《第五章防火墙技术基础》由会员分享,可在线阅读,更多相关《第五章防火墙技术基础(82页珍藏版)》请在金锄头文库上搜索。
1、第五章第五章 防火墙技术基础防火墙技术基础 由于系统的安全性是由它的最薄弱环由于系统的安全性是由它的最薄弱环节决定,因此,安全范围必须是整个系统节决定,因此,安全范围必须是整个系统性的。例如,在某个大企业的内部网络中,性的。例如,在某个大企业的内部网络中,含有许多不同品牌和型号的机器,而这些含有许多不同品牌和型号的机器,而这些机器的操作系统和应用程序又是千差万别。机器的操作系统和应用程序又是千差万别。它们再通过不同供应商提供的不同性能和它们再通过不同供应商提供的不同性能和容量的网络设备和路由器连接起来。在这容量的网络设备和路由器连接起来。在这样不同种类、不断变化的环境中,检测整样不同种类、不断
2、变化的环境中,检测整个系统和确保所有部件的安全是相当费时个系统和确保所有部件的安全是相当费时和复杂的。和复杂的。 防火墙的基本知识防火墙的基本知识 防防火火墙墙是是位位于于两两个个信信任任程程度度不不同同的的网网络络之之间间(如如企企业业内内部部网网络络和和InternetInternet之之间间)的的软软件件或或硬硬件件设设备备的的组组合合,目目的的是是保保护护网网络络不不被被他他人人侵侵扰扰。本本质质上上,它它遵遵循循的的是是一一种种允允许许或或阻阻止止业业务务来来往往的的网网络络通通信信安安全全机机制制,也也就就是是提提供供可可控控的的过过滤网络通信,只允许授权的通信。滤网络通信,只允许
3、授权的通信。防火墙的基本功能防火墙的基本功能(1 1)防防火火墙墙能能有有效效地地记记录录因因特特网网上上的的活动活动(2 2)防火墙限制暴露用户点)防火墙限制暴露用户点(3 3)防火墙是一个安全策略的检查站)防火墙是一个安全策略的检查站(4)建立一个节流点。建立一个节流点。防防火火墙墙作作为为中中心心控控制制点点,易易于于实实现现和和更更新新公公司司的的安安全全策策略略。它它能能为为网网络络提提供供安安全全的的单单访访问问点点。所所以以用用户户可可以以在在一一个个地地方方改改变变设设置置而而无无需需改改动动每每台台机机器器。防防火火墙墙能能在在网网络络范范围围内内加加强强安安全全,比比如如防
4、防止止网网络络中中的的每每个个人人都都有有权权访访问问某某些些Internet资源。资源。 防火墙在因特网与内部网中的位置防火墙在因特网与内部网中的位置 防防火火墙墙可可以以看看成成是是安安装装在在两两个个网网络络之之间间的的一一道道栅栅栏栏,根根据据安安全全计计划划和和安安全全策策略略中中的的定定义义来来保保护护其其后后面面的的网网络络。它它应应该该满满足以下条件:足以下条件:(1 1)所所有有进进出出网网络络的的通通信信流流都都应应该该通通过过防火墙。防火墙。(2 2)所所有有穿穿过过防防火火墙墙的的通通信信流流都都必必须须有有安全策略和计划的确认和授权。安全策略和计划的确认和授权。(3
5、3)理论上说,防火墙是穿不透的。)理论上说,防火墙是穿不透的。防火墙的不足之处防火墙的不足之处(1)防火墙不能防范不通过它的连接)防火墙不能防范不通过它的连接如果网络具有其他联接方式,比如一台如果网络具有其他联接方式,比如一台WindowsPC使用一台调制解调器通过使用一台调制解调器通过ISP联到联到Internet上,因为连接不经过防火墙,上,因为连接不经过防火墙,因此绕过了防火墙提供的安全控制。因此绕过了防火墙提供的安全控制。(2)防火墙不能防备全部的威胁)防火墙不能防备全部的威胁防火墙不能防止许多常见的防火墙不能防止许多常见的Internet问题,问题,如病毒和特洛伊木马。如病毒和特洛伊
6、木马。从物理角度看,各站点防火墙物理实从物理角度看,各站点防火墙物理实现的方式有所不同。许多人认为防火墙是现的方式有所不同。许多人认为防火墙是一台机器,有一些网络是这种情况。然而,一台机器,有一些网络是这种情况。然而,防火墙这一术语和所执行的功能关系更紧防火墙这一术语和所执行的功能关系更紧密一些,而不是指物理设备。防火墙可以密一些,而不是指物理设备。防火墙可以是一组硬件设备,即路由器、主计算机或是一组硬件设备,即路由器、主计算机或者是路由器、计算机和配有适当软件的网者是路由器、计算机和配有适当软件的网络的多种组合。络的多种组合。但是也有纯软件防火墙,但是也有纯软件防火墙,如天网个人防火墙。如天
7、网个人防火墙。防火墙相关术语防火墙相关术语 防火墙通常由多个不同的部分组成防火墙通常由多个不同的部分组成, ,包括包过滤器包括包过滤器( (packet filters)packet filters)、代理代理( (proxies)proxies)和主机和主机( (hosts)hosts)等。我们等。我们需要了需要了解这些概念解这些概念, ,以及网络地址翻译和操作系统以及网络地址翻译和操作系统硬化的含义。硬化的含义。 包过滤器包过滤器 包过滤器在包对包的基础上进行网络包过滤器在包对包的基础上进行网络流量的处理。它们只在流量的处理。它们只在OSIOSI参考模型的网参考模型的网络层工作络层工作,
8、,因此因此, ,它们能够准许或阻止它们能够准许或阻止IPIP地地址和端口,并且能够在标准的路由器上以址和端口,并且能够在标准的路由器上以及专门的防火墙设备上执行。一个纯包过及专门的防火墙设备上执行。一个纯包过滤器只关注下列信息滤器只关注下列信息: :源源IPIP地址地址 、目标目标IPIP地址地址、源端口源端口、目标端口目标端口、包类型包类型 包包过过滤滤器器的的一一个个基基本本例例子子就就是是位位于于Internet和和内内部部网网络络之之间间的的路路由由器器,它它根根据据数数据据包包的的来来源源、目目的的地地址址和和端端口口来来过过滤滤。这这样样的的 路路 由由 器器 被被 称称 为为 筛
