第5章防火墻技術(shù)5.1防火墻概述5.2防火墻體系結(jié)構(gòu)5.3防火墻技術(shù)5.4防火墻產(chǎn)品及選購5.5防火墻技術(shù)實(shí)例習(xí)題

5.1防?火?墻?概?述

防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間建立起的安全保護(hù)屏障，從而保護(hù)內(nèi)部網(wǎng)免受外部網(wǎng)非法用戶的侵入。防火墻可以是純硬件的，也可以是純軟件的，還可以是軟、硬件結(jié)合的。防火墻允許用戶“同意”的人和數(shù)據(jù)進(jìn)入自己的網(wǎng)絡(luò)，同時(shí)將未經(jīng)認(rèn)可的訪問者和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客入侵行為，防止自己的信息被更改、拷貝和毀壞。防火墻技術(shù)在網(wǎng)絡(luò)中的應(yīng)用如圖5.1所示。圖5.1防火墻示意圖5.1.1防火墻的作用與局限性

防火墻通常有兩種基本的設(shè)計(jì)策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種的特點(diǎn)是好用但不安全，即對(duì)用戶使用服務(wù)限制少導(dǎo)致對(duì)某些安全服務(wù)威脅的漏報(bào)；第二種是安全但不好用，即能夠最大程度地保護(hù)系統(tǒng)安全但限制了多數(shù)的服務(wù)使用戶感覺不便。通常采用第二種類型的設(shè)計(jì)策略，而多數(shù)防火墻是在兩種之間采取折衷。

1.防火墻的作用

防火墻的作用主要包括以下幾個(gè)方面。

1)防火墻是網(wǎng)絡(luò)安全的屏障

防火墻是信息進(jìn)出網(wǎng)絡(luò)的必經(jīng)之路。它可以檢測(cè)所有經(jīng)過數(shù)據(jù)的細(xì)節(jié)，并根據(jù)事先定義好的策略允許或禁止這些數(shù)據(jù)通過。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，外部的攻擊者不可能利用脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)，所以網(wǎng)絡(luò)環(huán)境變得更加安全。

2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證及審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如，在網(wǎng)絡(luò)訪問時(shí)，一次性加密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而是集中在防火墻上。

3)對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)

防火墻能夠記錄所有經(jīng)過它的訪問，并將這些訪問添加到日志記錄中，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防火墻還能對(duì)可疑動(dòng)作進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，防火墻還能收集網(wǎng)絡(luò)使用和誤用情況，為網(wǎng)絡(luò)安全管理提供依據(jù)。

4)防止內(nèi)部信息外泄

利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)重點(diǎn)網(wǎng)段的隔離，從而限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。防火墻可以隱蔽那些透露內(nèi)部細(xì)節(jié)服務(wù)，如Finger、DNS等，使攻擊者不能得到內(nèi)部網(wǎng)絡(luò)的有關(guān)信息。

2.防火墻的局限性

防火墻技術(shù)雖然是內(nèi)部網(wǎng)絡(luò)最重要的安全技術(shù)之一，可使內(nèi)部網(wǎng)在很大程度上免受攻擊，但不能認(rèn)為配置了防火墻之后所有的網(wǎng)絡(luò)安全問題都迎刃而解了。防火墻也有其明顯的局限性，許多危險(xiǎn)是防火墻無能為力的。

1)防火墻不能防范內(nèi)部人員的攻擊

防火墻只能提供周邊防護(hù)，并不能控制內(nèi)部用戶對(duì)內(nèi)部網(wǎng)絡(luò)濫用授權(quán)的訪問。內(nèi)部用戶可竊取數(shù)據(jù)、破壞硬件和軟件，并可巧妙地修改程序而不接近防火墻。內(nèi)部用戶攻擊網(wǎng)絡(luò)正是網(wǎng)絡(luò)安全最大的威脅。

2)防火墻不能防范繞過它的連接

防火墻可有效地檢查經(jīng)由它進(jìn)行傳輸?shù)男畔?，但不能防止繞過它傳輸?shù)男畔?。比如，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問，那么防火墻就沒有辦法阻止攻擊者進(jìn)行的撥號(hào)入侵。

3)防火墻不能防御全部威脅

防火墻能夠防御已知的威脅。如果是一個(gè)很好的防火墻設(shè)計(jì)方案，可以防御新的威脅，但沒有一個(gè)防火墻能夠防御所有的威脅。

4)防火墻難于管理和配置，容易造成安全漏洞

防火墻的管理及配置相當(dāng)復(fù)雜，要想成功維護(hù)防火墻，就要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深入的了解。防火墻的安全策略無法進(jìn)行集中管理，一般來說，由多個(gè)系統(tǒng)(路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機(jī))組成的防火墻，是難于管理的。

5)防火墻不能防御惡意程序和病毒

雖然許多防火墻能掃描所有通過的信息，以決定是否允許它們通過防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，但掃描是針對(duì)源、目標(biāo)地址和端口號(hào)的，而不掃描數(shù)據(jù)的確切內(nèi)容。因?yàn)樵诰W(wǎng)絡(luò)上傳輸二進(jìn)制文件的編碼方式很多，并且有太多的不同結(jié)構(gòu)的病毒，因此防火墻不可能查找出所有的病毒，也就不能有效地防范病毒類程序的入侵。目前已經(jīng)有一些防火墻廠商將病毒檢測(cè)模塊集成到防火墻系統(tǒng)中，并通過一些技術(shù)手段解決由此而產(chǎn)生的效率和性能問題。5.1.2防火墻的類型

目前市場(chǎng)上的防火墻產(chǎn)品非常多，形式多樣。有以軟件形式運(yùn)行在普通計(jì)算機(jī)之上的，也有以固件形式設(shè)計(jì)在路由器之中的。防火墻主要分類如下：

1．從軟、硬件形式上分類

以防火墻的軟、硬件形式來分，防火墻可以分為軟件防火墻和硬件防火墻兩類。

(1)軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)，俗稱“個(gè)人防火墻”。軟件防火墻就像其他的軟件產(chǎn)品一樣需要在計(jì)算機(jī)上進(jìn)行安裝和設(shè)置才可以使用。網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Check-point。使用這類防火墻，需要網(wǎng)管對(duì)相應(yīng)的操作系統(tǒng)平臺(tái)比較熟悉。

