首页 理论教育 计算机网络防火墙体系结构

计算机网络防火墙体系结构

时间:2023-11-05 理论教育 版权反馈
【摘要】:图10-13 防火墙示意图2.防火墙常见体系结构防火墙系统通常由屏蔽路由器和代理服务器组成。目前广泛采用双宿主机网关防火墙、屏蔽主机型防火墙及被屏蔽子网型防火墙。这是传统边界式防火墙不具有的,是对传统边界式防火墙在安全体系方面的完善。

计算机网络防火墙体系结构

1.防火墙的定义

防火墙概念源于建筑工程学,是用不可燃烧材料砌筑的墙,设在建筑物的两端或在建筑物内将建筑物分割成区段,以防止火灾蔓延。在计算机网络领域,防火墙是设置在被保护网络与外部网络之间的一道屏障。

防火墙是位于内部网络与外部网络之间或两个信任程度不同的网络之间(如企业内网和互联网)的软件或硬件设备的组合。防火墙对两网间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限,防止对重要信息资源非法存取与访问,达到保护网络系统安全的目的。图10-13为防火墙示意图

978-7-111-43162-6-Chapter10-14.jpg

图10-13 防火墙示意图

2.防火墙常见体系结构

防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口IP路由器,通过对每一个到来的IP包根据事先制定的规则进行检查,判断是否对该包进行转发。屏蔽路由器从包头取得信息,如协议号、收发报文的IP地址端口号、连接标志及某些端口选项,对IP包进行过滤。屏蔽路由器又称包过滤路由器,结构简单且成本较低,但正确建立包过滤的规则较困难,管理成本高,并缺乏用户级别的身份认证等。防火墙要求所有报文都必须在此通过检查,除路由功能外,还可利用包过滤规则完成基本防火墙功能。

屏蔽路由器可由专门的路由器实现,或通过配置主机实现。主机配置的缺点:没有或很少日志记录功能,网管员较难确定系统是否正被入侵或已被入侵;规则表随应用深化会变大且复杂;依靠单一部件保护系统,一旦部件出现问题,使网络大门敞开,而用户却不知晓。

代理服务器是防火墙系统中的一个服务器进程,能代替网络用户完成特定TCP/IP功能。一个代理服务器本质上是一个应用层网关,为特定网络应用而连接两个网络的网关。

高安全性要求,屏蔽路由器与代理服务器通常组成混合系统,形成复合型防火墙。其中屏蔽路由器主要用来防止IP欺骗攻击。

目前广泛采用双宿主机网关防火墙、屏蔽主机型防火墙及被屏蔽子网型防火墙。

(1)双宿主机网关(Dual Homed Gateway)

该配置是用一台装有两块网卡的计算机做堡垒主机,两块网卡各自与受保护网络和外部网络相连,每一块网卡都有一个IP地址。堡垒主机运行防火墙软件——代理服务器软件(应用层网关),可转发应用程序、提供服务等,因此称双宿主机网关防火墙,如图10-14所示。

应指出,在建立双宿主机网关时,应关闭操作系统路由功能,否则从一块网卡到另一块网卡的通信会绕过代理服务器软件,而使双宿主机网关失去防火墙的作用。

双宿主机网关优于屏蔽路由器的表现在于:堡垒主机的系统软件可用于维护系统日志、硬件复制日志或远程日志。这对日后检查很有用,但这不能帮助网管者确认内部网中哪些主机可能已被黑客入侵。双宿主机网关的致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则其大门敞开,任何网上用户均可随意访问内部网络。

978-7-111-43162-6-Chapter10-15.jpg

图10-14 双宿主机网关示意图

(2)屏蔽主机网关(Screened Gateway)

这种网关由屏蔽路由器和应用网关组成,屏蔽路由器作用是包过滤,应用网关作用是代理服务,即在内部网络和外部网络之间建立两道安全屏障,既实现网络层安全(包过滤),又实现应用层安全(代理服务)。屏蔽主机网关容易实现:在内部网络与互联网的交汇点,安装屏蔽路由器,同时在内网上安装堡垒主机(应用层网关)即可,如图10-15。

978-7-111-43162-6-Chapter10-16.jpg

图10-15 屏蔽主机网关示意图

应用网关只有一块网卡,因此为非双宿主机网关。该网关防火墙具双重保护,比双宿主机网关防火墙灵活,安全性高,因要求对两个部件配置协同工作,配置工作复杂。

(3)被屏蔽子网(Screened Subnet)防火墙

它是在屏蔽主机网关防火墙基础上再加一个路由器,两个屏蔽路由器放在子网的两端,形成一个被称为非军事区(阴影区域)的子网,即在内部网络和外部网络之间建立一个被隔离的子网,如图10-16所示。内部网络和外部网络均可访问被屏蔽子网,但禁止其穿过被屏蔽子网通信,像WWW和FTP服务器可放在DNZ中。有的屏蔽子网中还设有堡垒主机作为唯一可访问点,支持终端交互或者作为应用网关代理。这种配置,其危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。外部屏蔽路由器和应用网关与在屏蔽主机网关防火墙中的功能相同。内部屏蔽路由器在应用网关与受保护网络之间提供附加保护,从而形成三道防线。因此入侵者要进入受保护网络比主机过滤防火墙更困难。

