防火墙类型及主要优缺点.docxVIP

防火墙的类型 概念以及主要优缺点2008年10月27日 星期一 下午 03:22什么是防火墙　对于企业的网络而言，未加特别安全保护而放置在internet上，危险性是显而易见的。随着决策层对安全认识的逐步加强，防火墙，作为一种应用非常广泛，技术相对比较成熟的网络安全产品也在不同的企业愈来愈多的得到了重视。然而一个现实的问题是目前关于防火墙的名词以及厂家基于商业目的宣称花样为数众多，这就给使用者选择和应用防火墙带来了一定的误解和困难。那么什么是防火墙，主要的防火墙之间如何区别呢？　对于防火墙的概念，我们可以这样理解：防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙的最主要功能就是屏蔽和允许指定的数据通讯，而该功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通讯的合法性。　那么如何理解种类众多的防火墙呢，下面来做个介绍。防火墙的类型　如果我们从OSI分层模式来考察及分类防火墙，会比较容易的把握住防火墙的脉络，个人认为，目前主要的防火墙可以分为三类，它们分别是： 包过滤防火墙、基于状态的包过滤防火墙、应用代理（网关）防火墙，而由这三类防火墙可以推导和演绎出其它可能的变化。 　下面我们来逐一说明。包过滤防火墙　首先，我们要提到的是最基本的报文过滤的防火墙，这个层次的防火墙通常工作在OSI的三层及三层以下，由此我们可以看出，可控的内容主要包括报文的源地址、报文的目标地址、服务类型，以及第二层数据链路层可控的MAC地址等。除此以外，随着包过滤防火墙的发展，部分OSI四层的内容也被包括进来，如报文的源端口和目的端口。　本层次最常见的实际应用的例子就是互联网上的路由设备，比如常见的cisco路由器，使用者可以通过定制访问控制列（ACL）来对路由器进出端口的数据包进行控制，如针对rfc1918的保留地址进屏蔽，在路由器上可以进行如下配置：interface xip access-group 101 inaccess-list 101 deny ip 55 anyaccess-list 101 deny ip 55 anyaccess-list 101 deny ip 55 anyaccess-list 101 permit ip any any　从上面这个例子可以很明显的看出，路由器这里的配置完全是针对OSI的三层ip地址，也就是ip的包头进行过滤，至于这些IP数据包里携带的具体有什么内容，路由器完全不会去关心。　由此考虑一下，我们就不难看出这个层次的防火墙的优点和弱点：　1. 基于报文过滤的防火墙一个非常明显的优势就是速度，这是因为防火墙只是去检察数据包的包头，而对数据包所携带的内容没有任何形式的检查，因此速度非常快。 　2. 还有一个比较明显的好处是，对用户而言，包过滤防火墙是透明的，无需用户端进行任何配置。 　包过滤防火墙的特性决定了它很适合放在局域网的前端，由它来完成整个安全工作环节中的数据包前期处理工作，如：控制进入局域网的数据包的可信任ip，对外界开放尽量少的端口等。与此同时，这种防火墙的弊端也是显而易见的，比较关键的几点包括：　1. 由于无法对数据包及上层的内容进行核查，因此无法过滤审核数据包的内容。体现这一问题的一个很简单的例子就是：对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被放开，即使通过防火墙的数据包有攻击性，也无法进行控制和阻断。比如针对微软IIS漏洞的Unicode攻击，因为这种攻击是走的防火墙所允许的80端口，而包过滤的防火墙无法对数据包内容进行核查，因此此时防火墙等同于虚设，未打相应patch的提供web服务的系统，即使在防火墙的屏障之后，也会被攻击者轻松拿下超级用户的权限。 　2. 由于此种类型的防火墙工作在较低层次，防火墙本身所能接触到的信息较少，所以它无法提供描述事件细致的日志系统，此类防火墙生成的日志常常只是包括数据包捕获时间，三层的ip地址，四层的端口等非常原始的信息。我们可以先把下面要讲的ipmon的软件的日志拿来看看 Nov 23 14:13:05 y.y.y.y ipmon[10841]: 14:13:04.733237 hme0 @0:13 b x.x.x.x,4131 -y.y.y.y,3389 PR tcp len 20 48 -S IN　3. 我们可以从上面看个大概，这个防火墙于仅仅记录了11月23日14点13分防火墙block了从ip地址x.x.x.x，端口4131来的，目的端口是3389，目的ip是y.y.y.y的包头为20字节，净荷长度为28的数据包。至于这个数据包内容是什么，防火墙不会理会，这恰恰对安全管理员而言是至为关键的。因为即使一个非常优秀的系统管理员一旦陷入大量的通过/屏蔽的原始数据包信息中，往往也是难以理清头绪的，当发生