計(jì)算機(jī)網(wǎng)絡(luò)安全課件-防火墻技術(shù)

第三篇網(wǎng)絡(luò)安全技術(shù)第3章防火墻技術(shù)第三篇網(wǎng)絡(luò)安全技術(shù)第3章防火墻技術(shù)1本章學(xué)習(xí)目標(biāo)防火墻的定義、發(fā)展簡史、目的、功能、局限性包過濾防火墻和代理防火墻的實(shí)現(xiàn)原理、技術(shù)特點(diǎn)以及實(shí)現(xiàn)方式防火墻的常見體系結(jié)構(gòu)分布式防火墻的體系結(jié)構(gòu)、特點(diǎn)本章學(xué)習(xí)目標(biāo)防火墻的定義、發(fā)展簡史、目的、功能、局限性23.1防火墻技術(shù)概述防火墻（Firewall）是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被保護(hù)的網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。3.1防火墻技術(shù)概述防火墻（Firewall）是一種將內(nèi)部33.1.1防火墻的定義《辭?！飞险f“防火墻：用非燃燒材料砌筑的墻。設(shè)在建筑物的兩端或在建筑物內(nèi)將建筑物分割成區(qū)段，以防止火災(zāi)蔓延?！焙唵蔚恼f，防火墻是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、或兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，限制外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問及管理內(nèi)部用戶訪問外部網(wǎng)絡(luò)的權(quán)限的系統(tǒng)，防止對重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。3.1.1防火墻的定義《辭海》上說“防火墻：用非燃燒材料砌43.1.2防火墻的發(fā)展簡史第一代防火墻：幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，貝爾實(shí)驗(yàn)室的Dave.Presotto和Howard.Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻：1992年，USC信息科學(xué)院的Bob.Braden開發(fā)出了基于動態(tài)包過濾（DynamicPacketFilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（StateFulinspection）技術(shù)。1994年，以色列的Check.Point公司開發(fā)出了第一個(gè)基于這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理（AdaptiveProxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)。3.1.2防火墻的發(fā)展簡史第一代防火墻：幾乎與路由器同時(shí)出5計(jì)算機(jī)網(wǎng)絡(luò)安全課件--防火墻技術(shù)63.1.3設(shè)置防火墻的目的和功能通常應(yīng)用防火墻的目的有以下幾個(gè)方面：限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)；過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施；限定人們訪問特殊站點(diǎn)；為監(jiān)視局域網(wǎng)安全提供方便。無論何種類型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻的主要功能就是控制對受保護(hù)網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對內(nèi)、內(nèi)對外的非法訪問。3.1.3設(shè)置防火墻的目的和功能通常應(yīng)用防火墻的目的有以下73.1.4防火墻的局限性防火墻防外不防內(nèi)網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制傳統(tǒng)防火墻不能在有在兩個(gè)內(nèi)部網(wǎng)絡(luò)之間通信需求的VPN網(wǎng)絡(luò)中使用，否則VPN通信將被中斷。雖然目前有一種SSLVPN技術(shù)可以繞過企業(yè)邊界的防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)VPN通信，但是應(yīng)用更廣泛的傳統(tǒng)IPSecVPN通信中還是不能使用，除非是專門的VPN防火墻。防火墻難于管理和配置，易造成安全漏洞效率較低、故障率高很難為用戶在防火墻內(nèi)外提供一致的安全策略防火墻只實(shí)現(xiàn)了粗粒度的訪問控制3.1.4防火墻的局限性防火墻防外不防內(nèi)83.1.5防火墻技術(shù)發(fā)展動態(tài)和趨勢優(yōu)良的性能可擴(kuò)展的結(jié)構(gòu)和功能簡化的安裝與管理主動過濾防病毒與防黑客未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個(gè)方面。此外，防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù)，如Web頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來。3.1.5防火墻技術(shù)發(fā)展動態(tài)和趨勢優(yōu)良的性能未來防火墻技93.2防火墻技術(shù)

3.2.1防火墻的技術(shù)分類包過濾防火墻：數(shù)據(jù)包過濾（PacketFiltering）技術(shù)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過設(shè)備對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇地控制與操作。包過濾操作一般都是在選擇路由的同時(shí)在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇或過濾（通常是對從Internet進(jìn)入到內(nèi)部網(wǎng)絡(luò)的包進(jìn)行過濾）。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表（AccessControlTable）或規(guī)則表。規(guī)則表指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)，例如：只接收來自某些指定的IP地址的數(shù)據(jù)包或者內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包可以流向某些指定的端口等；哪些類型的數(shù)據(jù)包的傳輸應(yīng)該被攔截。防火墻的IP包過濾規(guī)則以IP包信息為基礎(chǔ)，對IP包源地址、目標(biāo)地址、傳輸方向、分包、IP包封裝協(xié)議（TCP/UDP/ICMP/IPTunnel）、TCP/UDP目標(biāo)端口號等進(jìn)行篩選、過濾。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。3.2防火墻技術(shù)

