专注SIP通讯产品与方案

防火墙的分类-综合布线知识

1.为什么要用防火墙

微信图片_20211229144316.jpg

在前文已经讨论了Internet防火墙的优点与缺点,但是作为Internet的本身存在的缺陷容易被人利用,对网络安全带来很大的威胁,所以就在网络安全中采用防火墙技术是非常有用的,这是因为:

□Internet是普遍依赖于TCP/IP协议的,这是一种在一种机型间的通信协议,它本身就很安全。

□Internet所提供的各种服务,如电子邮件、文件传输、远程登录、万维网等都存在着安全隐患。

□Internet上使用了薄弱的认证环节,薄弱的、静态的口令;一些TCP或UDP服务只能对主机地址进行认证,而不能对指定的用户进行认证。

□在Internet±存在着IP地址欺骗(伪装)。

□有缺陷的局域网服务(NIS和NFS)和主机之间存在着有缺陷的相互信任关系。特别是近几年掀起的电子商务、电子政务热潮,使用防火墙就显得相当重要了。

2.防火墙的产品分类

目前,防火墙产品大致分为软件防火墙、硬件防火墙和工业标准服务器形式的防火墙三类。

1软件防火墙

     软件防火墙一般运行在操作系统以上,以CheckpointFirewall/NAIGauntlet产品为例分别介绍。

1)Checkpoint Fire wall的主要特点如下:

FireWall-1主要的功能是在安全区域支持Entrust技术的数位证明(digitalcertificate)解决方案;以公用密钥为基础,使用X.509的认证机制IKE。FireWall-1支持LDAP目录管理,可帮助使用者定义包罗广泛的安全政策。

FireWall-1提供顾客包含远端的使用者使用多种安全的认证机制,以存取企业资源。在通信被允许进行之前,FireWall-1认证服务可安全地确认他们身份的有效性,而不需要修改本地客户端应用软件,认证服务是完全地被集成到企业整体的安全政策内,并能由FireWall-1图形使用者界面集中管理。所有的认证能经由防火墙日志浏览(logviewer)来监视和追踪。FireWall-1提供三种认证方法:使用者认证,提供以使用者为基础的FTP、TELNET,HTTP和RLOGIN的存取权限,跟使用者的IP位址无关;客户端认证能够使管理者授予存取的特权给予在特定IP位址的特定使用者;会话认证可以认证基于会话的任何一种服务。目前该产品支持的平台有WindowsNT.Window9x/2000.sunSolarisIBMAIX.HP-UX等。

2)NAI Gauntlet的主要特点如下:

      作为最高类型一基于应用层网关的Gauntlet防火墙,集成了NT的性能管理和易用性;应用层安全按照安全策略检查双向的通信。具有用户透明、集成管理、强力加密和内容安全、高吞吐量的特性。可应用于Internet.企业内部网和远程访问。Gauntlet防火墙具有友好和管理界面,其基于Java或NT环境,可以运行在Web浏览器中,支持远程管理和配置,如可从网络管理平台上监控和配置,如NTServer和HPOpenViewGauntlet还支持通过服务器、企业内部网、Internet来存取和管理SNMP设备。Gauntlet防火墙支持流行的多媒体实时服务,如RealAudio/Video、Microsoft。

      Gauntlet支持众多的标准协议如终端服务(TELNET、rlogin)、文件传送(FTP)、电子邮件(SMTP、POP3)、WWW(HTTP、SHTTP、SSL、Gopher)、Usenet新闻(NNTP)、域名服务(DNS)、简单网络管理协议(SNMP)、OracleSQL*NetShow、VDOLive,LDAP、PPTP。

2、硬件防火墙

硬件防火墙带有特殊的硬件,通常软件较少活动。

NetScreen公司的NetScreen防火墙产品是一种硬件防火墙NetScreen产品完全基于硬件ASLC芯片,它就像个盒子一样安装使用起来很简单。同时它还是一种集防火墙、VPN、流量控制三种能于一体的网络产品。应用场合如下:

1)NetScreen10适用于10Mbps以太网。

2)NetScreen100适用于10Mbps以太网。

3)NetScreen1000则可以支持千以太网,适应不同场合的需要。

硬件防火墙的主要特点为:

NetScreen把多种安全功能集成在一个ASIC芯片上、将防火墙、虚拟专用网(VPN),网络流量控制和宽带接入这些功能全部集成在专有的一体硬件中,该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈,能实现最高级别的IPsec。

NetScreen防火墙的配置可在网络上任何一台带有浏览器的机器上完成NetScreen的优势之一是采用了新的体系结构,可以有效地消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的IP安全保护。

3.工业标准服务器防火墙

所谓工业标准服务器防火墙,即凡是符合工业标准的、大批量生产的、机架式服务器,无论是IA架构的,还是像IBM的ISA架构那样的,只要符合上述标准都可以称为标准服务器。因此,在这种平台上的安装、运行防火墙软件形成的防火墙系统,都可以称为工业标准服务器的防火墙。

工业标准服务器防火墙由于性能价格比非常高,而受到用户的欢迎,主要原因有以下6点。

(1)速度快、性能高

      防火墙的性能取决于两个方面:软件和硬件。工业标准服务器,由于生产的批量大,产品更新换代快,所以总能保证使用最新的技术和硬件,如最快的CPU、内存,更大容量的硬盘,最新的总线结构等,从而为防火墙的性能提高提供了较好的外部条件。