3.分布式防火墙

(1)网络防火墙(Network Firewall)

网络防火墙在功能上与传统边界式防火墙类似,用于内部网与外部网之间以及内部网各子网之间的防护。与传统边界式防火墙比较,它多了一种用于对内部子网之间的安全防护层,这样整个网络安全防护体系就更加全面和更加可靠。这部分可采用纯软件实现,也可提供硬件支持。

978-7-111-43162-6-Chapter10-17.jpg

图10-16 被屏蔽子网防火墙示意图

(2)主机防火墙(Host Firewall)

主机防火墙用于对网络中的服务器和桌面机进行防护。这是传统边界式防火墙不具有的,是对传统边界式防火墙在安全体系方面的完善。主机防火墙作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。防火墙作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间,以达到应用层的安全防护,比网络层更加彻底。该部分同样也有纯软件与硬件两种产品。

(3)中心管理(Central Management)

它是一个服务器软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是一种新的防火墙管理功能,也是传统边界式防火墙所不具有的,这样防火墙可进行智能管理,提高了防火墙安全防护的灵活性。分布式防火墙由中心管理定义策略,由各分布在网络中的端点实施制定策略。中心管理通过编译器将策略语言描述转换为内部格式,形成策略文件,然后中心管理采用系统管理工具把策略文件分发各“内部”主机,“内部”主机将从两方面判定是否接受收到的包,一是根据IP安全协议,二是根据服务器端的策略文件。

(4)分布式防火墙特点(www.xing528.com)

●主机驻留。采用主机驻留方式(也称主机防火墙)。其重要特征是驻留在被保护的主机(关键服务器、数据及工作站)上,该主机以外的网络不管是处在网络内部还是网络外部都认为不可信任,因此可针对该主机上运行的具体应用和对外提供的服务设定针对性强的安全策略。对Web服务器,分布式防火墙配置后能阻止一些非必要的协议,如HTTP和HTTPs之外的协议通过,阻止非法入侵发生,同时还具有入侵检测及防护功能。这一特点使安全策略不仅停留在网与网之间,而且还将安全策略推广延伸到每个网络末端。

●嵌入操作系统内核。这主要针对目前纯软件分布式防火墙而言。操作系统自身存在安全漏洞,运行其上的应用软件无一不受到威胁。为了彻底堵住操作系统的漏洞,分布式防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,对所有的信息流进行过滤与限制,无论来自互联网或来自内网,所有数据包经检查后再提交操作系统。为实现这个机制,除防火墙自身技术外,与操作系统的技术合作也是必要条件。

●类似个人防火墙。分布式防火墙针对桌面应用的主机防火墙与个人防火墙有相似之处,如都对应个人系统,但其差别是本质性的。首先,管理方式不同,个人防火墙安全策略由系统使用者自己设置,目标为防外部攻击,而针对桌面应用的主机防火墙安全策略由整个系统的管理员统一设置,除对该桌面机起到保护作用外,也可对该桌面机的对外访问加以控制,且这种安全机制为桌面机使用者不可见和不可改动。

●适用于服务器托管。互联网和电子商务的发展促进了互联网数据中心迅速崛起,其主要业务之一就是服务器托管服务。对服务器托管用户,该服务器逻辑上是其企业网的一部分,但物理不在企业内部。对于这种应用,边界防火墙解决方案就显得比较牵强,而分布式防火墙解决方案则是典型应用。对纯软件式的分布式防火墙,用户只需在该服务器上安装主机防火墙软件,根据该服务器的应用设置安全策略即可,并可利用中心管理软件对该服务器进行远程监控,无需额外租用新的空间放置边界防火墙。对于硬件式分布式防火墙一般采用PCI卡式,兼做网卡用,可直接插在服务器机箱内。

●新一代防火墙技术。可在网络任何交界与结点处设置屏障,从而形成多层次、多协议,内外皆防的安全体系。分布式防火墙优势主要体现在:增加了针对主机的入侵检测和防护功能,加强了对内部攻击的防范,可实施全方位安全策略。分布式防火墙将防火墙功能分布到网络的各子网、桌面系统、移动电脑及服务器上。凭借这种端到端的安全性能,可使企业避免发生由于某一端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。由于分布式防火墙使用IP安全协议使各主机之间的通信得到保护,所以能防止各种类型的被动和主动攻击。特别在使用IP安全协议中的密码凭证来标志内部主机时,更具可信性。消除结构性瓶颈问题,提高系统性能。传统防火墙由于拥有单一接入控制点,无论对网络性能还是对网络可靠性都不利,分布式防火墙不但从根本上去除单一接入点,还可针对各服务器及终端计算机的不同需要,对防火墙进行最佳配置,充分考虑主机运行的应用,可在保障网络安全前提下大幅提高运转效率。分布式防火墙随系统扩充提供了安全防护无限扩充能力。实施主机策略,对网络中各结点可起到更安全防护。支持VPN通信,可保护在物理拓扑上不属于内网,但位于逻辑上的“内部”网络的那些主机,这种需求随VPN发展越来越多。

