防火墻技術(shù)

防火墻技術(shù)1防火墻的概念防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)系統(tǒng)之間的防御系統(tǒng)，是這一類防范措施的總稱。應(yīng)該說，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。防火墻的概念防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)2防火墻的概念信任網(wǎng)絡(luò)防火墻非信任網(wǎng)絡(luò)防火墻是對(duì)黑客防范最嚴(yán)格,安全性也比較強(qiáng)的一種方式。下圖為一個(gè)典型防火墻系統(tǒng)防火墻的概念信任網(wǎng)絡(luò)防火墻非信任網(wǎng)絡(luò)防火墻是對(duì)黑客3防火墻相關(guān)術(shù)語主機(jī)：連接到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)堡壘主機(jī)：一個(gè)連接內(nèi)部網(wǎng)絡(luò)又對(duì)外部網(wǎng)絡(luò)暴露的計(jì)算機(jī)系統(tǒng)，它的特性導(dǎo)致它容易被入侵。

周邊網(wǎng)絡(luò)：為了增加一層安全控制，在外網(wǎng)系統(tǒng)和內(nèi)網(wǎng)系統(tǒng)之間增加的一個(gè)網(wǎng)絡(luò)。周邊網(wǎng)絡(luò)有時(shí)也稱為DMZ（非軍事區(qū)，得名于分隔朝鮮北方和南方的地區(qū)）代理服務(wù)器：代表內(nèi)部網(wǎng)絡(luò)和外部服務(wù)器進(jìn)行信息交換的程序。它將被認(rèn)可的內(nèi)部用戶的請(qǐng)求送到外部服務(wù)器，并將外部服務(wù)器的響應(yīng)送回給用戶。防火墻相關(guān)術(shù)語主機(jī)：連接到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)4防火墻的基本功能防火墻系統(tǒng)可以決定外界可以訪問那些內(nèi)部服務(wù),以及內(nèi)部人員可以訪問哪些外部服務(wù).防火墻有以下的功能:1．允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。

2．可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警。

防火墻的基本功能防火墻系統(tǒng)可以決定外界可以訪問那些內(nèi)部服務(wù),5防火墻的基本功能3．可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來，用來緩解地址空間短缺的問題。4．是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。5．可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來講，就是所謂的?；饏^(qū)（DMZ）。防火墻的基本功能3．可以作為部署NAT（NetworkAd6防火墻的優(yōu)點(diǎn)強(qiáng)化安全策略有效地記錄Internet上的活動(dòng)限制暴露用戶點(diǎn)(隔離不同網(wǎng)絡(luò)，限制安全問題擴(kuò)散)是一個(gè)安全策略的檢查站產(chǎn)生安全報(bào)警防火墻的優(yōu)點(diǎn)強(qiáng)化安全策略7防火墻的不足防火墻并非萬能，防火墻的缺點(diǎn):源于內(nèi)部的攻擊不能防范惡意的知情者和不經(jīng)心的用戶不能防范不通過防火墻的連接不能直接抵御惡意程序(由于病毒的種類繁多，如果要在防火墻完成對(duì)所有病毒代碼的檢查，防火墻的效率就會(huì)降到不能忍受的程度。)防火墻的不足防火墻并非萬能，防火墻的缺點(diǎn):8防火墻的主要技術(shù)

包過濾技術(shù)代理服務(wù)技術(shù)主動(dòng)檢測技術(shù)防火墻的主要技術(shù)

包過濾技術(shù)9包過濾技術(shù)包過濾事實(shí)上基于路由器的技術(shù)，由路由器的對(duì)IP包進(jìn)行選擇，允許或拒絕該數(shù)據(jù)包通過。為了過濾，必須要制定一些過濾規(guī)則（訪問控制表），過濾的根據(jù)有(只考慮IP包)：源、目的IP地址源、目的端口：FTP、HTTP、DNS等數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：Eth0、Eth1包過濾技術(shù)包過濾事實(shí)上基于路由器的技術(shù)，由路由器的對(duì)IP包進(jìn)10包過濾防火墻工作示意圖