(2)硬件防火墻一般分傳統(tǒng)硬件防火墻和芯片級(jí)防火墻兩類，它們最大的差別在于是否基于專用的硬件平臺(tái)。傳統(tǒng)硬件防火墻是在PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡(jiǎn)化的操作系統(tǒng)構(gòu)成的，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。由于此類防火墻依然采用非自己的內(nèi)核，因此會(huì)受到操作系統(tǒng)本身的安全性影響。芯片級(jí)防火墻基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。專有的ASIC芯片使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高，如NetScreen、Cisco的硬件防火墻產(chǎn)品基于專用操作系統(tǒng)，因此防火墻本身的漏洞比較少，不過價(jià)格相對(duì)比較高。

2．按防火墻的部署位置分類

按照防火墻在網(wǎng)絡(luò)中部署的位置可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三類。

(1)邊界防火墻是最傳統(tǒng)的一種，它們部署在內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用是對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都是硬件類型的，價(jià)格較貴，性能

較好。

(2)個(gè)人防火墻安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用戶，通常為軟件防火墻，價(jià)格最便宜，性能也最差。

(3)混合式防火墻即“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組成，分布在內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間的通信進(jìn)行過濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。

3．按技術(shù)分類

防火墻按技術(shù)可分為包過濾技術(shù)、代理技術(shù)和狀態(tài)檢測(cè)技術(shù)三類。

(1)包過濾技術(shù)對(duì)通過防火墻的數(shù)據(jù)包進(jìn)行檢測(cè)，只有符合過濾規(guī)則的數(shù)據(jù)包才允許穿過防火墻。

(2)代理技術(shù)是通過在一臺(tái)特殊的主機(jī)上安裝代理軟件，使只有合法的用戶和數(shù)據(jù)才能通過防火墻對(duì)網(wǎng)絡(luò)進(jìn)行訪問。

(3)狀態(tài)檢測(cè)技術(shù)是在包過濾的基礎(chǔ)上對(duì)進(jìn)出的數(shù)據(jù)包的狀態(tài)進(jìn)行檢測(cè)，使只有合法的數(shù)據(jù)才能通過防火墻。5.1.3防火墻技術(shù)的發(fā)展趨勢(shì)

從目前的防火墻市場(chǎng)來看，國(guó)內(nèi)外防火墻廠商基本上都可以很好地支持防火墻的基本功能，包括訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理認(rèn)證、日志審計(jì)等。但是隨著網(wǎng)絡(luò)攻擊的增加，以及用戶對(duì)網(wǎng)絡(luò)安全要求的日益提高，防火墻必須有進(jìn)一步的發(fā)展。

從應(yīng)用和技術(shù)發(fā)展趨勢(shì)來看，如何增強(qiáng)防火墻的安全性，提高防火墻的性能，豐富防火墻的功能，將成為防火墻廠商下一步所必須面對(duì)和解決的問題。防火墻將從目前的靜態(tài)防御策略向智能化方向發(fā)展。未來智能化的防火墻應(yīng)能實(shí)現(xiàn)自動(dòng)識(shí)別并防御各種黑客攻擊手法及其相應(yīng)變種攻擊手法；在網(wǎng)絡(luò)出口發(fā)生異常時(shí)能自動(dòng)調(diào)整與外網(wǎng)的連接端口；能夠根據(jù)信息流量自動(dòng)分配、調(diào)整網(wǎng)絡(luò)信息流量及協(xié)同多臺(tái)物理設(shè)備工作；自動(dòng)檢測(cè)防火墻本身的故障并能自動(dòng)修復(fù)，具備自主學(xué)習(xí)并制定識(shí)別與防御方法。多功能也是防火墻的發(fā)展方向之一。鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。未來網(wǎng)絡(luò)防火墻將在現(xiàn)有的基礎(chǔ)上繼續(xù)完善其功能并不斷增加新的功能。如保證傳輸數(shù)據(jù)安全的VPN、隱藏內(nèi)部網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)、雙重DNS功能、防病毒功能、內(nèi)容掃描功能等。

綜上所述，未來的防火墻會(huì)全面考慮網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用程序安全、用戶安全和數(shù)據(jù)安全的綜合應(yīng)用，將是智能化、高速度、低成本和功能更加完善、管理更加人性化的網(wǎng)絡(luò)安全產(chǎn)品。

5.2防火墻體系結(jié)構(gòu)

通常，防火墻是路由器、計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)設(shè)備的多種組合。由于網(wǎng)絡(luò)結(jié)構(gòu)多種多樣，各站點(diǎn)的安全要求不盡相同，故目前還沒有一種統(tǒng)一的防火墻設(shè)計(jì)標(biāo)準(zhǔn)。防火墻的體系結(jié)構(gòu)也有很多種，防火墻具體采用何種結(jié)構(gòu)取決于防火墻設(shè)計(jì)的思想和網(wǎng)絡(luò)的實(shí)際情況，不同結(jié)構(gòu)的防火墻帶給網(wǎng)絡(luò)的安全保障和影響是不同的。根據(jù)結(jié)構(gòu)的不同，防火墻系統(tǒng)可分為傳統(tǒng)防火墻系統(tǒng)、分布式防火墻系統(tǒng)和混合式防火墻系統(tǒng)三種。5.2.1傳統(tǒng)防火墻系統(tǒng)

傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企業(yè)網(wǎng)和外部互聯(lián)網(wǎng)之間構(gòu)成一個(gè)屏障，進(jìn)行網(wǎng)絡(luò)存取控制，我們可稱之為邊界防火墻(PerimeterFirewall)。邊界防火墻基本體系結(jié)構(gòu)有四種類型：包過濾防火墻、雙宿主主機(jī)體系結(jié)構(gòu)防火墻、屏蔽主機(jī)體系結(jié)構(gòu)防火墻和屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻。

