防火墙系列连载之十—商用防火墙介绍

　　三、 商用防火墙FireWall－1介绍

　　FireWall－1是一种商用防火墙，是Internet安全公司出产。目前这一产品运行在SUN Sparc工作站上。FireWall－1使用下述两种办法建立网络安全：

　　应用层网关

　　包过滤

　　FireWall－1网关配置使用了图形用户接口如Sun OS操作系统的Openlook。它使得管理和配置更简单、更灵活。FireWall－1网关具有下列特点：

　　1安全包过滤；

　　2对无政府状态的连接增加上下文信息；

　　3审核和报警；

　　4具有定义和增加新的协议和服务的能力；

　　5具有身份验证能力的Telnet和FTP会话；

　　6创建加密通道。

　　FireWAll－1独有的特征是，虽然它使用包过滤作为自己的基本结构，但是包过滤是在OSI模型的2到7层工作。缺少上下文信息的协议如UDP可以通过在FireWall－1网关内建立上下文信息进行管理。

　　1.FireWall－1的资源要求

　　对产品进行评估，以及了解它是否适合于用户的网络环境，从而才能进一步作出投资决定。在做上述工作之前，对一些细节情况进行了解是十分必要的，比如硬件、软件以及培训等。下面我们将有关信息列出以供参考。FireWall－1目前可运行于下列平台/操作系统上。

　　硬件平台：基于Sun Sparc系统 Interl X86或Pentinm芯片

　　操作系统：Sun OS 4.1.3 或Solaris 2.3及更高版本 NetWare

　　图形接口：X11R5/Open Look ( Open Windows 3 )

　　占用磁盘空间：10MB字节

　　内存要求：16MB（对于控制模块要求内存不小于 16MB，而包过滤模块对内存无特别要求）

　　网络接口：所有标准Sun网络接口

　　路由器：Cisco路由器（version9.1或以上）和

　　Wellfleet路由器（version 8.0 或以上）的

　　访问列表支持。

　　存储介质：CD－ROM

　　2.FireWall－1体系结构

　　FireWall－1网关在一个组织的内部网络和外部网络之间相当于一个安全路由器如图3所示。在该组织的内部网络和一个外部不可信网络之间的网络流量都是通过FireWall－1网关传送。外部网络和内部网络之间的包交换被审查，并使之服从组织的内部安全要求。

　　FireWall－1主要由两个主要部件组成：

　　1包过滤模块

　　2控制模块。

　　一个单独的控制模块可用来控制和监视多个包过滤模块。包过滤器不依赖控制模块而操作，它用于提供不断发展的、简单、功能强大和可靠的过滤功能，并可以放置在另外的Internet网关和服务器上来提供分离的冒险区。因此，提供了内部网络边界防护、深层次安全和网络内部划分功能。控制模块放置在控制工作站上。控制模块和包过滤模块可以驻留在相同或不同的主机上。如果放置在不同的主机上，则控制模块和包过滤模块之间的通信需用一次口令检验进行身份验证。　　

　　包过滤器模块在网络之间，也适用于在OSI模型的数据链路和网络层之间实现安全路由器功能。数据链路层是由网络接口卡实现的，而网络层则是网关中TCP/IP栈的IP协议层。　　

　　对于进入和送出的包，对包头要加以检查，看它们是否与某一个包过滤则匹配。如果没有匹配规则出现，就试用下一规则。对匹配的包，可以进行记录/报警操作(可选)。记录后，就要作出判决让包通过或丢弃之。

　　如果包不能匹配，为了服从安全策略，一定要丢掉它。特别强调的一点：凡是未经明确允许的都是被禁止的。

　　FireWall－1包过滤所独有的特征是，它提供了用以过滤UDP和PRC流量的有效方法。包过滤通过为那些非虚拟电路部分的包建立上下文信息来实现。

　　FireWall－1包过滤的其它功能如下：

　　1上下文和状态信息：上下文和状态信息可以从通信数据包或操作系统中分解出来，并能安全地用于传播协议如UDP、RPC等。

　　2列表和对象：网络和服务由对象表示，这些对象可以集中起来在一个访问表中列出（动态的或静态的），以提供网络高层定义、高效管理和处理，允许过滤器规则指定为比大多数包过滤器更高的层，以便进行合适的智能过滤。

　　3安全数据访问：包过滤规则可以对OSI模型第2到第7层的任一层的地址和包头信息进行过滤。对上层协议信息的过滤允许指定基于更多完整信息的更明智的规则。这就允许基于应用程序知识的安全策略的实现。

　　4协议自由：高层定义可以用来定义新的协议和应用程序，使包过滤器模块更加通用和灵活，这种协议自由是通过高层定义实现的，它不要求修改原始代码。

　　5审核和报警：每一个通信都会被记录下来，在记录中审核或产生报警。记录和报警的格式是公开的，也可以由用户配置。标准格式包括通信的源地址和目的地址、所用协议、请求的服务、时间和日期、源端口号、执行的操作以及记录和报警类型。报警可以通过在用户的TXT正文文件中进行编程记录来进行，如启动报警、记录报警信息以及打开报警窗口和传送电子邮件（包含报警信息的），报警可以通过SNMP传送给SNMP管理者。状态报告可以通过SNMP或状态系统监控软件进行浏览。

　　6状态报告：FireWall－1包过滤模块通信状态的监视、报警功能。网络流量状态信息在系统状态监控器上得到，也可以从集成在任何平台的简单网络管理协议中得到。这个信息对SNMP管理器是很有用的。

　　7核心模块：包过滤器模块是一个动态装载的核心模块，这意味着升级是很容易的。因为包过滤器运行于核心内部，它不会上级的上下文转换所阻碍，只要作为用户进程的模块存在，包过滤器就随之存在。一般来说，在核心内部运行的优点是上端进程被忽略，并且非常有效。

　　8最优化：包过滤器优化器用来降低包过滤器规则处理的时间开销。像高速缓存和散列表这样的技术，用来统一多对象实例，以及有效地访问数据。

　　9简单性和高效性：FireWall－1包过滤模块是一个自主的、紧凑的代码模块。它作为一个可调用的核心模块驻留在操作系统的核心，这种可调用的核心模块在安全上不要求重新配置系统或重新启动系统。因为它驻留在操作系统核心，运行效率极高，不需要额外增加内存，也没有上下文交换的开销，这种设置也使得包过滤模块难以被篡改或被忽略。