河南省电子产品质量监督检验所 赵志强 谢利涛 马桂云
计算机防火墙分类与应用
河南省电子产品质量监督检验所 赵志强 谢利涛 马桂云
防火墙是一种位于2个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,防火墙指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据传输给计算机,一旦发现非法数据的传输,防火墙就会拦截下来,实现了对计算机的保护功能。
基于具体实现方法可以分为以下3种类型:
1.软件防火墙。防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙与其他的软件产品一样,需要先在计算机上安装并做好配置后方可使用。使用这类防火墙,需要网络管理人员对所使用的操作系统平台比较熟悉。
2.硬件防火墙。由计算机硬件、通用操作系统和防火墙软件组成。在定制的计算机硬件上,采用通用计算机系统、U盘、网卡组成的硬件平台上运行Linux、FreeBSD和Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。其特点是开发成本低、性能实用,且稳定性和扩展性较好。但是由于此类防火墙依赖操作系统内核,因此受到操作系统本身安全性的影响,处理速度较慢。
3.专用防火墙。采用通过特别优化设计的硬件体系结构,使用专用的操作系统。此类防火墙在稳定性和传输性方面有着得天独厚的优势,其速度快、处理能力强、性能高。由于采用专用操作系统,因而容易配置和管理,本身漏洞也比较少,但是扩展能力有限,价格也较高。由于专用防火墙系列化程度好,用户可以根据应用环境选择合适的产品。
1.允许网络管理员定义一个中心点来防止非法用户进入到内部网络。
2.可以很方便地监视网络的安全性,并实时报警。
3.可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的基础,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
4.是审计和记录Internet使用费用的一个最佳方法。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费结果。
早期的防火墙一般就是利用设置的条件,监测通过包的特征来决定放行或者阻止,因此包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同4层交换机仍要具备包的快速转发功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部和内部访问某些站点,限制每个IP的流量和连接数。
2.包的透明转发。事实上,由于防火墙一般架设在提供某些服务的服务器前端。用户对服务器访问的请求与服务器反馈给用户的信息,都需要经过防火墙来转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击。如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击。如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是出于效率方面的考虑,目前一般记录攻击的功能都交给IDS(入侵检测系统)来完成。
1.选择。防火墙是一类防范措施的总称,简单的防火墙可以只用路由器来实现,复杂的防火墙要用1台主机甚至1个子网来实现,它可以在IP层设置屏障,也可以用应用层软件来阻止外来攻击,所以我们要根据实际需要,对防火墙进行选择应用,技术人员的任务是权衡利弊,在网络服务高效灵活、安全保障和应用成本之间找到一个“最佳平衡点”。
(1)对防火墙的主要类型和各种类型的优缺点要有所了解。
(2)防火墙的稳定性和它所支持的平台种类。
(3)使用单位愿意为防火墙投资多少经费。
(4)使用单位的技术力量如何,能否维护复杂的防火墙。
2.管理和维护。选择、安装适合的防火墙后,我们还要对防火墙进行管理和维护。
(1)管理维护人员必须经过一定的专业培训,对单位自身的网络必须有一个清楚的了解和认识。
(2)定期进行扫描和检测,以便及时发现问题和堵住漏洞。
(3)保证系统监控和防火墙通信线路的畅通,发生安全问题时及时报警,并及时处理有关安全问题。
(4)分清工作重点,根据不同时期进行网络安全的监控。
(5)要与厂家保持联系,以便及时获得有关升级和维护的信息。
防火墙作为维护网络安全的关键设备,在目前采用的网络安全的防范体系中,占有着举足轻重的位置。随着计算机技术的发展和网络应用的普及,越来越多的企业与个人都遭遇到不同程度的安全难题,因此市场对防火墙的设备需求和技术要求都在不断地提高。