9、筛 分分 路路 由由 器器 (screeningrouter)。标标准准路路由由器器和和筛筛分分路路由由器器的的不不同同之之处处在在于于二二者者检检查查报报文文的的方方式式。普普通通路路由由器器只只是是查查看看IP地地址址并并把把报报文文发发送送到到至至目目的的地地的的正正确确路路径径上上。筛筛分分路路由由器器检检查查报报文文头头,不不仅仅要要决决定定怎怎样样对对其其进进行行路路由由,还还要要基基于于一一些些规规则则决决定定是是否应对其进行路由。否应对其进行路由。 包包过过滤滤系系统统只只能能让让我我们们进进行行类类似似以以下情况的操作:下情况的操作: (1)允允许许或或不不允允许许用用户户从
10、从外外部部网网用用Telnet登录;登录;(2)允允许许或或不不允允许许用用户户使使用用SMTP往往内内部网发电子邮件;部网发电子邮件; (3)允允许许或或不不允允许许某某个个IP通通过过NNTP往往内部网发新闻。内部网发新闻。 包过滤不能允许我们进行如下的包过滤不能允许我们进行如下的操作:操作:(1)允许某个用户从外部网用)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。登录而不允许其它用户进行这种操作。(2)允许用户传送一些文件而不允许)允许用户传送一些文件而不允许用户传送其它文件。用户传送其它文件。包过滤的优点包过滤的优点包包过过滤滤方方式式有有许许多多优优点点,而而
11、其其主主要要优优点点之之一一是是仅仅用用一一个个放放置置在在重重要要位位置置上上的的包包过过滤滤路路由由器器就就可可保保护护整整个个网网络络。如如果果我我们们的的站站点点与与因因特特网网间间只只有有一一台台路路由由器器,那那么么不不管管站站点点规规模模有有多多大大,只只要要在在这这台台路路由由器器上上设设置置合合适适的的包包过过滤滤,我我们们的的站站点就可获得很好的网络安全保护。点就可获得很好的网络安全保护。 包过滤的缺点包过滤的缺点(1)在机器中配置包过滤规则比较困难;)在机器中配置包过滤规则比较困难;(2)对系统中的包过滤规则的配置进行)对系统中的包过滤规则的配置进行测试也较麻烦;测试也较
12、麻烦;(3)许多产品的包过滤功能有这样或那)许多产品的包过滤功能有这样或那样的局限性,要找一个比较完整的包过样的局限性,要找一个比较完整的包过滤产品比较困难。滤产品比较困难。包过滤路由器的配置包过滤路由器的配置在在配配置置包包过过滤滤路路由由器器时时,我我们们首首先先要要确确定定哪哪些些服服务务允允许许通通过过而而哪哪些些服服务务应应被被拒拒绝绝,并将这些规定翻译成有关的包过滤规则。并将这些规定翻译成有关的包过滤规则。 下下面面给给出出将将有有关关服服务务翻翻译译成成包包过过滤滤规规则则时非常重要的几个概念。时非常重要的几个概念。(1)协议的双向性。)协议的双向性。 协协议议总总是是双双向向的
13、的,协协议议包包括括一一方方发发送送一一个个请请求求而而另另一一方方返返回回一一个个应应答答。在在制制定定包包过过滤滤规规则则时时,要要注注意意包包是是从从两两个个方方向向来来到到路路由器的。由器的。 (2 2)“往内往内”与与“往外往外”的服务的含义。的服务的含义。 在在我我们们制制定定包包过过滤滤规规则则时时,必必须须准准确确理理解解“往往内内”与与“往往外外”的的包包和和“往往内内”与与“往外往外”的服务这几个词的语义。的服务这几个词的语义。 (3 3)“默认允许默认允许”与与“默认拒绝默认拒绝”。 网网络络的的安安全全策策略略中中的的有有两两种种方方法法:默默认拒绝与默认允许认拒绝与默
14、认允许: : 拒绝所有的信息传输拒绝所有的信息传输在这种情况下在这种情况下, ,将指定将指定准许进出网络的某些类型的信息传输。准许进出网络的某些类型的信息传输。 准许所有的信息传输准许所有的信息传输在这种情况下在这种情况下, ,将指定将指定你要拒绝的某些类型的信息传输。你要拒绝的某些类型的信息传输。 从安全角度来看,用默认拒绝应该更从安全角度来看,用默认拒绝应该更合适。合适。 包过滤器操作包过滤器操作(l)由由于于包包过过滤滤器器是是一一台台按按照照预预先先设设定定的的内内容容对对每每一一个个包包进进行行检检查查的的设设备备,因因此此,必必须须告告诉诉包包过过滤滤器器阻阻塞塞什什么么, ,准准
15、许许什什么么。这这些些包包过过滤滤标标准准必必须须由由包包过过滤滤设设备备端端口口存存储储起起来来,叫叫做做包包过过滤滤规规则。则。(2)包包过过滤滤器器规规则则以以特特定定的的方方式式存存储储,比比如如包包过过滤滤器器使使用用由由安安全全管管理理员员已已经经建建立立好好的的文文本本文文件件。这这个个文文本本文文件件由由逐逐行行顺顺序序读读取取的的一一些些规规则则组组成成。每每一一个个规规则则包包含含明明确确的的条条目目来来帮帮助助决决定定流流入入的的包将如何被处理。包将如何被处理。 (3)当当包包到到达达端端口口时时,对对包包的的报报头头进进行行语语法法分分析析,大大多多数数包包过过滤滤设设
16、备备只只检检查查IP、TCP或或UDP报报头头中的字段,不检查包体的内容。中的字段,不检查包体的内容。(4)如果一条规则阻止包传输或接收,此包)如果一条规则阻止包传输或接收,此包便不被允许通过。便不被允许通过。(5)如果一条规则允许包传输或接收,该包)如果一条规则允许包传输或接收,该包允许通过。允许通过。(6)如果一个包不满足任何一条规则,该包)如果一个包不满足任何一条规则,该包被阻塞。被阻塞。 因为一旦包在过滤器中的某个部分没有通因为一旦包在过滤器中的某个部分没有通过过, ,后续的规则将不再被读取。因此后续的规则将不再被读取。因此, ,要记住考要记住考虑一下在一个过滤器中规则的顺序。虑一下在