3.2.1防火墻的技術(shù)分類包過濾防火墻10包過濾處理圖包過濾操作可以在路由器上進(jìn)行，也可以在網(wǎng)橋，甚至在一個(gè)單獨(dú)的主機(jī)上進(jìn)行。數(shù)據(jù)包過濾是一個(gè)網(wǎng)絡(luò)安全保護(hù)機(jī)制，它用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)。不符合網(wǎng)絡(luò)安全的那些服務(wù)將被嚴(yán)格限制?；诎械膮f(xié)議類型和協(xié)議字段值，過濾路由器能夠區(qū)分網(wǎng)絡(luò)流量；基于協(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力叫包過濾（PacketFiltering）。正是因?yàn)檫@種原因，過濾路由器也可以稱作包過濾路由器（PacketFilterRouter）。包過濾處理圖包過濾操作可以在路由器上進(jìn)行，也可以在網(wǎng)橋，甚11靜態(tài)包過濾一般防火墻的包過濾的過濾規(guī)則是在啟動時(shí)配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱為靜態(tài)規(guī)則。利用靜態(tài)包過濾規(guī)則建立的防火墻就叫靜態(tài)包過濾防火墻，見圖。靜態(tài)包過濾一般防火墻的包過濾的過濾規(guī)則是在啟動時(shí)配置好的，12動態(tài)包過濾采用這種技術(shù)的防火墻對通過其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。即采用了基于連接狀態(tài)的檢查和動態(tài)設(shè)置包過濾規(guī)則的方法，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合進(jìn)行檢查。動態(tài)過濾規(guī)則技術(shù)避免了靜態(tài)包過濾的問題，使防火墻彌補(bǔ)了許多不安全的隱患，在最大程度上降低了黑客攻擊的成功率，從而大大提高了系統(tǒng)的性能和安全性。動態(tài)包過濾采用這種技術(shù)的防火墻對通過其建立的每一個(gè)連接都進(jìn)13包過濾防火墻的優(yōu)點(diǎn)不用改動應(yīng)用程序。包過濾不用改動客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。一個(gè)過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)。數(shù)據(jù)包過濾對用戶透明。數(shù)據(jù)包過濾是在IP層實(shí)現(xiàn)的，Internet根本感覺不到它的存在；包過濾不要求任何自定義軟件或者客戶機(jī)配置；它也不要求用戶任何特殊的訓(xùn)練或者操作，使用起來很方便。過濾路由器速度快、效率高。較Proxy而言，過濾路由器只檢查報(bào)頭相應(yīng)的字段，一般不查看數(shù)據(jù)包的內(nèi)容，而且某些核心部分是由專用硬件實(shí)現(xiàn)的，故其轉(zhuǎn)發(fā)速度快、效率較高。包過濾防火墻的優(yōu)點(diǎn)不用改動應(yīng)用程序。包過濾不用改動客戶機(jī)和14包過濾的缺點(diǎn)不能徹底防止地址欺騙。一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。如RPC、FTP。正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。如數(shù)據(jù)包的報(bào)頭信息只能說明數(shù)據(jù)包來自什么主機(jī)，而不知是什么用戶；只知數(shù)據(jù)包發(fā)送到什么端口，而不知是發(fā)到什么應(yīng)用程序。安全性較差。過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息；過濾規(guī)則的數(shù)目是有限制的；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議；非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，通常它沒有用戶的使用記錄，這樣，管理員就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。數(shù)據(jù)包工具存在很多局限性。如數(shù)據(jù)包過濾規(guī)則難以配置，管理方式和用戶界面較差；對安全管理人員素質(zhì)要求高；建立安全規(guī)則時(shí)，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。包過濾的缺點(diǎn)不能徹底防止地址欺騙。15代理防火墻代理防火墻的原理：所謂代理服務(wù)器，是指代表客戶處理在服務(wù)器連接請求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí)，它將核實(shí)客戶請求，并用特定的安全化的Proxy應(yīng)用程序來處理連接請求，將處理后的請求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)絡(luò)的作用，所以有叫代理防火墻。代理防火墻工作于應(yīng)用層，且針對特定的應(yīng)用層協(xié)議。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問控制；而且，還可用來保持一個(gè)所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。代理防火墻的工作原理如圖所示。代理防火墻代理防火墻的原理：所謂代理服務(wù)器，是指代表客戶處16代理服務(wù)器（ProxyServer）作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器，攔截住所有要求，也向客戶端轉(zhuǎn)發(fā)響應(yīng)。代理客戶（ProxyClient）負(fù)責(zé)代表內(nèi)部客戶端向外部服務(wù)器發(fā)出請求，當(dāng)然也向代理服務(wù)器轉(zhuǎn)發(fā)響應(yīng)。代理防火墻（Proxy）分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理服務(wù)器（ProxyServer）作為內(nèi)部網(wǎng)絡(luò)客戶端的服17應(yīng)用層網(wǎng)關(guān)型防火墻應(yīng)用層網(wǎng)關(guān)（ApplicationLevelGateways）防火墻是傳統(tǒng)代理型防火墻，它的核心技術(shù)就是代理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專用工作站系統(tǒng)上。這種防火墻通過代理技術(shù)參與到一個(gè)TCP連接的全過程，并在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能，所以叫做應(yīng)用層網(wǎng)關(guān)。當(dāng)某用戶（不管是遠(yuǎn)程的還是本地的）想和一個(gè)運(yùn)行代理的網(wǎng)絡(luò)建立聯(lián)系時(shí)，此代理（應(yīng)用層網(wǎng)關(guān)）會阻塞這個(gè)連接，然后在過濾的同時(shí)，對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成檢查報(bào)告。