1.為什么要用防火墻
在前文已經討論了Internet防火墻的優點與缺點�,但是作為Internet的本身存在的缺陷容易被人利用,對網絡安全帶來很大的威脅����,所以就在網絡安全中采用防火墻技術是非常有用的,這是因為:
□Internet是普遍依賴于TCP/IP協議的�,這是一種在一種機型間的通信協議��,它本身就很安全。
□Internet所提供的各種服務����,如電子郵件����、文件傳輸�、遠程登錄、萬維網等都存在著安全隱患�����。
□Internet上使用了薄弱的認證環節��,薄弱的���、靜態的口令���;一些TCP或UDP服務只能對主機地址進行認證���,而不能對指定的用戶進行認證�����。
□在Internet±存在著IP地址欺騙(偽裝)。
□有缺陷的局域網服務(NIS和NFS)和主機之間存在著有缺陷的相互信任關系���。特別是近幾年掀起的電子商務、電子政務熱潮�,使用防火墻就顯得相當重要了����。
2.防火墻的產品分類
目前��,防火墻產品大致分為軟件防火墻���、硬件防火墻和工業標準服務器形式的防火墻三類���。
1軟件防火墻
軟件防火墻一般運行在操作系統以上�����,以CheckpointFirewall/NAIGauntlet產品為例分別介紹。
1)Checkpoint Fire wall的主要特點如下:
FireWall-1主要的功能是在安全區域支持Entrust技術的數位證明(digitalcertificate)解決方案����;以公用密鑰為基礎,使用X.509的認證機制IKE。FireWall-1支持LDAP目錄管理��,可幫助使用者定義包羅廣泛的安全政策�����。
FireWall-1提供顧客包含遠端的使用者使用多種安全的認證機制���,以存取企業資源�����。在通信被允許進行之前,FireWall-1認證服務可安全地確認他們身份的有效性,而不需要修改本地客戶端應用軟件�����,認證服務是完全地被集成到企業整體的安全政策內���,并能由FireWall-1圖形使用者界面集中管理��。所有的認證能經由防火墻日志瀏覽(logviewer)來監視和追蹤���。FireWall-1提供三種認證方法:使用者認證��,提供以使用者為基礎的FTP、TELNET,HTTP和RLOGIN的存取權限,跟使用者的IP位址無關;客戶端認證能夠使管理者授予存取的特權給予在特定IP位址的特定使用者;會話認證可以認證基于會話的任何一種服務。目前該產品支持的平臺有WindowsNT.Window9x/2000.sunSolarisIBMAIX.HP-UX等��。
2)NAI Gauntlet的主要特點如下:
作為最高類型一基于應用層網關的Gauntlet防火墻��,集成了NT的性能管理和易用性;應用層安全按照安全策略檢查雙向的通信�。具有用戶透明�����、集成管理、強力加密和內容安全、高吞吐量的特性����?����?蓱糜贗nternet.企業內部網和遠程訪問���。Gauntlet防火墻具有友好和管理界面����,其基于Java或NT環境�����,可以運行在Web瀏覽器中��,支持遠程管理和配置,如可從網絡管理平臺上監控和配置,如NTServer和HPOpenViewGauntlet還支持通過服務器、企業內部網、Internet來存取和管理SNMP設備���。Gauntlet防火墻支持流行的多媒體實時服務,如RealAudio/Video、Microsoft����。
Gauntlet支持眾多的標準協議如終端服務(TELNET��、rlogin)、文件傳送(FTP)���、電子郵件(SMTP、POP3)、WWW(HTTP、SHTTP�、SSL�、Gopher)���、Usenet新聞(NNTP)�、域名服務(DNS)����、簡單網絡管理協議(SNMP)、OracleSQL*NetShow����、VDOLive,LDAP����、PPTP���。
2����、硬件防火墻
硬件防火墻帶有特殊的硬件,通常軟件較少活動�����。
NetScreen公司的NetScreen防火墻產品是一種硬件防火墻NetScreen產品完全基于硬件ASLC芯片���,它就像個盒子一樣安裝使用起來很簡單�。同時它還是一種集防火墻、VPN����、流量控制三種能于一體的網絡產品����。應用場合如下:
1)NetScreen10適用于10Mbps以太網��。
2)NetScreen100適用于10Mbps以太網。
3)NetScreen1000則可以支持千以太網���,適應不同場合的需要。
硬件防火墻的主要特點為:
NetScreen把多種安全功能集成在一個ASIC芯片上���、將防火墻、虛擬專用網(VPN),網絡流量控制和寬帶接入這些功能全部集成在專有的一體硬件中���,該項技術能有效消除傳統防火墻實現數據加密時的性能瓶頸,能實現最高級別的IPsec。
NetScreen防火墻的配置可在網絡上任何一臺帶有瀏覽器的機器上完成NetScreen的優勢之一是采用了新的體系結構,可以有效地消除傳統防火墻實現數據加盟時的性能瓶頸���,能實現最高級別的IP安全保護��。
3.工業標準服務器防火墻
所謂工業標準服務器防火墻,即凡是符合工業標準的�、大批量生產的���、機架式服務器�,無論是IA架構的���,還是像IBM的ISA架構那樣的�,只要符合上述標準都可以稱為標準服務器。因此�,在這種平臺上的安裝���、運行防火墻軟件形成的防火墻系統��,都可以稱為工業標準服務器的防火墻。
工業標準服務器防火墻由于性能價格比非常高�,而受到用戶的歡迎��,主要原因有以下6點。
(1)速度快��、性能高