17、一个过滤器中规则的顺序。包过滤操作流程图包过滤操作流程图 代理服务器代理服务器一、何为一、何为proxy?英文是英文是ProxyServer,功能就是代理网功能就是代理网络用户去取得网络信息。代理服务器位于络用户去取得网络信息。代理服务器位于网络和网络和Internet之间,接收、分析服务请求,之间,接收、分析服务请求,并在允许的情况下对其进行转发。代理服并在允许的情况下对其进行转发。代理服务提供服务的替代连接,比如,网络内部务提供服务的替代连接,比如,网络内部的一个用户想要远程登录到的一个用户想要远程登录到Internet上的一上的一台主机,代理服务器会接收用户请求,决台主机,代理服务器会接
18、收用户请求,决定是否准许其到远程的连接,之后建立自定是否准许其到远程的连接,之后建立自身与远程目标主机之间及自身与用户之间身与远程目标主机之间及自身与用户之间的的Telnet会话。会话。代理的实现过程代理的实现过程 代理服务器是在双重宿主主机或堡垒代理服务器是在双重宿主主机或堡垒主机上运行一个特殊程序。使一些仅能与主机上运行一个特殊程序。使一些仅能与内部用户交谈的主机同样也可以与外界交内部用户交谈的主机同样也可以与外界交谈,这些用户的客户程序通过与该代理服谈,这些用户的客户程序通过与该代理服务器交谈来代替直接与外部因特网中的服务器交谈来代替直接与外部因特网中的服务器的务器的“真正的真正的”交谈
19、。代理服务器判断交谈。代理服务器判断从客户端来的请求并决定哪些请求允许传从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时,送而哪些应被拒绝。当某个请求被允许时,代理服务器就代表客户与真正的服务器进代理服务器就代表客户与真正的服务器进行交谈,并将从客户端来的请求传送给真行交谈,并将从客户端来的请求传送给真实服务器,将真实服务器的回答传送给客实服务器,将真实服务器的回答传送给客户。户。代理服务器有两种类型:代理服务器有两种类型:应用层代理应用层代理(Application-layerproxies)(也称做应用层网关)也称做应用层网关)链路层代理链路层代理(Circuit-
20、levelproxies)(也称也称做链路层网关)做链路层网关) 应用层代理应用层代理 到目前为止到目前为止, ,最流行的代理服务器类型是最流行的代理服务器类型是那些对应用层流量的代理。代理服务器从内那些对应用层流量的代理。代理服务器从内部网络客户端接受请求。然后部网络客户端接受请求。然后, ,如果客户端被如果客户端被代理服务器授权了代理服务器授权了, ,代理服务器将代表客户端代理服务器将代表客户端与外部服务器进行通信。与外部服务器进行通信。链路层代理链路层代理链路层代理工作在链路层代理工作在OSI参考模型的传输参考模型的传输层。链路层代理的另一个名字是链路层网关层。链路层代理的另一个名字是链
21、路层网关(circuit-levelgateway)。)。链路层代理服务器常常提供网络地址翻链路层代理服务器常常提供网络地址翻译。意思是一台网络主机将内部网络主机的译。意思是一台网络主机将内部网络主机的包进行修改包进行修改,这样这样,它们就能够通过它们就能够通过Internet发出了。发出了。最流行的链路层代理是使用协议最流行的链路层代理是使用协议SOCKS(SOCKSprotocol)的一种代理。的一种代理。作作为为中中介介,代代理理服服务务器器隐隐藏藏了了关关于于用用户户的的一一些些信信息息。假假设设用用户户正正在在从从事事一一项项高高度度保保密密的的项项目目,那那么么用用户户就就想想对对
22、外外(Internet)隐隐藏藏关关于于其其所所在在网网络络的的信信息息IP地地址址等等等等。代代理理服服务务器器会会把把用用户户地地址址改改成成自自己己的的地地址址,使使用用一一个个内内部部表表来来解解析析到到正正确确目目的的地地的的进进出出报报文文。对对于于外外面面的的人人而而言言,只只有有一一个个IP地地址址(代代理理服服务务器器的的IP地地址址)可见。可见。 代理服务器适用于特定的代理服务器适用于特定的Internet服务,如服务,如HTTP、 FTP等。比如等。比如http代理代理服务器是介于浏览器和服务器是介于浏览器和Web服务器之间服务器之间的一台服务器,有了它之后,浏览器不的一
23、台服务器,有了它之后,浏览器不是直接到是直接到Web服务器去取回网页而是向服务器去取回网页而是向代理服务器发出请求,代理服务器发出请求,Request信号会信号会先送到代理服务器,由代理服务器来取先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏回浏览器所需要的信息并传送给你的浏览器。览器。 HTTP代理服务器通常都拥有一个代理服务器通常都拥有一个高速缓存,这个缓存存储用户经常访问高速缓存,这个缓存存储用户经常访问的站点内容,在下一个用户要访问同一的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即
24、可,既的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。节约了时间也节约了网络资源。代理服务器的主要功能:代理服务器的主要功能:1 连接连接Internet与与Intranet 充当防火墙:充当防火墙: 因为所有内部网的用户通过代理服因为所有内部网的用户通过代理服务器访问外界时,只映射为一个务器访问外界时,只映射为一个IP地址,地址,所以外界不能直接访问到内部网;同时所以外界不能直接访问到内部网;同时可以设置可以设置IP地址过滤,限制内部网对外地址过滤,限制内部网对外部的访问权限;另外,两个没有互联的部的访问权限;另外,两个没有互联的内部网,也可以通过第三方的代理服务内部网,也可以
