3. 硬件防火墻的類型與選擇
國內(nèi)市場的硬件防火墻���,大部分都是"軟硬件結(jié)合的防火墻"���,即"定制機箱+X86架構(gòu)+防火墻軟件模塊"(大多數(shù)基于Linux或UNIX系統(tǒng)開發(fā))�����。其核心技術(shù)實際上仍然是軟件���,吞吐量不高,容易造成帶寬瓶頸�����。由于PC架構(gòu)本身不穩(wěn)定����,因此,往往難以適應(yīng)7*24的不間斷運行��。所以���,這種防火墻一般只能滿足中低帶寬的安全要求����,在高流量環(huán)境下往往會造成網(wǎng)絡(luò)堵塞甚至系統(tǒng)崩潰。
● 包過濾防火墻
包過濾防火墻是基于源地址和目的地址����、應(yīng)用或協(xié)議以及每個IP包的端口作出是否允許通過判斷的防火墻。路由器便是傳統(tǒng)的包過濾防火墻�,大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā),但它不能判斷出一個IP包來自何方�,去向何處。
先進的包過濾防火墻可以判斷這一點����,它可以提供內(nèi)部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容,把判斷的信息同規(guī)則表進行比較�,在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符�。如果沒有一條規(guī)則能符合,防火墻就會使用默認規(guī)則��,一般情況下���,默認規(guī)則就是要求防火墻丟棄該包���。其次,通過定義基于TCP或UDP數(shù)據(jù)包的端口號,防火墻能夠判斷是否允許建立特定的連接�,如Telnet�����、FTP連接���。
網(wǎng)絡(luò)級防火墻的優(yōu)點是簡潔、速度快�、費用低,并且對用戶透明��,缺點是對網(wǎng)絡(luò)的保護很有限��,因為它只檢查地址和端口�����,對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力���。
● 應(yīng)用網(wǎng)關(guān)防火墻
應(yīng)用網(wǎng)關(guān)能夠檢查進出的數(shù)據(jù)包����,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系��。應(yīng)用網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做較為復(fù)雜的訪問控制�,并做精細的注冊�����。但每一種協(xié)議需要相應(yīng)的代理軟件,使用時工作量大���,效率不如網(wǎng)絡(luò)級防火墻。
應(yīng)用網(wǎng)關(guān)有較好的訪問控制����,是目前最安全的防火墻技術(shù)���,但實現(xiàn)起來比較困難,而且通常對用戶缺乏透明�。另外����,用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時,經(jīng)常會發(fā)現(xiàn)存在延遲���,并且必須進行多次登錄才能訪問Internet或Intranet��,令人感到未免有些美中不足。
● 規(guī)則檢查防火墻
規(guī)則檢查防火墻集包過濾和應(yīng)用網(wǎng)關(guān)的特點于一身。與包過濾防火墻的相同之處在于�,它能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號,過濾進出的數(shù)據(jù)包�����。與應(yīng)用網(wǎng)關(guān)的相同之處在于���,它可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。
規(guī)則檢查防火墻不打破客戶機/服務(wù)機模式來分析應(yīng)用層的數(shù)據(jù),允許受信任的客戶機和不受信任的主機建立直接連接��。另外��,它也不依靠與應(yīng)用層有關(guān)的代理��,而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù),這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包�,從而在理論上比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效�����。
由于規(guī)則檢查防火墻在OSI最高層–應(yīng)用層上加密數(shù)據(jù)���,既無需修改客戶端的程序�,也無需對每個在防火墻上運行的服務(wù)額外增加一個代理,對于用戶完全透明���,所以����,目前市場上流行的防火墻大多屬于該類防火墻。