包過濾防火墻工作示意圖

11設(shè)置實(shí)例設(shè)置實(shí)例12包過濾優(yōu)缺點(diǎn)優(yōu)點(diǎn)：簡單較強(qiáng)的透明性過濾路由器速度快，效率高。包過濾優(yōu)缺點(diǎn)優(yōu)點(diǎn)：13包過濾優(yōu)缺點(diǎn)缺點(diǎn)：配置基于包過濾方式的防火墻，需要對(duì)IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解，否則容易出現(xiàn)因配置不當(dāng)帶來的問題；過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不能得到充分滿足；由于數(shù)據(jù)包的地址及端口號(hào)都在數(shù)據(jù)包的頭部，不能徹底防止地址欺騙；允許外部客戶和內(nèi)部主機(jī)的直接連接；不提供用戶的鑒別機(jī)制。包過濾優(yōu)缺點(diǎn)缺點(diǎn)：14Application-levelGateway代理服務(wù)技術(shù)Application-levelGateway代理服務(wù)技15代理服務(wù)技術(shù)也稱為應(yīng)用級(jí)網(wǎng)關(guān)它不讓數(shù)據(jù)包直接通過，而是自己接收數(shù)據(jù)，并對(duì)其進(jìn)行分析?！翱尚刨嚒钡姆?wù)才能通過。代理服務(wù)器必須了解所要代理的服務(wù)，并為每一種服務(wù)提供詳細(xì)的訪問日志記錄，能針對(duì)不同的使用者進(jìn)行認(rèn)證。常用的代理服務(wù)器有ＨＴＴＰ代理，ＦＴＰ代理等。代理服務(wù)技術(shù)也稱為應(yīng)用級(jí)網(wǎng)關(guān)它不讓數(shù)據(jù)包直接通過，而是自己接16應(yīng)用級(jí)網(wǎng)關(guān)防火墻工作示意圖

應(yīng)用級(jí)網(wǎng)關(guān)防火墻工作示意圖

17應(yīng)用級(jí)網(wǎng)關(guān)防火墻的特點(diǎn)

應(yīng)用網(wǎng)關(guān)代理的優(yōu)點(diǎn)是易于配置，界面友好；不允許內(nèi)外網(wǎng)主機(jī)的直接連接；可以提供比包過濾更詳細(xì)的日志記錄，例如在一個(gè)HTTP連接中，包過濾只能記錄單個(gè)的數(shù)據(jù)包，無法記錄文件名、URL等信息；可以隱藏內(nèi)部IP地址；可以給單個(gè)用戶授權(quán)；可以為用戶提供透明的加密機(jī)制；可以與認(rèn)證、授權(quán)等安全手段方便的集成。代理技術(shù)的缺點(diǎn)是：代理速度比包過濾慢；代理對(duì)用戶不透明，給用戶的使用帶來不便，而且這種代理技術(shù)需要針對(duì)每種協(xié)議設(shè)置一個(gè)不同的代理服務(wù)器。應(yīng)用級(jí)網(wǎng)關(guān)防火墻的特點(diǎn)

應(yīng)用網(wǎng)關(guān)代理的優(yōu)點(diǎn)是易于配置，界面18一個(gè)Telnet應(yīng)用代理的過程

用戶首先Telnet到應(yīng)用網(wǎng)關(guān)主機(jī)，并輸入內(nèi)部目標(biāo)主機(jī)的名字（域名、IP地址）應(yīng)用網(wǎng)關(guān)檢查用戶的源IP地址等，并根據(jù)事先設(shè)定的訪問規(guī)則來決定是否轉(zhuǎn)發(fā)或拒絕然后用戶必須進(jìn)行是否驗(yàn)證（如一次一密等高級(jí)認(rèn)證設(shè)備）應(yīng)用網(wǎng)關(guān)中的代理服務(wù)器為用戶建立在網(wǎng)關(guān)與內(nèi)部主機(jī)之間的Telnet連接代理服務(wù)器在兩個(gè)連接（用戶/應(yīng)用網(wǎng)關(guān)，代理服務(wù)器/內(nèi)部主機(jī)）之間傳送數(shù)據(jù)應(yīng)用網(wǎng)關(guān)對(duì)本次連接進(jìn)行日志記錄一個(gè)Telnet應(yīng)用代理的過程

用戶首先Telnet到應(yīng)用網(wǎng)19狀態(tài)檢測包過濾技術(shù)啟動(dòng)一個(gè)監(jiān)測程序?qū)W(wǎng)絡(luò)進(jìn)行監(jiān)控，當(dāng)出現(xiàn)網(wǎng)絡(luò)攻擊時(shí)立即告警或切斷相關(guān)連接。用于安全性非常高的網(wǎng)絡(luò)系統(tǒng)，消耗內(nèi)存大。

