGFW、Netscreen-208、SG300、清華得實NetST 2104、龍馬衛士防火牆這6款防火牆都有
VPN功能或VPN模塊。作為構建VPN最主要的協議IPSec,這6款防火牆都提供了良好的支持。
安氏領信防火牆的VPN模塊在對各種協議和演算法的方面支持得非常全面,包括DES、3DES
、AES、CAST、BLF、RC2/R4等在內的主流加密演算法都在該產品中得到了支持。主要的認證算
法MD5在6款防火牆中都得到了較好支持。不同加密演算法與認證演算法的組合將會產生不同的算
法,如3DES-MD5就是3DES加密演算法和MD5演算法的組合結果。安氏和NetScreen-208能夠很好地
支持這種不同演算法之間的組合。 方正網御、清華得實NetST2104和衛士通龍馬的龍馬衛士防
火牆則以支持國家許可專用加密演算法而具有自己的特點。當然,加密除了用於VPN之外,遠程
管理、遠程日誌等功能通過加密也能夠提升其安全性。
在身份認證方面,防火牆支持的認證方法很重要。安氏領信防火牆支持本地、RADIUS、
SecureID、NT域、數字證書、MSCHAP等多種認證方式和標准,這也是所有參測防火牆中支持
得比較全的。非常值得一提的是聯想網御2000所提供的網御電子鑰匙。帶USB介面的電子鑰匙
主要用來實現管理員身份認證,認證過程採用一次性口令(OTP)的協議SKEY,可以抵抗網路竊
聽。
防禦功能
防火牆本身具有一定的防禦功能指的是防火牆能夠防止某些攻擊、進行內容過濾、病毒
掃描,使用戶即使沒有入侵檢測產品和防病毒產品的情況下也能夠通過防火牆獲得一定的防
護能力。
在病毒掃描方面,表現最突出的當屬聯想網御2000,它集成了病毒掃描引擎,具有防病
毒網關的作用,能夠實時監控HTTP、FTP、SMTP數據流,使各種病毒和惡意文件在途徑防火牆
時就被捕獲。
在內容過濾方面,大部分防火牆都支持URL過濾功能,可有效防止對某些URL的訪問。清
華得實NetST2104、安氏防火牆內置的內容過濾模塊,為用戶提供對HTTP、FTP、SMTP、POP3
協議內容過濾,能夠針對郵件的附件文件類型進行過濾。聯想網御2000還支持郵件內容過濾
的功能。
在防禦攻擊方面,Netscreen-208、方正方御、聯想網御2000、SG300以及安氏領信防火
牆則對Syn Flood、針對ICMP的攻擊等多種DoS攻擊方式有相應的設置選項,用戶可以自主設
置實現對這些攻擊的防護。安氏領信防火牆除了本身帶有入侵檢測模塊之外,還有一個專門
埠與IDS互動。天融信NGFW 4000則通過TOPSEC協議與其他入侵檢測或防病毒產品系統實現
互動,以實現更強勁的防攻擊能力。
安全特性
代理機制通過阻斷內部網路與外部網路的直接聯系,保證了內部網的拓撲結構等重要信
息被限制在代理網關的內側。
參測的百兆防火牆大都能夠支持大多數應用層協議的代理功能,包括HTTP、SMTP、POP3
、FTP等,從而能夠屏蔽某些特殊的命令,並能過濾不安全的內容。
NAT通過隱藏內部網路地址,使其不必暴露在Internet上 從而使外界無法直接訪問內部
網路設備,而內部網路通過NAT以公開的IP地址訪問外部網路,從而可以在一定程度上保護內
部網路。另一方面,NAT也解決了目前IP地址資源不足的問題。此次參測的防火牆對於NAT都
有較強的支持功能,雖然大家叫的名稱不同,但主要方式包括一對一、多對一NAT、多對多N
AT以及埠NAT。
高可用性
負載均衡的功能現在在防火牆身上也開始有所體現,Netscreen-208支持防火牆之間的負
載分擔,而其他防火牆則支持伺服器之間的負載均衡。
目前用戶對於防火牆高可用性的需求越來越強烈。此次參測的9款百兆防火牆都支持雙機
熱備的功能。Netscreen-208可以將8個埠中設定一個埠作為高可用埠,實現防火牆之
間的Active-Active高可用性。
日誌審計和警告功能
防火牆日誌處理方式主要包括本地和遠程兩種。但由於防火牆在使用過程中會產生大量
的日誌信息,為了在繁多的日誌中進行查詢和分析,有必要對這些日誌進行審計和管理,同
時防火牆存儲空間較小,因此單獨安裝一台伺服器用來存放和審計管理防火牆的各種日誌都
非常必要。
安氏、方正防禦、聯想網御2000、清華得實NetST2104、神州數碼DCFW-1800、天融信NG
FW4000以及龍馬衛士防火牆都提供了日誌管理軟體實現對日誌伺服器的配置和管理,可以利
用管理軟體對日誌信息進行查詢、統計和提供審計報表。而NetScreen-208支持多種日誌服務
