2023年11月28日发(作者:)

IT安全领域,防火墙是一个重要的角色,通常被部署在企业网络和外部互联

网中间,来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。然而由

于很多人对防火墙接触的很少,加上防火墙种类繁多,常常让一些新手朋友在选

择购买防火墙的时候感到困惑,本文笔者将和大家一起简单了解一下在购买防火

墙需要明确的一些概念,以及不同类型防火墙的主要优点和缺点。

一、防火墙概念及选购要素

尽管防火墙有很多种分类,我们还是可以给它下一个广泛的定义:一系列相

关的安全程序被安装在一个网络入口服务器(或专用设备)上,两者共同筑起一道

安全“墙”,共同保护内网资源免遭外网人员攻击。

尽管所有防火墙都运行软件,防火墙市场本身还是被人们划分为两大阵营:

硬件防火墙和软件防火墙。硬件防火墙是专门的安全设备,上面预装着安全软件,

其操作系统一般是专用操作系统。另一方面,软件防火墙通常可以被安装在任何

可用的服务器上,服务器的操作系统一般是通用的网络操作系统,诸如Windows

Linux等。

企业在选择防火墙产品的时候,没有一套完全正确的规则可参考,因为每个

企业的实际网络环境不一样,而且每个企业对防火墙功能要求也不同,因此企业

通常要立足于需要和自己公司的实际情况来选择合适的防火墙。不过在选购防火

墙的时候,还是有一些要考虑的共同问题,如以下问题。

·防火墙的体系架构(硬件还是软件);

·防火墙要求的并发会话(session)数量是多少,并发会话数是防火墙能够

同时处理的点对点会话连接的最大数目,它反映防火墙对多个连接的访问控制能

力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大

信息点数;

·外部访问的类型和范围要求;

·需要的VPN(虚拟专用网)协议的数量和类型;要求保护的并发VPN的数量;

·喜欢的管理用户界面(命令行、图形或基于网页)以及是否需要高可用性

功能。

防火墙的价格相差很大,用户保护家庭或小企业网络的简单防火墙价格比较

低,而用于专门保护企业资源的行业级别的硬件防火墙价格则非常高。

没有两个企业的网络是完全相同的,因此厂商提供了许多不同类型的防火墙

实现(包括基于硬件和软件的)来满足特定客户需要。最基本的实现可以被划分

为包过滤、电路层和应用层三类。

二、包过滤防火墙

单纯的包过滤防火墙除了过滤数据包之外什么操作也不做。包过滤防火墙根

据预先定义好的规则来决定接受或拒绝IP数据包。通过包过滤,该防火墙仔细

的检查每一个数据包的协议和地址信息;数据包的内容不检查。

包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的

地址、端口号、协议等)。然后,将这些信息与设立的规则相比较。举个例子来

说,如果你设定了规则阻挡外网用户对内网计算机或设备使用telnet,而包的

目的端口是23的话,那么该包就会被丢弃。

1、包过滤防火墙

多个复杂规则的组合也是可行的。如果允许Web连接,但只针对特定的服务

器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。

主要优势:

包过滤防火墙相对比较简单,成本较低,部署简单快速。

现在单纯的硬件包过滤防火墙已经比较少,不过多数防火墙中都具有包过滤

功能。而一般家用和小企业用的软件防火墙多数属于此类防火墙,Windows早期

内置的防火墙就属于包过滤防火墙。另外,对于使用Linux操作系统的朋友来说,

也可以配置其自带防火墙实现包过滤功能。

三、链路级防火墙

这类防火墙不是简单的接受或拒绝数据包,它还根据一系列预定义规则来决

定一个连接是否合法。如果一切通过验证,防火墙会打开一个会话,并允许指定

源地址的数据通过防火墙进入网络内部。这个通信只被允许在限定时间内进行。

2、链路级防火墙

另外,这个防火墙还可以根据以下对象来执行连接验证,例如源IP地址或

源端口,目的IP地址或目的端口,使用的协议,用户ID,密码和时间等等,多

数情况下要根据几种条件的组合来进行验证。我们可以看出,包级别的过滤在这

种防火墙中也可能发生。

主要优点:

·链路级防火墙通常比应用层防火墙更快,因为它们执行更少的操作;

·通过禁用特定互联网源地址与内部计算机的连接,链路级防火墙可以帮助

保护整个网络;

·通过与网络地址解析联合使用,你可以使用链路级防火墙来阻止外部用户

访问内部网络IP地址。

主要缺点:

·运行在传输层,因此必须要对传输函数编程进行比较大的修改。这可能影

响到网络的性能和运行。

·链路级防火墙需要安装人员和维护人员具有一定的专业知识。

四、应用级防火墙

在这种防火墙实现方式中,防火墙的角色是一个应用程序代理,与远端系统

实现所有数据交换。这种防火墙背后的设计思想是让所有服务器藏在防火墙后

面,对远端系统不可见。

一个应用层防火墙可以根据特定规则来接受或拒绝通信。举个例子来说,

种防火墙可以允许某些命令被传送到一个服务器上,而拒绝其它命令。这个技术

还可以被用来限制访问特定的文件类型,同样也可以为授权和未授权用户提供不

同级别的访问级别。

3、应用级防火墙

对于那些喜欢对网络流量进行详细监控和记录日志的用户来说,可能会比较

喜欢应用层防火墙,因为使用应用防火墙实现这些功能非常简单,而且不会进一

步影响性能。IT管理员可以设定一个应用层防火墙来实现在预定义事件发生的

时候触发报警器和发出提示。应用程序网关一般被部署在一台单独的联网计算机

上,人们通常称之为代理服务器。

除了上述三种类型的防火墙外,还有一种状态检查多级防火墙,这类防火墙通常

由厂商作为“最佳品牌”解决方案来提供,目的是将前面几种防火墙的优点组合

起来。状态防火墙可以执行网络包过滤,同时还可以识别和处理应用层的数据。

这类防火墙通常可以提供超强网络保护,但是价格可能比较昂贵。

另外值得注意的是,多数防火墙厂商提供了一系列的辅助功能,来提供那些

基本防火墙服务之外的功能。此类的功能包括反病毒保护,内容过滤,入侵防护

和网络行为和使用报表。随着网络安全的迅速发展,对于企业来说,购买一个可

以轻松升级到更高性能和更多新功能的产品,这是一个不错的观点。