防火墙的分类
防火墙有很多种分类方法:根据采用的核心技术,按照应用对象的不同,或者按照实现方法的不同。
每种分类方法都各有特点,例如,基于具体实现方法分类,可以分为三种类型:
一、软件防火墙
防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙与其他的软件产品一样,需要先在计算机上安装并做好配置后方可使用。使用这类防火墙,需要网络管理人员对使用的操作系统平台比较熟悉。
二、硬件防火墙
由计算机硬件、通用操作系统和防火墙软件组成。在定制的计算机硬件上,采用通用计算机系统、Flash盘、网卡组成的硬件平台上运行Linux,FreeBSD和Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。其特点是开发成本低、性能实用,而且稳定性和扩展性较好。但是由于此类防火墙依赖操作系统内核,因此受到操作系统本身安全性的影响,处理速度较慢。
三、专用防火墙
采用特别优化设计的硬件体系结构,使用专用的操作系统。此类防火墙在稳定性和传输性方面有着得天独厚的优势,速度快、处理能力强、性能高。由于采用专用操作系统,因而容易配置和管理,本身漏洞也比较少,但是扩展能力有限,价格也较高。由于专用防火墙系列化程度好,用户可以根据应用环境选择合适的产品
防火墙功能
防火墙可以监控进出网络的通信量,从而仅让安全的或者经过审核的网络数据进入内部网络,同时抵制对企业构成威胁的数据。防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使网络管理员强化网络安全政策。
防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务及哪些外部服务可以被内部人员访问。防火墙只允许授权的数据通过,同时防火墙本身也必须能够免于渗透。一般来说,防火墙具有以下几种功能:
允许网络管理员定义网络边界来防止非法用户进入内部网络,过滤掉不安全服务和非法用户。防火墙在公司私有网络和分网间建立网络边界,强制所有进出流量都通过这些网络边界,从而在较少的地方来实现安全目的。网络边界的另一个名字叫做检查点。
很方便地监视网络的安全性,并及时报警。防火墙还能够强制记录日志,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有来自外部网络的流量。优秀的防火墙应该设置合理的安全策略。
可以作为部署NAT(Network Address Translation,网络地址变换)的位置。利用NAT技术可以将有限的外网IP地址与内部IP地址对应起来,有效缓解地址空间短缺的问题。
是审计和记录网络使用费用的合适地点,也可以查出潜在的带宽瓶颈位置。
限定用户访问特殊站点。
防止入侵者接近自己的防御设施。
可以设置某独立网段,并在此部署WWW服务器和厂丁尸服务器,作为向外部发布内部信息的地点,这就是经常提到的停火区(DMZ)。
防火墙局限性
即使拥有最先进的防火墙,如果没有良好的管理,网络也会面临很大的威胁。由于互联网的开放性,即使具有许多防范功能的防火墙也可能无法抵挡网络攻击。简单而言,防火墙具有如下局限性:
没有经过防火墙的数据,防火墙无法检查。
防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,但绝大多数公司会因为不方便而不要求防火墙防内。
防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,只能按照对其配置的规则进行有效的工作,而不能自作主张。
防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存放在安全的地方。
防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,就不能防止利用该协议中的缺陷进行的攻击。
防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙无法发现并阻止这种攻击。
防火墙不能防止被病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒软件,也没有一种软件可以查杀所有的病毒。
防火墙不能防止数据驱动式的攻击。当表面看来无害的文件被拷贝到内部网的主机上并执行时,可能会发生数据驱动式的攻击。
防火墙不能防止内部的泄密行为。防火墙内部的合法用户主动泄密,防火墙是无能为力的。
防火墙不能防止本身的安全漏洞的威胁。防火墙有时无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。
可以阻断攻击,但不能消灭攻击源。
不能抵抗最新的未设置策略的攻击漏洞。
在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈。
大多数防火墙无法阻止针对服务器合法开放端口的攻击。
分布式防火墙体系结构
分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安全防护。分布式防火墙是一个完整的系统,而不是单一的产品。根据其需要完成的功能,分布式防火墙体系结构包含如下部分:
网络防火墙(Network Firewall)这一部分有的公司采用的是纯软件方式,而有的还可以提供相应的硬件支持。网络防火墙用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,网络防火墙增加了一种针对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。
主机防火墙(Host Firewall)同样也有纯软件和硬件两种,用于保护网络中的服务器和桌面机。这也是传统边界防火墙所不具有的,算是对传统边界防火墙在安全体系方面的一个完善。该类防火墙作用在同一内部子网之间的工作站与服务器之间,确保内部网络服务器的安全。这样一来,防火墙的作用不仅用于内部网与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间的防护。
中心管理(Central Management)这是防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙安全防护的灵活性,具备了可管理性。
分布式防火墙特点
分布式防火墙的技术具有以下几个主要特点:
采用主机驻留方式,驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。
采用嵌入操作系统内核,这主要是针对目前的纯软件式分布式防火墙来说的。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为了自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在检查所有数据包之后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。
类似于个人防火墙,但分布式防火墙与个人防火墙之间有着本质的差别。首先个人防火墙的安全策略由系统使用者自己设置,全面功能和管理都在本机上实现,其目标是防止主机以外的任何外部用户攻击;而分布式防火墙的安全策略由整个系统管理员统一安排和设置,除了对主机起到保护作用外,还对该主机的对外访问加以控制,并且这种安全机制是主机使用者不可见和不可改动的。其次,个人防火墙直接面向个人用户,而分布式防火墙体系中的主机防火墙是面向企业级用户的,与分布式防火墙其他产品共同构成一个企业级应用方案,形成一个安全策略中心进行统一管理,所以在一定程度上也面对整个网络。