器的存儲方式,包括Internal、Syslog、WebTrends、flash卡等。
當日誌中監測到系統有可疑的行為或網路流量超過某個設定閾值時,根據設定的規則,
防火牆應該向管理員發出報警信號。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御則支持通過LogService消息、E-mail、聲音、無線、運行
報警程序等方式進行報警。
對日誌進行分級和分類將非常有利於日誌信息的查詢以及處理。安氏、NetScreen-208、
天融信NGFW4000以及衛士通龍馬的龍馬衛士防火牆支持不同等級的日誌。龍馬衛士防火牆將
日誌級別分為調試信息、消息、警告、錯誤、嚴重錯誤5種級別。NetScreen-208則將日誌分
為負載日誌、事件日誌、自我日誌三種,事件日誌分為8個不同等級。
優秀的文檔很關鍵
大部分防火牆產品都附帶有詳細的印刷文檔或電子文檔。給我們留下深刻印象的是聯想
、方正與安氏防火牆的印刷文檔非常精美全面,內容涵蓋了主流的防火牆技術以及產品的詳
細配置介紹,還舉了很多實用的例子幫助用戶比較快地配好防火牆,使用各種功能。得實Ne
tST 2104防火牆用戶手冊、天融信NGFW 4000電子文檔都對CLI命令進行了詳細解釋,非常有
利於那些習慣使用命令行進行配置的防火牆管理員使用。Netscreen網站上有非常完整的用戶
手冊,但缺憾在於它們全部是英文的。
千兆防火牆
此次總共收集到4款千兆防火牆產品,但北大青鳥在性能測試尚未完成時就自行退出,所
以共測試完成了三款千兆防火牆,它們都是來自國外廠商的產品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是採用ASIC處理器的代表,而SG2000H則是采
用網路處理器的例子。
從實現原理來看,三者都主要是基於狀態檢測技術,而在工作方式上,NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和橋模式,而ServGate SG2000H則支持橋模式和NAT模式
。
F600+支持DHCP中繼代理,而NetScreen-5200可以作為DHCP伺服器、客戶端或中繼代理。
在VLAN支持方面,NetScreen-5200的每個埠可以設定不同子埠,每個子埠可以支持不
同的VLAN,可以非常容易集成到交換網路中。據稱,該設備能夠支持4000個VLAN。F600+與S
G2000H也支持802.1Q VLAN。而且,還有一點可以指出的是NetScreen-5200支持OSPF、BGP路
由協議。
從管理上來看,NetScreen-5200和SG2000H主要通過Web和命令行進行管理。而F600+則主
要通過在客戶端安裝GUI管理軟體來進行管理,串口CLI命令功能很簡單。從配置上來說,Ne
tScreen-5200配置界面非常美觀,菜單清晰,並提供了向導可以指導用戶快速配置一些策略
和建立VPN通道。SG2000H功能也比較強大,但配置起來比較復雜一點。阿姆瑞特的F600+在安
裝Armarenten管理器的同時還將其中文快速安裝手冊以及中文用戶指南都安裝上,非常方便
用戶使用,而該管理軟體與防火牆之間則通過128位加密進行通信,有利於對多台防火牆
的管理。
在帶寬管理上,F600+很有特色,它通過「管道」概念實現,每個管道可以具有優先順序、
限制和分組等特點,可以給防火牆規則分配一個或多個管道,還可以動態分配不同管道的帶
寬。NetScreen-5200則支持對不同埠分配帶寬以及根據不同應用在策略中設定優先順序控制
進出的網路流量。
在VPN支持方面,NetScreen-5200不僅支持通過IPSec、L2TP和IKE建立VPN隧道,還支持
DES、3DES、AES加密演算法和MD5 、SHA-1認證演算法。F600+支持通過IPSec建立VPN,而SG2000
H未加VPN模塊。在認證方法上,只有Netscreen-5200支持內置資料庫、RADIUS、SecurID和L
DAP。
F600+還有一個非常顯著的特點就是提供了一個功能強大的日誌管理器,它雖然不支持在
防火牆中記錄日誌,但能夠在防火牆管理器中實時顯示日誌數據,還支持Syslog 日誌伺服器
,提供靈活的審計報表,並將日誌進行分類。NetScreen-5200和SG2000H在日誌報表和審計報
