防火墙通常位于一个网络的网关服务器的位置,它可以保护一个企业的私有网络资源免受外部网络的影响。防火墙在IT安全中扮演着一个中心的角色,它面向外部世界对企业网络起着重要的保护作用。
虽然现在有几种防火墙,但这个词基本上可被定义为存储在网关服务器上的相关安全程序的组合,这些程序共同地保护网络资源免受其它网络用户的访问或破坏。
从其形式上来看,有两大种类,一是硬件防火墙,二是软件防火墙。硬件防火墙是一个拥有多个端口的金属盒子,它是一套预装有安全软件的专用安全设备,一般采用专用的操作系统。而软件防火墙通常可以安装在通用的网络操作系统(如Windows和Linux)上。
根据数据通信发生的位置,可将防火墙分为几种类型,一是网络层防火墙,它也被称为数据包过滤器,它运行在TCP/IP堆栈结构的第三层,在数据包与所建立的规则相匹配时才准许其通过。这意味着防火墙根据预先定义的规则接受或拒绝IP数据包。如下图所示:
通过数据过滤,这种防火墙仔细检查每个数据包的协议和地址信息,却不考虑其内容和上下文数据。数据包过滤防火墙的主要优点是其相对而言的简单性、低成本、易于部署等特性。Windows某些版本中的防火墙就属于此类型。
应用层防火墙:它运行在TCP/IP堆栈结构的最高层,它可以截获一个应用程序的所有数据包。大体上,应用层防火墙可以阻止所有外部的恶意通信达到受保护的机器。通过这种方法,防火墙实际上代表了一个应用程序代理,它支持与远程系统的所有数据交换。其主要观念是要使防火墙后的服务对远程系统不可见。
应用层防火墙根据特定的规则集接受或拒绝数据通信。例如,防火墙准许某些命令进入服务器而禁用其它命令。这种技术还可以被用于限制特定文件类型的访问,并可以对获得授权和未获得授权的用户提供不同的访问级别。那些要求详细的数据监视和登录信息的用户喜欢应用层防火墙,因为它不会影响性能。IT管理员可以设置应用层防火墙,在预先定义的条件发生后,它可以激发警告。应用层网关一般部署在一个独立的与网络连接的计算机上,通常它称为一个代理服务器。代理服务器属于一种特殊的应用层防火墙,它使得从外部网络破坏内部资源更加困难,使得对一个内部系统的滥用或误用不会被防火墙外部的攻击者造成安全损害。
电路级防火墙:这种防火墙并不是简单地接受或拒绝数据包,它还可以根据一套可配置的规则来决定一个连接是否合法。如果通过检查,防火墙就打开一个会话,并准许与经过认证的源进行数据通信。防火墙也可以限制这种通信的时间长短。此外,防火墙还可以执行源IP地址和端口、目标IP地址和端口、使用的协议、用户ID、口令等的验证。它也可以执行数据包过滤。
电路防火墙的缺点是其运行在传输层上,因此它可能需要对传输功能设计的重大修改,这就会影响网络性能。此外,这种防火墙要求一些专业性强的安装和维护技术。
状态检查多级防火墙:有人称之为最好的防火墙,这种防火墙的目的是为了将多种防火墙的最好特性结合起来。状态检查多级防火墙可以执行网络层的数据包过滤,同时又可以识别和处理应用层的数据。这种防火墙可以提供更高级的网络保护,不过其价格也相对较高。
企业一般根据其需要和喜好来选择防火墙。通常情况下,购买防火墙会考虑:防火墙的体系结构、所需要的并发防火墙会话的数量、所需要的外部访问的范围和类型、所需要的VPN协议的类型和数量、需要保护的并发VPN的数量、管理用户接口的种类(属于命令行接口、图形用户接口还是Web界面),以及对高可用性特性的需要。
还要注意,多数防火墙厂商都提供了附加功能,这些附加功能可以扩展防火墙的功能。这种特性有许多,如反病毒功能、入侵防御、防火墙的使有和活动报告。有些防火墙已经具备了统一威胁管理(UTM)的特点。考虑到现在的网络威胁层出不穷,企业最好购买一种可以升级从而增强性能又能适应新情况、具备新性能的防火墙。
