2. 硬件防火墙与软件防火墙
防火墙分为软件防火墙和硬件防火墙两种。软件防火墙是安装在PC平台的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计,有专用网络芯片处理数据包。同时,采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求,使硬件防火墙的实际带宽与理论值基本一致,有着高吞吐量、安全与速度兼顾的优点。
硬件防火墙与软件防火墙相比较,有很多优越性,如下表所示。
软件 | 硬件 | |
安全性 | OS:为通用OS,其安全性主要决定于OS的安全性。 从本质上看,软件防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。 另外,就其本身而言,各种操作系统因其考虑通用性,故均做得很复杂,其安全隐和各类脆弱性不断发现,作为防火墙类安全控制设备,建立于这样的系统之上,其安全性能难以提高,也给各防火墙的管理增加了很多工作量。 | OS:自主开发; 为专用操作系统,仅服务于防火墙应用,或防火墙直接嵌在操作系统内,减少系统复杂程度,提高安全信任程度。 |
应用相关性 | 在通用操作系统上,必然运行相关或无关的各种应用,甚至为黑客程序,各种应用在操作系统内竞占资源,共同使用操作系统的相关调用,有意或无意的应用或操作可能给防火墙应用带来安全或其他方面的影响。 | 无其他任何应用存在 |
管理操作安全性 | 防火墙本身管理的唯一性是容易保证的,但防火墙的下层与操作系统紧密连接,如网络接口,其管理不依赖于防火墙本身,其它应用或应用管理可能会使网络接口不可用或崩溃,因此,要求防火墙管理员必须熟悉系统,并精通相关应用或业务。 | 防火墙提供专用管理接口,并有系列安全措施,管理员对系统的操作行为是唯一的、有限的,并严格安全审计。 |
性能 | 通用操作系统庞大,体系完善,在其上运行的各类应用的性能必然受到很大影响。 | 精简的操作系统,不处理无关的事务,效率很高。 |
可靠性 | 软件型防火墙的运行平台为各类商业级PC或服务器,其不间断运行时间还较难满足使用要求,否则用户将付出较高代价购买高可靠性服务器系统,如热备份等。 通用操作系统本身的稳定性受多种因素影响,其稳定性和可靠性很难管理和保证,即使UNIX系统,尽管其稳定性较高,但其受影响的面太宽,如其它应用导致的资源耗尽或系统重启动等,也会中断网络通信,影响正常业务,这对于重要和关键业务系统的影响或损失可能是很大的。 | 使用工业级或军用级专用器件生产设备,平均无故障时间很长,真正满足使用要求,也满足成本控制要求。 软件系统可靠性有本身可靠性保证,并且影响可靠性的相关因素很少。 |
可维护性 | 操作系统本身的维护、防火墙本身的维护、相关或无关应用的维护均与防火墙的维护密切相关。 在升级方面,相关的事务处理的难度和复杂程度也相对较高。 | 维护相对简单,维护行为由防火墙限定,无其他相关性,时间短,可能引起的网络中断时间很短。 升级简单,时间短,行为结果唯一。 |
管理员要求 | 对系统和相关应用精通,要求管理员具有较高的管理能力。 | 熟悉防火墙的相关管理命令操作即可。 |
应急处理适应能力 | 紧急情况下对处理的适应能力不高,可能导致操作系统的不可用,系统的重新安装将需很长时间。 | 硬件设备应急处理适应能力很强,系统初始化,启动,配置,恢复、断开等均快速完成。 |
事故责任 | 事故责任的相关性大,故障责任点较难确定,如操作系统、其它应用还是防火墙本身。 | 责任明确,防火墙明确承担所有安全责任。 |
3. 硬件防火墙的类型与选择
国内市场的硬件防火墙,大部分都是“软硬件结合的防火墙”,即“定制机箱+X86架构+防火墙软件模块”(大多数基于Linux或UNIX系统开发)。其核心技术实际上仍然是软件,吞吐量不高,容易造成带宽瓶颈。由于PC架构本身不稳定,因此,往往难以适应7*24的不间断运行。所以,这种防火墙一般只能满足中低带宽的安全要求,在高流量环境下往往会造成网络堵塞甚至系统崩溃。
● 包过滤防火墙
包过滤防火墙是基于源地址和目的地址、应用或协议以及每个IP包的端口作出是否允许通过判断的防火墙。路由器便是传统的包过滤防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。
先进的包过滤防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
网络级防火墙的优点是简洁、速度快、费用低,并且对用户透明,缺点是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
● 应用网关防火墙
应用网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用网关能够理解应用层上的协议,能够做较为复杂的访问控制,并做精细的注册。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
应用网关有较好的访问控制,是目前最安全的防火墙技术,但实现起来比较困难,而且通常对用户缺乏透明。另外,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟,并且必须进行多次登录才能访问Internet或Intranet,令人感到未免有些美中不足。
● 规则检查防火墙
规则检查防火墙集包过滤和应用网关的特点于一身。与包过滤防火墙的相同之处在于,它能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。与应用网关的相同之处在于,它可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。
规则检查防火墙不打破客户机/服务机模式来分析应用层的数据,允许受信任的客户机和不受信任的主机建立直接连接。另外,它也不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,从而在理论上比应用级代理在过滤数据包上更有效。
由于规则检查防火墙在OSI最高层——应用层上加密数据,既无需修改客户端的程序,也无需对每个在防火墙上运行的服务额外增加一个代理,对于用户完全透明,所以,目前市场上流行的防火墙大多属于该类防火墙。