1.包過濾防火墻

包過濾防火墻是通過在路由器上根據(jù)某些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過濾來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)，其體系結(jié)構(gòu)如圖5.2所示。圖5.2包過濾防火墻體系結(jié)構(gòu)包過濾路由器首先以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)建立一定數(shù)量的信息過濾表。數(shù)據(jù)包頭信息含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型(TCP，UDP，ICMP等)、協(xié)議源端口號(hào)、協(xié)議目的端口號(hào)、連接請(qǐng)求方向、ICMP報(bào)文類型等。當(dāng)一個(gè)數(shù)據(jù)包滿足過濾表中的規(guī)則時(shí)允許數(shù)據(jù)包通過，否則禁止通過。包過濾防火墻可以用于禁止外部不合法用戶對(duì)內(nèi)部的訪問，也可以用來禁止訪問某些服務(wù)類型，且對(duì)用戶透明。但包過濾技術(shù)不能識(shí)別危險(xiǎn)的信息包，無法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的處理，如無法區(qū)分同一個(gè)IP的不同用戶，也無法處理UDP、RPC或動(dòng)態(tài)的協(xié)議。

2.雙宿主主機(jī)體系結(jié)構(gòu)

雙宿主主機(jī)(Dual-HomedHost)位于內(nèi)部網(wǎng)和因特網(wǎng)之間，實(shí)際上是一臺(tái)擁有兩個(gè)IP地址的PC機(jī)或服務(wù)器，它同時(shí)屬于內(nèi)、外兩個(gè)網(wǎng)段所共有，起到了隔離內(nèi)、外網(wǎng)段的作用。一般來說，這臺(tái)機(jī)器上需要安裝兩塊網(wǎng)卡，分別對(duì)應(yīng)屬于內(nèi)外不同網(wǎng)段的兩個(gè)IP地址。雙宿主主機(jī)體系結(jié)構(gòu)如圖5.3所示。圖5.3雙宿主主機(jī)體系結(jié)構(gòu)防火墻內(nèi)部的系統(tǒng)能與雙宿主主機(jī)通信，防火墻外部的系統(tǒng)也能與雙宿主主機(jī)通信，但是內(nèi)部與外部系統(tǒng)之間不能直接相互通信。這種體系結(jié)構(gòu)非常簡(jiǎn)單，一般通過安裝能夠轉(zhuǎn)發(fā)服務(wù)請(qǐng)求的代理程序來實(shí)現(xiàn)，或者通過用戶直接登錄到該主機(jī)來提供服務(wù)，能提供級(jí)別很高的控制。安裝了代理程序的主機(jī)又被稱為堡壘主機(jī)(BastionHost)。雙宿主主機(jī)體系結(jié)構(gòu)也存在一些缺點(diǎn)，即用戶帳號(hào)本身會(huì)帶來很多的安全問題，而登錄過程也會(huì)讓用戶感到麻煩。

3.屏蔽主機(jī)體系結(jié)構(gòu)

屏蔽主機(jī)體系結(jié)構(gòu)由一臺(tái)包過濾路由器和一臺(tái)堡壘主機(jī)組成，其中堡壘主機(jī)被安排在內(nèi)部局域網(wǎng)中，同時(shí)在內(nèi)部網(wǎng)和外部網(wǎng)之間配備了屏蔽路由器。在這種體系結(jié)構(gòu)中，外部網(wǎng)絡(luò)必須通過堡壘主機(jī)才能訪問內(nèi)部網(wǎng)絡(luò)中的資源，而內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)則可以通過屏蔽路由器訪問外部網(wǎng)絡(luò)中的資源。屏蔽主機(jī)體系結(jié)構(gòu)如圖5.4所示。圖5.4屏蔽主機(jī)體系結(jié)構(gòu)在這種方式的防火墻中，堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。堡壘主機(jī)與其他主機(jī)在同一個(gè)子網(wǎng)中，一旦堡壘主機(jī)被攻破或被越過，整個(gè)內(nèi)部網(wǎng)絡(luò)和堡壘主機(jī)之間就再也沒有任何阻擋了，它完全暴露在Internet之上。因此堡壘主機(jī)必須是高度安全的計(jì)算機(jī)系統(tǒng)。

屏蔽主機(jī)防火墻實(shí)現(xiàn)了網(wǎng)絡(luò)層和應(yīng)用層的安全，因而比單純的包過濾或應(yīng)用網(wǎng)關(guān)代理更安全。在這一方式下，過濾路由器是否配置正確是這種防火墻安全與否的關(guān)鍵，如果路由器遭到破壞，堡壘主機(jī)就可能被越過，使內(nèi)部網(wǎng)完全暴露。在屏蔽路由器和防火墻上應(yīng)設(shè)置數(shù)據(jù)包過濾功能，過濾原則可為下列之一：

允許除堡壘主機(jī)外的其他主機(jī)與外部網(wǎng)絡(luò)連接，這些連接只是相對(duì)于某些服務(wù)的，并在路由器中設(shè)置了過濾。

不允許來自內(nèi)部主機(jī)的所有連接，即其他主機(jī)只能通過堡壘主機(jī)使用代理服務(wù)。

4.屏蔽子網(wǎng)體系結(jié)構(gòu)

與屏蔽主機(jī)體系結(jié)構(gòu)相比，屏蔽子網(wǎng)體系結(jié)構(gòu)添加了周邊網(wǎng)絡(luò)，在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間加上了額外的安全層。屏蔽子網(wǎng)體系結(jié)構(gòu)如圖5.5所示。圖5.5屏蔽子網(wǎng)體系結(jié)構(gòu)在這種體系結(jié)構(gòu)中，有內(nèi)外兩個(gè)路由器，每一個(gè)都連接著周邊網(wǎng)絡(luò)，稱為非軍事化區(qū)(DeMilitarizedZone，DMZ)，一般對(duì)外的公共服務(wù)器、堡壘主機(jī)放在該子網(wǎng)中，并使子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。在這一配置中，即使堡壘主機(jī)被入侵者控制，內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部包過濾路由器的保護(hù)，而且可以設(shè)置多個(gè)堡壘主機(jī)運(yùn)行各種代理服務(wù)。在屏蔽子網(wǎng)體系結(jié)構(gòu)中，堡壘主機(jī)和屏蔽路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。如果黑客想入侵由這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，則必須通過兩個(gè)路由器，這就增加了難度。建造防火墻時(shí)，一般很少采用單一的技術(shù)，通常是解決不同問題的多種技術(shù)的組合。其他結(jié)構(gòu)的防火墻系統(tǒng)都是上述幾種結(jié)構(gòu)的變形，目的都是通過設(shè)定過濾和代理的層次使得檢測(cè)層次增多，從而增加安全性。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)的風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi)、投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。5.2.2分布式防火墻系統(tǒng)

