原理
至于價格高,原因在于,軟件防火牆隻有包過濾的功能,硬件防火牆中可能還有除軟件防火牆以外的其他功能,例如CF(内容過濾)IDS(入侵偵測)IPS(入侵防護)以及VPN等等的功能。
也就是說硬件防火牆是指把防火牆程序做到芯片裡面,由硬件執行這些功能,能減少CPU的負擔,使路由更穩定。
硬件防火牆是保障内部網絡安全的一道重要屏障。它的安全和穩定,直接關系到整個内部網絡的安全。因此,日常例行的檢查對于保證硬件防火牆的安全是非常重要的。
系統中存在的很多隐患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隐患,并盡可能将問題定位,方便問題的解決。
(1)包過濾防火牆
包過濾防火牆一般在路由器上實現,用以過濾用戶定義的内容,如IP地址。包過濾防火牆的工作原理是:系統在網絡層檢查數據包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴展能力強。但是,包過濾防火牆的安全性有一定的缺陷,因為系統對應用層信息無感知,也就是說,防火牆不理解通信的内容,所以可能被黑客所攻破。
圖1:包過濾防火牆工作原理圖
(2)應用網關防火牆
應用網關防火牆檢查所有應用層的信息包,并将檢查的内容信息放入決策過程,從而提高網絡的安全性。然而,應用網關防火牆是通過打破客戶機/服務器模式實現的。每個客戶機/服務器通信需要兩個連接:一個是從客戶端到防火牆,另一個是從防火牆到服務器。另外,每個代理需要一個不同的應用進程,或一個後台運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。所以,應用網關防火牆具有可伸縮性差的缺點。
(3)狀态檢測防火牆
狀态檢測防火牆基本保持了簡單包過濾防火牆的優點,性能比較好,同時對應用是透明的,在此基礎上,對于安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包,不關心數據包狀态的缺點,在防火牆的核心部分建立狀态連接表,維護了連接,将進出網絡的數據當成一個個的事件來處理。可以這樣說,狀态檢測包過濾防火牆規範了網絡層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協議上的行為。
(4)複合型防火牆
複合型防火牆是指綜合了狀态檢測與透明代理的新一代的防火牆,進一步基于ASIC架構,把防病毒、内容過濾整合到防火牆裡,其中還包括VPN、IDS功能,多單元融為一體,是一種新突破。常規的防火牆并不能防止隐蔽在網絡流量裡的攻擊,在網絡界面對應用層掃描,把防病毒、内容過濾與防火牆結合起來,這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的内容掃描,實現了實時在網絡邊緣部署病毒防護、内容過濾等應用層服務措施。
3、四類防火牆的對比
包過濾防火牆:包過濾防火牆不檢查數據區,包過濾防火牆不建立連接狀态表,前後報文無關,應用層控制很弱。
應用網關防火牆:不檢查IP、TCP報頭,不建立連接狀态表,網絡層保護比較弱。
狀态檢測防火牆:不檢查數據區,建立連接狀态表,前後報文相關,應用層控制很弱。
複合型防火牆:可以檢查整個數據包内容,根據需要建立連接狀态表,網絡層保護強,應用層控制細,會話控制較弱。
4、防火牆術語
網關:在兩個設備之間提供轉發服務的系統。網關是互聯網應用程序在兩台主機之間處理流量的防火牆。這個術語是非常常見的。
DMZ非軍事化區:為了配置管理方便,内部網中需要向外提供服務的服務器往往放在一個單獨的網段,這個網段便是非軍事化區。防火牆一般配備三塊網卡,在配置時一般分别分别連接内部網,internet和DMZ。
吞吐量:網絡中的數據是由一個個數據包組成,防火牆對每個數據包的處理要耗費資源。吞吐量是指在不丢包的情況下單位時間内通過防火牆的數據包數量。這是測量防火牆性能的重要指标。
最大連接數:和吞吐量一樣,數字越大越好。但是最大連接數更貼近實際網絡情況,網絡中大多數連接是指所建立的一個虛拟通道。防火牆對每個連接的處理也好耗費資源,因此最大連接數成為考驗防火牆這方面能力的指标。
數據包轉發率:是指在所有安全規則配置正确的情況下,防火牆對數據流量的處理速度。
SSL:SSL(SecureSocketsLayer)是由Netscape公司開發的一套Internet數據安全協議,當前版本為3.0。它已被廣泛地用于Web浏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位于TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。
