全方位講解硬體防火牆的選擇

來源:互聯網
上載者:User
防火牆是指設定在不同網路(如可信任的企業內部網和不可信的公用網)或網路安全域之間的一系列組件的組合。它是不同網路或網路安全域之間資訊的唯一出入口,通過監測、限制、更改跨越防火牆的資料流,儘可能地對外部屏蔽網路內部的資訊、結構和健全狀態,有選擇地接受外部存取,對內部強化裝置監管、控制對伺服器與外部網路的訪問,在被保護網路和外部網路之間架起一道屏障,以防止發生不可預測的、潛在的破壞性侵入。防火牆有兩種,硬體防火牆和軟體防火牆,他們都能起到保護作用並篩選出網路上的攻擊者。在這裡主要給大家介紹一下我們在商業網路安全實際運用中所常見的硬體防火牆。

  一、防火牆基礎原理

  1、防火牆技術

  防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務。下面,我們將介紹這些手段的工作機理及特點,並介紹一些防火牆的主流產品。

  包過濾技術是一種簡單、有效安全控制技術,它通過在網路間相互串連的裝置上載入允許、禁止來自某些特定的源地址、目的地址、TCP連接埠號碼等規則,對通過裝置的資料包進行檢查,限制資料包進出內部網路。包過濾的最大優點是對使用者透明,傳輸效能高。但由於安全控制層次在網路層、傳輸層,安全控制的力度也只限於源地址、目的地址和連接埠號碼,因而只能進行較為初步的安全控制,對於惡意的擁塞攻擊、記憶體覆蓋攻擊或病毒等高層次的攻擊手段,則無能為力。

  狀態檢測是比包過濾更為有效安全控制方法。對建立的應用串連,狀態檢測檢查預先設定的安全規則,允許符合規則的串連通過,並在記憶體中記錄下該串連的相關資訊,產生狀態表。對該串連的後續資料包,只要符合狀態表,就可以通過。這種方式的好處在於:由於不需要對每個資料包進行規則檢查,而是一個串連的後續資料包(通常是大量的資料包)通過散列演算法,直接進行狀態檢查,從而使得效能得到了較大提高;而且,由於狀態表是動態,因而可以有選擇地、動態地開通1024號以上的連接埠,使得安全性得到進一步地提高。

  2、防火牆工作原理

  (1)包過濾防火牆

  包過濾防火牆一般在路由器上實現,用以過濾使用者定義的內容,如IP地址。包過濾防火牆的工作原理是:系統在網路層檢查資料包,與應用程式層無關。這樣系統就具有很好的傳輸效能,可擴充能力強。但是,包過濾防火牆的安全性有一定的缺陷,因為系統對應用程式層資訊無感知,也就是說,防火牆不理解通訊的內容,所以可能被駭客所攻破。


圖1:包過濾防火牆工作原理圖

  (2)應用網關防火牆

  應用網關防火牆檢查所有應用程式層的資訊包,並將檢查的內容資訊放入決策過程,從而提高網路的安全性。然而,應用網關防火牆是通過打破客戶機/伺服器模式實現的。每個客戶機/伺服器通訊需要兩個串連:一個是從用戶端到防火牆,另一個是從防火牆到伺服器。另外,每個代理需要一個不同的應用進程,或一個後台啟動並執行服務程式,對每個新的應用必須添加針對此應用的服務程式,否則不能使用該服務。所以,應用網關防火牆具有延展性差的缺點。(圖2)


圖2:應用網關防火牆工作原理圖

  (3)狀態檢測防火牆

  狀態檢測防火牆基本保持了簡單包過濾防火牆的優點,效能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的資料包,不關心資料包狀態的缺點,在防火牆的核心部分建立狀態串連表,維護了串連,將進出網路的資料當成一個個的事件來處理。可以這樣說,狀態檢測包過濾防火牆規範了網路層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協議上的行為。(圖3)


圖3:狀態檢測防火牆工作原理圖
 

  4)複合型防火牆

  複合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆,進一步基於ASIC架構,把防病毒、內容過濾整合到防火牆裡,其中還包括VPN、IDS功能,多單元融為一體,是一種新突破。常規的防火牆並不能防止隱蔽在網路流量裡的攻擊,在網路介面對應用程式層掃描,把防病毒、內容過濾與防火牆結合起來,這體現了網路與資訊安全的新思路。它在網路邊界實施OSI第七層的內容掃描,實現了即時在網路邊緣布署病毒防護、內容過濾等應用程式層服務措施。(圖4)