邊界防火墻部署在內(nèi)網(wǎng)與外網(wǎng)的邊界上，通過一個(gè)或一組設(shè)備即可保護(hù)網(wǎng)絡(luò)內(nèi)部安全。但隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，邊界防火墻已不能滿足越來越復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)的需求，出現(xiàn)了不能抵御來自內(nèi)部網(wǎng)絡(luò)的攻擊、在網(wǎng)絡(luò)邊界造成訪問瓶頸、效率不高、故障點(diǎn)多等不足。針對(duì)邊界防火墻存在的缺陷，專家提出了分布式防火墻方案，其最大的特點(diǎn)是將內(nèi)網(wǎng)中的各子網(wǎng)看成和外網(wǎng)一樣的不安全，從而保護(hù)各內(nèi)網(wǎng)安全，堵住內(nèi)網(wǎng)攻擊漏洞。分布式防火墻一般包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理三部分。網(wǎng)絡(luò)防火墻部署于內(nèi)部網(wǎng)與外部網(wǎng)之間以及內(nèi)網(wǎng)的子網(wǎng)之間，支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議，不僅保護(hù)內(nèi)網(wǎng)不受外網(wǎng)的安全威脅，而且也能保護(hù)內(nèi)網(wǎng)各子網(wǎng)之間的訪問安全。主機(jī)防火墻對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面系統(tǒng)進(jìn)行防護(hù)。中心管理是一個(gè)防火墻管理軟件，能夠?qū)W(wǎng)絡(luò)中的所有防火墻進(jìn)行統(tǒng)一管理，安全策略的分發(fā)及日志的匯總都是中心管理具備的功能。分布式防火墻采用了軟件形式(有的采用了軟件+硬件形式)，所以功能配置更加靈活，具備充分的智能管理能力，其優(yōu)點(diǎn)是：

增強(qiáng)了系統(tǒng)安全性：增加了針對(duì)主機(jī)的入侵的檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來自內(nèi)部攻擊的防范，可以實(shí)施全方位的安全策略。

提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。

系統(tǒng)的擴(kuò)展性：隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力。

實(shí)施主機(jī)策略：對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。

應(yīng)用更為廣泛，支持VPN通信。分布式防火墻系統(tǒng)的不足之處在于：

分布式防火墻系統(tǒng)的實(shí)現(xiàn)還存在著較大的問題，如果采用軟件防火墻則與其要保護(hù)的操作系統(tǒng)之間存在著“功能悖論”；而采用硬件防火墻的成本極其可觀，且必將對(duì)現(xiàn)有的生產(chǎn)技術(shù)和運(yùn)行標(biāo)準(zhǔn)產(chǎn)生極大的沖擊。

安全數(shù)據(jù)的處理是一個(gè)難題。系統(tǒng)將安全策略的執(zhí)行權(quán)交給了各個(gè)防火墻，而對(duì)各點(diǎn)的安全數(shù)據(jù)如何存儲(chǔ)以及何時(shí)、以何種方式進(jìn)行收集則很難進(jìn)行處理，從而很難及時(shí)掌握網(wǎng)絡(luò)整體的運(yùn)行情況。

網(wǎng)絡(luò)安全中心負(fù)責(zé)向所有的主機(jī)發(fā)送安全策略并處理它們返回的信息。這對(duì)于安全中心服務(wù)器來說是極為繁重的工作。尤其是主機(jī)很多、安全事件頻發(fā)的時(shí)候，會(huì)極大地影響網(wǎng)絡(luò)的運(yùn)行效率。

依據(jù)2001年美國(guó)國(guó)防部國(guó)防高級(jí)研究計(jì)劃局資助的網(wǎng)絡(luò)安全研究計(jì)劃報(bào)告，美國(guó)當(dāng)時(shí)的分布式防火墻系統(tǒng)通過新的網(wǎng)絡(luò)管理技術(shù)的應(yīng)用，最多可以支持近1500臺(tái)接入網(wǎng)絡(luò)的主機(jī)。而時(shí)隔多年后，雖然支持的主機(jī)數(shù)目多了一些，但并沒有質(zhì)的飛越。而且對(duì)于以上問題的解決還處在研究階段，沒有什么重大的突破?？梢哉f，分布式防火墻系統(tǒng)的思想是好的，但受制于現(xiàn)階段的計(jì)算機(jī)技術(shù)，還很難承擔(dān)與其過于理想化的設(shè)想相當(dāng)?shù)闹厝巍?.2.3混合型防火墻系統(tǒng)

混合型防火墻力圖結(jié)合傳統(tǒng)防火墻和分布式防火墻的特點(diǎn)，利用分布式防火墻的一些技術(shù)對(duì)傳統(tǒng)的防火墻技術(shù)加以改造，依賴于地址策略將安全策略分發(fā)給各個(gè)站點(diǎn)，由各個(gè)站點(diǎn)實(shí)施這些規(guī)則?；旌闲头阑饓Φ拇硎荂heckPoint公司的firewall-1防火墻。它通過裝載到網(wǎng)絡(luò)操作中心上的多域服務(wù)器來控制多個(gè)防火墻用戶模塊。多域服務(wù)器有多個(gè)用戶管理加載模塊，每個(gè)模塊都有一個(gè)虛擬IP地址，對(duì)應(yīng)著若干防火墻用戶模塊。安全策略通過多域服務(wù)器上的用戶管理加載模塊下發(fā)到各個(gè)防火墻用戶模塊。防火墻用戶模塊執(zhí)行安全規(guī)則，并將數(shù)據(jù)存放到對(duì)應(yīng)的用戶管理加載模塊的目錄下。多域服務(wù)器可以共享這些數(shù)據(jù)，使得防火墻多點(diǎn)接入成為可能。混合型防火墻系統(tǒng)融合了傳統(tǒng)和分布式防火墻系統(tǒng)的特點(diǎn)，將網(wǎng)絡(luò)流量分配給多個(gè)接入點(diǎn)，降低了單點(diǎn)工作強(qiáng)度，安全性、管理性更強(qiáng)，因此比傳統(tǒng)和分布式防火墻系統(tǒng)效能都高。但其網(wǎng)絡(luò)操作中心是一個(gè)明顯的系統(tǒng)瓶頸，一旦它發(fā)生了故障，整個(gè)防火墻也將停止運(yùn)作，因此同傳統(tǒng)防火墻系統(tǒng)一樣存在著單失效點(diǎn)的問題。

