全方位講解硬件防火牆的選擇

文本Tag：

 防火牆是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，有選擇地接受外部訪問，對內部強化設備監管、控制對服務器與外部網絡的訪問，在被保護網絡和外部網絡之間架起一道屏障，以防止發生不可預測的、潛在的破壞性侵入。防火牆有兩種，硬件防火牆和軟件防火牆，他們都能起到保護作用並篩選出網絡上的攻擊者。在這裡主要給大家介紹一下我們在企業網絡安全實際運用中所常見的硬件防火牆。

一、防火牆基礎原理 .

1、防火牆技術 .

防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務。下面，我們將介紹這些手段的工作機理及特點，並介紹一些防火牆的主流產品。 .

包過濾技術是一種簡單、有效的安全控制技術，它通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規則，對通過設備的數據包進行檢查，限制數據包進出內部網絡。包過濾的最大優點是對用戶透明，傳輸性能高。但由於安全控制層次在網絡層、傳輸層，安全控制的力度也只限於源地址、目的地址和端口號，因而只能進行較為初步的安全控制，對於惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。 .

狀態檢測是比包過濾更為有效的安全控制方法。對新建的應用連接，狀態檢測檢查預先設置的安全規則，允許符合規則的連接通過，並在內存中記錄下該連接的相關信息，生成狀態表。對該連接的後續數據包，只要符合狀態表，就可以通過。這種方式的好處在於：由於不需要對每個數據包進行規則檢查，而是一個連接的後續數據包（通常是大量的數據包）通過散列算法，直接進行狀態檢查，從而使得性能得到了較大提高；而且，由於狀態表是動態的，因而可以有選擇地、動態地開通1024號以上的端口，使得安全性得到進一步地提高。

.

2、防火牆工作原理 .

（1）包過濾防火牆 .

包過濾防火牆一般在路由器上實現，用以過濾用戶定義的內容，如IP地址。包過濾防火牆的工作原理是：系統在網絡層檢查數據包，與應用層無關。這樣系統就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火牆的安全性有一定的缺陷，因為系統對應用層信息無感知，也就是說，防火牆不理解通信的內容，所以可能被黑客所攻破。

.

.

圖1：包過濾防火牆工作原理圖 .

（2）應用網關防火牆

.

應用網關防火牆檢查所有應用層的信息包，並將檢查的內容信息放入決策過程，從而提高網絡的安全性。然而，應用網關防火牆是通過打破客戶機／服務器模式實現的。每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火牆，另一個是從防火牆到服務器。另外，每個代理需要一個不同的應用進程，或一個後台運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火牆具有可伸縮性差的缺點。（圖2） .

.

圖2：應用網關防火牆工作原理圖 .

（3）狀態檢測防火牆 .

狀態檢測防火牆基本保持了簡單包過濾防火牆的優點，性能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包，不關心數據包狀態的缺點，在防火牆的核心部分建立狀態連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理。可以這樣說，狀態檢測包過濾防火牆規范了網絡層和傳輸層行為，而應用代理型防火牆則是規范了特定的應用協議上的行為。（圖3） .

.

圖3：狀態檢測防火牆工作原理圖 .

 

4）復合型防火牆 .

復合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆，進一步基於ASIC架構，把防病毒、內容過濾整合到防火牆裡，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規的防火牆並不能防止隱蔽在網絡流量裡的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火牆結合起來，這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣布署病毒防護、內容過濾等應用層服務措施。（圖4） .

.

圖4：復合型防火牆工作原理圖 .

3、四類防火牆的對比 .

包過濾防火牆：包過濾防火牆不檢查數據區，包過濾防火牆不建立連接狀態表，前後報文無關，應用層控制很弱。 .

應用網關防火牆：不檢查IP、TCP報頭，不建立連接狀態表，網絡層保護比較弱。

.

狀態檢測防火牆：不檢查數據區，建立連接狀態表，前後報文相關，應用層控制很弱。 .

復合型防火牆：可以檢查整個數據包內容，根據需要建立連接狀態表，網絡層保護強，應用層控制細，會話控制較弱。 .

4、防火牆術語

.

網關：在兩個設備之間提供轉發服務的系統。網關是互聯網應用程序在兩台主機之間處理流量的防火牆。這個術語是非常常見的。 .

DMZ非軍事化區：為了配置管理方便，內部網中需要向外提供服務的服務器往往放在一個單獨的網段，這個網段便是非軍事化區。防火牆一般配備三塊網卡，在配置時一般分別分別連接內部網，internet和DMZ。 .

吞吐量：網絡中的數據是由一個個數據包組成，防火牆對每個數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火牆的數據包數量。這是測量防火牆性能的重要指標。

.

最大連接數：和吞吐量一樣，數字越大越好。但是最大連接數更貼近實際網絡情況，網絡中大多數連接是指所建立的一個虛擬通道。防火牆對每個連接的處理也好耗費資源，因此最大連接數成為考驗防火牆這方面能力的指標。 .

數據包轉發率：是指在所有安全規則配置正確的情況下，防火牆對數據流量的處理速度。 .

SSL：SSL（Secure Sockets Layer）是由Netscape公司開發的一套Internet數據安全協議，當前版本為3.0。它已被廣泛地用於Web浏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位於TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。 .

網絡地址轉換：網絡地址轉換（NAT）是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態網絡地址轉換、動態網絡地址轉換、網絡地址及端口轉換、動態網絡地址及端口轉換、端口映射等。NAT 常用於私有地址域與公用地址域的轉換以解決IP地址匮乏問題。在防火牆上實現NAT後，可以隱藏受保護網絡的內部拓撲結構，在一定程度上提高網絡的安全性。如果反向NAT提供動態網絡地址及端口轉換功能，還可以實現負載均衡等功能。

.

堡壘主機：一種被強化的可以防御進攻的計算機，被暴露於因特網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。

.

二、市場上常見的硬件防火牆

.

（1）NetScreen 208 Firewall .

NetScreen科技公司推出的NetScreen防火牆產品是一種新型的網絡安全硬件產品。NetScreen采用內置的ASIC技術，其安全設備具有低延時、高效的IPSec加密和防火牆功