4.4　防火墻簡介

在古時(shí)候，發(fā)生火災(zāi)時(shí)火勢往往會(huì)蔓延到其他的住所去，人們?yōu)榱朔乐够馂?zāi)發(fā)生時(shí)火勢的蔓延，常在住所之間砌起一道磚墻以阻擋火勢，而這道墻就稱為“防火墻”。而今防火墻的概念延伸到了網(wǎng)絡(luò)安全應(yīng)用上，防火墻最早以硬件的形態(tài)出現(xiàn)，但是要架設(shè)網(wǎng)絡(luò)防火墻需要投入相當(dāng)大的資金用于購買硬件設(shè)施，而且主要用于保護(hù)由許多計(jì)算機(jī)所組成的大型網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)的快速發(fā)展，連接到因特網(wǎng)的用戶不斷增加，防黑客入侵開始受到重視，因此開始出現(xiàn)了以軟件形態(tài)為主的防火墻。

建立防火墻的主要目的是保護(hù)屬于我們自己的網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)上的攻擊。也就是說，我們所要防備的是外部網(wǎng)絡(luò)，因?yàn)榭赡軙?huì)有人從外部網(wǎng)絡(luò)對我們發(fā)起攻擊，所以需要在內(nèi)部網(wǎng)絡(luò)和不安全的非信任網(wǎng)絡(luò)之間筑起一道防火墻，如圖4-14所示。

4.4.1　防火墻的工作原理

雖然防火墻介于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，并保護(hù)著內(nèi)部網(wǎng)絡(luò)不受外界不信任網(wǎng)絡(luò)的威脅，但它并不是將外部的網(wǎng)絡(luò)連接請求完全阻擋在外，因?yàn)檫@樣一來便失去了連接到因特網(wǎng)的意義。就某些觀點(diǎn)來看，防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問原則。每個(gè)防火墻都代表一個(gè)單一進(jìn)入點(diǎn)，所有進(jìn)入網(wǎng)絡(luò)的訪問行為都會(huì)被檢查并賦予授權(quán)及認(rèn)證。防火墻會(huì)根據(jù)一套設(shè)置好的規(guī)則來過濾可疑的網(wǎng)絡(luò)訪問行為，并發(fā)出警告，即確定哪些類型的信息數(shù)據(jù)分組可以進(jìn)出防火墻，而什么類型的信息數(shù)據(jù)分組則不能通過防火墻。

4.4.2　防火墻的分類

公司防火墻是使用路由器、服務(wù)器以及各種軟件構(gòu)建的硬件和軟件組合系統(tǒng)。防火墻會(huì)設(shè)置在公司網(wǎng)絡(luò)和因特網(wǎng)之間最容易受到攻擊的地方，并且可以由系統(tǒng)管理員設(shè)置為簡單或復(fù)雜。防火墻大致可分為“數(shù)據(jù)分組過濾型”（Packet Filtering，或稱為數(shù)據(jù)包過濾型）與“代理服務(wù)器型”（Proxy Server）兩種。

• 數(shù)據(jù)分組過濾型

在數(shù)據(jù)分組過濾型防火墻中，監(jiān)控路由器會(huì)檢測在因特網(wǎng)和公司網(wǎng)絡(luò)之間傳輸?shù)拿總€(gè)數(shù)據(jù)分組的報(bào)頭（header）。報(bào)頭內(nèi)含發(fā)送者和接收者的IP地址、發(fā)送數(shù)據(jù)分組所使用的協(xié)議等信息。當(dāng)這些數(shù)據(jù)分組被送到因特網(wǎng)上時(shí)，路由器會(huì)根據(jù)目的IP地址來選擇一條適當(dāng)?shù)穆窂竭M(jìn)行傳送。在這種情況下，數(shù)據(jù)分組可能會(huì)經(jīng)由不同的路徑送達(dá)目的IP地址，當(dāng)所有的數(shù)據(jù)分組抵達(dá)后，便會(huì)進(jìn)行組裝還原的操作。數(shù)據(jù)分組過濾型防火墻會(huì)檢查所有收到的數(shù)據(jù)分組內(nèi)的源IP地址，并按照系統(tǒng)管理員事先設(shè)置好的規(guī)則加以過濾。如果數(shù)據(jù)分組內(nèi)的源IP在過濾規(guī)則內(nèi)為禁止訪問，防火墻便會(huì)將所有來自這個(gè)IP地址的數(shù)據(jù)分組丟棄。這種數(shù)據(jù)分組過濾型的防火墻大部分都由路由器來擔(dān)任。例如，路由器可以阻擋除了電子郵件之外的任何數(shù)據(jù)分組，同時(shí)還可以阻擋通往可疑地址以及來自特定用戶的數(shù)據(jù)流。

• 代理服務(wù)器型

代理服務(wù)器防火墻又稱為“應(yīng)用網(wǎng)關(guān)防火墻”（Application Gateway Firewall），它的安全性比數(shù)據(jù)分組過濾型防火墻高，但只適用于特定的網(wǎng)絡(luò)服務(wù)，例如HTTP、FTP或Telnet等。事實(shí)上，此類型的防火墻是通過代理服務(wù)器來進(jìn)行訪問控制的。代理服務(wù)器是客戶端與服務(wù)器之間的一個(gè)中介服務(wù)者，當(dāng)代理服務(wù)器收到客戶端A對某網(wǎng)站B的網(wǎng)絡(luò)連接請求時(shí)，代理服務(wù)器會(huì)先判斷該請求是否符合訪問規(guī)則，若符合訪問規(guī)則，服務(wù)器便會(huì)去網(wǎng)站B將數(shù)據(jù)取回，并傳回客戶端A。圖4-15所示為使用代理服務(wù)器型防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的示意圖。

因?yàn)橹挥袉闻_(tái)代理服務(wù)器（取代網(wǎng)絡(luò)中許多計(jì)算機(jī)）和因特網(wǎng)互動(dòng)，所以可以確保安全性。由此可知，外部網(wǎng)絡(luò)只能看見代理服務(wù)器，而無法窺知內(nèi)部網(wǎng)絡(luò)真實(shí)的資源分布情況。

• 軟件防火墻

搭建硬件防火墻的成本較高，并不是所有人都能負(fù)擔(dān)的，個(gè)人網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)安全意識(shí)也在不斷提高，但是硬件防火墻對這些用戶而言顯然并不適合，于是便有了軟件防火墻的需求。個(gè)人防火墻是設(shè)置在家庭計(jì)算機(jī)中的軟件，可以像公司防火墻保護(hù)公司網(wǎng)絡(luò)一樣保護(hù)家庭計(jì)算機(jī)。軟件防火墻所采用的技術(shù)與數(shù)據(jù)分組過濾型防火墻如出一轍，但它包括源IP地址限制以及端口限制等功能。例如，Windows操作系統(tǒng)本身也有內(nèi)建的軟件防火墻功能。