如果此連接請求符合預(yù)定的安全策略或規(guī)則，代理防火墻便會在用戶和服務(wù)器之間建立一個(gè)“橋”，從而保證其通訊。對不符合預(yù)定的安全規(guī)則的，則阻塞或拋棄。同時(shí)，應(yīng)用層網(wǎng)關(guān)將內(nèi)部用戶的請求確認(rèn)后送到外部服務(wù)器，再將外部服務(wù)器的響應(yīng)回送給用戶。應(yīng)用層網(wǎng)關(guān)型防火墻應(yīng)用層網(wǎng)關(guān)（ApplicationLe18應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是安全，這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)如HTTP編寫的安全化的應(yīng)用程序進(jìn)行處理，然后由防火墻本身提交請求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會話的機(jī)會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)絡(luò)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。包過濾類型的防火墻是很難徹底避免這一漏洞的。應(yīng)用層網(wǎng)關(guān)防火墻同時(shí)也是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是安全19代理防火墻的缺點(diǎn)代理防火墻的最大缺點(diǎn)就是速度相對比較慢，當(dāng)用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，（比如要求達(dá)到75M~100Mbps時(shí)）代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠(yuǎn)低于這個(gè)數(shù)字。在現(xiàn)實(shí)環(huán)境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網(wǎng)（ATM或千兆位Intranet等）之間的防火墻。代理防火墻的缺點(diǎn)代理防火墻的最大缺點(diǎn)就是速度相對比較慢，當(dāng)20電路層網(wǎng)關(guān)防火墻另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（CircuitLevelGateway）或TCP通道（TCPTunnels）。在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包，如圖所示。電路層網(wǎng)關(guān)防火墻另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（Cir21電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個(gè)更加靈活方法。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，一般采用自適應(yīng)代理技術(shù)，也稱為自適應(yīng)代理防火墻。在電路層網(wǎng)關(guān)中，需要安裝特殊的客戶機(jī)軟件。組成這種類型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動態(tài)包過濾器（DynamicPacketFilter）。在自適應(yīng)代理與動態(tài)包過濾器之間存在一個(gè)控制通道。電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個(gè)更加靈活方法。它是針對數(shù)據(jù)包22兩種防火墻技術(shù)的對比包過濾防火墻代理防火墻優(yōu)點(diǎn)價(jià)格較低內(nèi)置了專門為了提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對來往的數(shù)據(jù)包進(jìn)行安全化處理性能開銷小，處理速度較快安全，不允許數(shù)據(jù)包通過防火墻，避免了數(shù)據(jù)驅(qū)動式攻擊的發(fā)生缺點(diǎn)定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來的問題速度較慢，不太適用于高速網(wǎng)（ATM或千兆位Intranet等）之間的應(yīng)用允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險(xiǎn)不能理解特定服務(wù)的上下文環(huán)境，相應(yīng)控制只能在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來完成兩種防火墻技術(shù)的對比包過濾防火墻代理防火墻優(yōu)價(jià)格較低內(nèi)置了233.2.2防火墻的主要技術(shù)及實(shí)現(xiàn)方式雙端口或三端口的結(jié)構(gòu)透明的訪問方式靈活的代理系統(tǒng)多級的過濾技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）網(wǎng)絡(luò)狀態(tài)監(jiān)視器Internet網(wǎng)關(guān)技術(shù)安全服務(wù)器網(wǎng)絡(luò)（SSN）用戶鑒別與加密用戶定制服務(wù)審計(jì)和告警3.2.2防火墻的主要技術(shù)及實(shí)現(xiàn)方式雙端口或三端口的結(jié)構(gòu)網(wǎng)24應(yīng)用網(wǎng)關(guān)代理這種防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。當(dāng)外部某臺主機(jī)試圖訪問（如Telnet）受保護(hù)網(wǎng)時(shí)，它必須先在防火墻上經(jīng)過身份認(rèn)證。通過身份認(rèn)證后，防火墻運(yùn)行一個(gè)專門為Telnet設(shè)計(jì)的程序，把外部主機(jī)與內(nèi)部主機(jī)連接。在這個(gè)過程中，防火墻可以限制用戶訪問的主機(jī)、訪問的時(shí)間及訪問的方式。同樣，受保護(hù)網(wǎng)絡(luò)內(nèi)部用戶訪問外部網(wǎng)時(shí)也需先登錄到防火墻上，通過驗(yàn)證后才可使用Telnet或FTP等有效命令。應(yīng)用網(wǎng)關(guān)代理（ApplicationGatewayProxy）的優(yōu)點(diǎn)是既可以隱藏內(nèi)部IP地址，也可以給單個(gè)用戶授權(quán)，即使攻擊者盜用了一個(gè)合法的IP地址，也通不過嚴(yán)格的身份認(rèn)證。其缺點(diǎn)是這種認(rèn)證使得應(yīng)用網(wǎng)關(guān)不透明，用戶每次連接都要受到“盤問”，這給用戶帶來許多不便；而且這種代理技術(shù)需要為每個(gè)應(yīng)用網(wǎng)關(guān)寫專門的程序。應(yīng)用網(wǎng)關(guān)代理這種防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。