防火墻技術(shù)介紹

1、防火墻技術(shù)介紹,嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，促進(jìn)了防火墻技術(shù)的不斷發(fā)展。防火墻是一種綜合性的科學(xué)技術(shù)，涉及網(wǎng)絡(luò)通信、數(shù)據(jù)加密、安全決策、信息安全、硬件研制、軟件開發(fā)等綜合性課題。,防火墻的定義,防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。圖8.1為防火墻示意圖。,防火墻的基本概念,,圖1　防火墻示

2、意圖,返回本節(jié),防火墻的發(fā)展簡(jiǎn)史,第一代防火墻：采用了包過(guò)濾（Packet Filter）技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開發(fā)出了基于動(dòng)態(tài)包過(guò)濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。,,圖 2　防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史,返回本節(jié),設(shè)置防火墻的目的和功能,（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）

3、防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息的外泄,返回本節(jié),防火墻的局限性,（1）防火墻防外不防內(nèi)。（2）防火墻難于管理和配置，易造成安全漏洞。（3）很難為用戶在防火墻內(nèi)外提供一致的安全策略。（4）防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制。,返回本節(jié),防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì),（1）優(yōu)良的性能（2）可擴(kuò)展的結(jié)構(gòu)和功能（3）簡(jiǎn)化的安裝與管理（4）主動(dòng)過(guò)濾（5）防病毒與防黑客,返回本節(jié),防火墻的技

4、術(shù)種類,1．包過(guò)濾防火墻2．代理防火墻3．狀態(tài)監(jiān)視器防火墻4．復(fù)合式防火墻,防火墻技術(shù),包過(guò)濾防火墻,包過(guò)濾防火墻的工作原理 采用這種技術(shù)的防火墻產(chǎn)品，通過(guò)在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，根據(jù)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號(hào)和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過(guò)防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。,包過(guò)濾防火墻,（1）數(shù)據(jù)包過(guò)濾

5、技術(shù)的發(fā)展：靜態(tài)包過(guò)濾、動(dòng)態(tài)包過(guò)濾。 （2）包過(guò)濾的優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過(guò)濾對(duì)用戶透明、過(guò)濾路由器速度快、效率高。,（3）包過(guò)濾的缺點(diǎn)：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾（如UDP協(xié)議）；正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略；安全性較差 ；數(shù)據(jù)包工具存在很多局限性。,,圖3　包過(guò)濾處理,,圖4　靜態(tài)包過(guò)濾防火墻,圖5　動(dòng)態(tài)包過(guò)濾防火墻,,（1）代理防火墻的原理：　　

6、代理防火墻運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶來(lái)說(shuō)像是一臺(tái)真的服務(wù)器一樣，而對(duì)于外界的服務(wù)器來(lái)說(shuō)，它又是一臺(tái)客戶機(jī)。當(dāng)代理服務(wù)器接收到用戶的請(qǐng)求后，會(huì)檢查用戶請(qǐng)求的站點(diǎn)是否符合公司的要求，如果公司允許用戶訪問(wèn)該站點(diǎn)的話，代理服務(wù)器會(huì)像一個(gè)客戶一樣，去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。,代理防火墻,代理技術(shù)的優(yōu)點(diǎn)1）代理易于配置。 2）代理能生成各項(xiàng)記錄。 3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。 4）代理能過(guò)濾數(shù)據(jù)內(nèi)容。 5）代理能

7、為用戶提供透明的加密機(jī)制。6）代理可以方便地與其他安全手段集成。,代理技術(shù)的缺點(diǎn)1）代理速度較路由器慢。2）代理對(duì)用戶不透明。 3）對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器。 4）代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制。 5）代理不能改進(jìn)底層協(xié)議的安全性。,,代理的工作方式,,兩種防火墻技術(shù),返回本節(jié),狀態(tài)監(jiān)視器防火墻,（1） 狀態(tài)監(jiān)視器防火墻的工作原理 這種防火墻安全特性非常好，它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全

8、策略的軟件引擎，稱之為檢測(cè)模塊。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動(dòng)態(tài)地保存起來(lái)作為以后指定安全決策的參考。,,（2） 狀態(tài)監(jiān)視器防火墻的優(yōu)缺點(diǎn)狀態(tài)監(jiān)視器的優(yōu)點(diǎn)：檢測(cè)模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。它會(huì)監(jiān)測(cè)RPC和UDP之類的端口信息，而包過(guò)濾和代理網(wǎng)關(guān)都不支持此類端口。性能堅(jiān)固狀態(tài)監(jiān)視器的缺點(diǎn)：配置非常復(fù)雜。會(huì)

9、降低網(wǎng)絡(luò)的速度。,4．復(fù)合式防火墻,常見(jiàn)是代理服務(wù)器和狀態(tài)分析技術(shù)的組合具有對(duì)一切連接嘗試進(jìn)行過(guò)濾的功能；提取和管理多種狀態(tài)信息的功能；智能化做出安全控制和流量控制的決策；提供高性能的服務(wù)和靈活的適應(yīng)性；具有網(wǎng)絡(luò)內(nèi)外完全透明的特性。,防火墻的優(yōu)缺點(diǎn),優(yōu)點(diǎn)：1、保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)2、實(shí)現(xiàn)網(wǎng)絡(luò)安全性監(jiān)視和實(shí)時(shí)報(bào)警3、增強(qiáng)保密性和強(qiáng)化私有權(quán)4、實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換5、實(shí)現(xiàn)安全性失效和自動(dòng)故障恢復(fù)缺點(diǎn)：1、不能防范惡毒的知

