2.4 防黑防盜不防火的防火墻
1.什么是防火墻
初聽“防火墻”這個名字,各位可不要往房屋、建筑的安全方面去想,這個“墻”是一道邏輯墻,而非實體墻。當然,這也的確是一道墻!一道不能擋盜賊卻可以擋黑客,不能防寒暑卻可以保護內網隱私的銅墻鐵壁!
防火墻的作用,就是防止未獲得授權的數據包進入私有領地。
一般來說,防火墻是一個物理盒子,用以協助人們排查非法進入的信息,或者協助人們過濾掉不必要的信息。總之,它扮演的角色,是防竊聽、防竊取、防黑客。
防火墻可以是一臺計算機,也可以是一臺路由器。
說它是一臺計算機,是因為它擁有和一臺計算機一樣的CPU、操作系統、軟件等,只是它的作用非常單一。
說它是一臺路由器,是因為它具備基本的路由功能。
防火墻一般情況下至少擁有2至3個以太網接口,防火墻“串”在互聯網(外網)和企業內網之間。
防火墻與路由器是同時代出現的,我們稱最早的防火墻為第一代防火墻,采用了包過濾技術。
1989年,貝爾實驗室推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。
1992年,USC信息科學院的鮑勃·巴登開發出了基于動態包過濾技術的第四代防火墻,后來演變為目前流行的“狀態監視技術”;1994年,以色列的著名防火墻公司CheckPoint公司開發出了第一個采用這種技術的商業化的產品。
1998年,NAI公司推出了一種自適應代理技術,并在其產品中得以實現,給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
前五代防火墻技術,也稱為傳統防火墻,它們采用逐一匹配方法,計算量太大,只能機械地執行安全策略,不能解決目前網絡安全的三大主要問題,即以拒絕訪問(DDOS)為主要目的的網絡攻擊,以蠕蟲(Worm)為主要代表的病毒傳播,以垃圾電子郵件(SPAM)為代表的內容控制。
下一代防火墻,也稱為智能防火墻,是相對傳統的防火墻而言的,顧名思義,它更聰明、更智能。傳統的防火墻對包的檢查,就像對人的相貌的識別,采用圖像識別一樣。把一個人的相貌轉換為圖像,對圖像的每一個像素進行記憶,然后進行匹配檢查。通過檢查上千萬個像素之后,告訴你這是誰。人不是這樣來識別相貌的。人幾乎沒有計算就可以實時地識別你是誰。這就是智能識別。智能防火墻無須海量計算就可以輕松找到網絡行為的特征值來識別網絡行為,從而輕松的執行訪問控制。
2.防火墻有哪些功能部件
防火墻是在外部網絡(互聯網)和內部網絡(Intranet)之間的一堵墻。當然,這堵墻必須得有一扇門,否則它將把內外網完全隔絕——這違背互連的初衷,因此并不是我們所希望看到的。
門有兩個基本狀態:開和關,防火墻也會說兩個詞:YES(接受)或者NO(拒絕)。最簡單的防火墻是以太網橋,用來隔離兩個網段;但這種原始的防火墻管不了多大用處。
那么,這道門怎么設置,才能讓防火墻起到作用呢?也就是說,這道門什么時候開,什么時候關呢?
我們先從這道門必須具備的4個基本功能部件說起。
第一,這道門需要訪問原則。放哪些數據包進來?放哪些數據包出去?哪些數據包需要特殊處理?這些原則,組成了服務訪問規則。
第二,這道門必須有有效的驗證工具,以保證其驗證結果的正確性。這有點像門禁系統。門禁系統一般采用射頻卡,刷卡時,卡內信息與后臺數據庫的賬號列表進行對比,確認后會發出“嘟”的一聲,就說明驗證通過。
第三,對于那些沒有驗證通過的數據包,這道門必須知道如何將他們過濾掉,因此防火墻必須具備包過濾機制。
第四,對于應用層的各種病毒,防火墻也應該有一定的防范能力。這種功能部件叫作“應用網關”。
3.防火墻的技術原理
防火墻采用的技術五花八門,形式也多種多樣:有的取代系統上已經安裝的TCP/IP協議棧,有的在已經有的協議棧上建立自己的軟件模塊,有的干脆就是一套獨立的操作系統,還有一些應用型防火墻只對特定類型的網絡連接提供保護,另外有一些基于硬件的防火墻產品,有些人稱之為“安全路由器”。
如下的一幅圖,就是防火墻最典型的應用場景。
這張圖中,兩個網段之間隔了一個防火墻,防火墻的一端有一臺LINUX服務器,另一個網段則擺了一臺PC機。
當PC機向LINUX主機發起某種請求,PC的客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發送。接下來,協議棧將這個TCP包“塞”到一個IP包中,然后通過PC機的TCP/IP協議棧所定義的路徑將它發送給LINUX主機。在這個例子中,該IP包必須經過橫在PC和LINUX主機中的防火墻才能到達LINUX主機里。
現在我們“命令”防火墻把所有發給LINUX主機的數據包都給拒絕掉。完成這項工作后,防火墻出于憐憫,還會告訴客戶程序一聲——“Hi,我把你的數據給拒絕了啊”。接下來,只有和LINUX主機同在一個網段的用戶才能訪問這臺主機。
當然,我們也可以“命令”防火墻專門給那臺可憐的PC機“找茬”,別人的數據包都被允許順利通過,就它發出的不行。這正是防火墻的基本功能:根據IP地址做轉發判斷。但到了大場面,這種小伎倆就玩不轉了,由于黑客們可以采用IP地址欺騙技術,偽裝成合法地址的計算機,就可以穿越信任這個地址的防火墻了。
僅僅靠地址進行數據過濾在實際應用中是不可行的,原因是目標主機上往往運行著多種通信服務。大多數情況下,不能因為要過濾掉某臺計算機發來的某一種應用的數據包,而拒絕掉這臺計算機發出來的所有數據包。
比如很多公司不希望員工上班登錄QQ,那么就需要在防火墻上做相應的配置,使QQ無法正常登錄到騰訊服務器上。其實這種配置非常簡單,只需要關閉QQ的端口號即可。不可能因為不讓登錄QQ而拋棄所有的數據包,否則這就是典型的“因噎廢食”了。
4.其實,到處都是防火墻
當然,我們也可以以一種寬松的方式定義出廣義的防火墻。目前的操作系統、路由器上,都帶有一定的數據過濾機制。那么可以說,當前的計算機、路由器,甚至一些多媒體網關,也都可以做防火墻。
在企業局域網組網中,很多出口路由器(接入路由器)就承擔了防火墻的功能。