防火墻-防火墻技術(shù)防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。防火墻防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。通過(guò)防火墻可以隔離風(fēng)險(xiǎn)區(qū)域（Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時(shí)不會(huì)妨礙安全區(qū)域?qū)︼L(fēng)險(xiǎn)區(qū)域的訪問(wèn)。防火墻的定義防火墻嵌入在局域網(wǎng)和Internet連接的網(wǎng)關(guān)上所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)都必須通過(guò)防火墻（物理上阻塞其它所有訪問(wèn)）只有符合安全政策的數(shù)據(jù)流才能通過(guò)防火墻防火墻特征確保一個(gè)單位內(nèi)的網(wǎng)絡(luò)與因特網(wǎng)的通信符合該單位的安全方針，簡(jiǎn)單地說(shuō)，就是要為管理人員提供下列問(wèn)題的答案：–誰(shuí)在使用網(wǎng)絡(luò)？–他們?cè)诰W(wǎng)絡(luò)上做什么？–他們什么時(shí)間使用了網(wǎng)絡(luò)？–他們上網(wǎng)去了何處？–誰(shuí)試圖上網(wǎng)但沒(méi)有成功？防火墻的作用根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能。可以限制未授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問(wèn)特殊站點(diǎn)由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)，例如Intranet等種類相對(duì)集中的網(wǎng)絡(luò)。Internet上的Web網(wǎng)站中，超過(guò)三分之一的站點(diǎn)都是有某種防火墻保護(hù)的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放在防火墻之后。防火墻的功能防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)了集中的安全管理，可以強(qiáng)化網(wǎng)絡(luò)安全策略，比分散的主機(jī)管理更經(jīng)濟(jì)易行防火墻能防止非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，有效地對(duì)抗外部網(wǎng)絡(luò)入侵由于所有的訪問(wèn)都經(jīng)過(guò)防火墻，防火墻成為審計(jì)和記錄網(wǎng)絡(luò)的訪問(wèn)和使用的最佳地點(diǎn)，可以方便地監(jiān)視網(wǎng)絡(luò)的安全性并報(bào)警?？梢宰鳛椴渴鹁W(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）的地點(diǎn)，利用NAT技術(shù)，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可以實(shí)現(xiàn)重點(diǎn)網(wǎng)段的分離，從而限制安全問(wèn)題的擴(kuò)散。防火墻可以作為IPSec的平臺(tái)，可以基于隧道模式實(shí)現(xiàn)VPN 。防火墻的優(yōu)點(diǎn)為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，給用戶帶來(lái)使用的不便。防火墻不能對(duì)繞過(guò)防火墻的攻擊提供保護(hù)，如撥號(hào)上網(wǎng)等。不能對(duì)內(nèi)部威脅提供防護(hù)支持。受性能限制，防火墻對(duì)病毒傳輸保護(hù)能力弱。防火墻對(duì)用戶不完全透明，可能帶來(lái)傳輸延遲、性能瓶頸及單點(diǎn)失效。防火墻不能有效地防范數(shù)據(jù)內(nèi)容驅(qū)動(dòng)式攻擊。作為一種被動(dòng)的防護(hù)手段，防火墻不能自動(dòng)防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。防火墻的局限性在構(gòu)筑防火墻之前,需要制定一套完整有效的安全戰(zhàn)略網(wǎng)絡(luò)服務(wù)訪問(wèn)策略

