爱华网防火墙的本质是:管理区域之间的访问控制。所以防火墙要将不同的接口置于不同的区域(不同区域的属性可以根据不同的接口命名来实现),然后对来源于不同的区域到另一个区域的访问进行安全控制。尽管防火墙可能有其它附加的一些功能,但本质还是管理区域之间访问的安全。
防火墙的分类:
1>包过滤:主要是通过访问控制列表来实现。所有的路由器都支持这种简单的防火墙。
2>代理服务器:比如:ISA等等这样的安全产品对安全的实现,很多应用都有自己的代现服务器,比如:IE,QQ,网游等等。缺点:随着实际应用的不断增多,代理服务器的功能就需要随之升级补全,这样才能对多应用的支持与安全防护,所以代理服务器要随时升级更新,这样就不灵活了,也容易出现单点故障,并且效率不高,这由代理服务器的工作原理可以看出。优点:比其它的安全管理方式更安全,它可以达到对应用层数据进行安全分析,所以进行安全管理的对象,元素更广,这样就可以做到更安全的管理。从这里就可以看出,要做到越是安全,就需要消耗防火墙性能的代价就越高。此种方式用的较少,只对某些协议或应用使用。
3>状态监控包过滤:是由chackpoint在197x年发明的,特点是:会对在直接访问服务器的客户端发出的数据包进入并想穿越防火墙时做链接状态化信息的记录,这些状态化信息对于TCP协议,有:源/目IP,源/目端口,系列号和flag位(六个指针位)等等会被记录来下,对于其它协议,除了源/目IP,源/目端口之外,还会附加一些其它特有的信息作为状态化信息被记录下来。这样对于对应的反回流量就不用记录,只会进行与已记录的出去的状态信息进行对照比较,如果对应匹配上了,即是一对请求与回应,那么防火墙会放行回应的包,让其穿越并送往回应的目的地。这种做法的效率是最高的,绝大部分的硬件防火墙都是用此方法来进行安全防护(三大硬件防火墙厂商所生产生防火墙设备都是用的此方法)。
防火墙的基本功能:
1.状态检测包过滤(即对经过防火墙的包进行状态信息的获取、记录和检查,通过默认的或人为配置的安全策略来判断包是否能穿越防火墙,以此来实现包过滤的)
2.能对从内部到外部和从外部到内部或者是各个接口之间的一个访问、连接和传输的控制
ACL只是基于包,也就是它只关心单个数据包里面的源/目的地址和相应的协议和端口号,对单个数据包进行过滤选择。但防火墙是对一对连接的一系列数据包的状态信息进行检测,这些内容要比ACL关心的内容多的多,它不仅包括ACL所关心的元素,还关心某个具体的协议的其它很多参数,例如:TCP里面的系列号、确认号以及六个控制位等等,也就是它更全局一些,即关系一对连接里所有数据包的很多信息(封装对应数据包协议里面的),这此信息就充分地描述了一对连接中包的状态,所以说防火墙是基于这些描述包的状态信息来对进出防火墙接口的包进行监控和过滤的。而它也不仅仅可以对包进行状态监控,而且可以深入到更高层进行数据的内容监控、放行和过滤,比如从内发起的TCP连接,通过协商端口号后要求外部的主机用协商的端口号与对应的那台内部主机建立连接,对于从外部发起的到内部主机的连接默认是不允许进入的,但由于防火墙可以对更高层协议进行监控,在它们开始协商端口号时就有了状态信息的记录(记录的内容比如有:源/目IP,tcp协议,端口号,系列号,确认号,以及协商端口等信息),有了这些记录,当外部主机反过来向对应的内部主机进行TCP连接时,防火墙有了前面记录的依据就可以放行了(当然此例是在建立TCP连接非常复杂的情况下发生的,但防火墙都能很好地解决这些问题)。所以防火墙支持数据包的高层内容进行监控和过滤。
ACL最多只能对传输层进行监控和过滤,但防火墙(如:PIX或ASA)就可以对应用层以及用户数据进行监控和过滤,它也能和路由器一样做NAT的地址转换,有静态、动态、PAT等。它也能监测组播等,防火墙默认会监测一些常见的协议和服务,如果对于一些特殊应用的服务则需要手动开启对应协议的监测,不然就会承载服务流量的协议将无法通过防火墙。
在这里可以把防火墙比作一个严格而有理智并且责任心很强的守门员,进出每个门口的所有人的很多信息都会由它记录下来,这些信息与其人一样,是独一无二的,在记录的同时会对进出门口的人是否合法进出作出判断(是否合法由防火墙本身的特质<如:外对内发起的连接是禁止的等>和管理员在防火墙上的设置而定的),如果判断合法则通过,不合法则丢弃,并不反回任何消息(ACL对过滤掉的不合法的数据包都会反回不可达的消息);这此记录下来的状态信息一方面是你第二次进入的通行证(有了第一次的记录,并且被判断是合法的,第二次进入是不会再记录的,它只会进行一次比较和审查,与第一次记录的一样或是能被证明是同一个人,那么就通过),另一方面也是对端回应的一个放行依据(如果对端的回应与源端的请求是一一对应关系,那么回应的信息也不用进行记录,而是检查原有记录,即在第一次通过防火墙的记录,证明与源端的请求是一一对应的关系后就放行回应信息)
并且PIX或ASA也支持VPN,与路由器一样,看一个防火墙的好与坏,主要要看它对高级协议的支持性。
防火墙的定义:防火墙是一种用来加强网络之间访问控制的特殊网络互连设备,是一种非常有效的网络安全模型
核心思想:在不安全的网际网环境中构造一个相对安全的子网环境
目的:都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道,以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。
防火墙的功能本质特征是:隔离内外网络和对进出信息流实施访问控制,从网络防御体系上看,防火墙是一种被动防御的保护装置。