圖4:複合型防火牆工作原理圖

  3、四類防火牆的對比

  包過濾防火牆:包過濾防火牆不檢查資料區,包過濾防火牆不建立串連狀態表,前後報文無關,應用程式層控制很弱。

  應用網關防火牆:不檢查IP、TCP前序,不建立串連狀態表,網路層保護比較弱。

  狀態檢測防火牆:不檢查資料區,建立串連狀態表,前後報文相關,應用程式層控制很弱。

  複合型防火牆:可以檢查整個資料包內容,根據需要建立串連狀態表,網路層保護強,應用程式層控制細,會話控制較弱。

  4、防火牆術語

  網關:在兩個裝置之間提供轉寄服務的系統。網關是互連網應用程式在兩台主機之間處理流量的防火牆。這個術語是非常常見的。

  DMZ非軍事化區:為了組態管理方便,內部網中需要向外提供服務的伺服器往往放在一個單獨的網段,這個網段便是非軍事化區。防火牆一般配備三塊網卡,在配置時一般分別分別串連內部網,internet和DMZ。

  輸送量:網路中的資料是由一個個資料包組成,防火牆對每個資料包的處理要耗費資源。輸送量是指在不丟包的情況下單位時間內通過防火牆的資料包數量。這是測量防火牆效能的重要指標。

  最大串連數:和輸送量一樣,數字越大越好。但是最大串連數更貼近實際網路情況,網路中大多數串連是指所建立的一個虛擬通道。防火牆對每個串連的處理也好耗費資源,因此最大串連數成為考驗防火牆這方面能力的指標。

  資料包轉寄率:是指在所有安全規則配置正確的情況下,防火牆對資料流量的處理速度。

  SSL:SSL(Secure Sockets Layer)是由Netscape公司開發的一套Internet資料安全性通訊協定,目前的版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密資料傳輸。SSL協議位於TCP/IP協議與各種應用程式層協議之間,為資料通訊提供安全支援。

  網路位址轉譯:網路位址轉譯(NAT)是一種將一個IP地址域映射到另一個IP地址域技術,從而為終端主機提供透明路由。NAT包括靜態網路位址轉譯、動態網路位址轉譯、網路地址及連接埠轉換、動態網路地址及連接埠轉換、連接埠映射等。NAT 常用於私人地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火牆上實現NAT後,可以隱藏受保護網路的內部拓撲結構,在一定程度上提高網路的安全性。如果反向NAT提供動態網路地址及連接埠轉換功能,還可以實現負載平衡等功能。

  堡壘主機:一種被強化的可以防禦進攻的電腦,被暴露於網際網路之上,作為進入內部網路的一個檢查點,以達到把整個網路的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。

  二、市場上常見的硬體防火牆

  (1)NetScreen 208 Firewall

  NetScreen科技公司推出的NetScreen防火牆產品是一種新型的網路安全硬體產品。NetScreen採用內建的ASIC技術,其安全裝置具有低延時、高效的IPSec加密和防火牆功能,可以無縫地部署到任何網路。裝置安裝和操控也是非常容易,可以通過多種管理介面包括內建的WebUI介面、命令列介面或NetScreen中央管理方案進行管理。NetScreen將所有功能整合於單一硬體產品中,它不僅易於安裝和管理,而且能夠提供更高可靠性和安全性。由於NetScreen裝置沒有其它品牌產品對硬碟所存在的穩定性問題,所以它是對線上時間要求極高的使用者的最佳方案。採用NetScreen裝置,只需要對防火牆、VPN和流量管理功能進行配置和管理,減省了配置另外的硬體和複雜性作業系統的需要。這個做法縮短了安裝和管理的時間,並在防範安全性漏洞的工作上,省略設定的步驟。NetScreen-100 Firewall比適合中型企業的網路安全需求。


 

  (2)Cisco Secure PIX 515-E Firewall

  Cisco Secure PIX防火牆是Cisco防火牆家族中的專用防火牆設施。Cisco Secure PIX 515-E防火牆系通過端到端安全服務的有機組合,提供了很高的安全性。適合那些僅需要與自己企業網進行雙向通訊的遠端站台,或由企業網在自己的企業防火牆上提供所有的Web服務的情況。Cisco Secure PIX 515-E與普通的CPU密集型專用Proxy 伺服器(對應用級的每一個資料包都要進行大量處理)不同,Cisco Secure PIX 515-E防火牆採用非UNIX、安全、即時的內建系統。可提供擴充和重新設定IP網路的特性,同時不會引起IP地址短缺問題。NAT既可利用現有IP地址,也可利用Internet指定號碼機構[IANA]預留池[RFC.1918]規定的地址來實現這一特性。Cisco Secure PIX 515-E還可根據需要有選擇性地允許地址是否進行轉化。CISCO保證NAT將同所有其它的PIX防火牆特性(如多媒體應用支援)共同工作。Cisco Secure PIX 515-E Firewall比適合中小型企業的網路安全需求。

