售前電話
135-3656-7657
售前電話 : 135-3656-7657
1.防火墻在OSI/RM中的位置
防火墻是設(shè)置在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入,它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)源,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部信息、結(jié)構(gòu)和運行狀況,以此來保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
在OSI/RM參考模型中,數(shù)據(jù)包過濾方式如圖1所示。代理服務(wù)方式如圖2所示。
2 .防火墻的發(fā)展史
目前,防火墻的發(fā)展過程大致分為5代。
● 第一代防火墻:第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn),采用了包過濾(packetfilter)技術(shù)。
● 第二、三代防火墻:1989年,貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻一應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。
● 第四代防火墻:1992年,USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(dynamicpacketfilter)技術(shù)第四代防火墻,后業(yè)演變?yōu)槟壳八f的狀態(tài)監(jiān)視(statefulinspection)技術(shù)。1994年,以色列的Checkpoint公司開發(fā)出了第一個基于這種技術(shù)的商業(yè)化的產(chǎn)品。
● 第五代防火墻:1998年,NAI公司推出了一種自適應(yīng)代理(adaptiveproxy)的技術(shù),并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn),給代理類型的防火墻賦予了全新的意義,可以稱為第五代防火墻。
從發(fā)展過程來看:防火墻從包過濾方式到今天的狀態(tài)檢測。
從技術(shù)角度來看:防火墻是作為一種連接內(nèi)部網(wǎng)絡(luò)和公眾網(wǎng)的網(wǎng)關(guān),提供對內(nèi)部網(wǎng)絡(luò)連接的訪問控制能力。它能根據(jù)預(yù)先定義的安全策略,允許合法連接進(jìn)入內(nèi)部網(wǎng),阻止非法連接。防火墻的基本功能包括:訪問控制、數(shù)據(jù)過濾、身份驗證、告警、日志和審計。
防火墻技術(shù)經(jīng)歷了以下幾個方面。
1) 包過濾防火墻(packetfilterfirewall).
包過濾防火墻是最早的防火墻技術(shù),它根據(jù)數(shù)據(jù)包頭信息和過濾規(guī)則阻止或允許數(shù)據(jù)包通過防火墻。當(dāng)數(shù)據(jù)包到達(dá)防火墻時、防火墻檢查數(shù)據(jù)包包頭的源地址、目的地址、源端口、目的端口及其協(xié)議類型。若是可信連接,就允許通過;否則丟棄數(shù)據(jù)包。但它有自身的弱點,因此它一般用于對安全性要求不高、要求高速處理數(shù)據(jù)的網(wǎng)絡(luò)路由器上,如表所示。
2)應(yīng)用代理防火墻(applicationproxy firewall)。
應(yīng)用代理防火墻檢查數(shù)據(jù)包的應(yīng)用數(shù)據(jù),并且保持完整的連接狀態(tài),它能夠分析不同協(xié)議的完整的命令集,根據(jù)安全規(guī)則禁止或允許某些特殊的協(xié)議命令;還具有其他像UPL過濾、數(shù)據(jù)修改、用戶驗證、日志等功能。
應(yīng)用代理防火墻包含三個模塊:代理服務(wù)器、代理客戶和協(xié)議分析模塊。這種防火墻在通信中執(zhí)行二傳手的角色,很好地從Internet中隔離出受信網(wǎng)絡(luò),不允許受信網(wǎng)絡(luò)和不受信網(wǎng)絡(luò)之間的直接通信,獲得很高的安全。但是由于所有的數(shù)據(jù)包都要經(jīng)過防火墻TCP/IP協(xié)議棧并返回,因此處理速度較慢,其優(yōu)缺點如表所示。
3)入侵狀態(tài)檢測防火墻(statefulinspection firewall).
入侵狀態(tài)檢測防火墻也叫自適應(yīng)防火墻,或動態(tài)包過濾防火墻,Checkpoint公司的FireWall-1就是基于這種技術(shù)。它根據(jù)過去的通信信息和其他應(yīng)用程序獲得的狀態(tài)信息來動態(tài)生成過濾規(guī)則,根據(jù)新生成的過濾規(guī)則過濾新的通信。當(dāng)新的通信結(jié)束時,新生成的過濾規(guī)則將自動從規(guī)則表中被刪除。這種類型防火墻的主要優(yōu)缺點如表所示。
4)自適應(yīng)代理防火墻(adaptiveproxyfirewall)、
自適應(yīng)代理防火墻整合了動態(tài)包過濾防火墻技術(shù)和應(yīng)用代理技術(shù),本質(zhì)上是狀態(tài)檢測防火墻。它通過應(yīng)用層驗證新的連接,若新的連接是合法的,它可以被重定向到網(wǎng)絡(luò)層。因此這種防火墻同時具有代理防火墻和狀態(tài)檢測防火墻的特性,其優(yōu)缺點如表所示。