25回路級代理服務(wù)器回路級代理服務(wù)器也稱一般代理服務(wù)器，它適用于多個(gè)協(xié)議，但無法解釋應(yīng)用協(xié)議，需要通過其他方式來獲得信息。所以，回路級代理服務(wù)器通常要求修改過的用戶程序。其中，套接字服務(wù)器（SocketsServer）就是回路級代理服務(wù)器。套接字（Sockets）是一種網(wǎng)絡(luò)應(yīng)用層的國際標(biāo)準(zhǔn)。當(dāng)受保護(hù)網(wǎng)絡(luò)客戶機(jī)需要與外部網(wǎng)交互信息時(shí)，在防火墻上的套接字服務(wù)器檢查客戶的UserID、IP源地址和IP目的地址，經(jīng)過確認(rèn)后，套服務(wù)器才與外部的段服務(wù)器建立連接。對用戶來說，受保護(hù)網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，那是因?yàn)橐蛱鼐W(wǎng)絡(luò)用戶不需要登錄到防火墻上。但是客戶端的應(yīng)用軟件必須支持“SocketsifideAPI”，受保護(hù)網(wǎng)絡(luò)用戶訪問公共網(wǎng)絡(luò)所使用的IP地址也都是防火墻的IP地址。回路級代理服務(wù)器回路級代理服務(wù)器也稱一般代理服務(wù)器，它適用263.2.3防火墻的常見體系結(jié)構(gòu)一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個(gè)多端口的IP路由器，它通過對每一個(gè)到來的IP包依據(jù)一組規(guī)則進(jìn)行檢查來判斷是否對之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報(bào)文的IP地址和端口號、連接標(biāo)志及另外一些IP選項(xiàng)，對IP包進(jìn)行過濾。屏蔽路由器（ScreeningRouter）又叫包過濾路由器，是最簡單、最常見的防火墻，屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。除具有路由功能外，再裝上包過濾軟件，利用包過濾規(guī)則完成基本的防火墻功能。如圖所示。3.2.3防火墻的常見體系結(jié)構(gòu)一個(gè)防火墻系統(tǒng)通常由屏蔽路由27雙縮主機(jī)網(wǎng)關(guān)這種配置是用一臺裝有兩塊網(wǎng)卡（NIC）的計(jì)算機(jī)作堡壘主機(jī)，兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，每一塊網(wǎng)卡都有一個(gè)IP地址。堡壘主機(jī)上運(yùn)行著防火墻軟件——代理服務(wù)器軟件（應(yīng)用層網(wǎng)關(guān)），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。所以叫做雙縮主機(jī)網(wǎng)關(guān)（DualHomedGateway）防火墻，如圖所示。雙縮主機(jī)網(wǎng)關(guān)這種配置是用一臺裝有兩塊網(wǎng)卡（NIC）的計(jì)算機(jī)28屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)（ScreenedGateway）由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾），又實(shí)現(xiàn)了應(yīng)用層安全（代理服務(wù)）。屏蔽主機(jī)網(wǎng)關(guān)很容易實(shí)現(xiàn)：在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)的交匯點(diǎn)，安裝一臺屏蔽路由器，同時(shí)在內(nèi)部網(wǎng)絡(luò)上安裝一個(gè)堡壘主機(jī)（應(yīng)用層網(wǎng)關(guān)）即可，如圖所示。屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)（ScreenedGateway29被屏蔽子網(wǎng)被屏蔽子網(wǎng)（ScreenedSubnet）防火墻是在屏蔽主機(jī)網(wǎng)關(guān)防火墻的基礎(chǔ)上再加一個(gè)路由器，兩個(gè)屏蔽路由器放在子網(wǎng)的兩端，形成一個(gè)被稱為非軍事區(qū)（灰色陰影區(qū)域）的子網(wǎng)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)。如圖示。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信，像WWW和FTP服務(wù)器可放在DNZ中。被屏蔽子網(wǎng)被屏蔽子網(wǎng)（ScreenedSubnet）防火303.3防火墻的主要性能指標(biāo)支持的局域網(wǎng)接口類型、數(shù)量及服務(wù)器平臺支持的協(xié)議對加密技術(shù)的支持對認(rèn)證技術(shù)的支持對訪問控制技術(shù)的支持對各種防御功能的支持對安全特性的支持管理功能記錄和報(bào)表功能3.3防火墻的主要性能指標(biāo)支持的局域網(wǎng)接口類型、數(shù)量及服務(wù)313.4分布式防火墻因?yàn)閭鹘y(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企業(yè)網(wǎng)和外部互聯(lián)網(wǎng)之間構(gòu)成一個(gè)屏障，進(jìn)行網(wǎng)絡(luò)存取控制，所以稱為“邊界式防火墻”（PerimeterFirewall）。隨著計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展和用戶對防火墻功能要求的不斷提高，在目前傳統(tǒng)的邊界式防火墻基礎(chǔ)上開發(fā)出了一種新型防火墻，那就是“分布式防火墻”（DistributedFirewall）。它要負(fù)責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，所以分布式防火墻是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。3.4分布式防火墻因?yàn)閭鹘y(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企323.4.1分布式防火墻的體系結(jié)構(gòu)分布式防火墻的體系結(jié)構(gòu)包含如下三個(gè)部分：網(wǎng)絡(luò)防火墻（NetworkFirewall）功能上與傳統(tǒng)的邊界式防火墻類似，用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。主機(jī)防火墻（HostFirewall）用于對網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。中心管理（CentralManagement）：這是一個(gè)服務(wù)器軟件，負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總，防火墻可以進(jìn)行智能管理，提高了防火墻的安全防護(hù)靈活性。這是一種新的防火墻管理功能，也是傳統(tǒng)的邊界式防火墻所不具有的。