4.防火墙主要性能指标

防火墙主要性能指标包括9个方面:

(1)支持的局域网接口类型、数量及服务器平台

支持的LAN接口类型:防火墙所能保护网络类型,如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。

支持的最大LAN接口数:防火墙所支持局域网接口数目,也是能保护的不同内网数目。

服务器平台:防火墙所运行操作系统平台,如Linux、UNIX、Windows NT、专用O.S等。

(2)支持的协议

支持的非IP协议:除支持IP协议之外,还支持AppleTalk、IPX及NETBEUI等协议。

建立VPN通道协议:构建VPN通道所使用的协议,如密钥分配等,主要分为IPSec、PPTP、专用协议等。

在VPN中使用协议:一般指TCP/IP协议。

(3)对加密技术的支持

支持的VPN加密标准:VPN中支持的加密算法,如数据加密标准DES、3DES、RC4以及专用的加密算法。

提供基于硬件加密:提供硬件加密方法,可提供更快的加密速度和更高的加密强度。

(4)对认证技术的支持

支持的认证类型:指防火墙支持的身份认证协议。一般情况下具有一个或多个认证方案,如RADIUS、TACACS/TACACS+、口令方式、数字证书等。防火墙能为本地或远程用户提供经认证与授权的对网络资源的访问,防火墙管理员须决定客户以何种方式通过认证。

支持的认证标准和CA互操作性:厂商可选择自己的认证方案,但应符合相应国际标准,该项指所支持的标准认证协议,以及实现的认证协议是否与其他CA(公司)产品兼容互通。

(5)对访问控制技术的支持

通过防火墙的IP数据包过滤规则应易于理解,易于编辑,同时应具备一致性检测机制,防止冲突。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。在应用层提供代理支持,如HTTP、FTP、Telnet、SNMP等;在传输层提供代理支持;支持FTP文件类型过滤。用户操作的代理类型:应用层高级代理功能,如HTTP、POP3等;支持网络地址转换(AT);支持硬件口令、智能卡等比较安全的身份认证技术。

(6)对各种防御功能的支持

支持病毒扫描,提供内容过滤,能防御拒绝服务攻击(DoS),能阻止ActiveX、Java、Cookies、JavaScript入侵。能过滤用户上传的CGI、ASP等程序,当发现危险代码时,向服务器报警。

(7)对安全特性的支持

支持转发和跟踪网间控制报文协议(ICMP协议/ICMP代理)。提供入侵实时警告:当发生危险事件时,能否及时报警,报警方式可为邮件手机等。提供实时入侵防范:提供实时入侵响应功能,当发生入侵事件时,防火墙能动态响应,调整安全策略,阻挡恶意报文。

识别/记录/防止企图IP地址欺骗:防火墙应能禁止来自外网而源地址是内部IP地址的数据包通过。IP地址欺骗指使用伪装IP地址作为IP包源地址对受保护网络进行攻击的行为。

(8)管理功能

通过集成策略集中管理多个防火墙:是否支持集中管理,防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理。管理员行为主要包括:通过防火墙身份鉴别,编写防火墙安全规则,配置防火墙安全参数,查看防火墙日志等。防火墙管理一般分为本地管理、远程管理和集中管理等。提供基于时间的访问控制;支持SNMP监视和配置;本地管理(指通过防火墙Console口或防火墙提供的键盘和显示器对防火墙进行配置管理);远程管理(指通过以太网或防火墙提供广域网接口对防火墙进行管理,管理通信协议可基于FTP、Telnet、HTTP等);支持带宽管理(根据当前流量动态调整某些客户端占用带宽);负载均衡特性(可看做动态端口映射,将一外部地址的某TCP或UDP端口映射到一组内部地址的某一端口),该特性主要用于将某项服务(如HTTP)分摊到一组内部服务器上以获得平衡的负载;失败恢复特性,指支持容错技术,如双机热备、故障恢复,双电源备份等。

(9)记录和报表功能

具有处理完整日志方法:规定了对于符合条件的报文做日志,提供日志信息管理和存储;提供自动日志扫描、自动分析和扫描功能,以获得更详细的统计结果,达到事后分析、采取相应措施的目的;提供自动报表、日志报告书写器(报告功能);警告通知机制,在检测到网络入侵及设备运转异常时,通过告警通知网管员采取必要措施;提供简要报表,按用户ID或IP地址,按要求提供报表分类打印;提供实时统计,日志分析后所获智能统计结果,图表显示;列出获得有关部门许可证类别及号码(防火墙合格与销售关键要素:包括销售许可证、国家信息安全测评中心认证证书、国防通信入网证和国家保密局推荐证明等)。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