  (3)天融信網路衛士NGFW4000-S防火牆

  北京天融信公司的網路衛士是我國第一套自主著作權的防火牆系統,目前在我國電信、電子、教育、科研等單位廣泛使用。它由防火牆和管理器組成。網路衛士NGFW4000-S防火牆是我國首創的核檢測防火牆,更加安全更加穩定。網路衛士 NGFW4000-S防火牆系統集中了包過濾防火牆、應用代理、網路位址轉譯(NAT)、使用者身份鑒別、虛擬私人網路、Web頁面保護、使用者權限控制、安全審計、攻擊檢測、流量控制與計費等功能,可以為不同類型的Internet接入網路提供全方位的網路安全服務。網路衛士防火牆系統是中國人自己設計的,因此管理介面完全是中文化的,使管理工作更加方便,網路衛士NGFW4000-S防火牆的管理介面是所有防火牆中最直觀的。網路衛士NGFW4000-S防火牆比適合中型企業的網路安全需求。

  (4)東軟NetEye 4032防火牆

  NetEye 4032防火牆是NetEye防火牆系列中的最新版本,該系統在效能,可靠性,管理性等方面大大提高。其基於狀態包過濾的流過濾體繫結構,保證從資料連結層到應用程式層的完全高效能過濾,可以進行應用級外掛程式的及時升級,攻擊方式的及時響應,實現動態保障網路安全。NetEye防火牆4032對流過濾引擎進行了最佳化,進一步提高了效能和穩定性,同時豐富了應用級外掛程式、安全防禦外掛程式,並且提升了開發相應外掛程式的速度。網路安全本身是一個動態,其變化非常迅速,每天都有可能有新的攻擊方式產生。安全性原則必須能夠隨著攻擊方式的產生而進行動態調整,這樣才能夠動態保護網路的安全。基於狀態包過濾的流過濾體繫結構,具有動態保護網路安全的特性,使NetEye防火牆能夠有效抵禦各種新的攻擊,動態保障網路安全。東軟NetEye 4032防火牆比適合中小型企業的網路安全需求。

  三、防火牆的基本配置

  下面我以國內防火牆第一品牌天融信NGFW 4000為例給各位講解一下在一個典型的網路環境中應該如何來配置防火牆。


圖5:網路拓撲結構

  NGFW4000有3個標準連接埠,其中一個接外網(Internet網),一個接內網,一個接DMZ區,在DMZ區中有網路伺服器。安裝防火牆所要達到的效果是:內網區的電腦可以任意訪問外網,可以訪問DMZ中指定的網路伺服器, Internet網和DMZ的電腦不能訪問內網;Internet網可以訪問DMZ中的伺服器。

  1、組態管理連接埠

  天融信網路衛士NGFW4000防火牆是由防火牆和管理器組成的,管理防火牆都是通過網路中的一台電腦來實現的。防火牆預設情況下,3個口都不是管理連接埠,所以我們先要通過串口把天融信網路衛士NGFW4000防火牆與我們的電腦串連起來,給防火牆指定一個管理連接埠,以後對防火牆的設定就可以通過遠程來實現了。

  使用一條串口線把電腦的串口(COM1)與NGFW4000防火牆的console 口串連起來,啟動電腦的"超級終端",連接埠選擇COM1,通訊參數設定為每秒位元9600,資料位元8,同位無,停止位1,資料流控制無。進入超級終端的介面,輸入防火牆的密碼進入命令列格式。

  定義管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0

  修改管理口的GUI登入許可權: fire client add topsec -t gui -a 外網 -i 0.0.0.0-255.255.255.255


 

  2、使用GUI管理軟體配置防火牆

  安裝天融信防火牆GUI管理軟體"TOPSEC集中管理器",並建立NGFW4000管理項目,輸入防火牆管理連接埠的IP地址與說明。然後登入進入管理介面。

  (1)定義網路地區

  Internet(外網):接在eth0上,預設存取原則為any(即預設可讀、可寫),日誌選項為空白,禁止ping、GUI、telnet。

  Intranet(內網):接在eth1上,預設存取原則為none(不可讀、不可寫),日誌選項為記錄使用者命令,允許ping、GUI、telnet。

  DMZ區:接在eth2上, 預設存取原則為none(不可讀、不可寫),日誌選項為記錄使用者命令,禁止ping、GUI、telnet。

  (2)定義網路對象

  一個網路節點表示某個地區中的一台物理機器。它可以作為存取原則中的源和目的,也可以作為通訊策略中的源和目的。網路節點同時可以作為地址映射的位址集區使用,表示地址映射的實際機器,詳細描述見通訊策略。


圖6

  子網表示一段連續的IP地址。可以作為策略的源或目的,還可以作為NAT的位址集區使用。如果子網段中有已經被其他部門使用的IP,為了避免使用三個子網來描述技術部使用的IP地址,可以將這兩個被其他部門佔用的地址在例外地址中說明。


