防火墻知識入門
防火墻知識入門
下面小編來給大家講解一下防火墻知識入門級別!
一. 防火墻的概念
近年來,隨著普通計算機(jī)用戶群的日益增長,“防火墻”一詞已經(jīng)不再是服務(wù)器領(lǐng)域的專署,大部分家庭用戶都知道為自己愛機(jī)安裝各種“防火墻”軟件了。但是,并不是所有用戶都對“防火墻”有所了解的,一部分用戶甚至認(rèn)為,“防火墻”是一種軟件的名稱……
到底什么才是防火墻?它工作在什么位置,起著什么作用?查閱歷史書籍可知,古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候為防止火災(zāi)的發(fā)生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護(hù)構(gòu)筑物就被稱為“防火墻”(FireWall)。時光飛梭,隨著計算機(jī)和網(wǎng)絡(luò)的發(fā)展,各種攻擊入侵手段也相繼出現(xiàn)了,為了保護(hù)計算機(jī)的安全,人們開發(fā)出一種能阻止計算機(jī)之間直接通信的技術(shù),并沿用了古代類似這個功能的名字——“防火墻”技術(shù)來源于此。用專業(yè)術(shù)語來說,防火墻是一種位于兩個或多個網(wǎng)絡(luò)間,實施網(wǎng)絡(luò)之間訪問控制的組件集合。對于普通用戶來說,所謂“防火墻”,指的就是一種被放置在自己的計算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng),從網(wǎng)絡(luò)發(fā)往計算機(jī)的所有數(shù)據(jù)都要經(jīng)過它的判斷處理后,才會決定能不能把這些數(shù)據(jù)交給計算機(jī),一旦發(fā)現(xiàn)有害數(shù)據(jù),防火墻就會攔截下來,實現(xiàn)了對計算機(jī)的保護(hù)功能。
防火墻技術(shù)從誕生開始,就在一刻不停的發(fā)展著,各種不同結(jié)構(gòu)不同功能的防火墻,構(gòu)筑成網(wǎng)絡(luò)上的一道道防御大堤。
二. 防火墻的分類
世界上沒有一種事物是唯一的,防火墻也一樣,為了更有效率的對付網(wǎng)絡(luò)上各種不同攻擊手段,防火墻也派分出幾種防御架構(gòu)。根據(jù)物理特性,防火墻分為兩大類,硬件防火墻和軟件防火墻。軟件防火墻是一種安裝在負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)服務(wù)器或者獨立的個人計算機(jī)上的特殊程序,它是以邏輯形式存在的,防火墻程序跟隨系統(tǒng)啟動,通過運行在Ring0級別的特殊驅(qū)動模塊把防御機(jī)制插入系統(tǒng)關(guān)于網(wǎng)絡(luò)的處理部分和網(wǎng)絡(luò)接口設(shè)備驅(qū)動之間,形成一種邏輯上的防御體系。
在沒有軟件防火墻之前,系統(tǒng)和網(wǎng)絡(luò)接口設(shè)備之間的通道是直接的,網(wǎng)絡(luò)接口設(shè)備通過網(wǎng)絡(luò)驅(qū)動程序接口(Network Driver Interface Specification,NDIS)把網(wǎng)絡(luò)上傳來的各種報文都忠實的交給系統(tǒng)處理,例如一臺計算機(jī)接收到請求列出機(jī)器上所有共享資源的數(shù)據(jù)報文,NDIS直接把這個報文提交給系統(tǒng),系統(tǒng)在處理后就會返回相應(yīng)數(shù)據(jù),在某些情況下就會造成信息泄漏。而使用軟件防火墻后,盡管NDIS接收到仍然的是原封不動的數(shù)據(jù)報文,但是在提交到系統(tǒng)的通道上多了一層防御機(jī)制,所有數(shù)據(jù)報文都要經(jīng)過這層機(jī)制根據(jù)一定的規(guī)則判斷處理,只有它認(rèn)為安全的數(shù)據(jù)才能到達(dá)系統(tǒng),其他數(shù)據(jù)則被丟棄。因為有規(guī)則提到“列出共享資源的行為是危險的”,因此在防火墻的判斷下,這個報文會被丟棄,這樣一來,系統(tǒng)接收不到報文,則認(rèn)為什么事情也沒發(fā)生過,也就不會把信息泄漏出去了。
軟件防火墻工作于系統(tǒng)接口與NDIS之間,用于檢查過濾由NDIS發(fā)送過來的數(shù)據(jù),在無需改動硬件的前提下便能實現(xiàn)一定強(qiáng)度的安全保障,但是由于軟件防火墻自身屬于運行于系統(tǒng)上的程序,不可避免的需要占用一部分CPU資源維持工作,而且由于數(shù)據(jù)判斷處理需要一定的時間,在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里,軟件防火墻會使整個系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降,甚至有些軟件防火墻會存在漏洞,導(dǎo)致有害數(shù)據(jù)可以繞過它的防御體系,給數(shù)據(jù)安全帶來損失,因此,許多企業(yè)并不會考慮用軟件防火墻方案作為公司網(wǎng)絡(luò)的防御措施,而是使用看得見摸得著的硬件防火墻。