防火墙的分类
防火墙有很多种分类方法:根据采用的核心技术,按照应用对象的不同,或者按照实现方法的不同。
每种分类方法都各有特点,例如,基于具体实现方法分类,可以分为三种类型:
一、软件防火墙
防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙与其他的软件产品一样,需要先在计算机上安装并做好配置后方可使用。使用这类防火墙,需要网络管理人员对使用的操作系统平台比较熟悉。
二、硬件防火墙
由计算机硬件、通用操作系统和防火墙软件组成。在定制的计算机硬件上,采用通用计算机系统、Flash盘、网卡组成的硬件平台上运行Linux,FreeBSD和Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。其特点是开发成本低、性能实用,而且稳定性和扩展性较好。但是由于此类防火墙依赖操作系统内核,因此受到操作系统本身安全性的影响,处理速度较慢。
三、专用防火墙
采用特别优化设计的硬件体系结构,使用专用的操作系统。此类防火墙在稳定性和传输性方面有着得天独厚的优势,速度快、处理能力强、性能高。由于采用专用操作系统,因而容易配置和管理,本身漏洞也比较少,但是扩展能力有限,价格也较高。由于专用防火墙系列化程度好,用户可以根据应用环境选择合适的产品
防火墙功能
防火墙可以监控进出网络的通信量,从而仅让安全的或者经过审核的网络数据进入内部网络,同时抵制对企业构成威胁的数据。防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使网络管理员强化网络安全政策。
防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务及哪些外部服务可以被内部人员访问。防火墙只允许授权的数据通过,同时防火墙本身也必须能够免于渗透。一般来说,防火墙具有以下几种功能:
允许网络管理员定义网络边界来防止非法用户进入内部网络,过滤掉不安全服务和非法用户。防火墙在公司私有网络和分网间建立网络边界,强制所有进出流量都通过这些网络边界,从而在较少的地方来实现安全目的。网络边界的另一个名字叫做检查点。
很方便地监视网络的安全性,并及时报警。防火墙还能够强制记录日志,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有来自外部网络的流量。优秀的防火墙应该设置合理的安全策略。
可以作为部署NAT(Network Address Translation,网络地址变换)的位置。利用NAT技术可以将有限的外网IP地址与内部IP地址对应起来,有效缓解地址空间短缺的问题。
是审计和记录网络使用费用的合适地点,也可以查出潜在的带宽瓶颈位置。
限定用户访问特殊站点。
防止入侵者接近自己的防御设施。
可以设置某独立网段,并在此部署WWW服务器和厂丁尸服务器,作为向外部发布内部信息的地点,这就是经常提到的停火区(DMZ)。
防火墙局限性
即使拥有最先进的防火墙,如果没有良好的管理,网络也会面临很大的威胁。由于互联网的开放性,即使具有许多防范功能的防火墙也可能无法抵挡网络攻击。简单而言,防火墙具有如下局限性:
没有经过防火墙的数据,防火墙无法检查。
防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,但绝大多数公司会因为不方便而不要求防火墙防内。
防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,只能按照对其配置的规则进行有效的工作,而不能自作主张。
防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存放在安全的地方。
防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,就不能防止利用该协议中的缺陷进行的攻击。
防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙无法发现并阻止这种攻击。
防火墙不能防止被病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒软件,也没有一种软件可以查杀所有的病毒。
防火墙不能防止数据驱动式的攻击。当表面看来无害的文件被拷贝到内部网的主机上并执行时,可能会发生数据驱动式的攻击。
防火墙不能防止内部的泄密行为。防火墙内部的合法用户主动泄密,防火墙是无能为力的。
防火墙不能防止本身的安全漏洞的威胁。防火墙有时无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。
可以阻断攻击,但不能消灭攻击源。
不能抵抗最新的未设置策略的攻击漏洞。
在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈。
大多数防火墙无法阻止针对服务器合法开放端口的攻击。
分布式防火墙体系结构
分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安全防护。分布式防火墙是一个完整的系统,而不是单一的产品。根据其需要完成的功能,分布式防火墙体系结构包含如下部分:
网络防火墙(Network Firewall)这一部分有的公司采用的是纯软件方式,而有的还可以提供相应的硬件支持。网络防火墙用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,网络防火墙增加了一种针对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。
主机防火墙(Host Firewall)同样也有纯软件和硬件两种,用于保护网络中的服务器和桌面机。这也是传统边界防火墙所不具有的,算是对传统边界防火墙在安全体系方面的一个完善。该类防火墙作用在同一内部子网之间的工作站与服务器之间,确保内部网络服务器的安全。这样一来,防火墙的作用不仅用于内部网与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间的防护。
中心管理(Central Management)这是防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙安全防护的灵活性,具备了可管理性。
分布式防火墙特点
分布式防火墙的技术具有以下几个主要特点:
采用主机驻留方式,驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。
采用嵌入操作系统内核,这主要是针对目前的纯软件式分布式防火墙来说的。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为了自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在检查所有数据包之后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。
类似于个人防火墙,但分布式防火墙与个人防火墙之间有着本质的差别。首先个人防火墙的安全策略由系统使用者自己设置,全面功能和管理都在本机上实现,其目标是防止主机以外的任何外部用户攻击;而分布式防火墙的安全策略由整个系统管理员统一安排和设置,除了对主机起到保护作用外,还对该主机的对外访问加以控制,并且这种安全机制是主机使用者不可见和不可改动的。其次,个人防火墙直接面向个人用户,而分布式防火墙体系中的主机防火墙是面向企业级用户的,与分布式防火墙其他产品共同构成一个企业级应用方案,形成一个安全策略中心进行统一管理,所以在一定程度上也面对整个网络。