25、通过第三方的代理服务器进行互联来交换信息。器进行互联来交换信息。2 节省节省IP开销:开销: 如前面所讲,所有用户对外只占用如前面所讲,所有用户对外只占用一个一个IP,所以不必租用过多的所以不必租用过多的IP地址,降地址,降低网络的维护成本。这样,局域网内没有低网络的维护成本。这样,局域网内没有与外网相连的众多机器就可以通过内网的与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网,大大减少费一台代理服务器连接到外网,大大减少费用。当然也有它不利的一面,如许多网络用。当然也有它不利的一面,如许多网络黑客通过这种方法隐藏自己的真实黑客通过这种方法隐藏自己的真实IP地址,地址,而逃过监视。
26、而逃过监视。3 提高访问速度:提高访问速度: 本身带宽较小,通过带宽较大的本身带宽较小,通过带宽较大的proxy与目标主机连接。而且通常代理与目标主机连接。而且通常代理服务器都设置一个较大的硬盘缓冲区服务器都设置一个较大的硬盘缓冲区(可能高达几个(可能高达几个GB或更大),当有外或更大),当有外界的信息通过时,同时也将其保存到缓界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给时,则直接由缓冲区中取出信息,传给用户,从而达到提高访问速度的目的。用户,从而达到提高访问速度的目的。决定决定proxy的速度的因素的
27、速度的因素: 1. proxy所在的网络。网络的出口带宽就所在的网络。网络的出口带宽就直接决定着其中的直接决定着其中的proxy的速度。的速度。2. proxy server的性能。的性能。3. proxy server与你的机器之间的距离。与你的机器之间的距离。 4. 你所访问的站点情况。你所访问的站点情况。 代理服务器的优点和特点代理服务器的优点和特点 代理服务器的主要优点是能够提供代理服务器的主要优点是能够提供NATNAT。对公共网络隐藏内部网络是极为重要对公共网络隐藏内部网络是极为重要的。除此以外的。除此以外, ,还有下列的好处还有下列的好处: :验证验证、日日志记录和报警志记录和报警
28、、缓存缓存、较少的规则较少的规则 面向代理的防火墙对面向代理的防火墙对IPIP包的查寻是很深包的查寻是很深入的入的, ,它们并不停留于它们并不停留于OSIOSI参考模型的网络层。参考模型的网络层。它们可以在应用层上读取文本字符串它们可以在应用层上读取文本字符串, ,并且它并且它们能够验证用户。由于代理服务器提供更多们能够验证用户。由于代理服务器提供更多的特点的特点, ,它们通常需要额外的系统资源。这样它们通常需要额外的系统资源。这样, ,在网络上运行一个代理服务器可能需要更昂在网络上运行一个代理服务器可能需要更昂贵的硬件。贵的硬件。使用代理的不足之处:使用代理的不足之处:首先它会使访问速度变慢
29、,因为不首先它会使访问速度变慢,因为不允许用户直接访问网络,而且应用级网允许用户直接访问网络,而且应用级网关需要对每一个特定的关需要对每一个特定的Internet服务安装服务安装相应的代理服务软件,其次,用户不能相应的代理服务软件,其次,用户不能使用未被服务器支持的服务,对每一类使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件,尤其是,服务要使用特殊的客户端软件,尤其是,并非所有的并非所有的Internet应用软件都可以使用应用软件都可以使用代理服务器。代理服务器。 使用代理服务器与远端使用代理服务器与远端TCP/IPTCP/IP连接的连接的客户端客户端, ,必须配置使用一个代理服
30、务器并且必须配置使用一个代理服务器并且具备所有指定参数的正确设置。同时具备所有指定参数的正确设置。同时代理代理服务不能保护我们不受协议本身缺点的限服务不能保护我们不受协议本身缺点的限制。制。防火墙体系结构防火墙体系结构 有四种常用的防火墙设计有四种常用的防火墙设计, ,每一个都每一个都提供了一个确定的安全级别。这四个选择提供了一个确定的安全级别。这四个选择是是: : v屏蔽路由器屏蔽路由器v双重宿主主机体系结构双重宿主主机体系结构v主机过滤体系结构主机过滤体系结构v子网过滤体系结构子网过滤体系结构 1 1,屏蔽路由器屏蔽路由器 屏蔽路由器屏蔽路由器( (screening router)scr
31、eening router)被被认为是出色的首道防线认为是出色的首道防线屏蔽路由器的选屏蔽路由器的选择是最简单和最常用的择是最简单和最常用的。 这个方法费用不高这个方法费用不高, ,但仍提供了显著但仍提供了显著的保护。的保护。 只使用一台屏蔽路由器的解决方案可只使用一台屏蔽路由器的解决方案可能会有一些缺点。主要的一个缺点是建立能会有一些缺点。主要的一个缺点是建立恰当的过滤器需要高水平的恰当的过滤器需要高水平的TCP/IPTCP/IP知识。知识。另一个缺点是只有一台单一的设备在保护另一个缺点是只有一台单一的设备在保护网络。屏蔽路由器还没有高质量的监控或网络。屏蔽路由器还没有高质量的监控或日志记录
32、功能。日志记录功能。 2双重宿主主机体系结构双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的可以充当与这些接口相连的网络之间的路由器,并能够从一个网络到另一个网路由器,并能够从一个网络到另一个网络发送络发送IP数据包。数据包。双双重重宿宿主主主主机机的的防防火火墙墙体体系系结结构构是是相相当当简简单单的的,双双重重宿宿主主主主机机位位于于两两者者之之间间,并并且且被被连连接接到到因因特特网网和和