3.4.1分布式防火墻的體系結(jié)構(gòu)分布式防火墻的體系結(jié)構(gòu)包333.4.2分布式防火墻的特點(diǎn)主機(jī)駐留：這種分布式防火墻的最主要特點(diǎn)就是采用主機(jī)駐留方式，所以也可稱之為“主機(jī)防火墻”，它的重要特征是駐留在被保護(hù)的主機(jī)（關(guān)鍵服務(wù)器、數(shù)據(jù)及工作站）上，該主機(jī)以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認(rèn)為是不可信任的，因此可以針對該主機(jī)上運(yùn)行的具體應(yīng)用和對外提供的服務(wù)設(shè)定針對性很強(qiáng)的安全策略。嵌入操作系統(tǒng)內(nèi)核：這主要是針對目前的純軟件的分布式防火墻來說的。眾所周知的，操作系統(tǒng)自身存在許多安全漏洞，運(yùn)行在其上的應(yīng)用軟件無一不受到威脅。為了徹底堵住操作系統(tǒng)的漏洞，分布式防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行，直接接管網(wǎng)卡，對所有的信息流進(jìn)行過濾與限制，無論是來自Internet，還是來自內(nèi)部網(wǎng)絡(luò)，在把所有IP數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)。類似于個(gè)人防火墻適用于服務(wù)器托管3.4.2分布式防火墻的特點(diǎn)主機(jī)駐留：這種分布式防火墻的343.5

Windows2000環(huán)境下防火墻及NAT的實(shí)現(xiàn)通過網(wǎng)絡(luò)地址轉(zhuǎn)換把內(nèi)部地址轉(zhuǎn)換成統(tǒng)一的外部地址，避免了使用代理服務(wù)所引起的賬號安全問題和代理服務(wù)端口被利用的危險(xiǎn)。同時(shí)為了避免各種代理服務(wù)端口探測和其他各種常用服務(wù)端口的探測，如：Web代理端口80、8080；21（FTP）；80（WWW）；25（SMTP）；110（POP3）；53（DNS），可以啟用MicrosoftProxyServer的動態(tài)包過濾功能和IP分段過濾，達(dá)到端口隱形的效果。為了訪問Internet和向外提供服務(wù)，還需要在ProxyServer的過濾列表中加入許可。案例（略）3.5Windows2000環(huán)境下防火墻及NAT的實(shí)現(xiàn)通35習(xí)題三

簡要回答防火墻的定義和發(fā)展簡史。設(shè)置防火墻目的是什么？防火墻的功能和局限性各有哪些？簡述防火墻的發(fā)展動態(tài)和趨勢。試述包過濾防火墻的原理及特點(diǎn)。靜態(tài)包過濾和動態(tài)包過濾有什么區(qū)別？試述代理防火墻的原理及特點(diǎn)。應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)有什么區(qū)別？防火墻的主要技術(shù)及實(shí)現(xiàn)方式有哪些？防火墻的常見體系結(jié)構(gòu)有哪幾種？屏蔽路由器防火墻和屏蔽主機(jī)網(wǎng)關(guān)防火墻各如何實(shí)現(xiàn)？簡述分布式防火墻的體系結(jié)構(gòu)、主要特點(diǎn)。分布式防火墻的優(yōu)勢主要體現(xiàn)在哪幾個(gè)方面？上機(jī)練習(xí)：配置一個(gè)雙縮主機(jī)網(wǎng)關(guān)防火墻。習(xí)題三簡要回答防火墻的定義和發(fā)展簡史。36第三篇網(wǎng)絡(luò)安全技術(shù)第3章防火墻技術(shù)第三篇網(wǎng)絡(luò)安全技術(shù)第3章防火墻技術(shù)37本章學(xué)習(xí)目標(biāo)防火墻的定義、發(fā)展簡史、目的、功能、局限性包過濾防火墻和代理防火墻的實(shí)現(xiàn)原理、技術(shù)特點(diǎn)以及實(shí)現(xiàn)方式防火墻的常見體系結(jié)構(gòu)分布式防火墻的體系結(jié)構(gòu)、特點(diǎn)本章學(xué)習(xí)目標(biāo)防火墻的定義、發(fā)展簡史、目的、功能、局限性383.1防火墻技術(shù)概述防火墻（Firewall）是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被保護(hù)的網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。3.1防火墻技術(shù)概述防火墻（Firewall）是一種將內(nèi)部393.1.1防火墻的定義《辭海》上說“防火墻：用非燃燒材料砌筑的墻。設(shè)在建筑物的兩端或在建筑物內(nèi)將建筑物分割成區(qū)段，以防止火災(zāi)蔓延?！焙唵蔚恼f，防火墻是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、或兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，限制外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問及管理內(nèi)部用戶訪問外部網(wǎng)絡(luò)的權(quán)限的系統(tǒng)，防止對重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。3.1.1防火墻的定義《辭?！飞险f“防火墻：用非燃燒材料砌403.1.2防火墻的發(fā)展簡史第一代防火墻：幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，貝爾實(shí)驗(yàn)室的Dave.Presotto和Howard.Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻：1992年，USC信息科學(xué)院的Bob.Braden開發(fā)出了基于動態(tài)包過濾（DynamicPacketFilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（StateFulinspection）技術(shù)。1994年，以色列的Check.Point公司開發(fā)出了第一個(gè)基于這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理（AdaptiveProxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)。3.1.2防火墻的發(fā)展簡史第一代防火墻：幾乎與路由器同時(shí)出41計(jì)算機(jī)網(wǎng)絡(luò)安全課件--防火墻技術(shù)423.1.3設(shè)置防火墻的目的和功能通常應(yīng)用防火墻的目的有以下幾個(gè)方面：限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)；過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施；限定人們訪問特殊站點(diǎn)；為監(jiān)視局域網(wǎng)安全提供方便。無論何種類型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻的主要功能就是控制對受保護(hù)網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對內(nèi)、內(nèi)對外的非法訪問。