表方面都支持著名的WebTrends軟體和Syslog日誌伺服器,NetScreen還支持將日誌通過flas
h卡、NetScreen Global Pro等方式進行處理。
㈤ 簡述幾類防火牆實現技術。
1、應用代理伺服器(Application Gateway Proxy)
在網路應用層提供授權檢查及代理服務。當外部某台主機試圖訪問受保護網路時,必須先在防火牆上經過身份認證。通過身份認證後,防火牆運行一個專門為該網路設計的程序,把外部主機與內部主機連接。在這個過程中,防火牆可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣,受保護網路內部用戶訪問外部網時也需先登錄到防火牆上,通過驗證後,才可訪問。
應用網關代理的優點是既可以隱藏內部IP地址,也可以給單個用戶授權,即使攻擊者盜用了一個合法的IP地址,也通不過嚴格的身份認證。因此應用網關比報文過濾具有更高的安全性。但是這種認證使得應用網關不透明,用戶每次連接都要受到認證,這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序。
2、迴路級代理伺服器
即通常意義的代理伺服器,它適用於多個協議,但不能解釋應用協議,需要通過其他方式來獲得信息,所以,迴路級代理伺服器通常要求修改過的用戶程序。
套接字伺服器(Sockets Server)就是迴路級代理伺服器。套接字(Sockets)是一種網路應用層的國際標准。當受保護網路客戶機需要與外部網交互信息時,在防火牆上的套伺服器檢查客戶的User ID、IP源地址和IP目的地址,經過確認後,套伺服器才與外部的伺服器建立連接。對用戶來說,受保護網與外部網的信息交換是透明的,感覺不到防火牆的存在,那是因為網路用戶不需要登錄到防火牆上。但是客戶端的應用軟體必須支持 「Socketsified API」,受保護網路用戶訪問公共網所使用的IP地址也都是防火牆的IP地址。
3、代管伺服器
代管伺服器技術是把不安全的服務如FTP、Telnet等放到防火牆上,使它同時充當伺服器,對外部的請求作出回答。與應用層代理實現相比,代管伺服器技術不必為每種服務專門寫程序。而且,受保護網內部用戶想對外部網訪問時,也需先登錄到防火牆上,再向外提出請求,這樣從外部網向內就只能看到防火牆,從而隱藏了內部地址,提高了安全性。
4、IP通道(IP Tunnels)
如果一個大公司的兩個子公司相隔較遠,通過Internet通信。這種情況下,可以採用IP Tunnels來防止Internet上的黑客截取信息,從而在Internet上形成一個虛擬的企業網。
5、網路地址轉換器(NAT Network Address Translate)
當受保護網連到Internet上時,受保護網用戶若要訪問Internet,必須使用一個合法的IP地址。但由於合法Internet IP地址有限,而且受保護網路往往有自己的一套IP地址規劃(非正式IP地址)。網路地址轉換器就是在防火牆上裝一個合法IP地址集。當內部某一用戶要訪問Internet時,防火牆動態地從地址集中選一個未分配的地址分配給該用戶,該用戶即可使用這個合法地址進行通信。同時,對於內部的某些伺服器如Web伺服器,網路地址轉換器允許為其分配一個固定的合法地址。外部網路的用戶就可通過防火牆來訪問內部的伺服器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾,又對外隱藏了內部主機的IP地址,提高了安全性。
6、隔離域名伺服器(Split Domain Name Server )
這種技術是通過防火牆將受保護網路的域名伺服器與外部網的域名伺服器隔離,使外部網的域名伺服器只能看到防火牆的IP地址,無法了解受保護網路的具體情況,這樣可以保證受保護網路的IP地址不被外部網路知悉。
7、郵件技術(Mail Forwarding)
當防火牆採用上面所提到的幾種技術使得外部網路只知道防火牆的IP地址和域名時,從外部網路發來的郵件,就只能送到防火牆上。這時防火牆對郵件進行檢查,只有當發送郵件的源主機是被允許通過的,防火牆才對郵件的目的地址進行轉換,送到內部的郵件伺服器,由其進行轉發。
㈥ 防火牆的主要功能和幾種類型
防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備,幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。
主要功能:
