防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。
一、防火墙基础原理
1、防火墙技术
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
2、防火墙工作原理
(1)包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
图1:包过滤防火墙工作原理图
(2)应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(图2)
图2:应用网关防火墙工作原理图
(3)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(图3)
图3:状态检测防火墙工作原理图
4)复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。(图4)
图4:复合型防火墙工作原理图
3、四类防火墙的对比
包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。
状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
4、防火墙术语
网关:在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。
DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。
吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。
最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。
数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。
SSL:SSL(Secure Sockets Layer)是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
网络地址转换:网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT 常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
堡垒主机:一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
二、市场上常见的硬件防火墙
(1)NetScreen 208 Firewall
NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术,其安全设备具有低延时、高效的IPSec加密和防火墙功能,可以无缝地部署到任何网络。设备安装和操控也是非常容易,可以通过多种管理界面包括内置的WebUI界面、命令行界面或NetScreen中央管理方案进行管理。NetScreen将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。由于NetScreen设备没有其它品牌产品对硬盘驱动器所存在的稳定性问题,所以它是对在线时间要求极高的用户的最佳方案。采用NetScreen设备,只需要对防火墙、VPN和流量管理功能进行配置和管理,减省了配置另外的硬件和复杂性操作系统的需要。这个做法缩短了安装和管理的时间,并在防范安全漏洞的工作上,省略设置的步骤。NetScreen-100 Firewall比适合中型企业的网络安全需求。
(2)Cisco Secure PIX 515-E Firewall
Cisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX 515-E防火墙系通过端到端安全服务的有机组合,提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E与普通的CPU密集型专用代理服务器(对应用级的每一个数据包都要进行大量处理)不同,Cisco Secure PIX 515-E防火墙采用非UNIX、安全、实时的内置系统。可提供扩展和重新配置IP网络的特性,同时不会引起IP地址短缺问题。NAT既可利用现有IP地址,也可利用Internet指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。Cisco Secure PIX 515-E还可根据需要有选择性地允许地址是否进行转化。CISCO保证NAT将同所有其它的PIX防火墙特性(如多媒体应用支持)共同工作。Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。
(3)天融信网络卫士NGFW4000-S防火墙
北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙,更加安全更加稳定。网络卫士 NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计的,因此管理界面完全是中文化的,使管理工作更加方便,网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。
(4)东软NetEye 4032防火墙
NetEye 4032防火墙是NetEye防火墙系列中的最新版本,该系统在性能,可靠性,管理性等方面大大提高。其基于状态包过滤的流过滤体系结构,保证从数据链路层到应用层的完全高性能过滤,可以进行应用级插件的及时升级,攻击方式的及时响应,实现动态的保障网络安全。NetEye防火墙4032对流过滤引擎进行了优化,进一步提高了性能和稳定性,同时丰富了应用级插件、安全防御插件,并且提升了开发相应插件的速度。网络安全本身是一个动态的,其变化非常迅速,每天都有可能有新的攻击方式产生。安全策略必须能够随着攻击方式的产生而进行动态的调整,这样才能够动态的保护网络的安全。基于状态包过滤的流过滤体系结构,具有动态保护网络安全的特性,使NetEye防火墙能够有效的抵御各种新的攻击,动态保障网络安全。东软NetEye 4032防火墙比适合中小型企业的网络安全需求。
三、防火墙的基本配置
下面我以国内防火墙第一品牌天融信NGFW 4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。
图5:网络拓扑结构
NGFW4000有3个标准端口,其中一个接外网(Internet网),一个接内网,一个接DMZ区,在DMZ区中有网络服务器。安装防火墙所要达到的效果是:内网区的电脑可以任意访问外网,可以访问DMZ中指定的网络服务器, Internet网和DMZ的电脑不能访问内网;Internet网可以访问DMZ中的服务器。
1、配置管理端口
天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的,管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下,3个口都不是管理端口,所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来,给防火墙指定一个管理端口,以后对防火墙的设置就可以通过远程来实现了。