10、情者（內(nèi)網(wǎng)用戶和內(nèi)外串通）2、不能防范不經(jīng)過(guò)它的連接3、不能防備全部的威脅，特別是新產(chǎn)生的威脅4、不能有效地防范病毒的攻擊,現(xiàn)代防火墻的安全技術(shù)及實(shí)現(xiàn)方式,第四代防火墻技術(shù)第四代防火墻，具有安全操作系統(tǒng)的防火墻產(chǎn)品。1．雙端口或三端口的結(jié)構(gòu)　　新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。,,2．透明的訪問(wèn)方式　　以前的防火墻在訪問(wèn)方

11、式上要么要求用戶作系統(tǒng)登錄，要么需要通過(guò)SOCKS等庫(kù)路徑修改客戶機(jī)的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。 3．靈活的代理系統(tǒng)　　代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。第四代防火墻采用了兩種代理機(jī)制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)來(lái)解決，后者采用非保密的用戶定制代理或保密的代理

12、系統(tǒng)技術(shù)來(lái)解決。,,4．多級(jí)的過(guò)濾技術(shù)　　為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾一級(jí)，能過(guò)濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。5．網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）　　第四代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部

13、地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。,,6． Internet網(wǎng)關(guān)技術(shù)　　由于是直接串連在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互連的所有服務(wù)，同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的應(yīng)用服務(wù)器（包括FTP、Finger、mail、Ident、News、WWW等）來(lái)實(shí)現(xiàn)

14、網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用（chroot）”作物理上的隔離。7、安全服務(wù)器網(wǎng)絡(luò)（SSN）　　利用保護(hù)策略對(duì)服務(wù)器實(shí)施保護(hù)，利用網(wǎng)卡將對(duì)外服務(wù)器作獨(dú)立網(wǎng)絡(luò)處理，與內(nèi)部網(wǎng)關(guān)安全隔離。,8．用戶鑒別與加密　　為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少，第四代防火墻采用一次性使用的口令字系統(tǒng)來(lái)作為用戶的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。 9．用戶定

15、制服務(wù)　　為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有：通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫(kù)的代理，便可利用這些支持，方便設(shè)置。,,10．審計(jì)和告警　　第四代防火墻產(chǎn)品的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站代理、FTP

16、代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。,防火墻的基本組成結(jié)構(gòu),1．屏蔽路由器 2．雙宿堡壘主機(jī) 3．屏蔽主機(jī)防火墻 4．屏蔽子網(wǎng)防火墻,1．屏蔽路由器,又稱包過(guò)濾路由器，在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能，是一個(gè)檢查通過(guò)它的數(shù)據(jù)包的路由器。,屏蔽路由器示意圖,2．雙宿堡壘主機(jī),又稱應(yīng)用型防火墻，在運(yùn)行防火墻軟件的堡壘主機(jī)上運(yùn)行代理服務(wù)器。,

17、雙宿堡壘主機(jī)示意圖,3．屏蔽主機(jī)防火墻,屏蔽主機(jī)防火墻由包過(guò)濾路由器和堡壘主機(jī)（Bastion Host）組成，它所提供的安全性能要比包過(guò)濾防火墻系統(tǒng)要強(qiáng)，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）的結(jié)合。當(dāng)入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先突破這兩種不同的安全系統(tǒng)。,屏蔽主機(jī)網(wǎng)關(guān)示意圖,原理和實(shí)現(xiàn)過(guò)程 ：　　堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)上，而包過(guò)濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上設(shè)置相應(yīng)的規(guī)則，使得外部

18、系統(tǒng)只能訪問(wèn)堡壘主機(jī)。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一個(gè)網(wǎng)絡(luò)，內(nèi)部系統(tǒng)是否允許直接訪問(wèn)外部網(wǎng)絡(luò)，或者是要求使用堡壘主機(jī)上的代理服務(wù)來(lái)訪問(wèn)外部網(wǎng)絡(luò)完全由企業(yè)的安全策略來(lái)決定。對(duì)路由器的過(guò)濾規(guī)則進(jìn)行配置，使得其只接收來(lái)自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包，就可以強(qiáng)制內(nèi)部用戶使用代理服務(wù)，從而加強(qiáng)內(nèi)部用戶對(duì)外部Internet訪問(wèn)的管理。,4．屏蔽子網(wǎng)防火墻,屏蔽子網(wǎng)防火墻利用兩臺(tái)屏蔽路由器把子網(wǎng)與內(nèi)外部網(wǎng)絡(luò)隔離開，堡壘主機(jī)、信息服務(wù)器、Modem組，以及其

19、他公用服務(wù)器放在該子網(wǎng)中，這個(gè)子網(wǎng)稱為“?；饏^(qū)”或“非軍事區(qū)”（DeMilitarised Zone，DMZ）,屏蔽子網(wǎng)防火墻示意圖,防火墻的物理位置,1、服務(wù)器置于防火墻之內(nèi)2、服務(wù)器置于防火墻之外3、服務(wù)器置于防火墻之上,1、 服務(wù)器置于防火墻之內(nèi),如圖所示，將Web服務(wù)器裝在防火墻內(nèi)的好處是它得到了安全保護(hù)，不容易被黑客闖入。,如圖所示，為保證內(nèi)部網(wǎng)絡(luò)的安全，將Web服務(wù)器完全置于防火墻之外是比較合適的。在這種模式中，Web服