1、入侵檢測功能
網路防火牆技術的主要功能之一就是入侵檢測功能,主要有反埠掃描、檢測拒絕服務工具、檢測CGI/IIS伺服器入侵、檢測木馬或者網路蠕蟲攻擊、檢測緩沖區溢出攻擊等功能,可以極大程度上減少網路威脅因素的入侵,有效阻擋大多數網路安全攻擊。
2、網路地址轉換功能
利用防火牆技術可以有效實現內部網路或者外部網路的IP地址轉換,可以分為源地址轉換和目的地址轉換,即SNAT和NAT。
SNAT主要用於隱藏內部網路結構,避免受到來自外部網路的非法訪問和惡意攻擊,有效緩解地址空間的短缺問題,而DNAT主要用於外網主機訪問內網主機,以此避免內部網路被攻擊。
3、網路操作的審計監控功能
通過此功能可以有效對系統管理的所有操作以及安全信息進行記錄,提供有關網路使用情況的統計數據,方便計算機網路管理以進行信息追蹤。
4、強化網路安全服務
防火牆技術管理可以實現集中化的安全管理,將安全系統裝配在防火牆上,在信息訪問的途徑中就可以實現對網路信息安全的監管。
類型
1、過濾型防火牆
過濾型防火牆是在網路層與傳輸層中,可以基於數據源頭的地址以及協議類型等標志特徵進行分析,確定是否可以通過。在符合防火牆規定標准之下,滿足安全性能以及類型才可以進行信息的傳遞,而一些不安全的因素則會被防火牆過濾、阻擋。
2、應用代理類型防火牆
應用代理防火牆主要的工作范圍就是在OIS的最高層,位於應用層之上。其主要的特徵是可以完全隔離網路通信流,通過特定的代理程序就可以實現對應用層的監督與控制。
這兩種防火牆是應用較為普遍的防火牆,其他一些防火牆應用效果也較為顯著,在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型,這樣才可以有效地避免防火牆的外部侵擾等問題的出現。
3、復合型
目前應用較為廣泛的防火牆技術當屬復合型防火牆技術,綜合了包過濾防火牆技術以及應用代理防火牆技術的優點,譬如發過來的安全策略是包過濾策略,那麼可以針對報文的報頭部分進行訪問控制。
如果安全策略是代理策略,就可以針對報文的內容數據進行訪問控制,因此復合型防火牆技術綜合了其組成部分的優點,同時摒棄了兩種防火牆的原有缺點,大大提高了防火牆技術在應用實踐中的靈活性和安全性。
(6)防火牆對訪問者認證方式有哪些擴展閱讀
具體應用
1、內網中的防火牆技術
防火牆在內網中的設定位置是比較固定的,一般將其設置在伺服器的入口處,通過對外部的訪問者進行控制,從而達到保護內部網路的作用,而處於內部網路的用戶,可以根據自己的需求明確許可權規劃,使用戶可以訪問規劃內的路徑。
總的來說,內網中的防火牆主要起到以下兩個作用:一是認證應用,內網中的多項行為具有遠程的特點,只有在約束的情況下,通過相關認證才能進行;二是記錄訪問記錄,避免自身的攻擊,形成安全策略。
2、外網中的防火牆技術
應用於外網中的防火牆,主要發揮其防範作用,外網在防火牆授權的情況下,才可以進入內網。針對外網布設防火牆時,必須保障全面性,促使外網的所有網路活動均可在防火牆的監視下,如果外網出現非法入侵,防火牆則可主動拒絕為外網提供服務。
基於防火牆的作用下,內網對於外網而言,處於完全封閉的狀態,外網無法解析到內網的任何信息。防火牆成為外網進入內網的唯一途徑,所以防火牆能夠詳細記錄外網活動,匯總成日誌,防火牆通過分析日常日誌,判斷外網行為是否具有攻擊特性。
㈦ 防火牆是什麼有什麼作用
1.什麼是防火牆
防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網路性能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備, 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯系, 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態,這有利於實施非法訪問和攻擊。
代 理 服 務
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的" 鏈接", 由兩個終止代理伺服器上的" 鏈接"來實現,外部計算機的網路鏈路只能到達代理伺服器, 從而起到了隔離防火牆內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、注冊登記, 形成報告,同時當發現被攻擊跡象時會向網路管理員發出警報,並保留攻擊痕跡。
