防火墙基础及分类

在互联网这样的信息包交换网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包头信息中包括IP源地址、IP目标地址、内装协议(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。当这些包被送上互联网时，防火墙会读取接收者的IP并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话，从这个地址而来的所有信息都会被防火墙屏蔽掉。　　

2）防火墙的安全规则

　安全规则就是对你计算机所使用局域网、互联网的内制协议设置，从而达到系统的最佳安全状态。　个人防火墙软件中的安全规则方式可分为两种：　　

一种是定义好的安全规则。就是把安全规则定义成几种方案，一般分为低、中、高三种。这样不懂网络协议的用户，就可以根据自己的需要灵活的设置不同的安全方案。例如：ZoneAlarm防火墙。

还有一种用户可以自定义安全规则。也就是说，在你非常了解网络协议的情况下，你就可以根据自已所需的安全状态，单独设置某个协议。

3）事件日记

　　这是每个防火墙软件所不能少的主要的功能。记录着防火墙软件监听到发生的一切事件，比如入侵者的来源、协议、端口、时间等等。记录的事件是由防火墙的功能来决定的。

0x02 如何选择防火墙？

　个人认为选用防火墙,不一定非要用最好的，因为个人防火墙主要是针对个人用户的实用性来制作的，除了以上几种功能外，还集成一些工具，比如说追踪主机名或IP地址、检测特洛伊木马、伪装等等。根据自己不同的需要来选用，在不断地学习中淘汰一些简单的防火墙。本人把用户大概分成五种：　　

1）不了解网络协议的用户，只是为了游览网页。你可以使用傻瓜式防火墙。例如：Intrusion Detector、Intruder Alert' 99　　

2）如果你上网是为了聊天或者经常受到攻击的用户，那么你就可以选用：ProtectX、LockDown2000两个防火墙，它们都有追踪IP的功能。如果你受到攻击，立即可以追踪。　　

3）经常遭遇到扫描的用户，使用Internet Firewall 2000、AnalogX、NetAlert。这两个防火墙可以封锁或监视你的对外开放端口.　

　 4）在局域网环境中上网的用户，那么防火墙必须支持 NETBIOS设置功能。例如：AtGuard、Zone Alarm、conseal pc firewall、天网防火墙、BlackICE。　　

5）自己对网络协议运用自如的用户。Norton Internet Security 2000 V2.0 Personal Firewall与AtGuard防火墙都有非常详细的自定义网络协议。　

这里说明一下，上面所说的五种用户分类，不是必须按照这样的分类使用的，只不过它们有那种分类的功能特点。比如说,Zone Alarm、天网防火墙，这两个防火墙也对普通用户提供了安全规则方案，不了解网络协议的用户也可以运用自如。

0x03 防火墙分类

1）从软、硬件形式上分

　　如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

　　（1）软件防火墙。
　　软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。
　　（2）硬件防火墙。
　　这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。
　　（3）芯片级防火墙。
　　芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。
　　

2）从防火墙技术分

　　防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。
　　（1）包过滤（Packet filtering）型。
　　包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。
　　在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。
　　包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC（远程过程调用）一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。
　　（2）应用代理（Application Proxy）型。
　　应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。
　　
　　在代理型防火墙技术的发展过程中，它也经历了两个不同的版本：第一代应用网关型代理防火和第二代自适应代理防火墙。
　　代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
　　代理防火墙的最大缺点是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。
　　

3）从防火墙结构分

　　从防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
　　单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。
　　这种防火墙其实与一台计算机结构差不多（如下图），同样包括CPU、内存、硬盘等基本组件，主板更是不能少的，且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。虽然如此，但我们不能说它就与我们平常的PC机一样，因为它的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞吐性能。正因如此，看似与PC机差不多的配置，价格甚远。
　　随着防火墙技术的发展及应用需求的提高，原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能，还有的防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，俗称“分布式防火墙”。
　　原来单一主机的防火墙由于价格非常昂贵，仅有少数大型企业才能承受得起，为了降低企业网络投资，现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。
　　分布式防火墙再也不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡，这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的通信请求“不信任”。
　　

4）按防火墙的应用部署位置分

　　按防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类。边界防火墙是最为传统的，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都属于硬件类型，价格较贵，性能较好。
　　个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。
　　混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。
　　

5）按防火墙性能分

　　按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
　　因为防火墙通常位于网络边界，所以不可能只是十兆级的。这主要是指防火的通道带宽（Bandwidth），或者说是吞吐率。当然通道带宽越宽，性能越高，这样的防火墙因包过滤或应用代理所产生的延时也越小，对整个网络通信性能的影响也就越小。
　　虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。