使用一条串口线把电脑的串口(COM1)与NGFW4000防火墙的console 口连接起来,启动电脑的"超级终端",端口选择COM1,通信参数设置为每秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无。进入超级终端的界面,输入防火墙的密码进入命令行格式。
定义管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0
修改管理口的GUI登录权限: fire client add topsec -t gui -a 外网 -i 0.0.0.0-255.255.255.255
2、使用GUI管理软件配置防火墙
安装天融信防火墙GUI管理软件"TOPSEC集中管理器",并建立NGFW4000管理项目,输入防火墙管理端口的IP地址与说明。然后登录进入管理界面。
(1)定义网络区域
Internet(外网):接在eth0上,缺省访问策略为any(即缺省可读、可写),日志选项为空,禁止ping、GUI、telnet。
Intranet(内网):接在eth1上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,允许ping、GUI、telnet。
DMZ区:接在eth2上, 缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,禁止ping、GUI、telnet。
(2)定义网络对象
一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的,也可以作为通信策略中的源和目的。网络节点同时可以作为地址映射的地址池使用,表示地址映射的实际机器,详细描述见通信策略。
图6
子网表示一段连续的IP地址。可以作为策略的源或目的,还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP,为了避免使用三个子网来描述技术部使用的IP地址,可以将这两个被其他部门占用的地址在例外地址中说明。
图7
为了配置访问策略,先定义特殊的节点与子网:
FTP_SERVER:代表FTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。
HTTP_SERVER:代表HTTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。
MAIL_SERVER:代表邮件服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。
V_SERVER:代表外网访问的虚拟服务器,区域=Internet,IP=防火墙IP地址。
inside:表示内网上的所有机器,区域=Intranet,起始地址=0.0.0.0,结束地址=255.255.255.255。
outside:表示外网上的所有机器,区域=Internet,起始地址=0.0.0.0,结束地址=255.255.255.255。
(3)配置访问策略
在DMZ区域中增加三条访问策略:
A、访问目的=FTP_SERVER,目的端口=TCP 21。源=inside,访问权限=读、写。源=outside,访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能写文件。
B、访问目的=HTTP_SERVER,目的端口=TCP 80。源=inside+outside,访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。
C、访问目的=MAIL_SERVER,目的端口=TCP 25,TCP 110。源=inside+outside,访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。
(4)通信策略
由于内网的机器没有合法的IP地址,它们访问外网需要进行地址转换。当内部机器访问外部机器时,可以将其地址转换为防火墙的地址,也可以转换成某个地址池中的地址。增加一条通信策略,目的=outside,源=inside,方式= NAT,目的端口=所有端口。如果需要转换成某个地址池中的地址,则必须先在Internet中定义一个子网,地址范围就是地址池的范围,然后在通信策略中选择NAT方式,在地址池类型中选择刚才定义的地址池。
服务器也没有合法的IP地址,必须依靠防火墙做地址映射来提供对外服务。增加通信策略。
A、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射21->21,目标机器=FTP_SERVER。
B、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射80->80,目标机器=HTTP_SERVER。
C、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射25->25,目标机器=MAIL_SERVER。
D、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射110->110,目标机器=MAIL_SERVER。
(5)特殊端口
在防火墙默认的端口定义中没有我们所要用到的特殊端口,就需要我们手工的添加这些特殊端口了。在防火墙集中管理器中选择"高级管理">"特殊对象">"特殊端口",将弹出特殊端口的定义界面,点"定义新对象",输入特殊端口号与定义区域即可。
(6)其他配置
最后进入"工具"选项,定义防火墙的管理员、权限以及与IDS的联动等。(图8)
图8
四、防火墙对比
在了解了防火墙的工作原理及基本配置之后,下面给大家介绍一下NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032这四款市场上最常见的硬件防火墙在基本性能、操作管理与市场价格上的比较。
防火墙 | NetScreen208 | CiscoPIX515E | NGFW4000-S | NetEye4032 |
核心技术 | 状态检测 | 状态检测 | 核检测 | 状态检测 |
产品类型 | ASIC 硬件 | 硬件设备 | 硬件设备 | 硬件设备 |
工作模式(路由模式、桥模式、混合模式) | 路由模式、桥模式 | 路由模式、桥模式 | 路由模式、桥模式、混合模式 | 路由模式、桥模式 |
并发连接数 | 130000 | 130000 | 600000 | 300000 |
网络吞吐量 | 550M | 170M | 100M | 200M |
最大支持网络接口 | 8 个 | 6 个 | 12 个 | 8 个 |
操作系统 | ScreenOS | 专用操作系统 | 专用操作系统 | 专用操作系统 |
管理方式 | 串口、CLI 、Telnet 、Web 、GUI | 串口、Telnet 、Web 、GUI | 串口、Telnet 、Web 、GUI | 串口、Telnet 、GUI |
市场报价 | 142,000RMB | 80,000RMB | 138,000RMB | |