4.設置防火牆的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級,高級的網路策略定義允許和禁止的服務以及如何使用服務, 低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問(如撥入策略、SLIP/PPP連接等)。 服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網路風險和提供用戶服務之間獲得平衡。 典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務; 允許內部用戶訪問指定的Internet主機和服務。
防火牆設計策略
防火牆設計策略基於特定的Firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略: 允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用, 第二種是好用但不安全,通常採用第二種類型的設計策略。 而多數防火牆都在兩種之間採取折衷。
增強的認證
許多在Internet上發生的入侵事件源於脆弱的傳統用戶/口令機制。多年來,用戶被告知使用難於猜測和破譯口令, 雖然如此,攻擊者仍然在Internet上監視傳輸的口令明文,使傳統的口令機制形同虛設。增強的認證機制包含智能卡, 認證令牌,生理特徵(指紋)以及基於軟體(RSA)等技術,來克服傳統口令的弱點。雖然存在多種認證技術, 它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。
5.防火牆在大型網路系統中的部署
根據網路系統的安全需要,可以在如下位置部署防火牆:
區域網內的VLAN之間控制信息流向時。
Intranet與Internet之間連接時(企業單位與外網連接時的應用網關)。
在廣域網系統中,由於安全的需要,總部的區域網可以將各分支機構的區域網看成不安全的系統, (通過公網ChinaPac,ChinaDDN,Frame Relay等連接)在總部的區域網和各分支機構連接時採用防火牆隔離, 並利用VPN構成虛擬專網。
總部的區域網和分支機構的區域網是通過Internet連接,需要各自安裝防火牆,並利用NetScreen的VPN組成虛擬專網。
在遠程用戶撥號訪問時,加入虛擬專網。
ISP可利用NetScreen的負載平衡功能在公共訪問伺服器和客戶端間加入防火牆進行負載分擔、 存取控制、用戶認證、流量控制、日誌紀錄等功能。
兩網對接時,可利用NetScreen硬體防火牆作為網關設備實現地址轉換(NAT),地址映射(MAP), 網路隔離(DMZ), 存取安全控制,消除傳統軟體防火牆的瓶頸問題。
6.防火牆在網路系統中的作用
防火牆能有效地防止外來的入侵,它在網路系統中的作用是:
控制進出網路的信息流向和信息包;
提供使用和流量的日誌和審計;
隱藏內部IP地址及網路結構的細節;
提供VPN功能;
參考資料:http://www.chinaitlab.com/www/news/article_show.asp?id=12144
回答者:愛上了蓮 - 舉人 四級 12-1 18:06
--------------------------------------------------------------------------------
評價已經被關閉 目前有 1 個人評價
好
100% (1) 不好
0% (0)
其他回答 共 5 條
用來阻擋信息的,像木馬什麼的,也能被阻隔
回答者:homejin - 試用期 一級 12-1 18:01
--------------------------------------------------------------------------------
防火牆定義
防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆的功能
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
為什麼使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
防火牆有不同類型。一個防火牆可以是硬體自身的一部分,你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。