      硬件并不是决定性能的唯一因素,防火墙软件的设计,体系结构的变革也同样重要。计算机网络升级(从10Mbps到100Mbps,从100Mbps到1000Mbps、10000Mbps),因为即使硬件满足了需求,软件却处理不了如此大的数据量。目前世界上数据吞吐率最高的防火墙为部署于Nortel平台上的CheckPointNG产品,高达3.2Gbps。

(2)批量大、价格低

      工业标准服务器的生产批量非常大,所以单位成本较低。因此,这种形式的防火墙可以为用户提供具有高性能价格比的网络安全解决方案。相对于硬件防火墙,无论在产品的安全性,还是价格上,工业标准服务器形式的防火墙,都具有很大的优势。

       工业标准服务器与软件防火墙、硬件防火墙在安装、安全性、性能、管理、维护费用、扩展性、配置灵活性、价格等方面的对照如表所示。

软件防火墙、硬件防火墙和工业标准服务器防火墙对照表

因素软件防火墙 硬件防火墙   工业标准服务器防火墙
安装较复杂简单

安全性较高
性能依赖硬件平台
管理简单复杂简单
维护费用
扩展性
配置灵活性
价格  较低

(3)工业标准服务器的特点

       防火墙必须要有合格证,7x24小时不间断地运行,以保护网络资源,避免未经授权的访问。一方面,防火墙软件应提供热备份的功能,包括网关之间和管理服务器之间的高可用性,以避免单点故障的发生;另一方面,作为防火墙载体的硬件设备,也应提供可靠的性能保障,因为它是防火墙的基础。工业标准服务器具有下特点:

1)采用服务器主板和专心芯片组。

2)具有纠错功能的ECC内存,而不是普通SDRAM,可消除数据杂音带来的系统不稳定因素。

3)有RAID技术提高了系统可靠性。

4)采用通过认证的软硬件,能保证良好的系统兼容性、确保整个系统的稳定。

5)对于易出现故障的部件采用冗余的热插拔,能显著减少因硬件导致的服务故障。

6)管理芯片固化在主板上,集成了丰富的服务器管理功能;提供主动的监控、报警和远程管理功能。

(4)维护费用低、扩展性好

一些用户喜欢硬件防火墙,很大一部分原因是由于它节省空间,可以直接安装在机架±o现在,工业标准服务器形式的防火墙同样可以提供IU、2U等标准尺寸,可以使用户在有限的空间里放置最大数量的设备,易于管量和维护,同时它的配置更加灵活,适应范围也更宽广。

工业标准服务器厂商一般都提供集中化的管理工具,使管理员可以从一个控制台访问所有的服务器,维护服务器的正常运行;另外,用户可通过LED指示灯快速浏览服务器状态,迅速得知出故障的机器方位,从而实现快速预警。免工具机箱设计使管理人员不需要借助工具就可以打开机箱,拆卸任何可以拆卸的部件,从而实现了快速升级和部件更换;同时,由于所有部件均采用工业标准,所以价格低,数量足,更换起来方便快捷;由于基于工业标准服务器的防火墙,系统扩充性能好,可以随时根据需求,对硬件平台(CPU、内存、硬盘等)及操作系统和防火墙软件版进行升级,从而保护了用户的前期投资。

(5)配置灵活,集成不同应用

用户是产品最终的使用者,他们的操作意愿和对系统的熟悉程度是厂商必须考虑的问题。所以一个好的防火墙不但本身要有良好的执行效率,也应该提供多平台的执行方式给用户选择。因为如果用户不了解如何正确地管理一种系统,就不可能保护系统的安全。硬件防火墙采用专有操作系统,需要用户来适应产品。而采用工业标准服务器,用户则有更多的选择机会。用户可以选择熟悉、喜爱的操作系统,如WindowsNT/2000xLinux和UNIX等,实践表明对一种产品的熟悉程度可以提高其安全性。并且硬件防火墙只能实现单一功能,而采用标准服务器的防火墙则可以在上面安装除防火墙壁之外的不同的应用,如VPN、流量管理等,从而节省投资,提高效率。

(6)体现系统集成商的增值作用

       其实,对用户来说,并不十分关心防火墙采用何种形式,他们只关心防火墙是否能满足自己的安全需求?运行是否稳定可靠?维护起来是否简单易行?对系统集成商来讲,单纯的销售硬件防火墙,很难体现增值作用,所获得的利润较低,同时也体现不出自己的技术优势。而采用工业标准服务器,系统集成商可以在上边安装用户熟悉的操作系统,并对它进行加固和优化,同时可以在上面安装防火墙、VPN、流量管理等软件,提供给用户一个完整的网络安全解决方案。这样,一方面体现了系统集成商的技术实力和增值能力,使其得到了更高的利润;另一方面用户可以得到一站式服务,减少了负担。

综上所述,软件防火墙虽然安全性高、易管理、价格低、配置灵活,但在性能上对硬件依赖程度较高。硬件防火墙性能高,但从投资角度考虑,这种实现安全功能的单一方式限制了产品的灵活性以及升级底层硬件的能力,不利于保护用户的前期投资。而且硬件防火墙最大的缺陷在于把企业用户限制在一家厂商完成其整个安全系统的窄路上,这与使用模块化系统“选择所有最佳部件”的努力是相悖的,即很难把最好的操作系统与最好的防火墙结合起来,再接入最好的分析检测系统,并且将其部署在最可靠的平台上,因为同一家厂商不可能在这几个领域同时做到最好。