1.防火墻在OSI/RM中的位置
防火墻是設置在被保護的網(wǎng)絡和外部網(wǎng)絡之間的一道屏障��,以防止發(fā)生不可預測的���、潛在破壞性的侵入�����,它可通過監(jiān)測���、限制、更改跨越防火墻的數(shù)據(jù)源�,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部信息、結構和運行狀況���,以此來保護內(nèi)部網(wǎng)絡的安全���。
在OSI/RM參考模型中,數(shù)據(jù)包過濾方式如圖1所示��。代理服務方式如圖2所示����。
2 .防火墻的發(fā)展史
目前,防火墻的發(fā)展過程大致分為5代�����。
● 第一代防火墻:第一代防火墻技術幾乎與路由器同時出現(xiàn),采用了包過濾(packetfilter)技術�。
● 第二、三代防火墻:1989年��,貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻�,即電路層防火墻,同時提出了第三代防火墻一應用層防火墻(代理防火墻)的初步結構�����。
● 第四代防火墻:1992年��,USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(dynamicpacketfilter)技術第四代防火墻�,后業(yè)演變?yōu)槟壳八f的狀態(tài)監(jiān)視(statefulinspection)技術。1994年�,以色列的Checkpoint公司開發(fā)出了第一個基于這種技術的商業(yè)化的產(chǎn)品�。
● 第五代防火墻:1998年,NAI公司推出了一種自適應代理(adaptiveproxy)的技術�����,并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)���,給代理類型的防火墻賦予了全新的意義���,可以稱為第五代防火墻��。
從發(fā)展過程來看:防火墻從包過濾方式到今天的狀態(tài)檢測����。
從技術角度來看:防火墻是作為一種連接內(nèi)部網(wǎng)絡和公眾網(wǎng)的網(wǎng)關�����,提供對內(nèi)部網(wǎng)絡連接的訪問控制能力��。它能根據(jù)預先定義的安全策略�����,允許合法連接進入內(nèi)部網(wǎng)�����,阻止非法連接�。防火墻的基本功能包括:訪問控制、數(shù)據(jù)過濾��、身份驗證、告警���、日志和審計����。
防火墻技術經(jīng)歷了以下幾個方面�。
1) 包過濾防火墻(packetfilterfirewall).
包過濾防火墻是最早的防火墻技術,它根據(jù)數(shù)據(jù)包頭信息和過濾規(guī)則阻止或允許數(shù)據(jù)包通過防火墻�����。當數(shù)據(jù)包到達防火墻時����、防火墻檢查數(shù)據(jù)包包頭的源地址、目的地址�、源端口、目的端口及其協(xié)議類型���。若是可信連接,就允許通過�����;否則丟棄數(shù)據(jù)包。但它有自身的弱點�����,因此它一般用于對安全性要求不高�、要求高速處理數(shù)據(jù)的網(wǎng)絡路由器上,如表所示����。
2)應用代理防火墻(applicationproxy firewall)。
應用代理防火墻檢查數(shù)據(jù)包的應用數(shù)據(jù)���,并且保持完整的連接狀態(tài)��,它能夠分析不同協(xié)議的完整的命令集�����,根據(jù)安全規(guī)則禁止或允許某些特殊的協(xié)議命令����;還具有其他像UPL過濾�����、數(shù)據(jù)修改、用戶驗證�����、日志等功能���。
應用代理防火墻包含三個模塊:代理服務器��、代理客戶和協(xié)議分析模塊���。這種防火墻在通信中執(zhí)行二傳手的角色,很好地從Internet中隔離出受信網(wǎng)絡��,不允許受信網(wǎng)絡和不受信網(wǎng)絡之間的直接通信���,獲得很高的安全��。但是由于所有的數(shù)據(jù)包都要經(jīng)過防火墻TCP/IP協(xié)議棧并返回��,因此處理速度較慢����,其優(yōu)缺點如表所示。
3)入侵狀態(tài)檢測防火墻(statefulinspection firewall).
入侵狀態(tài)檢測防火墻也叫自適應防火墻��,或動態(tài)包過濾防火墻�,Checkpoint公司的FireWall-1就是基于這種技術��。它根據(jù)過去的通信信息和其他應用程序獲得的狀態(tài)信息來動態(tài)生成過濾規(guī)則��,根據(jù)新生成的過濾規(guī)則過濾新的通信����。當新的通信結束時,新生成的過濾規(guī)則將自動從規(guī)則表中被刪除����。這種類型防火墻的主要優(yōu)缺點如表所示。
4)自適應代理防火墻(adaptiveproxyfirewall)����、
自適應代理防火墻整合了動態(tài)包過濾防火墻技術和應用代理技術,本質(zhì)上是狀態(tài)檢測防火墻���。它通過應用層驗證新的連接��,若新的連接是合法的��,它可以被重定向到網(wǎng)絡層�。因此這種防火墻同時具有代理防火墻和狀態(tài)檢測防火墻的特性,其優(yōu)缺點如表所示�����。
