Ⅰ 防火牆能防住什麼,不能防住什麼
通常防火牆系統具有以下功能:
● 訪問控制,可以執行基於地址(源和目標)、用戶和時間的訪問控制策略,從而可以杜絕非授權的訪問,同時保護內部用戶的合法訪問不受影響。
● 審計,對通過它的網路訪問進行記錄,建立完備的日誌、審計和追蹤網路訪問,並可以根據需要產生報表。
● 抗攻擊,防火牆系統直接暴露於非信任網路下,對外而言受到防火牆保護的內部網路如同一個點,所有的攻擊都是直接針對它的,該點稱為堡壘機,因此要求堡壘機具有高度的安全性和抵禦各種攻擊能力。
● 其他附屬功能,如與審計相關的報警和入侵檢測,與訪問控制相關的身份驗證、加密和認證,甚至vpn等。
■ 四種分類
本質上來講,防火牆被認為是兩個網路間的隔斷,只允許選定的某種形式的通信通過。防火牆另外一個重要特徵是它自身抵抗攻擊的能力,防火牆自身應當不易被攻入,因為一旦防火牆被攻入就給攻擊者進入內部網提供了一個立足點。
最簡單和最流行的防火牆形式是屏蔽路由器,多數商業路由器具有內置的限制目的地間通信的能力。屏蔽路由器只在網路層工作,它的允許/禁止功能取決於tcp/ip數據包的頭信息。其速度快、適應性強、價格便宜,但缺乏對其通信提供詳細審計的能力。屏蔽路由器往往比較脆弱,因為它還要依賴其背後主機上軟體的正確配置,因此許多專家不會以它作為中心防範措施。
另一種形式的防火牆是應用網關防火牆(也稱為基於代理的防火牆),通常被配置為「雙宿主網關」,具有兩個網路介面卡,同時接入內部和外部網。由於網關可以同時與兩個網路通信,它是安裝傳遞數據軟體的理想位置,這種軟體稱為「代理」,通常是為其所提供的服務定製的。代理能夠對通過它的數據進行詳細的追蹤。許多專家認為它更加安全,因為代理軟體可以根據防火牆後面主機的脆弱性來定製,以專門防範已知的攻擊。代理防火牆的最大缺點在於它往往是非透明的,而且不支持那些尚未開發代理的協議,因為功能完善的代理需要很好地支持應用協議,不存在真正意義上的通用代理。
第三種類型的防火牆基於「動態包過濾」。動態包過濾防火牆就像代理防火牆和包過濾路由器的交叉,對終端用戶來講,它看起來只工作在網路層,但事實上該防火牆同代理防火牆一樣在應用層檢查流經的通信。當用戶通過防火牆連到外面,在會話持續期間,它記錄該行為並允許回傳給用戶數據。動態包過濾防火牆是一項還在發展的很有吸引力的技術,看來會很有前途。
混合型防火牆是以上提到的各種類型防火牆的結合。