查看單個文章
舊 2006-12-19, 02:31 PM   #1
alrex5401 帥哥
註冊會員
 
alrex5401 的頭像
榮譽勳章
UID - 83485
在線等級: 級別:25 | 在線時長:770小時 | 升級還需:10小時級別:25 | 在線時長:770小時 | 升級還需:10小時級別:25 | 在線時長:770小時 | 升級還需:10小時級別:25 | 在線時長:770小時 | 升級還需:10小時級別:25 | 在線時長:770小時 | 升級還需:10小時
註冊日期: 2003-07-05
VIP期限: 2009-03
住址: 天堂地獄
文章: 554
精華: 0
現金: 94 金幣
資產: 220667 金幣
預設 網路安全基礎:防火牆的概念及實現原理

一. 防火牆的概念

  近年來,隨著普通電腦用戶群的日益增長,“防火牆”一詞已經不再是伺服器領域的專署,大部分家庭用戶都知道為自己愛機裝設各種“防火牆”軟體了。但是,並不是所有用戶都對“防火牆”有所了解的,一部分用戶甚至認為,“防火牆”是一種軟體的名稱……

  到底什麼才是防火牆?它工作在什麼位置,起著什麼作用?查閱歷史書籍可知,古代構築和使用木制結構房屋的時候為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱為“防火牆”(FireWall)。時光飛梭,隨著電腦和網路的發展,各種攻擊入侵手段也相繼出現了,為了保護電腦的安全,人們開發出一種能阻止電腦之間直接通信的技術,並沿用了古代類似這個功能的名字--“防火牆”技術來源於此。用專業術語來說,防火牆是一種位於兩個或多個網路間,實施網路之間訪問控制的元件集合。對於普通用戶來說,所謂“防火牆”,指的就是一種被放置在自己的電腦與外界網路之間的防禦系統,從網路發往電腦的所有數據都要經過它的判斷處理後,才會決定能不能把這些數據交給電腦,一旦發現有害數據,防火牆就會攔截下來,實現了對電腦的保護功能。

防火牆技術從誕生開始,就在一刻不停的發展著,各種不同結構不同功能的防火牆,構築成網路上的一道道防禦大堤。

  二. 防火牆的分類

  世界上沒有一種事物是唯一的,防火牆也一樣,為了更有效率的對付網路上各種不同攻擊手段,防火牆也派分出幾種防禦結構。根據物理特性,防火牆分為兩大類,硬體防火牆和軟體防火牆。軟體防火牆是一種裝設在負責內外網路轉換的通訊閘伺服器或者獨立的個人電腦上的特殊程式,它是以邏輯形式存在的,防火牆程式跟隨系統啟動,透過運行在Ring0級別的特殊驅動模組把防禦機制插入系統關於網路的處理部分和網路接口設備驅動之間,形成一種邏輯上的防禦體系。

  在沒有軟體防火牆之前,系統和網路接口設備之間的通道是直接的,網路接口設備透過網路驅動程式接口(Network Driver Interface Specification,NDIS)把網路上傳來的各種報文都忠實的交給系統處理,例如一台電腦接收到請求列出機器上所有共享資源的數據報文, NDIS直接把這個報文提交給系統,系統在處理後就會返回相應數據,在某些情況下就會造成資訊洩漏。而使用軟體防火牆後,儘管NDIS接收到仍然的是原封不動的數據報文,但是在提交到系統的通道上多了一層防禦機制,所有數據報文都要經過這層機制根據一定的規則判斷處理,只有它認為安全的數據才能到達系統,其他數據則被丟棄。因為有規則提到“列出共享資源的行為是危險的”,因此在防火牆的判斷下,這個報文會被丟棄,這樣一來,系統接收不到報文,則認為什麼事情也沒發生過,也就不會把資訊洩漏出去了。

  軟體防火牆工作於系統接口與NDIS之間,用於檢查過濾由NDIS發送過來的數據,在無需改動硬體的前提下便能實現一定強度的安全保障,但是由於軟體防火牆自身屬於運行於系統上的程式,不可避免的需要佔用一部分CPU資源維持工作,而且由於數據判斷處理需要一定的時間,在一些數據流量大的網路裏,軟體防火牆會使整個系統工作效率和數據吞吐速度下降,甚至有些軟體防火牆會存在漏洞,導致有害數據可以繞過它的防禦體系,給數據安全帶來損失,因此,許多企業並不會考慮用軟體防火牆方案作為公司網路的防禦措施,而是使用看得見摸得著的硬體防火牆。

