1.為什么要用防火墻
在前文已經(jīng)討論了Internet防火墻的優(yōu)點與缺點���,但是作為Internet的本身存在的缺陷容易被人利用,對網(wǎng)絡(luò)安全帶來很大的威脅��,所以就在網(wǎng)絡(luò)安全中采用防火墻技術(shù)是非常有用的�,這是因為:
□Internet是普遍依賴于TCP/IP協(xié)議的,這是一種在一種機型間的通信協(xié)議����,它本身就很安全。
□Internet所提供的各種服務����,如電子郵件、文件傳輸、遠程登錄���、萬維網(wǎng)等都存在著安全隱患���。
□Internet上使用了薄弱的認證環(huán)節(jié),薄弱的���、靜態(tài)的口令�;一些TCP或UDP服務只能對主機地址進行認證��,而不能對指定的用戶進行認證��。
□在Internet±存在著IP地址欺騙(偽裝)�。
□有缺陷的局域網(wǎng)服務(NIS和NFS)和主機之間存在著有缺陷的相互信任關(guān)系。特別是近幾年掀起的電子商務����、電子政務熱潮��,使用防火墻就顯得相當重要了�����。
2.防火墻的產(chǎn)品分類
目前,防火墻產(chǎn)品大致分為軟件防火墻�����、硬件防火墻和工業(yè)標準服務器形式的防火墻三類����。
1軟件防火墻
軟件防火墻一般運行在操作系統(tǒng)以上,以CheckpointFirewall/NAIGauntlet產(chǎn)品為例分別介紹�。
1)Checkpoint Fire wall的主要特點如下:
FireWall-1主要的功能是在安全區(qū)域支持Entrust技術(shù)的數(shù)位證明(digitalcertificate)解決方案;以公用密鑰為基礎(chǔ)�,使用X.509的認證機制IKE。FireWall-1支持LDAP目錄管理���,可幫助使用者定義包羅廣泛的安全政策�����。
FireWall-1提供顧客包含遠端的使用者使用多種安全的認證機制���,以存取企業(yè)資源。在通信被允許進行之前���,F(xiàn)ireWall-1認證服務可安全地確認他們身份的有效性���,而不需要修改本地客戶端應用軟件��,認證服務是完全地被集成到企業(yè)整體的安全政策內(nèi)����,并能由FireWall-1圖形使用者界面集中管理�。所有的認證能經(jīng)由防火墻日志瀏覽(logviewer)來監(jiān)視和追蹤。FireWall-1提供三種認證方法:使用者認證�,提供以使用者為基礎(chǔ)的FTP、TELNET,HTTP和RLOGIN的存取權(quán)限�,跟使用者的IP位址無關(guān);客戶端認證能夠使管理者授予存取的特權(quán)給予在特定IP位址的特定使用者���;會話認證可以認證基于會話的任何一種服務����。目前該產(chǎn)品支持的平臺有WindowsNT.Window9x/2000.sunSolarisIBMAIX.HP-UX等�����。
2)NAI Gauntlet的主要特點如下:
作為最高類型一基于應用層網(wǎng)關(guān)的Gauntlet防火墻�����,集成了NT的性能管理和易用性;應用層安全按照安全策略檢查雙向的通信���。具有用戶透明��、集成管理���、強力加密和內(nèi)容安全、高吞吐量的特性��?��?蓱糜贗nternet.企業(yè)內(nèi)部網(wǎng)和遠程訪問�����。Gauntlet防火墻具有友好和管理界面��,其基于Java或NT環(huán)境����,可以運行在Web瀏覽器中����,支持遠程管理和配置,如可從網(wǎng)絡(luò)管理平臺上監(jiān)控和配置����,如NTServer和HPOpenViewGauntlet還支持通過服務器���、企業(yè)內(nèi)部網(wǎng)���、Internet來存取和管理SNMP設(shè)備。Gauntlet防火墻支持流行的多媒體實時服務�,如RealAudio/Video、Microsoft���。
Gauntlet支持眾多的標準協(xié)議如終端服務(TELNET���、rlogin)、文件傳送(FTP)�、電子郵件(SMTP、POP3)����、WWW(HTTP、SHTTP����、SSL�、Gopher)����、Usenet新聞(NNTP)����、域名服務(DNS)、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)����、OracleSQL*NetShow、VDOLive,LDAP��、PPTP�。
2、硬件防火墻
硬件防火墻帶有特殊的硬件�����,通常軟件較少活動����。
NetScreen公司的NetScreen防火墻產(chǎn)品是一種硬件防火墻NetScreen產(chǎn)品完全基于硬件ASLC芯片,它就像個盒子一樣安裝使用起來很簡單���。同時它還是一種集防火墻���、VPN���、流量控制三種能于一體的網(wǎng)絡(luò)產(chǎn)品。應用場合如下:
1)NetScreen10適用于10Mbps以太網(wǎng)�����。
2)NetScreen100適用于10Mbps以太網(wǎng)��。
3)NetScreen1000則可以支持千以太網(wǎng)��,適應不同場合的需要����。
硬件防火墻的主要特點為:
NetScreen把多種安全功能集成在一個ASIC芯片上、將防火墻����、虛擬專用網(wǎng)(VPN),網(wǎng)絡(luò)流量控制和寬帶接入這些功能全部集成在專有的一體硬件中,該項技術(shù)能有效消除傳統(tǒng)防火墻實現(xiàn)數(shù)據(jù)加密時的性能瓶頸�,能實現(xiàn)最高級別的IPsec。
NetScreen防火墻的配置可在網(wǎng)絡(luò)上任何一臺帶有瀏覽器的機器上完成NetScreen的優(yōu)勢之一是采用了新的體系結(jié)構(gòu)�,可以有效地消除傳統(tǒng)防火墻實現(xiàn)數(shù)據(jù)加盟時的性能瓶頸�,能實現(xiàn)最高級別的IP安全保護����。
3.工業(yè)標準服務器防火墻
所謂工業(yè)標準服務器防火墻,即凡是符合工業(yè)標準的���、大批量生產(chǎn)的、機架式服務器��,無論是IA架構(gòu)的�����,還是像IBM的ISA架構(gòu)那樣的�,只要符合上述標準都可以稱為標準服務器。因此�,在這種平臺上的安裝、運行防火墻軟件形成的防火墻系統(tǒng)�����,都可以稱為工業(yè)標準服務器的防火墻����。
工業(yè)標準服務器防火墻由于性能價格比非常高��,而受到用戶的歡迎�,主要原因有以下6點���。
(1)速度快��、性能高