網絡地址轉換:網絡地址轉換(NAT)是一種将一個IP地址域映射到另一個IP地址域技術,從而為終端主機提供透明路由。NAT包括靜态網絡地址轉換、動态網絡地址轉換、網絡地址及端口轉換、動态網絡地址及端口轉換、端口映射等。NAT常用于私有地址域與公用地址域的轉換以解決IP地址匮乏問題。
在防火牆上實現NAT後,可以隐藏受保護網絡的内部拓撲結構,在一定程度上提高網絡的安全性。如果反向NAT提供動态網絡地址及端口轉換功能,還可以實現負載均衡等功能。
堡壘主機:一種被強化的可以防禦進攻的計算機,被暴露于因特網之上,作為進入内部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。
基本功能
第一要素:防火牆的基本功能防火牆系統可以說是網絡的第一道防線,因此一個企業在決定使用防火牆保護内部網絡的安全時,它首先需要了解一個防火牆系統應具備的基本功能,這是用戶選擇防火牆産品的依據和前提。
第二要素:企業的特殊要求企業安全政策中往往有些特殊需求不是每一個防火牆都會提供的,這方面常會成為選擇防火牆的考慮因素之一。
内部内容
配置文件
不管你在安裝硬件防火牆的時候考慮得有多麼的全面和嚴密,一旦硬件防火牆投入到實際使用環境中,情況卻随時都在發生改變。硬件防火牆的規則總會不斷地變化和調整着,配置參數也會時常有所改變。作為網絡安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,并嚴格實施。所涉及的硬件防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬件防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正确。詳盡的安全策略應該保證硬件防火牆配置的修改工作程序化,并能盡量避免因修改配置所造成的錯誤和安全漏洞。
磁盤使用情況
如果在硬件防火牆上保留日志記錄,那麼檢查硬件防火牆的磁盤使用情況是一件很重要的事情。如果不保留日志記錄,那麼檢查硬件防火牆的磁盤使用情況就變得更加重要了。保留日志記錄的情況下,磁盤占用量的異常增長很可能表明日志清除過程存在問題,這種情況相對來說還好處理一些。在不保留日志的情況下,如果磁盤占用量異常增長,則說明硬件防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網絡安全管理人員首先需要了解在正常情況下,防火牆的磁盤占用情況,并以此為依據,設定一個檢查基線。硬件防火牆的磁盤占用量一旦超過這個基線,就意味着系統遇到了安全或其他方面的問題,需要進一步的檢查。
CPU負載
和磁盤使用情況類似,CPU負載也是判斷硬件防火牆系統運行是否正常的一個重要指标。作為安全管理人員,必須了解硬件防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。
過高的CPU負載很可能是硬件防火牆遭到DoS攻擊或外部網絡連接斷開等問題造成的。
精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日志程序、網絡分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導緻這些精靈程序不運行,還有哪些精靈程序還在運行中。
系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,并查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬件防火牆配置策略的修改中,包含對系統文件修改的記錄。
異常日志
硬件防火牆日志記錄了所有允許或拒絕的通信的信息,是主要的硬件防火牆運行狀況的信息來源。由于該日志的數據量龐大,所以,檢查異常日志通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來确定,隻有管理員定義了異常事件并進行記錄,硬件防火牆才會保留相應的日志備查。
上述6個方面的例行檢查也許并不能立刻檢查到硬件防火牆可能遇到的所有問題和隐患,但持之以恒地檢查對硬件防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來确認硬件防火牆配置的正确與否,甚至可以更進一步地采用漏洞掃描程序來進行模拟攻擊,以考核硬件防火牆的能力。