狀態(tài)檢測包過濾技術(shù)啟動(dòng)一個(gè)監(jiān)測程序?qū)W(wǎng)絡(luò)進(jìn)行監(jiān)控，當(dāng)出20防火墻的設(shè)計(jì)防火墻的安全策略（1）每一個(gè)沒有明確允許的都被拒絕常用，但操作困難，并有可能拒絕網(wǎng)絡(luò)用戶的正常需求與合法服務(wù)（2）每一個(gè)沒有明確拒絕的都允許很少考慮，因?yàn)檫@樣的防火墻可能帶來許多風(fēng)險(xiǎn)和安全問題。攻擊者完全可以使用一種拒絕策略中沒有定義的服務(wù)而被允許并攻擊網(wǎng)絡(luò)防火墻的設(shè)計(jì)防火墻的安全策略（1）每一個(gè)沒有明確允許的都被拒21防火墻的分類從使用技術(shù)上分包過濾技術(shù)代理服務(wù)技術(shù)狀態(tài)檢測技術(shù)從實(shí)現(xiàn)形式分軟件防火墻硬件防火墻芯片級(jí)防火墻防火墻的分類從使用技術(shù)上分22防火墻的分類從部署位置分個(gè)人防火墻網(wǎng)絡(luò)防火墻混合防火墻防火墻的分類從部署位置分23防火墻技術(shù)的實(shí)現(xiàn)Windows防火墻的應(yīng)用攔截ping包模擬器上訪問控制列表的介紹

防火墻技術(shù)的實(shí)現(xiàn)Windows防火墻的應(yīng)用24防火墻發(fā)展歷程第一階段：基于路由器的防火墻第二階段：用戶化的防火墻工具套第三階段：建立在通用操作系統(tǒng)上的防火墻第四階段：具有安全操作系統(tǒng)的防火墻對(duì)防火墻產(chǎn)品發(fā)展的介紹防火墻發(fā)展歷程對(duì)防火墻產(chǎn)品發(fā)展的介紹25第一代防火墻產(chǎn)品的特點(diǎn)是：利用路由器本身對(duì)分組的解析,以訪問控制表（accesslist）方式實(shí)現(xiàn)對(duì)分組的過濾；過濾判決的依據(jù)可以是：地址、端口號(hào)、IP旗標(biāo)及其它網(wǎng)絡(luò)特征；只有分組過濾的功能，且防火墻與路由器是一體的，對(duì)安全要求低的網(wǎng)絡(luò)可采用路由器附帶防火墻功能的方法，對(duì)安全性要求高的網(wǎng)絡(luò)則可單獨(dú)利用一臺(tái)路由器作防火墻。第一階段：基于路由器的防火墻第一代防火墻產(chǎn)品的特點(diǎn)是：第一階段：基于路由器的防火墻26第一階段：基于路由器的防火墻第一代防火墻產(chǎn)品的不足之處為：路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。路由器上的分組過濾規(guī)則的設(shè)置和配置存在安全隱患。攻擊者可以“假冒”地址，由于信息在網(wǎng)絡(luò)上是以明文傳送的，黑客可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。第一階段：基于路由器的防火墻第一代防火墻產(chǎn)品的不足之處為：27第二階段：用戶化的防火墻工具套

作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：將過濾功能從路由器中獨(dú)立出來，并加上審計(jì)和告警功能；針對(duì)用戶需求，提供模塊化的軟件包；軟件可通過網(wǎng)絡(luò)發(fā)送，用戶可根據(jù)需要構(gòu)造防火墻；與第一代防火墻相比，安全性提高了，價(jià)格降低了。第二階段：用戶化的防火墻工具套28第二階段：用戶化的防火墻工具套(cont.)不足之處：配置和維護(hù)過程復(fù)雜、費(fèi)時(shí)；對(duì)用戶的技術(shù)要求高；全軟件實(shí)現(xiàn)，安全性和處理速度均有局限；實(shí)踐表明，使用中出現(xiàn)差錯(cuò)的情況很多。第二階段：用戶化的防火墻工具套(cont.)不足之處：29第三階段：建立在通用操作系統(tǒng)上的防火墻具有以下特點(diǎn)：是批量上市的專用防火墻產(chǎn)品；包括分組過濾或者借用路由器的分組過濾功能；裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；安全性和速度大為提高。第三階段：建立在通用操作系統(tǒng)上的防火墻具有以下特點(diǎn)：30第三階段：建立在通用操作系統(tǒng)上的防火墻(cont.)存在的問題：作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于原碼的保密，其安全性無從保證；由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé)；從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊。用戶必須依賴兩方面的安全支持：一是防火墻廠商、一是操作系統(tǒng)廠商。第三階段：建立在通用操作系統(tǒng)上的防火墻(cont.)存在的問31

第四階段：具有安全操作系統(tǒng)的防火墻具有以下特點(diǎn)：防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核；對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理:即去掉不必要的系統(tǒng)特性，加固內(nèi)核，強(qiáng)化安全保護(hù)；對(duì)每個(gè)服務(wù)器、子系統(tǒng)都作了安全處理，一旦黑客攻破了一個(gè)服務(wù)器，它將會(huì)被隔離在此服務(wù)器內(nèi)，不會(huì)對(duì)網(wǎng)絡(luò)的其它部份構(gòu)成威脅；在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)，且具有加密