3.1.3設(shè)置防火墻的目的和功能通常應(yīng)用防火墻的目的有以下433.1.4防火墻的局限性防火墻防外不防內(nèi)網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制傳統(tǒng)防火墻不能在有在兩個(gè)內(nèi)部網(wǎng)絡(luò)之間通信需求的VPN網(wǎng)絡(luò)中使用，否則VPN通信將被中斷。雖然目前有一種SSLVPN技術(shù)可以繞過企業(yè)邊界的防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)VPN通信，但是應(yīng)用更廣泛的傳統(tǒng)IPSecVPN通信中還是不能使用，除非是專門的VPN防火墻。防火墻難于管理和配置，易造成安全漏洞效率較低、故障率高很難為用戶在防火墻內(nèi)外提供一致的安全策略防火墻只實(shí)現(xiàn)了粗粒度的訪問控制3.1.4防火墻的局限性防火墻防外不防內(nèi)443.1.5防火墻技術(shù)發(fā)展動態(tài)和趨勢優(yōu)良的性能可擴(kuò)展的結(jié)構(gòu)和功能簡化的安裝與管理主動過濾防病毒與防黑客未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個(gè)方面。此外，防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù)，如Web頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來。3.1.5防火墻技術(shù)發(fā)展動態(tài)和趨勢優(yōu)良的性能未來防火墻技453.2防火墻技術(shù)

3.2.1防火墻的技術(shù)分類包過濾防火墻：數(shù)據(jù)包過濾（PacketFiltering）技術(shù)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過設(shè)備對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇地控制與操作。包過濾操作一般都是在選擇路由的同時(shí)在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇或過濾（通常是對從Internet進(jìn)入到內(nèi)部網(wǎng)絡(luò)的包進(jìn)行過濾）。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表（AccessControlTable）或規(guī)則表。規(guī)則表指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)，例如：只接收來自某些指定的IP地址的數(shù)據(jù)包或者內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包可以流向某些指定的端口等；哪些類型的數(shù)據(jù)包的傳輸應(yīng)該被攔截。防火墻的IP包過濾規(guī)則以IP包信息為基礎(chǔ)，對IP包源地址、目標(biāo)地址、傳輸方向、分包、IP包封裝協(xié)議（TCP/UDP/ICMP/IPTunnel）、TCP/UDP目標(biāo)端口號等進(jìn)行篩選、過濾。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。3.2防火墻技術(shù)

3.2.1防火墻的技術(shù)分類包過濾防火墻46包過濾處理圖包過濾操作可以在路由器上進(jìn)行，也可以在網(wǎng)橋，甚至在一個(gè)單獨(dú)的主機(jī)上進(jìn)行。數(shù)據(jù)包過濾是一個(gè)網(wǎng)絡(luò)安全保護(hù)機(jī)制，它用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)。不符合網(wǎng)絡(luò)安全的那些服務(wù)將被嚴(yán)格限制?；诎械膮f(xié)議類型和協(xié)議字段值，過濾路由器能夠區(qū)分網(wǎng)絡(luò)流量；基于協(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力叫包過濾（PacketFiltering）。正是因?yàn)檫@種原因，過濾路由器也可以稱作包過濾路由器（PacketFilterRouter）。包過濾處理圖包過濾操作可以在路由器上進(jìn)行，也可以在網(wǎng)橋，甚47靜態(tài)包過濾一般防火墻的包過濾的過濾規(guī)則是在啟動時(shí)配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱為靜態(tài)規(guī)則。利用靜態(tài)包過濾規(guī)則建立的防火墻就叫靜態(tài)包過濾防火墻，見圖。靜態(tài)包過濾一般防火墻的包過濾的過濾規(guī)則是在啟動時(shí)配置好的，48動態(tài)包過濾采用這種技術(shù)的防火墻對通過其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。即采用了基于連接狀態(tài)的檢查和動態(tài)設(shè)置包過濾規(guī)則的方法，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合進(jìn)行檢查。動態(tài)過濾規(guī)則技術(shù)避免了靜態(tài)包過濾的問題，使防火墻彌補(bǔ)了許多不安全的隱患，在最大程度上降低了黑客攻擊的成功率，從而大大提高了系統(tǒng)的性能和安全性。動態(tài)包過濾采用這種技術(shù)的防火墻對通過其建立的每一個(gè)連接都進(jìn)49包過濾防火墻的優(yōu)點(diǎn)不用改動應(yīng)用程序。包過濾不用改動客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。一個(gè)過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)。數(shù)據(jù)包過濾對用戶透明。數(shù)據(jù)包過濾是在IP層實(shí)現(xiàn)的，Internet根本感覺不到它的存在；包過濾不要求任何自定義軟件或者客戶機(jī)配置；它也不要求用戶任何特殊的訓(xùn)練或者操作，使用起來很方便。過濾路由器速度快、效率高。較Proxy而言，過濾路由器只檢查報(bào)頭相應(yīng)的字段，一般不查看數(shù)據(jù)包的內(nèi)容，而且某些核心部分是由專用硬件實(shí)現(xiàn)的，故其轉(zhuǎn)發(fā)速度快、效率較高。包過濾防火墻的優(yōu)點(diǎn)不用改動應(yīng)用程序。包過濾不用改動客戶機(jī)和50包過濾的缺點(diǎn)不能徹底防止地址欺騙。一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。如RPC、FTP。正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。如數(shù)據(jù)包的報(bào)頭信息只能說明數(shù)據(jù)包來自什么主機(jī)，而不知是什么用戶；只知數(shù)據(jù)包發(fā)送到什么端口，而不知是發(fā)到什么應(yīng)用程序。安全性較差。