1.防火墻在OSI/RM中的位置
防火墻是設(shè)置在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的�����、潛在破壞性的侵入�����,它可通過(guò)監(jiān)測(cè)��、限制���、更改跨越防火墻的數(shù)據(jù)源��,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部信息�、結(jié)構(gòu)和運(yùn)行狀況����,以此來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
在OSI/RM參考模型中����,數(shù)據(jù)包過(guò)濾方式如圖1所示。代理服務(wù)方式如圖2所示�。
2 .防火墻的發(fā)展史
目前�����,防火墻的發(fā)展過(guò)程大致分為5代���。
● 第一代防火墻:第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn),采用了包過(guò)濾(packetfilter)技術(shù)����。
● 第二、三代防火墻:1989年����,貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了第二代防火墻,即電路層防火墻�,同時(shí)提出了第三代防火墻一應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。
● 第四代防火墻:1992年�����,USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾(dynamicpacketfilter)技術(shù)第四代防火墻��,后業(yè)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視(statefulinspection)技術(shù)���。1994年�,以色列的Checkpoint公司開(kāi)發(fā)出了第一個(gè)基于這種技術(shù)的商業(yè)化的產(chǎn)品。
● 第五代防火墻:1998年�����,NAI公司推出了一種自適應(yīng)代理(adaptiveproxy)的技術(shù)��,并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)�,給代理類(lèi)型的防火墻賦予了全新的意義���,可以稱為第五代防火墻����。
從發(fā)展過(guò)程來(lái)看:防火墻從包過(guò)濾方式到今天的狀態(tài)檢測(cè)��。
從技術(shù)角度來(lái)看:防火墻是作為一種連接內(nèi)部網(wǎng)絡(luò)和公眾網(wǎng)的網(wǎng)關(guān)���,提供對(duì)內(nèi)部網(wǎng)絡(luò)連接的訪問(wèn)控制能力��。它能根據(jù)預(yù)先定義的安全策略���,允許合法連接進(jìn)入內(nèi)部網(wǎng),阻止非法連接�。防火墻的基本功能包括:訪問(wèn)控制��、數(shù)據(jù)過(guò)濾���、身份驗(yàn)證、告警����、日志和審計(jì)。
防火墻技術(shù)經(jīng)歷了以下幾個(gè)方面��。
1) 包過(guò)濾防火墻(packetfilterfirewall).
包過(guò)濾防火墻是最早的防火墻技術(shù)��,它根據(jù)數(shù)據(jù)包頭信息和過(guò)濾規(guī)則阻止或允許數(shù)據(jù)包通過(guò)防火墻�。當(dāng)數(shù)據(jù)包到達(dá)防火墻時(shí)、防火墻檢查數(shù)據(jù)包包頭的源地址�����、目的地址�����、源端口����、目的端口及其協(xié)議類(lèi)型����。若是可信連接���,就允許通過(guò);否則丟棄數(shù)據(jù)包��。但它有自身的弱點(diǎn)��,因此它一般用于對(duì)安全性要求不高���、要求高速處理數(shù)據(jù)的網(wǎng)絡(luò)路由器上��,如表所示��。
2)應(yīng)用代理防火墻(applicationproxy firewall)���。
應(yīng)用代理防火墻檢查數(shù)據(jù)包的應(yīng)用數(shù)據(jù),并且保持完整的連接狀態(tài)��,它能夠分析不同協(xié)議的完整的命令集�����,根據(jù)安全規(guī)則禁止或允許某些特殊的協(xié)議命令;還具有其他像UPL過(guò)濾���、數(shù)據(jù)修改����、用戶驗(yàn)證�����、日志等功能�����。
應(yīng)用代理防火墻包含三個(gè)模塊:代理服務(wù)器����、代理客戶和協(xié)議分析模塊。這種防火墻在通信中執(zhí)行二傳手的角色�����,很好地從Internet中隔離出受信網(wǎng)絡(luò)�����,不允許受信網(wǎng)絡(luò)和不受信網(wǎng)絡(luò)之間的直接通信,獲得很高的安全�����。但是由于所有的數(shù)據(jù)包都要經(jīng)過(guò)防火墻TCP/IP協(xié)議棧并返回�,因此處理速度較慢,其優(yōu)缺點(diǎn)如表所示����。
3)入侵狀態(tài)檢測(cè)防火墻(statefulinspection firewall).
入侵狀態(tài)檢測(cè)防火墻也叫自適應(yīng)防火墻�,或動(dòng)態(tài)包過(guò)濾防火墻,Checkpoint公司的FireWall-1就是基于這種技術(shù)���。它根據(jù)過(guò)去的通信信息和其他應(yīng)用程序獲得的狀態(tài)信息來(lái)動(dòng)態(tài)生成過(guò)濾規(guī)則����,根據(jù)新生成的過(guò)濾規(guī)則過(guò)濾新的通信�。當(dāng)新的通信結(jié)束時(shí),新生成的過(guò)濾規(guī)則將自動(dòng)從規(guī)則表中被刪除�����。這種類(lèi)型防火墻的主要優(yōu)缺點(diǎn)如表所示。
4)自適應(yīng)代理防火墻(adaptiveproxyfirewall)�、
自適應(yīng)代理防火墻整合了動(dòng)態(tài)包過(guò)濾防火墻技術(shù)和應(yīng)用代理技術(shù),本質(zhì)上是狀態(tài)檢測(cè)防火墻���。它通過(guò)應(yīng)用層驗(yàn)證新的連接�,若新的連接是合法的���,它可以被重定向到網(wǎng)絡(luò)層����。因此這種防火墻同時(shí)具有代理防火墻和狀態(tài)檢測(cè)防火墻的特性�,其優(yōu)缺點(diǎn)如表所示。