5.3防?火?墻?技?術(shù)

防火墻最基本的技術(shù)是包過濾技術(shù)和代理技術(shù)，后來在代理技術(shù)基礎(chǔ)上發(fā)展了自適應(yīng)代理技術(shù)，而在包過濾技術(shù)基礎(chǔ)上又發(fā)展了狀態(tài)檢測(cè)技術(shù)，即動(dòng)態(tài)包過濾技術(shù)。5.3.1包過濾技術(shù)

包過濾類型防火墻是應(yīng)用包過濾技術(shù)(PacketFilter)來抵御網(wǎng)絡(luò)攻擊的。包過濾又稱“報(bào)文過濾”，它是防火墻最傳統(tǒng)、最基本的過濾技術(shù)。防火墻的包過濾技術(shù)就是對(duì)通信過程中的數(shù)據(jù)進(jìn)行過濾(又稱篩選)，使符合事先規(guī)定的安全規(guī)則(或稱“安全策略”)的數(shù)據(jù)包通過，而使那些不符合安全規(guī)則的數(shù)據(jù)包丟棄，這個(gè)安全規(guī)則就是防火墻技術(shù)的根本。它是通過對(duì)各種網(wǎng)絡(luò)應(yīng)用、通信類型和端口的使用來規(guī)定的。

數(shù)據(jù)包過濾流程如圖5.6所示。圖5.6數(shù)據(jù)包過濾流程包過濾防火墻首先根據(jù)安全策略設(shè)計(jì)并存儲(chǔ)包過濾規(guī)則，然后讀取每一個(gè)到達(dá)防火墻的數(shù)據(jù)包包頭信息并按順序與規(guī)則表中的每一條規(guī)則進(jìn)行比較，直至發(fā)現(xiàn)包頭中的控制信息與某條規(guī)則相符合，然后按照規(guī)則對(duì)數(shù)據(jù)包進(jìn)行處理，允許或阻塞數(shù)據(jù)包通過。如果沒有任何一條規(guī)則符合，防火墻則使用默認(rèn)規(guī)則(一般默認(rèn)規(guī)則是禁止該數(shù)據(jù)包通過)。

【例5.1】假設(shè)網(wǎng)絡(luò)策略安全規(guī)則確定：外部主機(jī)發(fā)來的Web訪問在內(nèi)部主機(jī)中被接收；拒絕從IP地址為的外部主機(jī)發(fā)來的數(shù)據(jù)流；允許內(nèi)部主機(jī)訪問外部Web站點(diǎn)。請(qǐng)?jiān)O(shè)計(jì)一個(gè)包過濾規(guī)則表。

解：首先根據(jù)要求按次序?qū)踩?guī)則翻譯成過濾器規(guī)則，未具體指明的主機(jī)或服務(wù)端口均用*表示。注：最后一條規(guī)則為默認(rèn)規(guī)則，所有外部主機(jī)發(fā)往內(nèi)部主機(jī)的數(shù)據(jù)被禁止。初始設(shè)計(jì)的包過濾規(guī)則表如表5.1所示。表5.1初始設(shè)計(jì)的包過濾規(guī)則表接下來要驗(yàn)證上面的包過濾規(guī)則是否能滿足題目要求。假設(shè)現(xiàn)在有外部主機(jī)要訪問內(nèi)部主機(jī)的Web站點(diǎn)，按照包過濾流程，防火墻提取發(fā)往內(nèi)網(wǎng)的數(shù)據(jù)包包頭信息，然后與包過濾規(guī)則表的第一條包過濾規(guī)則進(jìn)行比較，發(fā)現(xiàn)外部主機(jī)的IP地址包含在規(guī)則中的所有外部主機(jī)范圍中，且符合訪問內(nèi)部主機(jī)Web服務(wù)，因此符合第一條包過濾規(guī)則，根據(jù)處理結(jié)果，數(shù)據(jù)包被放行。但是題目要求從的外部主機(jī)發(fā)來的數(shù)據(jù)應(yīng)該是全部被拒絕的，因此，按照這個(gè)包過濾規(guī)則處理會(huì)有不符合要求的數(shù)據(jù)包進(jìn)入，其根本原因是由包過濾規(guī)則的特性引起的。數(shù)據(jù)包過濾流程決定了只要有一條規(guī)則與數(shù)據(jù)包相符合即進(jìn)行處理，允許數(shù)據(jù)包通過或阻塞數(shù)據(jù)包，對(duì)后面的包過濾規(guī)則不再進(jìn)行判斷，即使有更嚴(yán)格的規(guī)則在后面的規(guī)則表中也沒有用處，所以數(shù)據(jù)包過濾規(guī)則的次序是非常重要的。一般將最嚴(yán)厲的規(guī)則放在規(guī)則表的最前面。

經(jīng)過調(diào)整以后，真正的規(guī)則表如表5.2所示。表5.2調(diào)整后的包過濾規(guī)則表規(guī)則表設(shè)計(jì)好以后，就可以在防火墻上進(jìn)行實(shí)施了。以天網(wǎng)防火墻個(gè)人版Athena2006為例，包過濾規(guī)則界面如圖5.7所示。

其中：

應(yīng)用程序規(guī)則：對(duì)經(jīng)過防火墻的應(yīng)用程序數(shù)據(jù)進(jìn)行檢查，根據(jù)規(guī)則決定是否允許數(shù)據(jù)通過。

?IP規(guī)則管理：通過修改、添加、刪除IP規(guī)則，對(duì)包過濾規(guī)則表進(jìn)行配置。

系統(tǒng)設(shè)置：包括對(duì)防火墻的基本設(shè)置、管理權(quán)限設(shè)置、日志管理設(shè)置等功能。當(dāng)前系統(tǒng)中所有應(yīng)用程序網(wǎng)絡(luò)使用狀況：包括每個(gè)程序的協(xié)議和端口狀態(tài)等信息。

