邵春林
(安徽新華電腦專修學(xué)院,安徽 合肥 230012)
防火墻指由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、局域網(wǎng)與外網(wǎng)之間的保護(hù)屏障,就像架起了一面墻,它能使網(wǎng)絡(luò)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。
根據(jù)物理特性,防火墻分為兩大類:硬件防火墻和軟件防火墻。
軟件防火墻是一種安裝在負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)服務(wù)器或者獨(dú)立的個(gè)人計(jì)算機(jī)上的特殊程序,它以邏輯形式存在,防火墻程序跟隨系統(tǒng)啟動(dòng),通過運(yùn)行在Ring0 級(jí)別的特殊驅(qū)動(dòng)模塊把防御機(jī)制插入系統(tǒng)關(guān)于網(wǎng)絡(luò)的處理部分和網(wǎng)絡(luò)接口設(shè)備驅(qū)動(dòng)之間,形成一種邏輯上的防御體系。
硬件防火墻是一種以物理形式存在的專用設(shè)備,通常架設(shè)于兩個(gè)網(wǎng)絡(luò)的駁接處,直接從網(wǎng)絡(luò)設(shè)備上檢查過濾有害的數(shù)據(jù)報(bào)文,位于防火墻設(shè)備后端的網(wǎng)絡(luò)或者服務(wù)器接收到的是經(jīng)過防火墻處理的相對(duì)安全的數(shù)據(jù),不必另外分出CPU 資源去進(jìn)行基于軟件架構(gòu)的NDIS 數(shù)據(jù)檢測,可以大大提高工作效率。
傳統(tǒng)意義上的防火墻技術(shù)分為三大類:包過濾、應(yīng)用代理和狀態(tài)監(jiān)視,無論防火墻的實(shí)現(xiàn)過程多么復(fù)雜,歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展。
包過濾防火墻是最早使用的一種防火墻技術(shù),它對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析,并與預(yù)先設(shè)定好的防火墻過濾規(guī)則進(jìn)行核對(duì),一旦發(fā)現(xiàn)某個(gè)包的某個(gè)或多個(gè)部分與過濾規(guī)則匹配并且條件為阻止時(shí),這個(gè)包就會(huì)被丟棄。其優(yōu)點(diǎn)是簡單快速,行效率非常高。其缺點(diǎn)是對(duì)信息處理能力有限,只能訪問包頭中的部分信息,不能理解通信的上下文,控制層次較低,不能實(shí)現(xiàn)用戶級(jí)的控制。
應(yīng)用代理防火墻工作于OSI 的應(yīng)用層上。應(yīng)用代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反,它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信,然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。其優(yōu)點(diǎn)是易于配置,能靈活、完全地控制進(jìn)出的流量、內(nèi)容,能過濾數(shù)據(jù)內(nèi)容,能為用戶提供透明的加密機(jī)制,可以方便地與其他安全手段集成。其缺點(diǎn)是速度較慢,對(duì)用戶不透明,不能保證免受所有協(xié)議弱點(diǎn)的限制,不能改進(jìn)底層協(xié)議的安全性。
狀態(tài)監(jiān)測防火墻根據(jù)連接的狀態(tài)進(jìn)行檢查,當(dāng)一個(gè)初始數(shù)據(jù)的報(bào)文到達(dá)防火墻時(shí),首先檢查該報(bào)文是否符合安全過濾規(guī)則的規(guī)定。如果符合,將這條連接記錄下來并且添加允許這條連接通過的過濾規(guī)則,之后向目的地址轉(zhuǎn)發(fā)報(bào)文。以后凡是屬于這個(gè)連接的數(shù)據(jù)防火墻一律通過,主要工作在傳輸層。其優(yōu)點(diǎn)是具有檢查IP 包的每個(gè)字段的能力,并遵從基于包中信息的過濾規(guī)則,具有基于應(yīng)用程序信息驗(yàn)證一個(gè)包的狀態(tài)的能力。其缺點(diǎn)是所有這些記錄、測試和分析工作可能會(huì)造成網(wǎng)絡(luò)連接的遲滯。
ISA Server 是建立在Windows Server 操作系統(tǒng)上的一種可擴(kuò)展的企業(yè)級(jí)防火墻和Web 緩存服務(wù)器。ISA Server 的多層防火墻可以保護(hù)網(wǎng)絡(luò)資源免受病毒、黑客的入侵和未經(jīng)授權(quán)的訪問。而且,通過本地而不是Internet 為對(duì)象提供服務(wù),其Web 緩存服務(wù)器允許組織能夠?yàn)橛脩籼峁└斓腤eb 訪問。
ISA Server 有3 種不同的安裝模式:防火墻模式、緩存模式和集成模式。集成模式能夠在同一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)前兩種模式。可以有多種聯(lián)網(wǎng)方案來部署ISA Server,包括以下所述的幾種方法。
1.Internet 代理防火墻
ISA Server 可以安裝成專用防火墻,作為內(nèi)部用戶接入Internet 的安全網(wǎng)關(guān)。ISA Server 允許設(shè)置一組廣泛的規(guī)則,以指定能夠通過ISA Server 的站點(diǎn)、協(xié)議和內(nèi)容,由此實(shí)現(xiàn)您的商業(yè)Internet 安全策略。
2.安全服務(wù)器發(fā)布
使用ISA Server 您能夠向Internet 發(fā)布服務(wù),而且不會(huì)損害內(nèi)部網(wǎng)絡(luò)的安全。要實(shí)現(xiàn)這一點(diǎn),只需讓ISA Server 計(jì)算機(jī)代表內(nèi)部發(fā)布服務(wù)器來處理外部客戶端的請(qǐng)求即可。
3.正向Web 緩存服務(wù)器
作為正向Web 緩存服務(wù)器,ISA Server 保存集中緩存內(nèi)經(jīng)常受到請(qǐng)求的Internet 內(nèi)容,專用網(wǎng)絡(luò)內(nèi)的任何Web 瀏覽器都可以訪問這些內(nèi)容。
4.反向Web 緩存服務(wù)器
ISA Server 可以作為Web 服務(wù)器。它用緩存中的Web 內(nèi)容來滿足傳入的客戶端請(qǐng)求。只有緩存中的內(nèi)容不能滿足請(qǐng)求時(shí),它才會(huì)把請(qǐng)求轉(zhuǎn)發(fā)給Web服務(wù)器。
5.VPN 虛擬專用網(wǎng)
ISA Server 支持安全的虛擬專用網(wǎng)(VPN)訪問,分支機(jī)構(gòu)或遠(yuǎn)程用戶可以通過這種類型的訪問連接到公司網(wǎng)絡(luò)。