一種高層次的具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許或禁止的服務(wù)。

防火墻安全規(guī)則設(shè)計(jì)策略

一種是“一切未被允許的就是禁止的”，一種是“一切未被禁止的都是允許的”。第一種的特點(diǎn)是安全性好，但是用戶所能使用的服務(wù)范圍受到嚴(yán)格限制。第二種的特點(diǎn)是可以為用戶提供更多的服務(wù)，但是在日益增多的網(wǎng)絡(luò)服務(wù)面前，很難為用戶提供可靠的安全防護(hù)。防火墻策略常見(jiàn)的防火墻有三種類型：分組（包）過(guò)濾防火墻；應(yīng)用代理防火墻；狀態(tài)檢測(cè)防火墻。防火墻的分類分組過(guò)濾（PacketFiltering）：包過(guò)濾；作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層；根據(jù)分組包頭源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)；只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。防火墻的分類-分組過(guò)濾應(yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway）；它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。防火墻的分類-應(yīng)用代理狀態(tài)檢測(cè)（StatusDetection）：直接對(duì)分組里的數(shù)據(jù)進(jìn)行處理，并且結(jié)合前后分組的數(shù)據(jù)進(jìn)行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過(guò)。防火墻的分類-狀態(tài)檢測(cè)數(shù)據(jù)包過(guò)濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來(lái)確定是否轉(zhuǎn)發(fā)或丟棄所各個(gè)數(shù)據(jù)包。通常情況下，如果規(guī)則中沒(méi)有明確允許指定數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄分組過(guò)濾防火墻分組過(guò)濾防火墻的工作機(jī)制對(duì)每個(gè)經(jīng)過(guò)的IP包應(yīng)用安全規(guī)則集合檢查，決定是轉(zhuǎn)發(fā)或者丟棄該包過(guò)濾包是雙向的過(guò)濾規(guī)則基于與IP或TCP包頭中字段的匹配（如四元組：源IP地址、目的IP地址、源端口、目的端口）兩種缺省策略（丟棄或允許）分組過(guò)濾防火墻優(yōu)點(diǎn)：簡(jiǎn)單對(duì)用戶透明高速缺點(diǎn)：對(duì)于利用特定應(yīng)用的攻擊，防火墻無(wú)法防范配置安全規(guī)則比較困難缺少鑒別，不支持高級(jí)用戶認(rèn)證日志功能有限分組過(guò)濾防火墻IP地址欺騙：丟棄那些從外部接口到達(dá)的，但卻具有內(nèi)部IP地址的包路由選路攻擊：丟棄所有設(shè)置該選項(xiàng)的包微小分片攻擊：丟棄協(xié)議類型是TCP并且IP分片標(biāo)志為1的分片包可能的攻擊和相應(yīng)對(duì)策一個(gè)可靠的分組過(guò)濾防火墻依賴于規(guī)則集，表列出了幾條典型的規(guī)則集。第一條規(guī)則：主機(jī)任何端口訪問(wèn)任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過(guò)。第二條規(guī)則：任何主機(jī)的20端口訪問(wèn)主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過(guò)。第三條規(guī)則：任何主機(jī)的20端口訪問(wèn)主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過(guò)。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP分組過(guò)濾防火墻WinRoute目前應(yīng)用比較廣泛，既可以作為一個(gè)服務(wù)器的防火墻系統(tǒng)，也可以作為一個(gè)代理服務(wù)器軟件。案例：用WinRoute創(chuàng)建包過(guò)濾規(guī)則