日志：如果有規(guī)則設(shè)定的事件發(fā)生則在此界面顯示事件發(fā)生日志。

?增加IP規(guī)則：如果原默認(rèn)規(guī)則中沒有符合要求的，則可以在規(guī)則表中添加新的IP規(guī)則。

修改IP規(guī)則：對(duì)某一條已經(jīng)存在的IP規(guī)則進(jìn)行參數(shù)修改。

刪除IP規(guī)則：對(duì)不需要的IP規(guī)則可以選中后進(jìn)行刪除。

保存IP規(guī)則：修改或添加IP規(guī)則后要保存IP規(guī)則，否則新的IP規(guī)則表不起作用。規(guī)則向上移：調(diào)整規(guī)則次序，使選中的IP規(guī)則次序上移。

規(guī)則向下移：調(diào)整規(guī)則次序，使選中的IP規(guī)則次序下移。

導(dǎo)出規(guī)則：將選擇的一些規(guī)則導(dǎo)出到一個(gè)?.dat文件中。

導(dǎo)入規(guī)則：將一個(gè)?.dat文件中的規(guī)則導(dǎo)入到防火墻規(guī)則表中。

雙擊其中的任一條規(guī)則都可按照安全策略對(duì)數(shù)據(jù)包方向、對(duì)方IP地址、數(shù)據(jù)包協(xié)議類型、數(shù)據(jù)包處理結(jié)果以及是否將此事件記錄進(jìn)行設(shè)定。圖5.7包過濾規(guī)則表設(shè)置界面配置設(shè)計(jì)好的規(guī)則表中的第一條規(guī)則“拒絕從IP地址為的外部主機(jī)發(fā)來的數(shù)據(jù)流”，如圖5.8所示。

其中：

“數(shù)據(jù)包方向”：表示數(shù)據(jù)流經(jīng)防火墻的方向，有“接收”、“發(fā)送”、“接收或發(fā)送”三個(gè)選項(xiàng)。

“對(duì)方IP地址”：表示通信另一方的IP地址，有“任何地址”、“局域網(wǎng)的網(wǎng)絡(luò)地址”、“指定地址”、“指定網(wǎng)絡(luò)地址”四個(gè)選項(xiàng)。“數(shù)據(jù)包協(xié)議類型”：表示通過防火墻的數(shù)據(jù)包協(xié)議類型，有“IP”、“TCP”、“UDP”、“ICMP”、“IGMP”五種協(xié)議類型，具體每一個(gè)協(xié)議對(duì)應(yīng)不同的參數(shù)設(shè)置。如TCP協(xié)議包除了端口設(shè)置以外，還可設(shè)置TCP的標(biāo)記，如SYN(同步)、ACK(應(yīng)答)、FIN(結(jié)束)、RST(重設(shè))、URG(緊急)、PSH(送入)等，從而根據(jù)不同的TCP標(biāo)記來判定數(shù)據(jù)包的安全。

“當(dāng)滿足上面條件時(shí)”：表示防火墻對(duì)滿足規(guī)則的數(shù)據(jù)包的處理結(jié)果，有“攔截”、“通行”、“繼續(xù)下一規(guī)則”三個(gè)選項(xiàng)。

“同時(shí)還”：定義符合包過濾規(guī)則的數(shù)據(jù)包在處理后的結(jié)果，防火墻是記錄日志還是顯示警告信息或發(fā)聲提示用戶。

包過濾技術(shù)的優(yōu)缺點(diǎn)如表5.3所示。圖5.8IP規(guī)則設(shè)計(jì)界面表5.3包過濾優(yōu)缺點(diǎn)列表5.3.2代理技術(shù)

第1代：代理防火墻。

為了克服包過濾技術(shù)的缺點(diǎn)，防火墻需要一些服務(wù)的轉(zhuǎn)發(fā)功能，這樣的技術(shù)稱為代理技術(shù)(Proxy)。傳統(tǒng)代理防火墻網(wǎng)絡(luò)數(shù)據(jù)通信過程如圖5.9所示。圖5.9傳統(tǒng)代理型防火墻代理技術(shù)作用于網(wǎng)絡(luò)的應(yīng)用層，負(fù)責(zé)接收Internet服務(wù)請(qǐng)求再把它們轉(zhuǎn)發(fā)到具體的服務(wù)器。代理提供替代性連接，其行為就好像是一個(gè)網(wǎng)關(guān)，因此人們也把代理稱為應(yīng)用級(jí)網(wǎng)關(guān)(ApplicationGateway)。代理服務(wù)器位于內(nèi)部網(wǎng)絡(luò)上的用戶和Internet上的服務(wù)這二者之間，其技術(shù)原理如圖5.10所示。圖5.10代理服務(wù)原理客戶機(jī)與目標(biāo)網(wǎng)絡(luò)之間沒有直接相連，而是通過代理客戶程序與代理防火墻相連，所有的服務(wù)請(qǐng)求都發(fā)給代理服務(wù)器，代理服務(wù)器對(duì)客戶程序進(jìn)行分析，然后做出“同意”或“拒絕”的決定。如果請(qǐng)求被批準(zhǔn)，代理服務(wù)器代表客戶程序與真正的目標(biāo)服務(wù)器聯(lián)系，以后發(fā)生的一切從代理客戶程序到目標(biāo)服務(wù)器的請(qǐng)求和從目標(biāo)服務(wù)器對(duì)代理客戶程序的響應(yīng)，都要經(jīng)過代理服務(wù)器的中轉(zhuǎn)。代理防火墻最突出的優(yōu)點(diǎn)就是安全。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)如Http編寫的安全化的應(yīng)用程序進(jìn)行處理，然后由防火墻本身提交請(qǐng)求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。另外，代理服務(wù)器由于是軟件實(shí)現(xiàn)，因此配置容易，各種日志記錄齊備且能靈活控制進(jìn)出信息。

代理防火墻的最大缺點(diǎn)就是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)(比如要求達(dá)到75～100Mb/s時(shí))，代理防火墻就會(huì)成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。另外，代理客戶端及每項(xiàng)服務(wù)都需要配置，工作量較大，并且也不能改變底層協(xié)議的安全性。第2代：自適應(yīng)代理防火墻。

