防火墻技術現(xiàn)狀
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)后，提出了防火墻的概念，防火墻技術得到了飛速的發(fā)展。第二代防火墻，也稱代理服務器，它用來提供網絡服務級的控制，起到外部網絡向被保護的內部網絡申請服務時中間轉接作用，這種方法可以有效地防止對內部網絡的直接攻擊，安全性較高。第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對每一層的數(shù)據(jù)包進行檢測和監(jiān)控。隨著網絡攻擊手段和信息安全技術的發(fā)展，新一代的功能更強大、安全性更強的防火墻已經問世，這個階段的防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇，已經演變成一個全方位的安全技術集成系統(tǒng)，我們稱之為第四代防火墻，它可以抵御目前常見的網絡攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。
防火墻的定義和描述
“防火墻”這個術語參考來自應用在建筑結構里的安全技術。在樓宇里用來起分隔作用的墻，用來隔離不同的公司或房間，盡可能的起防火作用。一旦某個單元起火這種方法保護了其它的居住者。然而，多數(shù)防火墻里都有一個重要的門，允許人們進入或離開大樓。因此，雖然防火墻保護了人們的安全，但這個門在提供增強安全性的同時允許必要的訪問。
在計算機網絡中，一個網絡防火墻扮演著防備潛在的惡意的活動的屏障，并可通過一個”門”來允許人們在你的安全網絡和開放的不安全的網絡之間通信。原來，一個防火墻是由一個單獨的機器組成的，放置在你的私有網絡和公網之間。近些年來，防火墻機制已發(fā)展到不僅僅是”firlwall box”，更多提及到的是堡壘主機。它現(xiàn)在涉及到整個從內部網絡到外部網絡的區(qū)域，由一系列復雜的機器和程序組成。簡單來說，今天防火墻的主要概念就是多個組件的應用。到現(xiàn)在你要準備實施你的防火墻，需要知道你的公司需要什么樣的服務并且什么樣的服務對于內部用戶和外部用戶都是有效的。
防火墻的任務
防火墻在實施安全的過程中是至關重要的。一個防火墻策略要符合四個目標，而每個目標通常都不是通過一個單獨的設備或軟件來實現(xiàn)的。大多數(shù)情況下防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下四個目標
實現(xiàn)一個公司的安全策略
防火墻的主要意圖是強制執(zhí)行你的安全策略。在前面的課程提到過在適當?shù)木W絡安全中安全策略的重要性。舉個例子，也許你的安全策略只需對MAIL服務器的SMTP流量作些限制，那么你要直接在防火墻強制這些策略。
創(chuàng)建一個阻塞點
防火墻在一個公司私有網絡和分網問建立一個檢查點。這種實現(xiàn)要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設備就可以監(jiān)視，過濾和檢查所有進來和出去的流量。網絡安全產業(yè)稱這些檢查點為阻塞點。通過強制所有進出流量都通過這些檢查點，網絡管理員可以集中在較少的方來實現(xiàn)安全目的。如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。檢查點的另一個名字叫做網絡邊界。
記錄Internet活動
防火墻還能夠強制日志記錄，并且提供警報功能。通過在防火墻上實現(xiàn)日志服務，安全管理員可以監(jiān)視所有從外部網或互聯(lián)網的訪問。好的日志策略是實現(xiàn)適當網絡安全的有效工具之一。防火墻對于管理員進行日志存檔提供了更多的信息。
限制網絡暴露
防火墻在你的網絡周圍創(chuàng)建了一個保護的邊界。并且對于公網隱藏了你內部系統(tǒng)的一些信息以增加保密性。當遠程節(jié)點偵測你的網絡時，他們僅僅能看到防火墻。遠程設備將不會知道你內部網絡的布局以及都有些什么。防火墻提高認證功能和對網絡加密來限制網絡信息的暴露。通過對所能進來的流量時行源檢查，以限制從外部發(fā)動的攻擊。
防火墻術語
在我們繼續(xù)討論防火墻技術前，我們需要對一些重要的術語有一些認識
網關
網關是在兩上設備之間提供轉發(fā)服務的系統(tǒng)。網關的范圍可以從互聯(lián)網應用程序如公共網關接口(CGI)到在兩臺主機間處理流量的防火墻網關。這個術語是非常常見的，而且在本課會用于一個防火墻組件里，在兩個不同的網絡路由和處理數(shù)據(jù)。
電路級網關
電路級網關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息，這樣來決定該會話是否合法，電路級網關是在OSI模型中會話層上來過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層。另外，電路級網關還提供一個重要的安全功能:網絡地址轉移(NAT)將所有公司內部的IP地址映射到一個“安全”的 IP地址，這個地址是由防火墻使用的。有兩種方法來實現(xiàn)這種類型的網關，一種是由一臺主機充當篩選路由器而另一臺充當應用級防火墻。另一種是在第一個防火墻主機和第二個之間建立安全的連接。這種結構的好處是當一次攻擊發(fā)生時能提供容錯功能。
應用級網關
應用級網關可以工作在OSI七層模型的任一層上，能夠檢查進出的數(shù)據(jù)包，通過網關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網關能夠理解應用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊。通常是在特殊的服務器上安裝軟件來實現(xiàn)的。
包過濾
包過濾是處理網絡上基于packet-by-packet流量的設備。包過濾設備允許或阻止包，典型的實施方法是通過標準的路由器。包過濾是幾種不同防火墻的類型之一，在本課后面我們將做詳細地討論。
代理服務器
代理服務器代表內部客戶端與外部的服務器通信。代理服務器這個術語通常是指一個應用級的網關，雖然電路級網關也可作為代理服務器的一種。
網絡地址翻譯(NAT)
網絡地址解釋是對Internet隱藏內部地址，防止內部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內部尋址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。對于NAT的另一個名字是IP地址隱藏。RFC1918概述了地址并且IANA建議使用內部地址機制，以下地址作為保留地址:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
如果你選擇上述例表中的網絡地址，不需要向任何互聯(lián)網授權機構注冊即可使用。使用這些網絡地址的一個好處就是在互聯(lián)網上永遠不會被路由。互聯(lián)網上所有的路由器發(fā)現(xiàn)源或目標地址含有這些私有網絡ID時都會自動地丟棄。