以管理員身份安裝該軟件，安裝完畢后，啟動(dòng)“WinRouteAdministration”，WinRoute的管理界面如圖所示。默認(rèn)情況下，該密碼為空。點(diǎn)擊按鈕“OK”，進(jìn)入系統(tǒng)管理。當(dāng)系統(tǒng)安裝完畢以后，該主機(jī)就將不能上網(wǎng)，需要修改默認(rèn)設(shè)置，點(diǎn)擊工具欄圖標(biāo)，出現(xiàn)本地網(wǎng)絡(luò)設(shè)置對(duì)話框，然后查看“Ethernet”的屬性，將兩個(gè)復(fù)選框全部選中，如圖所示。利用WinRoute創(chuàng)建包過(guò)濾規(guī)則，創(chuàng)建的規(guī)則內(nèi)容是：防止主機(jī)被別的計(jì)算機(jī)使用“Ping”指令探測(cè)。選擇菜單項(xiàng)“PacketFilter”。在包過(guò)濾對(duì)話框中可以看出目前主機(jī)還沒(méi)有任何的包規(guī)則。選中圖中網(wǎng)卡圖標(biāo)，單擊按鈕“添加”。出現(xiàn)過(guò)濾規(guī)則添加對(duì)話框，所有的過(guò)濾規(guī)則都在此處添加，如圖9-9所示。因?yàn)椤癙ing”指令用的協(xié)議是ICMP，所以這里要對(duì)ICMP協(xié)議設(shè)置過(guò)濾規(guī)則。在協(xié)議下拉列表中選擇“ICMP”，如圖所示。在“ICMPType”欄目中，將復(fù)選框全部選中。在“Action”欄目中，選擇單選框“Drop”。在“LogPacket”欄目中選中“LogintoWindow”，創(chuàng)建完畢后點(diǎn)擊按鈕“OK”，一條規(guī)則就創(chuàng)建完畢，如圖所示。為了使設(shè)置的規(guī)則生效，點(diǎn)擊按鈕“應(yīng)用”，如圖所示。設(shè)置完畢，該主機(jī)就不再響應(yīng)外界的“Ping”指令了，使用指令“Ping”來(lái)探測(cè)主機(jī)，將收不到回應(yīng)，如圖所示。雖然主機(jī)沒(méi)有響應(yīng)，但是已經(jīng)將事件記錄到安全日志了。選擇菜單欄“View”下的菜單項(xiàng)“Logs>SecurityLogs”，察看日志紀(jì)錄如圖所示。FTP服務(wù)用TCP協(xié)議，F(xiàn)TP占用TCP的21端口，主機(jī)的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1禁止*09*21TCP案例：用WinRoute禁用FTP訪問(wèn)

利用WinRoute建立訪問(wèn)規(guī)則，如圖所示。設(shè)置訪問(wèn)規(guī)則以后，再訪問(wèn)主機(jī)“09”的FTP服務(wù)，將遭到拒絕，如圖所示。訪問(wèn)違反了訪問(wèn)規(guī)則，會(huì)在主機(jī)的安全日志中記錄下來(lái)，如圖所示。HTTP服務(wù)用TCP協(xié)議，占用TCP協(xié)議的80端口，主機(jī)的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1禁止*09*80TCP案例：用WinRoute禁用HTTP訪問(wèn)

利用WinRoute建立訪問(wèn)規(guī)則，如圖所示。打開(kāi)本地的IE連接遠(yuǎn)程主機(jī)的HTTP服務(wù)，將遭到拒絕，如圖所示。訪問(wèn)違反了訪問(wèn)規(guī)則，所以在主機(jī)的安全日志中記錄下來(lái)，如圖所示。應(yīng)用代理（ApplicationProxy）是運(yùn)行在防火墻上的一種服務(wù)器程序，防火墻主機(jī)可以是一個(gè)具有兩個(gè)網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一個(gè)堡壘主機(jī)。代理服務(wù)器被放置在內(nèi)部服務(wù)器和外部服務(wù)器之間，用于轉(zhuǎn)接內(nèi)外主機(jī)之間的通信，它可以根據(jù)安全策略來(lái)決定是否為用戶進(jìn)行代理服務(wù)。代理服務(wù)器運(yùn)行在應(yīng)用層，因此又被稱為“應(yīng)用網(wǎng)關(guān)”。應(yīng)用代理防火墻應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)的工作機(jī)制優(yōu)點(diǎn)：網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度的訪問(wèn)控制，因此比包過(guò)濾更安全易于配置，界面友好不允許內(nèi)外網(wǎng)主機(jī)的直接連接只需要詳細(xì)檢查幾個(gè)允許的應(yīng)用程序?qū)M(jìn)出數(shù)據(jù)進(jìn)行日志和審計(jì)比較容易缺點(diǎn)：額外的處理負(fù)載，處理速度比包過(guò)濾慢對(duì)每一類應(yīng)用，都需要一個(gè)專門的代理靈活性不夠應(yīng)用級(jí)網(wǎng)關(guān)常見(jiàn)防火墻系統(tǒng)模型