自適應(yīng)代理技術(shù)(AdaptiveProxy)結(jié)合了代理防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在毫不損失安全性的基礎(chǔ)之上將代理防火墻的性能提高十倍以上。組成這種類型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器(AdaptiveProxyServer)與動(dòng)態(tài)包過濾器(DynamicPacketfilter)，如圖5.11所示。圖5.11自適應(yīng)代理防火墻在自適應(yīng)代理與動(dòng)態(tài)包過濾器之間存在著一個(gè)控制通道。在對(duì)防火墻進(jìn)行配置時(shí)，用戶僅將所需要的服務(wù)類型、安全級(jí)別等信息通過相應(yīng)Proxy的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動(dòng)態(tài)地通知包過濾器增/減過濾規(guī)則，滿足用戶對(duì)速度和安全性的雙重要求。

代理技術(shù)克服了包過濾技術(shù)的缺點(diǎn)，可以對(duì)通信過程進(jìn)行深入的監(jiān)控，使被保護(hù)網(wǎng)絡(luò)的安全性大為提高。但因?yàn)槊恳粋€(gè)信息包從內(nèi)網(wǎng)到外網(wǎng)的傳遞都要經(jīng)過代理的轉(zhuǎn)發(fā)，這使得防火墻的速率大大降低。為了提高防火墻的性能，又發(fā)展了防火墻狀態(tài)檢測(cè)技術(shù)。5.3.3狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)技術(shù)是最近幾年發(fā)展起來的新技術(shù)，是包過濾技術(shù)的延伸，被稱為動(dòng)態(tài)包過濾。傳統(tǒng)的包過濾防火墻只是通過檢測(cè)IP包包頭的相關(guān)信息來決定數(shù)據(jù)通過還是拒絕，而狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表(StateTable)，通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。具有狀態(tài)檢測(cè)功能的防火墻使用狀態(tài)表追蹤活躍的TCP會(huì)話和UDP偽會(huì)話，只有與活躍會(huì)話相關(guān)聯(lián)的信息包才能穿過防火墻。例如：防火墻可能根據(jù)一個(gè)外發(fā)的UDP信息包創(chuàng)建一條臨時(shí)的規(guī)則，與之相應(yīng)的UDP應(yīng)答信息包才能回到防火墻里，這樣可以防止黑客將攻擊數(shù)據(jù)包偽裝成內(nèi)部數(shù)據(jù)包的應(yīng)答信息而進(jìn)入網(wǎng)絡(luò)。

狀態(tài)檢測(cè)防火墻克服了前兩種防火墻技術(shù)的限制，在不斷開客戶機(jī)/服務(wù)器連接的前提下，提供了一個(gè)完全的應(yīng)用層感知。與前兩種防火墻技術(shù)相比，狀態(tài)檢測(cè)技術(shù)的優(yōu)點(diǎn)非常多，它代表了防火墻技術(shù)發(fā)展的趨勢(shì)。

1.高安全性

狀態(tài)檢測(cè)工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間，并從中截取信息包。由于數(shù)據(jù)鏈路層是網(wǎng)卡工作的真正位置，網(wǎng)絡(luò)層也是協(xié)議棧的第一層，所以狀態(tài)檢測(cè)防火墻保證了對(duì)所有通過網(wǎng)絡(luò)的原始信息包的截取和檢查，安全范圍大為提高。

2.高效性

一方面，信息包在低層處理，并對(duì)非法包進(jìn)行攔截，因而不用任何上層協(xié)議再進(jìn)行處理，從而提高了執(zhí)行效率；另一方面，防火墻中以連接作為基本獨(dú)立單位進(jìn)行設(shè)置和處理，當(dāng)一個(gè)連接在防火墻中建立起來后就不用再對(duì)該連接作更多的處理，系統(tǒng)的執(zhí)行效率進(jìn)一步提高了。

3.可伸縮性和擴(kuò)展性

應(yīng)用網(wǎng)關(guān)采用的是一個(gè)應(yīng)用對(duì)應(yīng)一個(gè)服務(wù)程序的方式，這種方法提供的服務(wù)是有限的。狀態(tài)檢測(cè)防火墻不區(qū)分每一個(gè)具體的應(yīng)用，只從信息包提取安全策略所需的狀態(tài)信息，并根據(jù)過濾規(guī)則來處理信息包。當(dāng)增加一個(gè)新應(yīng)用時(shí)，只需在防火墻里增加一條新規(guī)則，而不需要像在代理技術(shù)中那樣還要編寫應(yīng)用轉(zhuǎn)換程序，因而具有很好的可伸縮性和擴(kuò)展性。

4.應(yīng)用范圍廣

狀態(tài)檢測(cè)技術(shù)不僅支持TCP應(yīng)用，而且支持其他基于無連接協(xié)議的應(yīng)用，如RPC、NS、WAIS以及ARCHIE等。包過濾技術(shù)對(duì)此類應(yīng)用或者不支持，或者開放一個(gè)大范圍的UDP端口，使得內(nèi)部網(wǎng)絡(luò)暴露在外，降低了網(wǎng)絡(luò)的安全性。

綜上所述，狀態(tài)檢測(cè)技術(shù)由于在速度和性能上取得了很好的平衡，因此逐漸成為計(jì)算機(jī)網(wǎng)絡(luò)邊界安全防護(hù)采用的主要技術(shù)。并且隨著狀態(tài)檢測(cè)技術(shù)的成熟，其適用的網(wǎng)絡(luò)類型也將越來越廣泛。對(duì)于狀態(tài)檢測(cè)技術(shù)的研究現(xiàn)在已成為計(jì)算機(jī)安全領(lǐng)域的一個(gè)重要課題。

5.4防火墻產(chǎn)品及選購

在市場(chǎng)上，防火墻的售價(jià)極為懸殊，從幾萬元到數(shù)十萬元，甚至到百萬元。因?yàn)楦髌髽I(yè)用戶使用的安全程度不盡相同，因此廠商所推出的產(chǎn)品也有所區(qū)分，甚至有些公司還推出類似模塊化的功能產(chǎn)品，以符合各種不同企業(yè)的安全要求。

當(dāng)一個(gè)企業(yè)或組織決定采用防火墻來實(shí)施保衛(wèi)自己內(nèi)部網(wǎng)絡(luò)的安全策略之后，下一步要做的就是選擇一個(gè)安全、實(shí)惠、合適的防火墻。5.4.1防火墻產(chǎn)品介紹