過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息；過濾規(guī)則的數(shù)目是有限制的；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議；非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，通常它沒有用戶的使用記錄，這樣，管理員就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。數(shù)據(jù)包工具存在很多局限性。如數(shù)據(jù)包過濾規(guī)則難以配置，管理方式和用戶界面較差；對安全管理人員素質(zhì)要求高；建立安全規(guī)則時(shí)，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。包過濾的缺點(diǎn)不能徹底防止地址欺騙。51代理防火墻代理防火墻的原理：所謂代理服務(wù)器，是指代表客戶處理在服務(wù)器連接請求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí)，它將核實(shí)客戶請求，并用特定的安全化的Proxy應(yīng)用程序來處理連接請求，將處理后的請求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)絡(luò)的作用，所以有叫代理防火墻。代理防火墻工作于應(yīng)用層，且針對特定的應(yīng)用層協(xié)議。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問控制；而且，還可用來保持一個(gè)所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。代理防火墻的工作原理如圖所示。代理防火墻代理防火墻的原理：所謂代理服務(wù)器，是指代表客戶處52代理服務(wù)器（ProxyServer）作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器，攔截住所有要求，也向客戶端轉(zhuǎn)發(fā)響應(yīng)。代理客戶（ProxyClient）負(fù)責(zé)代表內(nèi)部客戶端向外部服務(wù)器發(fā)出請求，當(dāng)然也向代理服務(wù)器轉(zhuǎn)發(fā)響應(yīng)。代理防火墻（Proxy）分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理服務(wù)器（ProxyServer）作為內(nèi)部網(wǎng)絡(luò)客戶端的服53應(yīng)用層網(wǎng)關(guān)型防火墻應(yīng)用層網(wǎng)關(guān)（ApplicationLevelGateways）防火墻是傳統(tǒng)代理型防火墻，它的核心技術(shù)就是代理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專用工作站系統(tǒng)上。這種防火墻通過代理技術(shù)參與到一個(gè)TCP連接的全過程，并在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能，所以叫做應(yīng)用層網(wǎng)關(guān)。當(dāng)某用戶（不管是遠(yuǎn)程的還是本地的）想和一個(gè)運(yùn)行代理的網(wǎng)絡(luò)建立聯(lián)系時(shí)，此代理（應(yīng)用層網(wǎng)關(guān)）會阻塞這個(gè)連接，然后在過濾的同時(shí)，對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成檢查報(bào)告。如果此連接請求符合預(yù)定的安全策略或規(guī)則，代理防火墻便會在用戶和服務(wù)器之間建立一個(gè)“橋”，從而保證其通訊。對不符合預(yù)定的安全規(guī)則的，則阻塞或拋棄。同時(shí)，應(yīng)用層網(wǎng)關(guān)將內(nèi)部用戶的請求確認(rèn)后送到外部服務(wù)器，再將外部服務(wù)器的響應(yīng)回送給用戶。應(yīng)用層網(wǎng)關(guān)型防火墻應(yīng)用層網(wǎng)關(guān)（ApplicationLe54應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是安全，這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)如HTTP編寫的安全化的應(yīng)用程序進(jìn)行處理，然后由防火墻本身提交請求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會話的機(jī)會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)絡(luò)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。包過濾類型的防火墻是很難徹底避免這一漏洞的。應(yīng)用層網(wǎng)關(guān)防火墻同時(shí)也是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是安全55代理防火墻的缺點(diǎn)代理防火墻的最大缺點(diǎn)就是速度相對比較慢，當(dāng)用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，（比如要求達(dá)到75M~100Mbps時(shí)）代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠(yuǎn)低于這個(gè)數(shù)字。在現(xiàn)實(shí)環(huán)境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網(wǎng)（ATM或千兆位Intranet等）之間的防火墻。代理防火墻的缺點(diǎn)代理防火墻的最大缺點(diǎn)就是速度相對比較慢，當(dāng)56電路層網(wǎng)關(guān)防火墻另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（CircuitLevelGateway）或TCP通道（TCPTunnels）。在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包，如圖所示。電路層網(wǎng)關(guān)防火墻另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（Cir57電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個(gè)更加靈活方法。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，一般采用自適應(yīng)代理技術(shù)，也稱為自適應(yīng)代理防火墻。在電路層網(wǎng)關(guān)中，需要安裝特殊的客戶機(jī)軟件。組成這種類型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動態(tài)包過濾器（DynamicPacketFilter）。在自適應(yīng)代理與動態(tài)包過濾器之間存在一個(gè)控制通道。電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個(gè)更加靈活方法。