在IT安全领域,防火墙是一个重要的角色,通常被部署在企业网络和外部互联网中间,来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。然而由于很多人对防火墙接触的很少,加上防火墙种类繁多,常常让一些新手朋友在选择购买防火墙的时候感到困惑,本文笔者将和大家一起简单了解一下在购买防火墙需要明确的一些概念,以及不同类型防火墙的主要优点和缺点。
一、防火墙概念及选购要素
尽管防火墙有很多种分类,我们还是可以给它下一个广泛的定义:一系列相关的安全程序被安装在一个网络入口服务器(或专用设备)上,两者共同筑起一道安全“墙”,共同保护内网资源免遭外网人员攻击。
尽管所有防火墙都运行软件,防火墙市场本身还是被人们划分为两大阵营:硬件防火墙和软件防火墙。硬件防火墙是专门的安全设备,上面预装着安全软件,其操作系统一般是专用操作系统。另一方面,软件防火墙通常可以被安装在任何可用的服务器上,服务器的操作系统一般是通用的网络操作系统,诸如Windows或Linux等。
企业在选择防火墙产品的时候,没有一套完全正确的规则可参考,因为每个企业的实际网络环境不一样,而且每个企业对防火墙功能要求也不同,因此企业通常要立足于需要和自己公司的实际情况来选择合适的防火墙。不过在选购防火墙的时候,还是有一些要考虑的共同问题,如以下问题。
·防火墙的体系架构(硬件还是软件);
·防火墙要求的并发会话(session)数量是多少,并发会话数是防火墙能够同时处理的点对点会话连接的最大数目,它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数;
·外部访问的类型和范围要求;
·需要的VPN(虚拟专用网)协议的数量和类型;要求保护的并发VPN的数量;
·喜欢的管理用户界面(命令行、图形或基于网页),以及是否需要高可用性功能。
防火墙的价格相差很大,用户保护家庭或小企业网络的简单防火墙价格比较低,而用于专门保护企业资源的行业级别的硬件防火墙价格则非常高。
没有两个企业的网络是完全相同的,因此厂商提供了许多不同类型的防火墙实现(包括基于硬件和软件的),来满足特定客户需要。最基本的实现可以被划分为包过滤、电路层和应用层三类。
二、包过滤防火墙
单纯的包过滤防火墙除了过滤数据包之外什么操作也不做。包过滤防火墙根据预先定义好的规则来决定接受或拒绝IP数据包。通过包过滤,该防火墙仔细的检查每一个数据包的协议和地址信息;数据包的内容不检查。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后,将这些信息与设立的规则相比较。举个例子来说,如果你设定了规则阻挡外网用户对内网计算机或设备使用telnet,而包的目的端口是23的话,那么该包就会被丢弃。
图1、包过滤防火墙
多个复杂规则的组合也是可行的。如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。
主要优势:
包过滤防火墙相对比较简单,成本较低,部署简单快速。
现在单纯的硬件包过滤防火墙已经比较少,不过多数防火墙中都具有包过滤功能。而一般家用和小企业用的软件防火墙多数属于此类防火墙,Windows早期内置的防火墙就属于包过滤防火墙。另外,对于使用Linux操作系统的朋友来说,也可以配置其自带防火墙实现包过滤功能。
三、链路级防火墙
这类防火墙不是简单的接受或拒绝数据包,它还根据一系列预定义规则来决定一个连接是否合法。如果一切通过验证,防火墙会打开一个会话,并允许指定源地址的数据通过防火墙进入网络内部。这个通信只被允许在限定时间内进行。
图2、链路级防火墙
另外,这个防火墙还可以根据以下对象来执行连接验证,例如源IP地址或源端口,目的IP地址或目的端口,使用的协议,用户ID,密码和时间等等,多数情况下要根据几种条件的组合来进行验证。我们可以看出,包级别的过滤在这种防火墙中也可能发生。
主要优点:
·链路级防火墙通常比应用层防火墙更快,因为它们执行更少的操作;
·通过禁用特定互联网源地址与内部计算机的连接,链路级防火墙可以帮助保护整个网络;
·通过与网络地址解析联合使用,你可以使用链路级防火墙来阻止外部用户访问内部网络IP地址。
主要缺点:
·运行在传输层,因此必须要对传输函数编程进行比较大的修改。这可能影响到网络的性能和运行。
·链路级防火墙需要安装人员和维护人员具有一定的专业知识。
四、应用级防火墙
在这种防火墙实现方式中,防火墙的角色是一个应用程序代理,与远端系统实现所有数据交换。这种防火墙背后的设计思想是让所有服务器藏在防火墙后面,对远端系统不可见。
一个应用层防火墙可以根据特定规则来接受或拒绝通信。举个例子来说,这种防火墙可以允许某些命令被传送到一个服务器上,而拒绝其它命令。这个技术还可以被用来限制访问特定的文件类型,同样也可以为授权和未授权用户提供不同级别的访问级别。
图3、应用级防火墙
对于那些喜欢对网络流量进行详细监控和记录日志的用户来说,可能会比较喜欢应用层防火墙,因为使用应用防火墙实现这些功能非常简单,而且不会进一步影响性能。IT管理员可以设定一个应用层防火墙来实现在预定义事件发生的时候触发报警器和发出提示。应用程序网关一般被部署在一台单独的联网计算机上,人们通常称之为代理服务器。
除了上述三种类型的防火墙外,还有一种状态检查多级防火墙,这类防火墙通常由厂商作为“最佳品牌”解决方案来提供,目的是将前面几种防火墙的优点组合起来。状态防火墙可以执行网络包过滤,同时还可以识别和处理应用层的数据。这类防火墙通常可以提供超强网络保护,但是价格可能比较昂贵。
另外值得注意的是,多数防火墙厂商提供了一系列的辅助功能,来提供那些基本防火墙服务之外的功能。此类的功能包括反病毒保护,内容过滤,入侵防护和网络行为和使用报表。随着网络安全的迅速发展,对于企业来说,购买一个可以轻松升级到更高性能和更多新功能的产品,这是一个不错的观点。