防火墙作为屏障,可以时刻抗击来自各种线路的攻击,阻止非法用户侵入内部网,限定局域网访问WEB站点和Internet服务权限;时刻监视网络安全,受到攻击时产生报警;对通过的信息记录在册、使我们对黑客的攻击能“有案可查”;防火墙一般有路由器功能,采用的NAT(网络地址转换)技术可使整个局域网对外只占用一个IP地址,节约了IP地址资源;防火墙还可以记录整个局域网的上网流量,据此查出带宽瓶颈、记录上网连接的费用情况。
与包过滤路由器不同,代理服务器允许信息内外流动、但不允许直接交换数据包。代理服务器在提供代理服务前一般都要求附加认证、且每种代理在用户访问前一般都要授权,通过配置代理来限制外界对内部网的访问。如果网管没有为某种应用安装代理程序,则该项服务就不会支持且不能通过防火墙系统转发,在代理服务器上安装有限的代理服务,可以减少攻击。
代理服务器提供的审计、记录功能是发现和终止黑客攻击的有力武器;在代理服务器上任何代理发生问题、或出现脆弱性,只需简单的卸出、而不会影响其它代理的工作;代理服务除读取初始化配置文件外、一般不进行磁盘操作、这使得黑客很难在代理服务器上安装特洛伊马等危险程序。
四、防火墙技术管窥
1、包过滤技术
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。使用包过滤技术时,要特别注意一般应用的数据通信大多都是双向的,在设置过滤规则时必须予以考虑。
2、状态检测
状态检测与包过滤相类似的,是更为有效的安全控制方法。对于新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。
状态检测的优点是:由于不需要对每个数据包进行规则检查,而是对一个连接的后续数据包通过散列算法、直接进行状态检查,从而使得性能得到了较大提高;而且由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。此外,部分状态检测型防火墙还支持多种用户认证方式,提供了应用级的安全认证手段,增加了某些应用的代理功能,使得安全控制力度更为细致。
3、代理服务
代理服务是运行于内部网络与外部网络之间的主机上的一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序进行连接映射。由于代理机制完全阻断了内部网络与外部网络的直接联系,保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。
缺点:代理服务器的应用也受到诸多限制。例如当一项新的应用加入时,如果代理服务程序不予支持,则此应用不能使用;其次代理服务器的处理性能也远不及状态检测高。
五、防火墙的选购
1、按需选购
选购时首先要弄清楚这款防火墙具有哪些功能,然后根据你需要的功能来选择防火墙产品。通常一个防火墙产品应有以下的基本功能:
◆先进的认证手段或挂钩程序,可以安装认证方法;
◆能运用过滤技术允许和禁止服务,集中和过滤拨入访问,可以根据数据包的性质(例如目标/源IP地址、协议类型、源/目的TCP/UDP端口等)进行包过滤;拥有界面友好、易于编程的IP过滤语言。
◆支持FTP和Telnet等服务代理,包含NNTP、XWindow、HTTP和Gopher等代理服务程序
◆具有精简日志的能力,可以记录网络流量和可疑的活动。
许多企业对有防火墙会有特殊的要求,例如有的希望防火墙应该有网络地址转换功能(NAT,隐藏网络的IP,使黑客无法直接攻击)、双重DNS、虚拟专用网络(VPN)、特殊控制需求等功能,这时候你就应该选择满足上述要求的防火墙。
2、安全检查功能完备的
优秀的防火墙应该为用户提供完整的安全检查功能,为用户管理时记录、改进和追踪等等安全操作提供便利,因为防火墙并不能有效地杜绝所有的恶意封包,例如用合法掩护非法的情形仍需用户自己去发现,这时候一个完备的安全检查功能就显得很重要了。
3、使用要方便的
优秀的防火墙,应该管理和使用极其容易,建议选购使用方便的防火墙。例如一个防火墙如果有设定困难、需要具备完整知识、不易除错等缺点,就会给用户带来负担,也增加了管理防火墙的工作量。
4、自身安全措施完备的
由于防火墙也是网络上的主机,因此其自身也存在着安全问题,如果防火墙连自身安全都不能保证,那么即使它的控制功能极强,也不可能保证网络的安全。建议选购自身安全保护措施完备的产品。由于防火墙主机上要先运行操作系统,然后才执行防火墙软件,所以操作系统的安全决定了防火墙本身是否安全,优秀的防火墙通常都会堵住操作系统上的各种安全隐患,弥补操作系统的各种不足。