它是針對數(shù)據(jù)包58兩種防火墻技術(shù)的對比包過濾防火墻代理防火墻優(yōu)點(diǎn)價(jià)格較低內(nèi)置了專門為了提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對來往的數(shù)據(jù)包進(jìn)行安全化處理性能開銷小，處理速度較快安全，不允許數(shù)據(jù)包通過防火墻，避免了數(shù)據(jù)驅(qū)動式攻擊的發(fā)生缺點(diǎn)定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來的問題速度較慢，不太適用于高速網(wǎng)（ATM或千兆位Intranet等）之間的應(yīng)用允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險(xiǎn)不能理解特定服務(wù)的上下文環(huán)境，相應(yīng)控制只能在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來完成兩種防火墻技術(shù)的對比包過濾防火墻代理防火墻優(yōu)價(jià)格較低內(nèi)置了593.2.2防火墻的主要技術(shù)及實(shí)現(xiàn)方式雙端口或三端口的結(jié)構(gòu)透明的訪問方式靈活的代理系統(tǒng)多級的過濾技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）網(wǎng)絡(luò)狀態(tài)監(jiān)視器Internet網(wǎng)關(guān)技術(shù)安全服務(wù)器網(wǎng)絡(luò)（SSN）用戶鑒別與加密用戶定制服務(wù)審計(jì)和告警3.2.2防火墻的主要技術(shù)及實(shí)現(xiàn)方式雙端口或三端口的結(jié)構(gòu)網(wǎng)60應(yīng)用網(wǎng)關(guān)代理這種防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。當(dāng)外部某臺主機(jī)試圖訪問（如Telnet）受保護(hù)網(wǎng)時(shí)，它必須先在防火墻上經(jīng)過身份認(rèn)證。通過身份認(rèn)證后，防火墻運(yùn)行一個(gè)專門為Telnet設(shè)計(jì)的程序，把外部主機(jī)與內(nèi)部主機(jī)連接。在這個(gè)過程中，防火墻可以限制用戶訪問的主機(jī)、訪問的時(shí)間及訪問的方式。同樣，受保護(hù)網(wǎng)絡(luò)內(nèi)部用戶訪問外部網(wǎng)時(shí)也需先登錄到防火墻上，通過驗(yàn)證后才可使用Telnet或FTP等有效命令。應(yīng)用網(wǎng)關(guān)代理（ApplicationGatewayProxy）的優(yōu)點(diǎn)是既可以隱藏內(nèi)部IP地址，也可以給單個(gè)用戶授權(quán)，即使攻擊者盜用了一個(gè)合法的IP地址，也通不過嚴(yán)格的身份認(rèn)證。其缺點(diǎn)是這種認(rèn)證使得應(yīng)用網(wǎng)關(guān)不透明，用戶每次連接都要受到“盤問”，這給用戶帶來許多不便；而且這種代理技術(shù)需要為每個(gè)應(yīng)用網(wǎng)關(guān)寫專門的程序。應(yīng)用網(wǎng)關(guān)代理這種防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。61回路級代理服務(wù)器回路級代理服務(wù)器也稱一般代理服務(wù)器，它適用于多個(gè)協(xié)議，但無法解釋應(yīng)用協(xié)議，需要通過其他方式來獲得信息。所以，回路級代理服務(wù)器通常要求修改過的用戶程序。其中，套接字服務(wù)器（SocketsServer）就是回路級代理服務(wù)器。套接字（Sockets）是一種網(wǎng)絡(luò)應(yīng)用層的國際標(biāo)準(zhǔn)。當(dāng)受保護(hù)網(wǎng)絡(luò)客戶機(jī)需要與外部網(wǎng)交互信息時(shí)，在防火墻上的套接字服務(wù)器檢查客戶的UserID、IP源地址和IP目的地址，經(jīng)過確認(rèn)后，套服務(wù)器才與外部的段服務(wù)器建立連接。對用戶來說，受保護(hù)網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，那是因?yàn)橐蛱鼐W(wǎng)絡(luò)用戶不需要登錄到防火墻上。但是客戶端的應(yīng)用軟件必須支持“SocketsifideAPI”，受保護(hù)網(wǎng)絡(luò)用戶訪問公共網(wǎng)絡(luò)所使用的IP地址也都是防火墻的IP地址?；芈芳壌矸?wù)器回路級代理服務(wù)器也稱一般代理服務(wù)器，它適用623.2.3防火墻的常見體系結(jié)構(gòu)一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個(gè)多端口的IP路由器，它通過對每一個(gè)到來的IP包依據(jù)一組規(guī)則進(jìn)行檢查來判斷是否對之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報(bào)文的IP地址和端口號、連接標(biāo)志及另外一些IP選項(xiàng)，對IP包進(jìn)行過濾。屏蔽路由器（ScreeningRouter）又叫包過濾路由器，是最簡單、最常見的防火墻，屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。除具有路由功能外，再裝上包過濾軟件，利用包過濾規(guī)則完成基本的防火墻功能。如圖所示。3.2.3防火墻的常見體系結(jié)構(gòu)一個(gè)防火墻系統(tǒng)通常由屏蔽路由63雙縮主機(jī)網(wǎng)關(guān)這種配置是用一臺裝有兩塊網(wǎng)卡（NIC）的計(jì)算機(jī)作堡壘主機(jī)，兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，每一塊網(wǎng)卡都有一個(gè)IP地址。堡壘主機(jī)上運(yùn)行著防火墻軟件——代理服務(wù)器軟件（應(yīng)用層網(wǎng)關(guān)），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。所以叫做雙縮主機(jī)網(wǎng)關(guān)（DualHomedGateway）防火墻，如圖所示。雙縮主機(jī)網(wǎng)關(guān)這種配置是用一臺裝有兩塊網(wǎng)卡（NIC）的計(jì)算機(jī)64屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)（ScreenedGateway）由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾），又實(shí)現(xiàn)了應(yīng)用層安全（代理服務(wù)）。屏蔽主機(jī)網(wǎng)關(guān)很容易實(shí)現(xiàn)：在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)的交匯點(diǎn)，安裝一臺屏蔽路由器，同時(shí)在內(nèi)部網(wǎng)絡(luò)上安裝一個(gè)堡壘主機(jī)（應(yīng)用層網(wǎng)關(guān)）即可，如圖所示。屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)（ScreenedGateway65被屏蔽子網(wǎng)被屏蔽子網(wǎng)（ScreenedS