《深入分析防火墙的原理与实现》由会员分享,可在线阅读,更多相关《深入分析防火墙的原理与实现(7页珍藏版)》请在金锄头文库上搜索。
1、进一步分析防火墙的原理与实现一、防火墙的概念 近年来,随着一般计算机顾客群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭顾客都懂得为自己爱机安装多种“防火墙”软件了。但是,并不是所有顾客都对“防火墙”有所理解的,一部分顾客甚至觉得,“防火墙”是一种软件的名称究竟什么才是防火墙?它工 作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制构造房屋的时候为避免火灾的发生和蔓延,人们将结实的石块堆砌在房屋周边作为屏障,这种防护构筑物就被称为“防火墙”(rell)。时光飞梭,随着计算机和网络的发展,多种袭击入侵手段也相继浮现了,为了保护计算机的安全,人们开发出一种能制止计算
2、机之间直接通信的技术,并沿用了古代类似这个功能的名字“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多种网络间,实行网络之间访问控制的组件集合。对于一般顾客来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要通过它的判断解决后,才会决定能不能把这些数据交给计算机,一旦发既有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不断的发展着,多种不同构造不同功能的防火墙,构筑成网络上的一道道防御大堤。二. 防火墙的分类世界上没有一种事物是唯一的,防火墙也同样,为了更有效率的对付网络上多种不同袭
3、击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运营在rng级别的特殊驱动模块把防御机制插入系统有关网络的解决部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(erk ri intace sfication,ns)把网络上传来的多种报文都忠实的交给系统解决,例如一台计算机接受到祈求列出机器上所有共享资源的数据报文,nds
4、直接把这个报文提交给系统,系统在解决后就会返回相应数据,在某些状况下就会导致信息泄漏。而使用软件防火墙后,尽管ndis接受到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要通过这层机制根据一定的规则判断解决,只有它觉得安全的数据才干达到系统,其她数据则被丢弃。由于有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接受不到报文,则觉得什么事情也没发生过,也就不会把信息泄漏出去了。 软件防火墙工作于系统接口与ndis之间,用于检查过滤由ndi发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于
5、软件防火墙自身属于运营于系统上的程序,不可避免的需要占用一部分cu资源维持工作,并且由于数据判断解决需要一定的时间,在某些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多公司并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。硬件防火墙是一种以物理形式存在的专用设备,一般架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接受到的是通过防火墙解决的相对安全的数据,不必此外分出c资源去进行基于软件架构的n
6、ds数据检测,可以大大提高工作效率。硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或公司网络之间的设备,这里又此外派分出两种构造,一种是一般硬件级别防火墙,它拥有原则计算机的硬件平台和某些功能通过简化解决的ui系列操作系统和防火墙软件,这种防火墙措施相称于专门拿出一台计算机安装了软件防火墙,除了不需要解决其她事务以外,它毕竟还是一般的操作系统,因此有也许会存在漏洞和不稳定因素,安全性并不能做到最佳;另一种是所谓的“芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙,管理员都可以通过计算
7、机连接上去设立工作参数。由于硬件防火墙的重要作用是把传入的数据报文进行过滤解决后转发到位于防火墙背面的网络中,因此它自身的硬件规格也是分档次的,尽管硬件防火墙已经足以实现比较高的信息解决效率,但是在某些对数据吞吐量规定很高的网络里,档次低的防火墙仍然会形成瓶颈,因此对于某些大公司而言,芯片级的硬件防火墙才是她们的首选。有人也许会这样想,既然架构的防火墙也但是如此,那么购买这种防火墙还不如自己找技术人员专门腾出一台计算机来做防火墙方案了。虽然这样做也是可以的,但是工作效率并不能和真正的c架构防火墙相比,由于pc架构防火墙采用的是专门修改简化过的系统和相应防火墙程序,比一般计算机系统和软件防火墙更
8、高度紧密集合,并且由于它的工作性质决定了它要具有非常高的稳定性、实用性和非常高的系统吞吐性能,这些规定并不是安装了多网卡的计算机就能简朴替代的,因此pc架构防火墙虽然是与计算机差不多的配备,价格却相差很大。 现实中我们往往会发现,并非所有公司都架设了芯片级硬件防火墙,而是用架构防火墙甚至前面提到的计算机替代方案支撑着,为什么?这大概就是硬件防火墙最明显的缺陷了:它太贵了!购进一台pc架构防火墙的成本至少都要几千元,高档次的芯片级防火墙方案更是在十万元以上,这些价格并非是小公司所能承受的,并且对于一般家庭顾客而言,自己的数据和系统安全也无需专门用到一种硬件设备去保护,何况为一台防火墙投入的资金足