圖7

  為了配置存取原則,先定義特殊的節點與子網:

  FTP_SERVER:代表FTP伺服器,地區=DMZ,IP地址= XXX.XXX.XXX.XXX。

  HTTP_SERVER:代表HTTP伺服器,地區=DMZ,IP地址= XXX.XXX.XXX.XXX。

  MAIL_SERVER:代表郵件伺服器,地區=DMZ,IP地址= XXX.XXX.XXX.XXX。

  V_SERVER:代表外網訪問的虛擬伺服器,地區=Internet,IP=防火牆IP地址。

  inside:表示內網上的所有機器,地區=Intranet,起始地址=0.0.0.0,結束位址=255.255.255.255。

  outside:表示外網上的所有機器,地區=Internet,起始地址=0.0.0.0,結束位址=255.255.255.255。


 

  (3)配置存取原則

  在DMZ地區中增加三條存取原則:

  A、訪問目的=FTP_SERVER,目的連接埠=TCP 21。源=inside,存取權限=讀、寫。源=outside,存取權限=讀。這條配置表示內網的使用者可以讀、寫FTP伺服器上的檔案,而外網的使用者只能讀檔案,不能寫檔案。

  B、訪問目的=HTTP_SERVER,目的連接埠=TCP 80。源=inside+outside,存取權限=讀、寫。這條配置表示內網、外網的使用者都可以訪問HTTP伺服器。

  C、訪問目的=MAIL_SERVER,目的連接埠=TCP 25,TCP 110。源=inside+outside,存取權限=讀、寫。這條配置表示內網、外網的使用者都可以訪問MAIL伺服器。

  (4)通訊策略

  由於內網的機器沒有合法的IP地址,它們訪問外網需要進行地址轉換。當內部機器訪問外部機器時,可以將其地址轉換為防火牆的地址,也可以轉換成某個位址集區中的地址。增加一條通訊策略,目的=outside,源=inside,方式= NAT,目的連接埠=所有連接埠。如果需要轉換成某個位址集區中的地址,則必須先在Internet中定義一個子網,位址範圍就是位址集區的範圍,然後在通訊策略中選擇NAT方式,在位址集區類型中選擇剛才定義的位址集區。

  伺服器也沒有合法的IP地址,必須依靠防火牆做地址映射來提供對外服務。增加通訊策略。

  A、目的=V_SERVER,源=outside,通訊方式=MAP,指定協議=TCP,連接埠映射21->21,目標機器=FTP_SERVER。

  B、目的=V_SERVER,源=outside,通訊方式=MAP,指定協議=TCP,連接埠映射80->80,目標機器=HTTP_SERVER。

  C、目的=V_SERVER,源=outside,通訊方式=MAP,指定協議=TCP,連接埠映射25->25,目標機器=MAIL_SERVER。

  D、目的=V_SERVER,源=outside,通訊方式=MAP,指定協議=TCP,連接埠映射110->110,目標機器=MAIL_SERVER。

  (5)特殊連接埠

  在防火牆預設的連接埠定義中沒有我們所要用到的特殊連接埠,就需要我們手工的添加這些特殊連接埠了。在防火牆集中管理器中選擇"進階管理">"特殊對象">"特殊連接埠",將彈出特殊連接埠的定義介面,點"定義新對象",輸入特殊連接埠號碼與定義地區即可。

  (6)其他配置

  最後進入"工具"選項,定義防火牆的管理員、許可權以及與IDS的聯動等。(圖8)


圖8

  四、防火牆對比

  在瞭解了防火牆的工作原理及基本配置之後,下面給大家介紹一下NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032這四款市場上最常見的硬體防火牆在基本效能、操作管理與市場價格上的比較。

  

防火牆 NetScreen208 CiscoPIX515E NGFW4000-S NetEye4032
核心技術 狀態檢測 狀態檢測 核檢測 狀態檢測
產品類型 ASIC硬體 硬體裝置 硬體裝置 硬體裝置
工作模式(路由模式、橋模式、混合模式) 路由模式、橋模式 路由模式、橋模式 路由模式、橋模式、混合模式 路由模式、橋模式
並發串連數 130000 130000 600000 300000
網路輸送量 550M 170M 100M 200M
最大支援網路介面 8 6 12 8
作業系統 ScreenOS 專用作業系統 專用作業系統 專用作業系統
管理方式 串口、CLITelnetWebGUI 串口、TelnetWebGUI 串口、TelnetWebGUI 串口、TelnetGUI
市場報價 142,000RMB 80,000RMB 138,000RMB

  148,000RMB



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

11.11 Big Sale for Cloud

Get Unbeatable Offers with up to 90% Off,Oct.24-Nov.13 (UTC+8)

Get It Now >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。