33、内内部部的的网网络络。右右图图显显示示这这种体系结构。种体系结构。 防火墙内部的网络系统能与双重防火墙内部的网络系统能与双重宿主主机通信,同时防火墙外部的网宿主主机通信,同时防火墙外部的网络系统(在因特网上)也能与双重宿络系统(在因特网上)也能与双重宿主主机通信。通过双重宿主主机,防主主机通信。通过双重宿主主机,防火墙内外的计算机便可进行通信了,火墙内外的计算机便可进行通信了,但是这些系统不能直接互相通信,它但是这些系统不能直接互相通信,它们之间的们之间的IP通信被完全阻止。通信被完全阻止。 在在主主机机过过滤滤体体系系结结构构中中提提供供安安全全保保护护的的壁壁垒垒主主机机仅仅仅仅与与内内部
34、部网网相相连连。另另外外,主主机机过过滤滤结结构构还还有有一一台台单单独独的的路路由由器器(过过滤滤路路由由器器)。在在这这种种体体系系结结构构中中,主主要要的的安安全全由由数数据据包包过过滤滤提提供供,其其结结构构如如右右图图所示。所示。3 3主机过滤体系结构主机过滤体系结构 堡垒主机既可以被配置成链路级也可堡垒主机既可以被配置成链路级也可以是应用级网关。当使用这两种类型中的以是应用级网关。当使用这两种类型中的任意一种时任意一种时, ,每一个都是代理服务器每一个都是代理服务器, ,堡垒堡垒主机可以用来隐藏内部网络的配置。主机可以用来隐藏内部网络的配置。 在某些方面在某些方面, ,这种实施方式
35、优于包过滤防这种实施方式优于包过滤防火墙。首先火墙。首先, ,它增加了一台壁垒主机以及链路它增加了一台壁垒主机以及链路级和应用级网关级和应用级网关, ,同样同样, ,壁垒本身构成又一个壁垒本身构成又一个安全设备,因为这种防火墙在网络和任意一安全设备,因为这种防火墙在网络和任意一个外部网络个外部网络( (如如InternetInternet)之间建立了一个完之间建立了一个完全的物理间隔全的物理间隔, ,所以它的实施是安全的。所以它的实施是安全的。 比起包过滤器来比起包过滤器来, ,这种方法的缺点在于成这种方法的缺点在于成本的增加和性能上可能的下降。本的增加和性能上可能的下降。 最最常常用用的的、
36、实实现现一一个个防防火火墙墙的的方方法法是是屏屏蔽蔽子子网网( (screened screened subnetsubnet)。它它也也被被称称做做是是非非军军事事化化区区, ,这这是是由由于于它它在在InternetInternet和和你你的的网网络络之之间间, ,建建立立了了一一个个相相当当安安全全的的空空间间, ,或或子子网网。子子网网过过滤滤体体系系结结构构添添加加了了额额外外的的安安全全层层到到主主机机过过滤滤体体系系结结构构中中,即即通通过过添添加加屏屏蔽蔽子子网网,更进一步地把内部网络与因特网隔离开。更进一步地把内部网络与因特网隔离开。子子网网过过滤滤体体系系结结构构的的最最简
37、简单单的的形形式式为为两两个个过过滤滤路路由由器器,每每一一个个都都连连接接到到子子网网,一一个个位位于于子子网网与与内内部部的的网网络络之之间间,另另一一个个位位于于子子网网与外部网络之间。与外部网络之间。4 4子网过滤体系结构子网过滤体系结构(1)屏蔽子网屏蔽子网屏屏蔽蔽子子网网是是在在内内外外部部网网之之间间另另加加的的一一层层安安全全保保护护网网络络层层。如如果果入入侵侵者者成成功功地地闯闯过过外外层层保保护护网网到到达达防防火火墙墙,屏屏蔽蔽子子网网就就能能在在入入侵侵者与内部网之间再提供一层保护。者与内部网之间再提供一层保护。 如如果果入入侵侵者者仅仅仅仅侵侵入入到到屏屏蔽蔽子子网
38、网的的堡堡垒垒主主机机,他他只只能能偷偷看看到到这这层层网网络络的的信信息息流流(看看不不到到内内部部网网的的信信息息),而而这这层层网网络络的的信信息息流流仅仅从从屏屏蔽蔽子子网网往往来来于于外外部部网网或或者者从从屏屏蔽蔽子子网网往往来来于于堡堡垒垒主主机机。因因为为没没有有纯纯粹粹的的内内部部信信息息流流在在屏屏蔽蔽子子网网中中流流动动,所所以以即即使使堡堡垒垒主主机机受受到损害也不会让入侵者破坏内部网的信息流。到损害也不会让入侵者破坏内部网的信息流。(2)堡垒主机)堡垒主机在在子子网网过过滤滤结结构构中中,我我们们将将堡堡垒垒主主机机与与屏屏蔽蔽子子网网相相连连,而而这这台台主主机机是
39、是外外部部网网服服务务于于内内部部网网的的主主节节点点。它它为为内内部部网网服服务务的的主要功能有:主要功能有:它它接接收收外外来来的的电电子子邮邮件件再再分分发发给给相相应应的站点;的站点;它它接接收收外外来来的的FTP,并并连连到到内内部部网网的的匿匿名名FTP服务器;服务器;它它接接收收外外来来的的有有关关内内部部网网站站点点的的域域名名服务。服务。(3)内部路由器)内部路由器内内部部路路由由器器的的主主要要功功能能是是保保护护内内部部网网免受来自外部网与免受来自外部网与屏蔽子网屏蔽子网的侵扰。的侵扰。内内部部路路由由器器完完成成防防火火墙墙的的大大部部分分包包过过滤滤工工作作,它它允允
40、许许某某些些站站点点的的包包过过滤滤系系统统认认为为符符合合安安全全规规则则的的服服务务在在内内外外部部网网之之间间互互传。传。(4)外部路由器)外部路由器外外部部路路由由器器既既可可保保护护屏屏蔽蔽子子网网又又保保护护内内部部网网。实实际际上上,在在外外部部路路由由器器上上仅仅做做一一小小部部分分包过滤,它几乎让所有外向请求通过。包过滤,它几乎让所有外向请求通过。 外外部部路路由由器器的的包包过过滤滤主主要要是是对对屏屏蔽蔽子子网网上上的的主主机机提提供供保保护护。然然而而,一一般般情情况况下下,因因为为屏屏蔽蔽子子网网上上主主机机的的安安全全主主要要通通过过主主机机安安全全机机制制加加以以