  硬體防火牆是一種以物理形式存在的專用設備,通常架設於兩個網路的駁接處,直接從網路設備上檢查過濾有害的數據報文,位於防火牆設備後端的網路或者伺服器接收到的是經過防火牆處理的相對安全的數據,不必另外分出CPU資源去進行基於軟體結構的NDIS數據偵測,可以大大提高工作效率。

  硬體防火牆一般是透過網線連接於外部網路接口與內部伺服器或企業網路之間的設備,這裡又另外派分出兩種結構,一種是普通硬體級別防火牆,它擁有標準電腦的硬體平台和一些功能經過簡化處理的UNIX系列作業系統和防火牆軟體,這種防火牆措施相當於專門拿出一台電腦裝設了軟體防火牆,除了不需要處理其他事務以外,它畢竟還是一般的作業系統,因此有可能會存在漏洞和不穩定因素,安全性並不能做到最好;另一種是所謂的“晶片”級硬體防火牆,它採用專門設計的硬體平台,在上面搭建的軟體也是專門開發的,並非流行的作業系統,因而可以達到較好的安全性能保障。但無論是哪種硬體防火牆,管理員都可以透過電腦連接上去設定工作參數。由於硬體防火牆的主要作用是把傳入的數據報文進行過濾處理後轉發到位於防火牆後面的網路中,因此它自身的硬體規格也是分檔次的,儘管硬體防火牆已經足以實現比較高的資訊處理效率,但是在一些對數據吞吐量要求很高的網路裏,檔次低的防火牆仍然會形成瓶頸,所以對於一些大企業而言,晶片級的硬體防火牆才是他們的首選。

  有人也許會這麼想,既然PC結構的防火牆也不過如此,那麼購買這種防火牆還不如自己找技術人員專門騰出一台電腦來做防火牆方案了。雖然這樣做也是可以的,但是工作效率並不能和真正的PC結構防火牆相比,因為PC結構防火牆採用的是專門修改簡化過的系統和相應防火牆程式,比一般電腦系統和軟體防火牆更高度緊密集合,而且由於它的工作性質決定了它要具備非常高的穩定性、實用性和非常高的系統吞吐性能,這些要求並不是裝設了多網卡的電腦就能簡單替代的,因此PC結構防火牆雖然是與電腦差不多的配置,價格卻相差很大。

  現實中我們往往會發現,並非所有企業都架設了晶片級硬體防火牆,而是用PC結構防火牆甚至前面提到的電腦替代方案支撐著,為什麼?這大概就是硬體防火牆最顯著的缺點了:它太貴了!購進一台PC結構防火牆的成本至少都要幾千元,高級次的晶片級防火牆方案更是在十萬元以上,這些價格並非是小企業所能承受的,而且對於一般家庭用戶而言,自己的數據和系統安全也無需專門用到一個硬體設備去保護,何況為一台防火牆投入的資金足以讓用戶購買更高級的電腦了,因而廣大用戶只要裝設一種好用的軟體防火牆就夠了。

  為防火牆分類的方法很多,除了從形式上把它分為軟體防火牆和硬體防火牆以外,還可以從技術上分為“包過濾型”、“應用代理型”和“狀態監視”三類;從結構上又分為單一主機防火牆、路由集成式防火牆和分散式防火牆三種;按工作位置分為邊界防火牆、個人防火牆和混合防火牆;按防火牆性能分為百兆級防火牆和千兆級防火牆兩類……雖然看似種類繁多,但這只是因為業界分類方法不同罷了,例如一台硬體防火牆就可能由於結構、數據吞吐量和工作位置而規劃為“百兆級狀態監視型邊界防火牆”,因此這裡主要介紹的是技術方面的分類,即“包過濾型”、“應用代理型”和“狀態監視型”防火牆技術。

  那麼,那些所謂的“邊界防火牆”、“單一主機防火牆”又是什麼概念呢?所謂“邊界”,就是指兩個網路之間的接口處,工作於此的防火牆就被稱為 “邊界防火牆”;與之相對的有“個人防火牆”,它們通常是基於軟體的防火牆,隻處理一台電腦的數據而不是整個網路的數據,現在一般家庭用戶使用的軟體防火牆就是這個分類了。而“單一主機防火牆”呢,就是我們最常見的一台台硬體防火牆了;一些廠商為了節約成本,直接把防火牆功能嵌進路由設備裏,就形成了路由集成式防火牆……
alrex5401 目前離線  
送花文章: 538, 收花文章: 71 篇, 收花: 406 次
有 2 位會員向 alrex5401 送花:
mingjei7 (2009-07-03),mozillaya (2008-03-04)
感謝您發表一篇好文章