1.防火墻在OSI/RM中的位置
防火墻是設(shè)置在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的�、潛在破壞性的侵入�,它可通過(guò)監(jiān)測(cè)、限制�、更改跨越防火墻的數(shù)據(jù)源,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部信息�、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全�。
在OSI/RM參考模型中,數(shù)據(jù)包過(guò)濾方式如圖1所示�。代理服務(wù)方式如圖2所示。
2 .防火墻的發(fā)展史
目前,防火墻的發(fā)展過(guò)程大致分為5代�。
● 第一代防火墻:第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn),采用了包過(guò)濾(packetfilter)技術(shù)�。
● 第二、三代防火墻:1989年�,貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了第二代防火墻,即電路層防火墻�,同時(shí)提出了第三代防火墻一應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。
● 第四代防火墻:1992年�,USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾(dynamicpacketfilter)技術(shù)第四代防火墻,后業(yè)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視(statefulinspection)技術(shù)�。1994年,以色列的Checkpoint公司開(kāi)發(fā)出了第一個(gè)基于這種技術(shù)的商業(yè)化的產(chǎn)品�。
● 第五代防火墻:1998年,NAI公司推出了一種自適應(yīng)代理(adaptiveproxy)的技術(shù)�,并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn),給代理類型的防火墻賦予了全新的意義�,可以稱為第五代防火墻。
從發(fā)展過(guò)程來(lái)看:防火墻從包過(guò)濾方式到今天的狀態(tài)檢測(cè)�。
從技術(shù)角度來(lái)看:防火墻是作為一種連接內(nèi)部網(wǎng)絡(luò)和公眾網(wǎng)的網(wǎng)關(guān),提供對(duì)內(nèi)部網(wǎng)絡(luò)連接的訪問(wèn)控制能力�。它能根據(jù)預(yù)先定義的安全策略�,允許合法連接進(jìn)入內(nèi)部網(wǎng),阻止非法連接�。防火墻的基本功能包括:訪問(wèn)控制、數(shù)據(jù)過(guò)濾、身份驗(yàn)證�、告警、日志和審計(jì)�。
防火墻技術(shù)經(jīng)歷了以下幾個(gè)方面。
1) 包過(guò)濾防火墻(packetfilterfirewall).
包過(guò)濾防火墻是最早的防火墻技術(shù)�,它根據(jù)數(shù)據(jù)包頭信息和過(guò)濾規(guī)則阻止或允許數(shù)據(jù)包通過(guò)防火墻。當(dāng)數(shù)據(jù)包到達(dá)防火墻時(shí)�、防火墻檢查數(shù)據(jù)包包頭的源地址、目的地址�、源端口、目的端口及其協(xié)議類型�。若是可信連接,就允許通過(guò)�;否則丟棄數(shù)據(jù)包。但它有自身的弱點(diǎn)�,因此它一般用于對(duì)安全性要求不高、要求高速處理數(shù)據(jù)的網(wǎng)絡(luò)路由器上�,如表所示。
2)應(yīng)用代理防火墻(applicationproxy firewall)�。
應(yīng)用代理防火墻檢查數(shù)據(jù)包的應(yīng)用數(shù)據(jù),并且保持完整的連接狀態(tài)�,它能夠分析不同協(xié)議的完整的命令集,根據(jù)安全規(guī)則禁止或允許某些特殊的協(xié)議命令�;還具有其他像UPL過(guò)濾、數(shù)據(jù)修改�、用戶驗(yàn)證�、日志等功能�。
應(yīng)用代理防火墻包含三個(gè)模塊:代理服務(wù)器、代理客戶和協(xié)議分析模塊�。這種防火墻在通信中執(zhí)行二傳手的角色,很好地從Internet中隔離出受信網(wǎng)絡(luò)�,不允許受信網(wǎng)絡(luò)和不受信網(wǎng)絡(luò)之間的直接通信,獲得很高的安全�。但是由于所有的數(shù)據(jù)包都要經(jīng)過(guò)防火墻TCP/IP協(xié)議棧并返回,因此處理速度較慢�,其優(yōu)缺點(diǎn)如表所示。
3)入侵狀態(tài)檢測(cè)防火墻(statefulinspection firewall).
入侵狀態(tài)檢測(cè)防火墻也叫自適應(yīng)防火墻�,或動(dòng)態(tài)包過(guò)濾防火墻,Checkpoint公司的FireWall-1就是基于這種技術(shù)�。它根據(jù)過(guò)去的通信信息和其他應(yīng)用程序獲得的狀態(tài)信息來(lái)動(dòng)態(tài)生成過(guò)濾規(guī)則,根據(jù)新生成的過(guò)濾規(guī)則過(guò)濾新的通信�。當(dāng)新的通信結(jié)束時(shí),新生成的過(guò)濾規(guī)則將自動(dòng)從規(guī)則表中被刪除�。這種類型防火墻的主要優(yōu)缺點(diǎn)如表所示。
4)自適應(yīng)代理防火墻(adaptiveproxyfirewall)�、
自適應(yīng)代理防火墻整合了動(dòng)態(tài)包過(guò)濾防火墻技術(shù)和應(yīng)用代理技術(shù),本質(zhì)上是狀態(tài)檢測(cè)防火墻�。它通過(guò)應(yīng)用層驗(yàn)證新的連接,若新的連接是合法的�,它可以被重定向到網(wǎng)絡(luò)層。因此這種防火墻同時(shí)具有代理防火墻和狀態(tài)檢測(cè)防火墻的特性�,其優(yōu)缺點(diǎn)如表所示。