41、保保障障,所所以以由由外外部部路路由由器器提提供供的的很很多多保护并非必要。保护并非必要。 外外部部路路由由器器真真正正有有效效的的任任务务就就是是阻阻断断来来自自外外部部网网上上伪伪造造源源地地址址进进来来的的任任何何数数据据包包。这这些些数数据据包包自自称称是是来来自自内内部部网网,而而其其实它是来自外部网。实它是来自外部网。 入入侵侵者者总总是是把把他他们们伪伪装装成成来来自自于于内内部部网网。要要用用包包过过滤滤路路由由器器来来实实现现我我们们设设计计的的安安全全规规则则,唯唯一一的的方方法法是是通通过过屏屏蔽蔽子子网网上上的的包包过过滤滤路路由由器器。只只有有处处在在这这种种位位置置
42、上上的的包包过过滤滤路路由由器器才才能能通通过过查查看看包包的的源源地地址址和和目目的的地地址址,从从而而辨辨认认出出这这个个包包到到底底是是来来自自于内部网还是来自于外部网。于内部网还是来自于外部网。 这种网络体系结构的主要好处在于这种网络体系结构的主要好处在于, ,黑黑客要想接近网络客要想接近网络, ,必须破坏三个分离的设备必须破坏三个分离的设备, ,而且不被发现。再一个好处是由于所有的出而且不被发现。再一个好处是由于所有的出去和进来的信息包直接到达去和进来的信息包直接到达屏蔽子网屏蔽子网, ,而不而不是你的网络是你的网络, ,内部网络有效地隐形于内部网络有效地隐形于InternetInt
43、ernet。第三第三, ,由于这个路由信息包含在由于这个路由信息包含在网络中网络中, ,内部用户不能不穿过壁垒主机而访内部用户不能不穿过壁垒主机而访问问InternetInternet。防火墙自身的安全性防火墙自身的安全性大大多多数数人人在在选选择择防防火火墙墙时时都都将将注注意意力力放放在在防防火火墙墙如如何何控控制制连连接接以以及及防防火火墙墙支支持持多多少少种种服服务务上上,但但往往往往忽忽略略一一点点,防防火火墙墙也也是是网网络络上上的的主主机机设设备备或或软软件件系系统统,也也可可能能存存在在安安全全问问题题。防防火火墙墙如如果果不不能能确确保保自自身身安安全全,则则防防火火墙墙的的
44、控控制制功功能能再再强强,也也终终究不能完全保护内部网络。究不能完全保护内部网络。 硬件问题硬件问题 当选择硬件时当选择硬件时, ,只使用经测试过的常用的只使用经测试过的常用的硬件硬件, ,而不是那些边缘技术。这些新的技术可而不是那些边缘技术。这些新的技术可以在生产环境中测试之后以在生产环境中测试之后, ,通常会发现一些安通常会发现一些安全漏洞。全漏洞。 确定处理器运行多快和购买多少确定处理器运行多快和购买多少RAMRAM将由将由壁垒主机的角色而定。壁垒主机的角色而定。 还必须备份壁垒主机还必须备份壁垒主机, ,它应该配置有它自它应该配置有它自己的磁带备份设备。己的磁带备份设备。 操作系统操作
45、系统 包过滤器常常运行在路由器上包过滤器常常运行在路由器上, ,它们它们具有包过滤器必须使用的专用的操作系统。具有包过滤器必须使用的专用的操作系统。但是但是很多防火墙安装在一般的操作系统上,很多防火墙安装在一般的操作系统上,如如unix、NT系统。在防火墙主机上的执系统。在防火墙主机上的执行的除了防火墙软件外,还有其他程序、行的除了防火墙软件外,还有其他程序、系统核心,当防火墙上所执行的软件出现系统核心,当防火墙上所执行的软件出现安全漏洞时,防火墙本身也将受到威胁。安全漏洞时,防火墙本身也将受到威胁。 应该单独地并且在所有层次上保护每应该单独地并且在所有层次上保护每一台壁垒主机。一台壁垒主机。
46、 还应该尽可能多的删除操作系统上的还应该尽可能多的删除操作系统上的应用程序。应用程序。 消除任何多余的服务、后台运行程序消除任何多余的服务、后台运行程序或应用程序是建立一个安全的壁垒主机中或应用程序是建立一个安全的壁垒主机中最基本的步骤。最基本的步骤。 黑客提出的批评:黑客提出的批评:首先,对任何打成包的大型商用防首先,对任何打成包的大型商用防火墙,如果没有配置它的知识,那对你是火墙,如果没有配置它的知识,那对你是毫无用处的。同时,一个商用防火墙软件毫无用处的。同时,一个商用防火墙软件包又自己创建了风险。就像一个黑客指出包又自己创建了风险。就像一个黑客指出的:的:“两千个人在他们的站点上安装了
47、两千个人在他们的站点上安装了“SuperFirewallX”,然后你和我坐了一然后你和我坐了一两个星期并闯进了两个星期并闯进了“SuperFirewallX”嘿,我们一下就可攻击两千个站点嘿,我们一下就可攻击两千个站点”。 防火墙的关键技术防火墙的关键技术防防火火墙墙技技术术发发展展到到现现在在,其其技技术术竞竞争争的的焦焦点点主主要要是是在在管管理理、功功能能、性性能能、抗抗攻攻击击能能力这四个方面:力这四个方面:管管理理是是关关键键:用用户户要要使使用用一一个个安安全全的的防防火火墙墙系系统统,就就需需要要实实行行一一套套安安全全的的防防火火墙墙策策略略,这这就就对对防防火火墙墙的的实实际
48、际操操作作人人员员提提出出较较高高要要求求。由由于于不不同同防防火火墙墙在在管管理理上上存存在在差差异异。因因此此,管管理理的的难难易易程程度度可可能能造造成成管管理理员员的的错错误误配配置置,使使网网络络产产生生安安全全隐隐患患,因因为为无无法法要要求求每每个个网网络络管管理理员员都都是是网网络络安安全全专专家家,所所以以管理是网络安全的关键。管理是网络安全的关键。功能是基础:功能是基础:防火墙所具有的功能越来越多,防火墙所具有的功能越来越多,但防火墙是否具有信息内容过滤但防火墙是否具有信息内容过滤是选购防火是选购防火墙时需要着重考察的功能点墙时需要着重考察的功能点,内容过滤能够实内容过滤能
