(壹)內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻
這是防火墻所處網絡位置特性,同時也是壹個前提。因為只有當防火墻是內、外部網絡之間通信的唯壹通道,才可以全面、有效地保護企業網內部網絡不受侵害。
根據美國國家安全局制定的《信息保障技術框架》,防火墻適用於用戶網絡系統的邊界,屬於用戶網絡邊界的安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處,比如用戶網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火墻的目的就是在網絡連接之間建立壹個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。
典型的防火墻體系網絡結構如下圖所示。從圖中可以看出,防火墻的壹端連接企事業單位內部的局域網,而另壹端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻。
(二)只有符合安全策略的數據流才能通過防火墻
防火墻最基本的功能是確保網絡流量的合法性,並在此前提下將網絡的流量快速的從壹條鏈路轉發到另外的鏈路上去。從最早的防火墻模型開始談起,原始的防火墻是壹臺“雙穴主機”,即具備兩個網絡接口,同時擁有兩個網絡層地址。防火墻將網絡上的流量通過相應的網絡接口接收上來,按照OSI協議棧的七層結構順序上傳,在適當的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網絡接口送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火墻是壹個類似於橋接或路由器的、多端口的(網絡接口>=2)轉發設備,它跨接於多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。
(三)防火墻自身應具有非常強的抗攻擊免疫力
這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。防火墻處於網絡邊緣,它就像壹個邊界衛士壹樣,每時每刻都要面對黑客的入侵,這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這麽強的本領防火墻操作系統本身是關鍵,只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火墻自身具有非常低的服務功能,除了專門的防火墻嵌入系統外,再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。
目前國內的防火墻幾乎被國外的品牌占據了壹半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火墻廠商對國內用戶了解更加透徹,價格上也更具有優勢。防火墻產品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內主流廠商為東軟、天融信、山石網科、網禦神州、聯想、方正等,它們都提供不同級別的防火墻產品。
(四)應用層防火墻具備更細致的防護能力
自從Gartner提出下壹代防火墻概念以來,信息安全行業越來越認識到應用層攻擊成為當下取代傳統攻擊,最大程度危害用戶的信息安全,而傳統防火墻由於不具備區分端口和應用的能力,以至於傳統防火墻僅僅只能防禦傳統的攻擊,基於應用層的攻擊則毫無辦法。
從2011年開始,國內廠家通過多年的技術積累,開始推出下壹代防火墻,在國內從第壹家推出真正意義的下壹代防火墻的網康科技開始,至今包擴東軟,天融信等在內的傳統防火墻廠商也開始相互 效仿,陸續推出了下壹代防火墻,下壹代防火墻具備應用層分析的能力,能夠基於不同的應用特征,實現應用層的攻擊過濾,在具備傳統防火墻、IPS、防毒等功能的同時,還能夠對用戶和內容進行識別管理,兼具了應用層的高性能和智能聯動兩大特性,能夠更好的針對應用層攻擊進行防護。
(五)數據庫防火墻針對數據庫惡意攻擊的阻斷能力
虛擬補丁技術:針對CVE公布的數據庫漏洞,提供漏洞特征檢測技術。 高危訪問控制技術:提供對數據庫用戶的登錄、操作行為,提供根據地點、時間、用戶、操作類型、對象等特征定義高危訪問行為。 SQL註入禁止技術:提供SQL註入特征庫。 返回行超標禁止技術:提供對敏感表的返回行數控制。 SQL黑名單技術:提供對非法SQL的語法抽象描述。 代理服務設備(可能是壹臺專屬的硬件,或只是普通機器上的壹套軟件)也能像應用程序壹樣回應輸入封包(例如連接要求),同時封鎖其他的封包,達到類似於防火墻的效果。
代理使得由外在網絡竄改壹個內部系統更加困難,並且壹個內部系統誤用不壹定會導致壹個安全漏洞可從防火墻外面(只要應用代理剩下的原封和適當地被配置)被入侵。相反地,入侵者也許劫持壹個公開可及的系統和使用它作為代理人為他們自己的目的;代理人然後偽裝作為那個系統對其它內部機器。當對內部地址空間的用途加強安全,破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網絡。
防火墻經常有網絡地址轉換(NAT)的功能,並且主機被保護在防火墻之後***同地使用所謂的“私人地址空間”,依照被定義在[RFC 1918] 。 管理員經常設置了這樣的情節:假裝內部地址或網絡是安全的。
防火墻的適當的配置要求技巧和智能。 它要求管理員對網絡協議和電腦安全有深入的了解。 因小差錯可使防火墻不能作為安全工具。 (1)防火墻能強化安全策略。
(2)防火墻能有效地記錄Internet上的活動。
(3)防火墻限制暴露用戶點。防火墻能夠用來隔開網絡中壹個網段與另壹個網段。這樣,能夠防止影響壹個網段的問題通過整個網絡傳播。
(4)防火墻是壹個安全策略的檢查站。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。