常見(jiàn)防火墻系統(tǒng)一般按照四種模型構(gòu)建：篩選路由器模型；單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型；雙宿主堡壘主機(jī)（屏蔽防火墻系統(tǒng)）模型；屏蔽子網(wǎng)模型。堡壘主機(jī):BastionHost堡壘主機(jī)是一種配置了安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)，堡壘主機(jī)為網(wǎng)絡(luò)之間的通信提供了一個(gè)阻塞點(diǎn)，也就是說(shuō)如果沒(méi)有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問(wèn)。雙宿主機(jī):Dual-homedHost有兩個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng),一個(gè)接口接內(nèi)部網(wǎng),一個(gè)接口接外部網(wǎng)。一些概念安裝安全操作系統(tǒng)只安裝重要服務(wù)，如Telnet、DNS、FTP、SMTP等需要進(jìn)行鑒別每個(gè)代理配置成只支持標(biāo)準(zhǔn)命令集的一個(gè)子集每個(gè)代理配置成只允許訪問(wèn)指定的主機(jī)所有連接、通信都執(zhí)行日志審計(jì)各代理間相互獨(dú)立每個(gè)代理都運(yùn)行在專用和安全的目錄中堡壘主機(jī)特征篩選路由器模型

篩選路由器模型是網(wǎng)絡(luò)的第一道防線，功能是實(shí)施包過(guò)濾。如果篩選路由器被黑客攻破那么內(nèi)部網(wǎng)絡(luò)將變的十分的危險(xiǎn)。該防火墻不能夠隱藏你的內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。單宿主堡壘主機(jī)模型單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型由包過(guò)濾路由器和堡壘主機(jī)組成。該防火墻系統(tǒng)提供的安全等級(jí)比包過(guò)濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。雙宿主堡壘主機(jī)模型

雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機(jī)有兩種網(wǎng)絡(luò)接口但是主機(jī)在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強(qiáng)行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過(guò)堡壘主機(jī)。屏蔽子網(wǎng)模型屏蔽子網(wǎng)模型用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)。它是最安全的防火墻系統(tǒng)之一，因?yàn)樵诙x了“中立區(qū)”(DMZ，DemilitarizedZone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個(gè)單獨(dú)的設(shè)備。防火墻配置之一

（單地址堡壘主機(jī)）典型的路由器安全規(guī)則配置：對(duì)于來(lái)自Internet的數(shù)據(jù)包，只有目標(biāo)指定為堡壘主機(jī)的IP包才允許進(jìn)入對(duì)于來(lái)自內(nèi)部網(wǎng)的數(shù)據(jù)包，只有來(lái)自堡壘主機(jī)的IP包才允許發(fā)出堡壘主機(jī)執(zhí)行鑒別和代理服務(wù)比簡(jiǎn)單地配置單獨(dú)的包過(guò)濾路由器或應(yīng)用級(jí)網(wǎng)關(guān)具有更大的安全性：既實(shí)現(xiàn)了包一級(jí)又實(shí)現(xiàn)了應(yīng)用級(jí)的過(guò)濾一個(gè)入侵者必須同時(shí)滲透兩個(gè)單獨(dú)的系統(tǒng)同時(shí)也為支持直接的Internet訪問(wèn)提供了靈活性（如配置Web服務(wù)器，可以將路由器配置成允許直接通信）單地址堡壘主機(jī)防火墻配置之二

（雙地址堡壘主機(jī)）設(shè)置成雙地址后，所有的專用網(wǎng)主機(jī)（如Web服務(wù)器）與Internet的通信都必須通過(guò)堡壘主機(jī)，比單地址方式對(duì)安全的要求更為嚴(yán)格雙地址堡壘主機(jī)防火墻配置之三

（屏蔽的子網(wǎng)防火墻）采用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)外網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)，定義為“非軍事化區(qū)（de-militarizedzone；DMZ）”網(wǎng)絡(luò)管理員將堡壘主機(jī)，WEB服務(wù)器、Mail服務(wù)器等公用服務(wù)器放在DMZ中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)DMZ，但禁止它們穿過(guò)DMZ直接進(jìn)行通信。這