硬件防火墻是一種以物理形式存在的專用設(shè)備,通常架設(shè)于兩個網(wǎng)絡(luò)的駁接處,直接從網(wǎng)絡(luò)設(shè)備上檢查過濾有害的數(shù)據(jù)報文,位于防火墻設(shè)備后端的網(wǎng)絡(luò)或者服務(wù)器接收到的是經(jīng)過防火墻處理的相對安全的數(shù)據(jù),不必另外分出CPU資源去進(jìn)行基于軟件架構(gòu)的NDIS數(shù)據(jù)檢測,可以大大提高工作效率。
硬件防火墻一般是通過網(wǎng)線連接于外部網(wǎng)絡(luò)接口與內(nèi)部服務(wù)器或企業(yè)網(wǎng)絡(luò)之間的設(shè)備,這里又另外派分出兩種結(jié)構(gòu),一種是普通硬件級別防火墻,它擁有標(biāo)準(zhǔn)計算機(jī)的硬件平臺和一些功能經(jīng)過簡化處理的UNIX系列操作系統(tǒng)和防火墻軟件,這種防火墻措施相當(dāng)于專門拿出一臺計算機(jī)安裝了軟件防火墻,除了不需要處理其他事務(wù)以外,它畢竟還是一般的操作系統(tǒng),因此有可能會存在漏洞和不穩(wěn)定因素,安全性并不能做到最好;另一種是所謂的“芯片”級硬件防火墻,它采用專門設(shè)計的硬件平臺,在上面搭建的軟件也是專門開發(fā)的,并非流行的操作系統(tǒng),因而可以達(dá)到較好的安全性能保障。但無論是哪種硬件防火墻,管理員都可以通過計算機(jī)連接上去設(shè)置工作參數(shù)。由于硬件防火墻的主要作用是把傳入的數(shù)據(jù)報文進(jìn)行過濾處理后轉(zhuǎn)發(fā)到位于防火墻后面的網(wǎng)絡(luò)中,因此它自身的硬件規(guī)格也是分檔次的,盡管硬件防火墻已經(jīng)足以實現(xiàn)比較高的信息處理效率,但是在一些對數(shù)據(jù)吞吐量要求很高的網(wǎng)絡(luò)里,檔次低的防火墻仍然會形成瓶頸,所以對于一些大企業(yè)而言,芯片級的硬件防火墻才是他們的首選。 `
有人也許會這么想,既然PC架構(gòu)的防火墻也不過如此,那么購買這種防火墻還不如自己找技術(shù)人員專門騰出一臺計算機(jī)來做防火墻方案了。雖然這樣做也是可以的,但是工作效率并不能和真正的PC架構(gòu)防火墻相比,因為PC架構(gòu)防火墻采用的是專門修改簡化過的系統(tǒng)和相應(yīng)防火墻程序,比一般計算機(jī)系統(tǒng)和軟件防火墻更高度緊密集合,而且由于它的工作性質(zhì)決定了它要具備非常高的穩(wěn)定性、實用性和非常高的系統(tǒng)吞吐性能,這些要求并不是安裝了多網(wǎng)卡的計算機(jī)就能簡單替代的,因此PC架構(gòu)防火墻雖然是與計算機(jī)差不多的配置,價格卻相差很大。
現(xiàn)實中我們往往會發(fā)現(xiàn),并非所有企業(yè)都架設(shè)了芯片級硬件防火墻,而是用PC架構(gòu)防火墻甚至前面提到的計算機(jī)替代方案支撐著,為什么?這大概就是硬件防火墻最顯著的缺點了:它太貴了!購進(jìn)一臺PC架構(gòu)防火墻的成本至少都要幾千元,高檔次的芯片級防火墻方案更是在十萬元以上,這些價格并非是小企業(yè)所能承受的,而且對于一般家庭用戶而言,自己的數(shù)據(jù)和系統(tǒng)安全也無需專門用到一個硬件設(shè)備去保護(hù),何況為一臺防火墻投入的資金足以讓用戶購買更高檔的電腦了,因而廣大用戶只要安裝一種好用的軟件防火墻就夠了。
為防火墻分類的方法很多,除了從形式上把它分為軟件防火墻和硬件防火墻以外,還可以從技術(shù)上分為“包過濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類;從結(jié)構(gòu)上又分為單一主機(jī)防火墻、路由集成式防火墻和分布式防火墻三種;按工作位置分為邊界防火墻、個人防火墻和混合防火墻;按防火墻性能分為百兆級防火墻和千兆級防火墻兩類……雖然看似種類繁多,但這只是因為業(yè)界分類方法不同罷了,例如一臺硬件防火墻就可能由于結(jié)構(gòu)、數(shù)據(jù)吞吐量和工作位置而規(guī)劃為“百兆級狀態(tài)監(jiān)視型邊界防火墻”,因此這里主要介紹的是技術(shù)方面的分類,即“包過濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視型”防火墻技術(shù)。
那么,那些所謂的“邊界防火墻”、“單一主機(jī)防火墻”又是什么概念呢?所謂“邊界”,就是指兩個網(wǎng)絡(luò)之間的接口處,工作于此的防火墻就被稱為“邊界防火墻”;與之相對的有“個人防火墻”,它們通常是基于軟件的防火墻,只處理一臺計算機(jī)的數(shù)據(jù)而不是整個網(wǎng)絡(luò)的數(shù)據(jù),現(xiàn)在一般家庭用戶使用的軟件防火墻就是這個分類了。而“單一主機(jī)防火墻”呢,就是我們最常見的一臺臺硬件防火墻了;一些廠商為了節(jié)約成本,直接把防火墻功能嵌進(jìn)路由設(shè)備里,就形成了路由集成式防火墻……