最后应该选购售后服务完善的防火墙,因为新产品的安全性也只是相对的,时间一长就会有人研究新的破解方法,所以好的防火墙产品还应该拥有完善及时的售后服务体系,保证用户能及时堵住新的安全漏洞。
六、常见防火墙产品介绍
目前防火墙产品在网络安全产品中,算得上琳琅满目的一种,它主要分为基于代理服务方式和基于状态检测方式两大类,下面我们来简单介绍几种常见的产品:
1、Firewall-1 (CheckPoint)
这是最为流行一种防火墙,属于Unix、WinNT平台上的软件防火墙,状态检测型的,支持网络地址翻译(NAT)、流量分担、VPN、加密认证等功能。其综合性能较为优秀,因为首先其安全控制力度很高,可以进行基于内容的安全检查(例如对URL进行控制);对某些应用,它甚至可以限制可使用的命令(如FTP)。其次,它不仅可以基于地址、应用设置过滤规则,而且还提供了多种用户认证机制,如User Authentication、Client Authentication和Session Authentication,使安全控制方式更趋灵活。再次,Firewall-1是一个开放的安全系统,提供了API,用户可以根据需要配置安全检查模块,如病毒检查模块,而且还提供了可安装在Bay路由器、Lannet交换机的防火墙模块。
由于Firewall-1采用状态检测方式,因而处理性能也较高,对于10BaseT接口,完全可以达到线速,号称可达80Mbps。此外,Firewall-1的用户管理方式也很优秀,用户可以通过GUI同防火墙管理模块通信,维护安全规则;而防火墙管理模块则负责编译安全规则,并下载到各个防火墙模块中。对于用户而言,管理线条十分清晰,不易疏漏,修改方便。同时Firewall-1管理界面的功能丰富,不仅可以对AXENT Raptor、Cisco PIX等防火墙进行管理,还可以在管理界面中对Bay、Cisco、3Com等公司的路由器进行ACL设置。
Firewall-1存在的问题主要是其底层操作系统对路由的支持,以及不具备ARP Proxy等方面,特别是后者,在做地址转换(NAT)时,不仅要配置防火墙,还要对操作系统的路由表进行修改,大大增加了NAT配置的复杂程度。
2、PIX (Cisco)
PIX是典型的网络层包过滤专用防火墙,属于硬件防火墙,状态检测型的,支持网络地址翻译(NAT),在国内的163/169网络上面应用很多。由于它采用了专用的操作系统,因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言,PIX是同类产品中最好的,对100BaseT可达线速。因此,对于数据流量要求高的场合,如大型的ISP,应该是首选。
Cisco公司同样提供了集中式的防火墙管理工具Cisco Security Policy Manager,可以通过命令行方式或是基于Web的命令行方式对PIX进行配置,但这种方式不支持集中管理模式,必须对每台设备单独进行配置。而且,配置复杂的过滤规则是相当麻烦的。
缺点是:对其他厂商产品的支持、日志管理、事件管理等方面没有Check Point防火墙管理模块那么强劲;没有能力防御应用层的攻击、无法进行内容过滤,例如Java、ActiveX以及病毒过滤等。
3、AXENT Raptor
与Firewall-1和PIX不同,Raptor完全是基于代理技术的软件防火墙,它是代理服务型防火墙中的佼佼者。这主要体现在,相对于其他代理型防火墙而言,可支持的应用类型多;相对于状态检测型防火墙而言,由于所采用的技术手段不同,使得Raptor在安全控制的力度上较上述产品更加细致。 Raptor防火墙管理界面也相当简单,甚至可以对NT服务器的读、写操作进行控制,并对SMB(Server Message Block)进行限制。对Oracle数据库,Raptor还可以作为SQL Net的代理,从而对数据库操作提供更好的保护。
缺点:由于Raptor防火墙所采用的技术,决定了其处理性能较前面两种防火墙低。而且对用户新增的应用,如果没有相应的代理程序,就不可能透过防火墙。
4、NetScreen
NetScreen独特之处是流量控制及实时监控流量控制功能,为网络管理员提供了全部监测和管理网络的信息,诸如DMZ,服务器负载平衡和带宽优先级设置等先进功能,它能同时响应高达5,000条防火墙策略规则,以及VPN加密(IPSec)VPN IPSEC,DES,Triple DES ,而且支持透明的无IP地址设置。