49、够实现对应用层内容的检测,提高网络的安全性现对应用层内容的检测,提高网络的安全性,内容过滤是在内容过滤是在http,ftp和和smtp等协议层根据过等协议层根据过滤条件对信息流进行控制。滤条件对信息流进行控制。JavaApplet,JavaScript,ActiveX,Servlet,CGI,PHP,电子电子邮件附加的邮件附加的DOC和和ZIP文件;文件;FTP下载和上载下载和上载文件的内容等都可能包含危险信息,如病毒文件的内容等都可能包含危险信息,如病毒,非法的关键字非法的关键字,非法操作命令等。因此对内容非法操作命令等。因此对内容进行过滤能有效地提高网络的安全性。进行过滤能有效地提高网络的
50、安全性。性性能能是是中中坚坚:防防火火墙墙是是网网络络的的单单一一接接入入设设备备,吞吞吐吐量量小小,就就会会造造成成网网络络出出口口的的瓶瓶颈颈,以以至至影影响响到到整整个个网网络络的的传传输输效效率率。如如果果还还需需要要对对外外提提供供如如Web服服务务,DNS域域名名解解析析或或邮邮件件服服务务等等,防防火火墙墙就就得得通通过过更更大大流流量量的的信信息息,因因此此防防火火墙墙的的吞吞吐吐能能力力对对其其性性能能表表现现有有重重要要作作用用。并并发发连连接接数数是是指指穿穿越越防防火火墙墙的的主主机机之之间间或或主主机机与与防防火火墙墙之之间间能能同同时时建建立立的的最最大大连连接接数
51、数。它它不不仅仅能能体体现现防防火火墙墙建建立立和和维维持持TCP连连接接的的性性能能,而而且且通通过过并并发发连连接接数数的的大大小小体体现现防防火火墙墙对对来来自自于于客客户户端端的的TCP连连接接请请求求的的响响应应能能力力。如如果果支支持持的的并并发连接数有限,它就会成为网络的瓶颈。发连接数有限,它就会成为网络的瓶颈。为了提高防火墙的处理速度,使防火为了提高防火墙的处理速度,使防火墙的实际吞吐率接近或达到线速。一些防墙的实际吞吐率接近或达到线速。一些防火墙摒弃了通用的平台而采用专门的设计,火墙摒弃了通用的平台而采用专门的设计,使用高速的使用高速的RISC处理器和高效的实时操处理器和高效
52、的实时操作系统并采用专用的作系统并采用专用的ASIC芯片。这类防芯片。这类防火墙虽然失去了硬件平台的通用性,但是火墙虽然失去了硬件平台的通用性,但是其专业的其专业的ASIC设计使防火墙处理速度有设计使防火墙处理速度有了本质的提高。了本质的提高。抗抗攻攻击击力力是是保保证证:目目前前,在在“黑黑客客”的的攻攻击击行行为为中中,使使用用最最多多、最最有有效效的的是是DDoS攻攻击击,它它造造成成的的结结果果是是服服务务器器无无法法正正常常提提供供服服务务。防防火火墙墙作作为为网网络络的的单单一一通通道道,要要保保证证受受保保护护网网络络的的安安全全,它它本本身身应应具具有有抗抗攻攻击击能能力力。抗
53、抗攻攻击击能能力力的的大大小小反反映映了了它它本本身身的的安安全全性性,是是网网络络安安全全的的保保证证,也也是是用用户户购购买买防防火火墙墙的的重重要要参参考指标。考指标。仅仅安安装装一一个个防防火火墙墙,设设置置好好它它的的规规则则,而而后后让让它它选选择择通通过过的的数数据据包包是是远远远远不不够够的的。还还需需要要经经常常检检查查防防火火墙墙的的日日志志文文件件。通通过过检检查查这这些些文文件件,确确定定是是不不是是有有新新的的IP地地址址在在探探测测你你的的网网络络,然然后后确确定定是是不不是是需需要要采采用用更更严严格格的的防防火火墙墙规规则则来来过过滤滤它它们们,或或是是追追踪踪
54、这这些些探探测测行行为为并并采取相应的行动。采取相应的行动。防火墙的新发展:状态检测技术防火墙的新发展:状态检测技术这这是是防防火火墙墙近近两两年年才才应应用用的的新新技技术术。传传统统“包包过过滤滤”技技术术只只是是通通过过检检测测IP包包头头的的相相关关信信息息来来决决定定数数据据流流的的通通过过还还是是拒拒绝绝,由由Check Check PointPoint提提出出的的状状态态多多层层检检测测准准许许包包过过滤滤器器克克服服包包过过滤滤中中的的缺缺点点。由由于于防防火火墙墙可可以以维维护护一一个个过过去去连连接接的的数数据据库库, ,因因此此, ,它它允允许许包包过过滤滤器器在在OSI
55、OSI参参考考模模型型的的所所有有层层上上对对包包进进行行检测检测, ,并不只是在网络层上进行检测。并不只是在网络层上进行检测。 状态检测技术采用的是一种基于连接状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,因此,与中的各个连接状态因素加以识别,因此,与传统包过滤防火墙相比,它具有较好的系统传统包过滤防火墙相比,它具有较好的系统性能和安全性。性能和安全性
56、。选择防火墙的原则选择防火墙的原则注意一:防火墙自身是否安全注意一:防火墙自身是否安全1,防防火火墙墙是是否否基基于于安安全全(甚甚至至是是专专用用)的操作系统;的操作系统;2,防防火火墙墙是是否否采采用用专专用用的的硬硬件件平平台台。只只有有基基于于安安全全(甚甚至至是是专专用用)的的操操作作系系统统并并采采用用专专用用硬硬件件平平台台的的防防火火墙墙才才能能提提供供最大限度的安全。最大限度的安全。注意二:系统是否稳定注意二:系统是否稳定就就一一个个成成熟熟的的产产品品来来说说,系系统统的的稳稳定定性性是是最最基基本本的的要要求求。但但是是目目前前由由于于种种种种原原因因,有有些些防防火火墙