9、以让顾客购买更高档的电脑了,因而广大顾客只要安装一种好用的软件防火墙就够了。为防火墙分类的措施诸多,除了从形式上把它分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类;从构造上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;按工作位置分为边界防火墙、个人防火墙和混合防火墙;按防火墙性能分为百兆级防火墙和千兆级防火墙两类虽然看似种类繁多,但这只是由于业界分类措施不同罢了,例如一台硬件防火墙就也许由于构造、数据吞吐量和工作位置而规划为“百兆级状态监视型边界防火墙”,因此这里重要简介的是技术方面的分类,即“包过滤型”、“应用代理型”和“状态监视
10、型”防火墙技术。 那么,那些所谓的“边界防火墙”、“单一主机防火墙”又是什么概念呢?所谓“边界”,就是指两个网络之间的接口处,工作于此的防火墙就被称为“边界防火墙”;与之相对的有“个人防火墙”,它们一般是基于软件的防火墙,只解决一台计算机的数据而不是整个网络的数据,目前一般家庭顾客使用的软件防火墙就是这个分类了。而“单一主机防火墙”呢,就是我们最常用的一台台硬件防火墙了;某些厂商为了节省成本,直接把防火墙功能嵌进路由设备里,就形成了路由集成式防火墙三. 防火墙技术老式意义上的防火墙技术分为三大类,“包过滤”(packilting)、“应用代理”(plicationproy)和“状态监视”(st
11、atul inpeio),无论一种防火墙的实现过程多么复杂,归根结底都是在这三种技术的基本上进行功能扩展的。 1.包过滤技术包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”(tticaketfltng),使用包过滤技术的防火墙一般工作在oi模型中的网络层(ner layer)上,后来发展更新的“动态包过滤”(damic acket ilteing)增长了传播层(trant le),简而言之,包过滤技术工作的地方就是多种基于tp/p合同的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、合同、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则(fi
12、lein rue)进行核对,一旦发现某个包的某个或多种部分与过滤规则匹配并且条件为“制止”的时候,这个包就会被丢弃。合适的设立过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦浮现一种没有在设计人员意料之中的有害数据包祈求,整个防火墙的保护就相称于摆设了。也许你会想,让顾客自行添加不行吗?但是别忘了,我们要为是一般计算机顾客考虑,并不是所有人都理解网络合同的,如果防火墙工具浮现了过滤漏掉问题,她们只能等着被入侵了。某些公司采用定期从网络升级过滤规则的措施,这个创意固然可以以便一部分家庭顾客,但是对相对比较专业的顾客而言,却不见得就是好事,由于她们也许会有根据
13、自己的机器环境设定和改动的规则,如果这个规则刚好和升级到的规则发生冲突,顾客就该郁闷了,并且如果两条规则冲突了,防火墙该听谁的,会不会当场“死给你看”(崩溃)?也许就由于考虑到这些因素,至今我没见过有多少个产品会提供过滤规则更新功能的,这并不能和杀毒软件的病毒特性库升级原理相提并论。为理解决这种鱼与熊掌的问题,人们对包过滤技术进行了改善,这种改善后的技术称为“动态包过滤”(市场上存在一种“基于状态的包过滤防火墙”技术,即sttu-bae packetfilteig,她们其实是同一类型),与它的前辈相比,动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基本上,会对已经成功与计算机连接的报文传
14、播进行跟踪,并且判断该连接发送的数据包与否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而制止该有害数据的继续传播,但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断解决,因此与静态包过滤相比,它会减少运营效率,但是静态包过滤已经几乎退出市场了,我们能选择的,大部分也只有动态包过滤防火墙了。 基于包过滤技术的防火墙,其缺陷是很明显的:它得以进行正常工作的一切根据都在于过滤规则的实行,但是偏又不能满足建立精细规则的规定(规则数量和防火墙性能成反比),并且它只能工作于网络层和传播层,并不能判断高档合同里的数据与否有害,但
15、是由于它便宜,容易实现,因此它仍然服役在多种领域,在技术人员频繁的设立下为我们工作着。 2.应用代理技术由于包过滤技术无法提供完善的数据保护措施,并且某些特殊的报文袭击仅仅使用过滤的措施并不能消除危害(如syn袭击、cmp洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(applicaionroy)技术的防火墙诞生了。我们的读者还记得“代理”的概念吗?代理服务器作为一种为顾客保密或者突破访问限制的数据转发通道,在网络上应用广泛。我们都懂得,一种完整的代理设备涉及一种服务端和客户端,服务端接受来自顾客的祈求,调用自身的客户端模拟一种基于顾客祈求的连接到目的服
16、务器,再把目的服务器返回的数据转发给顾客,完毕一次代理工作过程。那么,如果在一台代理设备的服务端和客户端之间连接一种过滤措施呢?这样的思想便造就了“应用代理”防火墙,这种防火墙事实上就是一台小型的带有数据检测过滤功能的透明代理服务器(ranspret prox),但是它并不是单纯的在一种代理设备中嵌入包过滤技术,而是一种被称为“应用合同分析”(appcaton po alysis)的新技术。“应用合同分析”技术工作在i模型的最高层应用层上,在这一层里能接触到的所有数据都是最后形式,也就是说,防火墙“看到”的数据和我们看到的是同样的,而不是一种个带着地址端口合同等原始内容的数据包,因而它可以实现更高档的数据检测过程。整个代理防火墙把自
