3. 硬件防火墻的類型與選擇
國內(nèi)市場的硬件防火墻���,大部分都是"軟硬件結(jié)合的防火墻",即"定制機(jī)箱+X86架構(gòu)+防火墻軟件模塊"(大多數(shù)基于Linux或UNIX系統(tǒng)開發(fā))���。其核心技術(shù)實(shí)際上仍然是軟件����,吞吐量不高��,容易造成帶寬瓶頸�。由于PC架構(gòu)本身不穩(wěn)定,因此����,往往難以適應(yīng)7*24的不間斷運(yùn)行。所以����,這種防火墻一般只能滿足中低帶寬的安全要求,在高流量環(huán)境下往往會(huì)造成網(wǎng)絡(luò)堵塞甚至系統(tǒng)崩潰���。
● 包過濾防火墻
包過濾防火墻是基于源地址和目的地址�����、應(yīng)用或協(xié)議以及每個(gè)IP包的端口作出是否允許通過判斷的防火墻���。路由器便是傳統(tǒng)的包過濾防火墻,大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā),但它不能判斷出一個(gè)IP包來自何方�,去向何處。
先進(jìn)的包過濾防火墻可以判斷這一點(diǎn)����,它可以提供內(nèi)部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容,把判斷的信息同規(guī)則表進(jìn)行比較����,在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符���。如果沒有一條規(guī)則能符合��,防火墻就會(huì)使用默認(rèn)規(guī)則�����,一般情況下�����,默認(rèn)規(guī)則就是要求防火墻丟棄該包�。其次�����,通過定義基于TCP或UDP數(shù)據(jù)包的端口號,防火墻能夠判斷是否允許建立特定的連接���,如Telnet、FTP連接��。
網(wǎng)絡(luò)級防火墻的優(yōu)點(diǎn)是簡潔�、速度快、費(fèi)用低�����,并且對用戶透明��,缺點(diǎn)是對網(wǎng)絡(luò)的保護(hù)很有限���,因?yàn)樗粰z查地址和端口���,對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。
● 應(yīng)用網(wǎng)關(guān)防火墻
應(yīng)用網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包�,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系���。應(yīng)用網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議��,能夠做較為復(fù)雜的訪問控制���,并做精細(xì)的注冊����。但每一種協(xié)議需要相應(yīng)的代理軟件�����,使用時(shí)工作量大�����,效率不如網(wǎng)絡(luò)級防火墻����。
應(yīng)用網(wǎng)關(guān)有較好的訪問控制,是目前最安全的防火墻技術(shù)����,但實(shí)現(xiàn)起來比較困難,而且通常對用戶缺乏透明�����。另外,用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí)�,經(jīng)常會(huì)發(fā)現(xiàn)存在延遲,并且必須進(jìn)行多次登錄才能訪問Internet或Intranet����,令人感到未免有些美中不足��。
● 規(guī)則檢查防火墻
規(guī)則檢查防火墻集包過濾和應(yīng)用網(wǎng)關(guān)的特點(diǎn)于一身���。與包過濾防火墻的相同之處在于�����,它能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號��,過濾進(jìn)出的數(shù)據(jù)包�����。與應(yīng)用網(wǎng)關(guān)的相同之處在于�,它可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容�����,查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。
規(guī)則檢查防火墻不打破客戶機(jī)/服務(wù)機(jī)模式來分析應(yīng)用層的數(shù)據(jù)�����,允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接����。另外,它也不依靠與應(yīng)用層有關(guān)的代理�����,而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)����,這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,從而在理論上比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效���。
由于規(guī)則檢查防火墻在OSI最高層–應(yīng)用層上加密數(shù)據(jù)�����,既無需修改客戶端的程序��,也無需對每個(gè)在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理�����,對于用戶完全透明�����,所以�,目前市場上流行的防火墻大多屬于該類防火墻。