57、墙尚尚未未最最后后定定型型或或经经过过严严格格的的大大量测试就被推向了市场。量测试就被推向了市场。防防火火墙墙的的稳稳定定性性情情况况从从厂厂家家的的宣宣传传材材料料中中是是看看不不出出来来的的,但但可可以以从从以以下下几几个个渠渠道道获得:获得:1,国家权威的测评认证机构,国家权威的测评认证机构,如公安部计算如公安部计算机安全产品检测中心和中国国家信息安全测机安全产品检测中心和中国国家信息安全测评认证中心。评认证中心。2,实际调查,考察这种防火墙是否已经有,实际调查,考察这种防火墙是否已经有了使用单位,用户们对于该防火墙的评价。了使用单位,用户们对于该防火墙的评价。如有可能如有可能,最好咨询
58、一下那些对稳定性要求最好咨询一下那些对稳定性要求较高的重要单位的用户较高的重要单位的用户,如政府机关、国家如政府机关、国家部委、证券或银行系统、军队用户等。部委、证券或银行系统、军队用户等。3,自己试用,先在自己的网络上进行一段,自己试用,先在自己的网络上进行一段时间的试用。时间的试用。注意三:是否高效注意三:是否高效高高性性能能是是防防火火墙墙的的一一个个重重要要指指标标,它它直直接接体体现现了了防防火火墙墙的的可可用用性性,也也体体现现了了用用户户使使用用防防火火墙墙所所需需付付出出的的安安全全代代价价。如如果果由由于于使使用用防防火火墙墙而而带带来来了了网网络络性性能能较较大大幅幅度度地
59、地下下降降的的话话,就就意意味味着着安安全全代代价价过过高高,用用户户是是无无法法接接受受的的。一一般般来来说说,防防火火墙墙加加载载上上百百条条规规则则,其其性性能能下下降降不不应应超超过过5(指包过滤防火墙)。(指包过滤防火墙)。注意四:抗攻击能力注意四:抗攻击能力在在当当前前的的网网络络攻攻击击中中,拒拒绝绝服服务务攻攻击击是是使使用用频频率率最最高高的的方方法法。目目前前有有很很多多防防火火墙墙号号称称可可以以抵抵御御拒拒绝绝服服务务攻攻击击,实实际际上上严严格格地地说说,它它应应该该是是可可以以降降低低拒拒绝绝服服务务攻攻击击的的危危害害而而不不是是抵抵御御这这种种攻攻击击。因因此此
60、在在采采购购防防火火墙墙时时,网网管管人人员员应应该该详详细细考考察察这这一一功功能的真实性和有效性。能的真实性和有效性。个人防火墙个人防火墙 对对于于广广大大PC机机用用户户防防范范黑黑客客的的重重要要手手段之一就是段之一就是-安装个人版防火墙。安装个人版防火墙。个人版防火墙是安装在你的个人版防火墙是安装在你的PC机系统机系统里的一段里的一段代码墙代码墙把你的电脑和把你的电脑和Internet分分隔开。它检查到达防火墙两端的所有数据隔开。它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。也就是说:在不截这个包还是将其放
61、行。也就是说:在不妨碍你正常上网浏览的同时,阻止妨碍你正常上网浏览的同时,阻止Internet上的其他用户对你的计算机进行的非法访上的其他用户对你的计算机进行的非法访问。问。 “天天网网个个人人版版防防火火墙墙”是是由由广广州州众众达达天网技术有限公司独立开发的防火墙软件。天网技术有限公司独立开发的防火墙软件。“天天网网个个人人版版防防火火墙墙”的的安安装装过过程程很很简简单单,这这里里就就不不加加赘赘述述了了,关关键键问问题题是是如如何认识和设定何认识和设定“安全规则安全规则”。实实际际上上“天天网网”本本身身已已经经默默认认设设置置好好了了相相当当的的安安全全级级别别,一一般般用用户户,并
62、并不不需需要要自行更改。自行更改。选选择择该该规规则则时时,即即别别人人无无法法用用PING 的的方方法法来来确确定定你你的的存存在在,但但不不影影响响你你去去PING别人。别人。规则举例规则举例-防御防御ICMP攻击:攻击:ICMP报文类型报文类型ICMP不象不象TCP或或UDP有端口,有端口,每一个每一个ICMP报文包含三个字段:报文包含三个字段:Type、Code和和Checksum。Type字段标识了字段标识了ICMP报文,报文,Code字段提供了更多的字段提供了更多的Type字段关联的信息,字段关联的信息,Checksum字段字段提供了一个确定报文完整性的办法。提供了一个确定报文完整
63、性的办法。Type=8这这是是ping请请求求包包。有有很很多多场场合合使使用用它它们们;它它可可能能意意味味着着某某人人扫扫描描你你机机器器的的恶恶意意企企图图,但但它它也也可可能能是是正正常常网网络络功功能能的的一部分。一部分。Type=0Ping请请求求接接受受者者在在回回应应由由你你的的地地址址发送的发送的ping报文。报文。我们收到我们收到ICMP回应可能是由于以下原因:回应可能是由于以下原因:1,防火墙后面有人在,防火墙后面有人在ping目标。目标。2,自动,自动ping:许多程序为了不同目的使用许多程序为了不同目的使用ping,如测试联系对象是否在线,或测定反应时间。如测试联系对象是否在线,或测定反应时间。3,诱骗,诱骗ping扫描:有人在利用你的扫描:有人在利用你的IP地址进行地址进行ping扫描,所以你看到回应。扫描,所以你看到回应。4,攻击:很多网络阻挡进入的,攻击:很多网络阻挡进入的ping(type=8),但但是允许是允许ping回应回应(type=0)。因此,因此,Hacker已经开已经开始利用始利用ping回应穿透防火墙。例如,针对回应穿透防火墙。例如,针对Internet站点的站点的DDoS攻击,洪水般的攻击,洪水般的ping回应将回应将发向这些站点而其它发向这些站点而其它Internet连接将被忽略。连接将被忽略。