區别比較
成本
硬件防火牆是軟硬件一體的,用戶購買後不需要再投入其他費用。一般硬件防火牆的報價在1萬到2萬之間。
軟件防火牆有三方面的成本開銷:軟件的成本、安裝軟件的設備成本以及設備上操作系統的成本。WindowsServer2003價格在4400-6000之間。
備注:綜合以上的成本,要配置一套軟件防火牆按最小的網絡要求,其成本在1.0萬左右。
穩定性
穩定性能的優劣主要來自于防火牆運行平台即操作系統上。
硬件防火牆一般使用經過内核編譯後的Linux,憑借Linux本身的高可靠性和穩定性保證了防火牆整體的穩定性,Linux永遠都不會崩潰,其穩定性是由于它沒有像其他操作系統一樣内核龐大且漏洞百出。系統的穩定性主要取決于系統設計的結構。
計算機硬件的結構自從1981設計開始就沒有作特别大的改動,而連續向後兼容性使那些編程風格極差的應用軟件勉強移植到Windows的最新版本,這種将就的軟件開發模式極大地阻礙了系統穩定性的發展。最令人注目的Linux開放源代碼的開發模式,它保證了任何系統的漏洞都能被及時發現和修正。
Linux采取了許多安全技術措施,包括對讀、寫進行權限控制、帶保護的子系統、審計跟蹤、核心授權等,這為網絡多用戶環境中的用戶提供了必要的安全保障。
軟件防火牆一般要安裝在windows平台上,實現簡單,但同時由于windows本身的漏洞和不穩定性帶來了軟件防火牆的安全性和穩定性的問題。雖然Microsoft也在努力的彌補這些問題,Windows2003server本身的漏洞就比前期的WindowsNT少了很多,但與Linux比起來還是漏洞倍出。
在病毒侵害方面,從linux發展到如今,Linux幾乎不感染病毒。而作為Windows平台下的病毒我們就不必多說了,隻要是使用過電腦的人都有感受。像近幾個月以來在内網中廣泛傳播的ARP欺騙病毒,造成了内網不穩定、網絡時斷時序、經常掉線,無法開展正常的工作,使得很多的網絡管理人員束手無策。
主要指标
吞吐量和報文轉發率是關系防火牆應用的主要指标,硬件防火牆的硬件設備是經專業廠商定制的,在定制之初就充分考慮了吞吐量的問題,在這一點上遠遠勝于軟件防火牆,因為軟件防火牆的硬件是用戶自己選擇的很多情況下都沒有考慮吞吐量的問題,況且windows系統本身就很耗費硬件資源,其吞吐量和處理大數據流的能力遠不及硬件防火牆,這一點是不言而喻的。吞吐量太小的話,防火牆就是網絡的瓶頸,會帶來網絡速度慢、上網帶寬不夠等等問題。
工作原理
軟件防火牆一般可以是包過濾機制。包過濾過濾規則簡單,隻能檢查到第三層網絡層,隻對源或目的IP做檢查,防火牆的能力遠不及狀态檢測防火牆,連最基本的黑客攻擊手法IP僞裝都無法解決,并且要對所經過的所有數據包做檢查,所以速度比較慢。硬件防火牆主要采用第四代狀态檢測機制。
狀态檢測是在通信發起連接時就檢查規則是否允許建立連接,然後在緩存的狀态檢測表中添加一條記錄,以後就不必去檢查規則了隻要查看狀态監測表就OK了,速度上有了很大的提升。因其工作的層次有了提高,其防黑功能比包過濾強了很多,狀态檢測防火牆跟蹤的不僅是包中包含的信息。為了跟蹤包的狀态,防火牆還記錄有用的信息以幫助識别包,例如已有的網絡連接、數據的傳出請求等。
例如,如果傳入的包包含視頻數據流,而防火牆可能已經記錄了有關信息,防火牆進行匹配,包就可以被允許通過。。
硬件防火牆比軟件防火牆在實現的機制上有很大的不同,也帶來了軟硬件防火牆在防黑能力上很大差異。
内網控制
軟件防火牆由于本身的工作原理造成了它不具備内網具體化的控制管理,比如,不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對具體的IP和MAC做上網控制等,其主要的功能在于對外。
硬件防火牆在基于狀态檢測的機制上,安全廠商又可以根據市場的不同需求開發應用層過濾規則,來滿足對内網的控制,能夠在高層進行過濾,做到了軟件防火牆不能做到的很多事。尤其是流行的ARP病毒,硬件防火牆針對其入侵的原理,做了相應的策略,徹底解除了ARP病毒的危害。
網絡安全(防火牆)已經不僅僅局限于對外的防止黑客攻擊上,更多的企業内部網絡經常存在諸如上網速度慢、時斷時序、郵件收發不正常等問題。我們分析其主要的原因,在于内網用戶的使用問題,很多的用戶上班時間使用BT下載、浏覽一些不正規的網站,這樣都會引起内網的諸多問題,比如病毒,很多病毒傳播都是使用者不良行為而造成的。所以說内網用戶的控制和管理是非常必要的。
