1 产品概述
是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
特征:逻辑区域过滤器,隐藏内网网络结构,自身安全保障,主动防御攻击。
产品分类
按形态:硬件防火墙,软件防火墙。
按保护对象:单机防火墙,网络防火墙。
按用途:网间防火墙,服务器防火墙,服务防火墙,个人防火墙。
按访问控制方式:包过滤防火墙,应用级代理防火墙,状态监测防火墙(大部分硬件防火墙)。
常见系统模型
筛选路由器模型:实施包过滤。
单宿主堡垒主机(屏蔽主机防火墙):由包过滤路由器和堡垒主机组成。
双宿主堡垒主机(屏蔽防火墙系统):在物理结构上强行将所有去往内部网络的信息经过堡垒机。
屏蔽子网模型:两个包过滤路由器和一个堡垒主机。
2 发展历程
1985第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。
1989第二代防火墙
第一代防火墙技术主要在路由器上实现,后来将此安全功能独立出来专门用来实现安全过滤功能。贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
1990第三代防火墙
代理防火墙出现,原来从路由器上独立出来的安全软件迅速发展,并引发了对承载安全软件本身的操作系统的安全需求。即对防火墙本身的安全问题的安全需求。
1992第四代防火墙
USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
1998第五代防火墙
NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
2004统一威胁管理UTM
将传统防火墙,入侵检测,防病毒,URL过滤,应用程序控制,邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。
2008下一代防火墙NGFW
NGFW(Next generation firewall)即下一代防火墙。Gartner最早在2009年给NGFW定义:在不同信任的网络级别之间实时执行网络安全政策的联机控制。相比传统防火墙,会以全局视角解决用户网络面临的实际问题,在性能,安全性,易用性,可管理性,可视性等方面有了质的飞跃,满足用户新的防御和管理需求。
防火墙局限性
防外不防内,不能防范不通过它的连接,很难为用户在防火墙内外提供一致的安全策略,只实现了粗粒度的访问控制,对病毒的访问控制有局限。
3 工作模式
如果防火墙以第三层对外连接(接口具有IP地址),则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP地址,某些接口无IP地址),则防火墙工作在混合模式下。
路由模式:每接口均有IP地址。
当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。
如下图所示,防火墙的Trust区域接口与公司内部网络相连,Untrust区域接口与外部网络相连。值得注意的是,Trust 区域接口和Untrust区域接口分别处于两个不同的子网中。采用路由模式时,可以完成ACL包过滤、ASPF动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等)。
防火墙工作在路由模式下,此时所有接口都配置IP地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的IP地址来查找路由表,此时防火墙表现为一个路由器。
但是, 防火墙与路由器存在不同, 防火墙中IP报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。
透明模式:每接口无IP地址。
如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。
采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP报文同样经过相关的过滤检查(但是IP报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。
防火墙的Trust 区域接口与公司内部网络相连,Untrust 区域接口与外部网络相连,需要注意的是内部网络和外部网络必须处于同一个子网。
防火墙工作在透明模式(也可以称为桥模式)下,此时所有接口都不能配置IP地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC地址来寻找出接口,此时防火墙表现为一个透明网桥。
但是,防火墙与网桥存在不同,防火墙中IP报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的 防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像LAN Switch进行网络连接。
混合模式:部分接口有IP地址。
如果防火墙既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况,此时启动VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)功能的接口需要配置IP地址,其它接口不配置IP地址。
主/备防火墙的Trust 区域接口与公司内部网络相连,Untrust区域接口与外部网络相连,主/备防火墙之间通过HUB或LAN Switch实现互相连接,并运行VRRP协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。
防火墙工作在混合透明模式下,此时部分接口配置IP地址,部分接口不能配置IP地址。配置IP地址的接口所在的安全区域是三层区域,接口上启动VRRP功能,用于双机热备份;而未配置IP地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,转发过程与透明模式的工作过程完全相同。
4 产品架构
5 主要技术
5.1 包过滤(静态包过滤)
路由器,三层交换机以及某些操作系统已经具有包过滤能力。
优点
保护整个网络,对用户透明,速度快,可作为路由器,不需要其他设备。
缺点
不能分辨好的和坏的用户,只能区分好的包和坏的包,包过滤规则难配置,不支持应用层协议,不能处理新的安全威胁。
5.2 代理防火墙(应用层)
通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制,还可用来保持一个所有应用程序使用的记录。
优点
可以检查应用层,传输层和网络层的协议特征,对数据包的检查能力比较强,网络安全级别高。能生成各项记录,灵活,完全地控制进出流量,内容,能过滤数据内容,能为用户提供透明的加密机制,可以方便地与其他安全手段集成。
缺点
难于配置,代理对用户不透明,处理速度慢,对于每项服务代理可能要求不同的服务器。
5.3 检测防火墙(动态包过滤)
5.4各类防火墙对比
6 性能指标
吞吐量:在不丢包的情况下能够达到的最大速率。吞吐量越大,性能越高。
延时:入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔。延时越小,性能越高。
丢包率:在连续负责的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比。丢包率越小,性能越高。
每秒新建连接数:每秒能够处理的HTTP新建连接请求的数量。
并发连接数:能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力。