防火墻是一種綜合性的技術(shù)，涉及到計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議等多方面，國(guó)外主要產(chǎn)品有CheckPoint公司的Firewall-1；Cisco公司的PIX；Microsoft公司的ISA；SunMicrosystems公司的Sunscreen；Milkway公司的BlackHole；IBM公司的TivoliSecureWayFirewall等。國(guó)內(nèi)品牌有東方龍馬、清華紫光、聯(lián)想網(wǎng)御、華堂、華依、ADNS恒宇視野等。下面簡(jiǎn)單介紹幾種防火墻。

1.?Cisco的PIX防火墻

PIX防火墻是一款基于硬件的企業(yè)級(jí)防火墻，由美國(guó)Cisco公司推出，其內(nèi)核采用的是基于自適應(yīng)安全算法(AdaptiveSecurityAlgorithm)的保護(hù)機(jī)制，把內(nèi)部網(wǎng)絡(luò)與未經(jīng)認(rèn)證的用戶完全隔離。每當(dāng)一個(gè)內(nèi)部網(wǎng)絡(luò)的用戶訪問Internet時(shí)，PIX防火墻從用戶的IP數(shù)據(jù)包中卸下IP地址，用一個(gè)存儲(chǔ)在PIX防火墻內(nèi)已登記的有效IP地址代替它，把真正的IP地址隱藏起來。PIX防火墻還具有審計(jì)日志功能，并支持SNMP協(xié)議，用戶可以利用防火墻系統(tǒng)包含的具有實(shí)時(shí)報(bào)警功能的網(wǎng)絡(luò)瀏覽器產(chǎn)生報(bào)警報(bào)告。

PIX防火墻最大的特點(diǎn)是速度快，它的包轉(zhuǎn)換速度高達(dá)170Mb/s，同時(shí)可處理6萬多個(gè)連接。如果在Cisco路由器的IOS中集成防火墻技術(shù)，用戶則無須另外購置防火墻，可降低網(wǎng)絡(luò)建設(shè)的總成本。而且它還可以通過網(wǎng)絡(luò)遠(yuǎn)程下載，提供一種動(dòng)態(tài)的網(wǎng)絡(luò)安全保護(hù)。

2.?CheckPoint的Firewall-1

CheckPoint是美國(guó)的一家大型軟件公司，曾經(jīng)率先提出安全企業(yè)連接開放平臺(tái)(OPSEC)概念，為計(jì)算機(jī)提供了第一個(gè)企業(yè)級(jí)安全結(jié)構(gòu)。CheckPointFirewall-1是一個(gè)老牌的軟件防火墻產(chǎn)品。目前的最新產(chǎn)品CheckPointFirewall1v4.1，是一款優(yōu)秀的企業(yè)級(jí)防火墻。

CheckPointFirewall采用集中管理下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu)和狀態(tài)檢測(cè)技術(shù)，能夠?yàn)檫h(yuǎn)程訪問提供安全保障，為遠(yuǎn)程的使用者提供多種安全的認(rèn)證機(jī)制以存取企業(yè)資源。在通信被允許進(jìn)行之前，F(xiàn)irewall-1認(rèn)證服務(wù)可安全地確認(rèn)它們身份的有效性，而不需要修改本地客戶端的應(yīng)用軟件。認(rèn)證服務(wù)是完全地被集成到企業(yè)整體的安全策略內(nèi)，并能由Firewall-1的圖形界面為使用者提供集中管理。所有的認(rèn)證都能由防火墻日志瀏覽(LogViewer)來監(jiān)視和追蹤。新版本的Firewall-1主要增強(qiáng)的功能是在安全區(qū)域支持Entrust技術(shù)的數(shù)字證書(DigitalCertificate)解決方案，以公用密鑰為基礎(chǔ)，使用X.509的認(rèn)證機(jī)制IKE。Firewall-1支持LDAP目錄管理，可幫助使用者定義包羅廣泛的安全政策。

目前該產(chǎn)品支持的平臺(tái)有WindowsNT、Windows9X/2000、SunSolaris、IBMAIX、HP-UX等，并且能通過HPOpenView等大型網(wǎng)絡(luò)管理軟件集中管理。

3.?Microsoft的ISA

MicrosoftInternetSecurity&AccelerationServer(ISA)是微軟公司推出的應(yīng)用級(jí)軟件防火墻，可與Windows系統(tǒng)無縫銜接，具備良好的數(shù)據(jù)識(shí)別、IP包過濾、代理功能、NAT功能，并且能支持VPN、身份認(rèn)證、病毒掃描功能。

4.國(guó)產(chǎn)防火墻

國(guó)產(chǎn)防火墻品牌眾多，如清華紫光、東軟、東方龍馬、聯(lián)想網(wǎng)御、華堂、華依、ADNS恒宇視野等，多數(shù)品牌具有10M/100M防火墻和千兆防火墻以適應(yīng)中小企業(yè)和大型企業(yè)的網(wǎng)絡(luò)安全需求。一般都是通過對(duì)國(guó)外防火墻產(chǎn)品的綜合分析，針對(duì)我國(guó)的具體應(yīng)用環(huán)境，結(jié)合國(guó)內(nèi)外防火墻領(lǐng)域里的最新發(fā)展開發(fā)，并通過公安部檢測(cè)和認(rèn)證，具備包過濾、雙向地址轉(zhuǎn)換、實(shí)施入侵檢測(cè)等功能，能夠提供良好的網(wǎng)絡(luò)管理界面對(duì)內(nèi)網(wǎng)、外網(wǎng)和DMS區(qū)進(jìn)行管理，并可對(duì)防火墻用戶進(jìn)行認(rèn)證以保證防火墻本身的安全。國(guó)產(chǎn)防火墻的優(yōu)點(diǎn)是本土化，服務(wù)方便，能夠根據(jù)企業(yè)具體情況進(jìn)行定制開發(fā)，使產(chǎn)品更符合企業(yè)需求，性價(jià)比高，常用在政府、教育、制造業(yè)領(lǐng)域。5.4.2防火墻選購原則

防火墻是目前使用最為廣泛的網(wǎng)絡(luò)安全產(chