對於防火牆來說,很多用戶都把他當做一個備用的工具,基本都用殺毒軟件了,很少人會想起他,但是防火牆的作用不僅僅在這些地方,還有很多作用是我們沒有去了解的,今天就給大家全面介紹下。
1. 引言
防火牆技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用於專用網絡與公用網絡的互連環境之中,尤以Internet網絡為最甚。Internet的迅猛發展,使得防火牆產品在短短的幾年內異軍突起,很快形成了一個產業:1995年,剛剛面市的防火牆技術產品市場量還不到1萬套;到1996年底,就猛增到10萬套;據國際權威商業調查機構的預測,防火牆市場將以173%的復合增長率增長,今年底將達到150萬套,市場營業額將從1995年的?1.6?億美元上升到今年的9.8億美元。?
為了更加全面地了解Internet防火牆及其發展過程,特別是第四代防火牆的技術特色,我們非常有必要從產品和技術角度對防火牆技術的發展演變做一個詳細的考察。?
2. Internet防火牆技術簡介?
防火牆原是指建築物大廈用來防止火災蔓延的隔斷牆。從理論上講,Internet防火牆服務也屬於類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網絡內部。而事實上,防火牆並不像現實生活中的防火牆,它有點像古代守護城池用的護城河,服務於以下多個目的:?
1)限定人們從一個特定的控制點進入;?
2)限定人們從一個特定的點離開;?
3)防止侵入者接近你的其他防御設施;?
4)有效地阻止破壞者對你的計算機系統進行破壞。?
在現實生活中,Internet防火牆常常被安裝在受保護的內部網絡上並接入Internet。
不難看出,所有來自Internet的傳輸信息或你發出的信息都必須經過防火牆。這樣,防火牆就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講,防火牆是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那麼,防火牆究竟是什麼呢?實際上,防火牆是加強Internet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。
3. 防火牆技術與產品發展的回顧?
防火牆是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火牆應該具有以下五大基本功能:?
●過濾進、出網絡的數據;?
●管理進、出網絡的訪問行為;?
●封堵某些禁止行為;?
●記錄通過防火牆的信息內容和活動;?
●對網絡攻擊進行檢測和告警。?
為實現以上功能,在防火牆產品的開發中,人們廣泛地應用了網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火牆近年來的發展,可以將其劃分為如下四個階段(即四代)。?
3.1 基於路由器的防火牆?
由於多數路由器本身就包含有分組過濾功能,故網絡訪問控制可能通過路控制來實現,從而使具有分組過濾功能的路由器成為第一代防火牆產品。第一代防火牆產品的特點是:?
1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實現對分組的過濾;?
2)過濾判斷的依據可以是:地址、端口號、IP旗標及其他網絡特征;?
3)只有分組過濾的功能,且防火牆與路由器是一體的。這樣,對安全要求低的網絡可以采用路由器附帶防火牆功能的方法,而對安全性要求高的網絡則需要單獨利用一台路由器作為防火牆。?
第一代防火牆產品的不足之處十分明顯,具體表現為:?
●路由協議十分靈活,本身具有安全漏洞,外部網絡要探尋內部網絡十分容易。例如,在使用FTP協議時,外部服務器容易從20號端口上與內部網相連,即使在路由器上設置了過濾規則,內部網絡的20號端口仍可以由外部探尋。?
●路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜,它涉及到規則的邏輯一致性。作用端口的有效性和規則集的正確性,一般的網絡系統管理員難於勝任,加之一旦出現新的協議,管理員就得加上更多的規則去限制,這往往會帶來很多錯誤。?
●路由器防火牆的最大隱患是:攻擊者可以“假冒”地址。由於信息在網絡上是以明文方式傳送的,黑客(Hacker)可以在網絡上偽造假的路由信息欺騙防火牆。?
●路由器防火牆的本質缺陷是:由於路由器的主要功能是為網絡訪問提供動態的、靈活的路由,而防火牆則要對訪問行為實施靜態的、固定的控制,這是一對難以調和的矛盾,防火牆的規則設置會大大降低路由器的性能。?
可以說基於路由器的防火牆技術只是網絡安全的一種應急措施,用這種權宜之計去對付黑客的攻擊是十分危險的。?
