防火墙 (Fire Wall) 是网络关联的重要设备,用于控制网络之间的通信。外部网络用户的访问必须先经过安全策略过滤,而内部网络用户对外部网络的访问则无须过滤。现在的防火墙还具有隔离网络、提供代理服务、流量控制等功能。
一、三种防火墙技术
常见的三种防火墙技术:包过滤防火墙、代理服务器式防火墙、基于状态检测的防火墙。
(1)包过滤防火墙。
包过滤防火墙主要针对OSI 模型中的网络层和传输层的信息进行分析。通常包过滤防火墙用来控制IP 、UDP 、TCP、ICMP 和其他协议。包过滤防火墙对通过防火墙的数据包进行检查,只有满足条件的数据包才能通过,对数据包的检查内容一般包括源地址、目的地址和协议。包过滤防火墙通过规则 ( 如ACL) 来确定数据包是否能通过。配置了ACL的防火墙可以看成包过滤防火墙。
(2)代理服务器式防火墙。
代理服务器式防火墙对第四层到第七层的数据进行检查,与包过滤防火墙相比,需要更高的开销。用户经过建立会话状态并通过认证及授权后,才能访问到受保护的网络。压力较大的情况下,代理服务器式防火墙工作很慢。ISA可以看成是代理服务器式防火墙。
(3)基于状态检测的防火墙。
基于状态检测的防火墙检测每一个TCP、UDP 之类的会话连接。基于状态的会话包含特定会话的源/目的地址、端口号、TCP 序列号信息以及与此会话相关的其他标志信息。基于状态检测的防火墙工作基于数据包、连接会话和一个基于状态的会话流表。基于状态检测的防火墙性能比包过滤防火墙和代理服务器式防火墙要高。
二、防火墙区域结构
防火墙按安全级别不同,可划分为内网、外网和DMZ区,具体结构如图所示。
(1)内网。
内网是防火墙的重点保护区域,包含单位网络内部的所有网络设备和主机。该区域是可信的,内网发出的连接较少进行过滤和审计。
(2)外网。
外网是防火墙重点防范的对象,针对单位外部访问用户、服务器和终端。外网发起的通信必须按照防火墙设定的规则进行过滤和审计,不符合条件的则不允许访问。
(3)DMZ 区 (Demilitarized Zone)。
DMZ 区是一个逻辑区,从内网中划分出来,包含向外网提供服务的服务器集合。DMZ 中的服务器有Web 服务器、邮件服务器、FTP 服务器、外部DNS 服务器等。DMZ 区保护级别较低,可以按要求放开某些服务和应用。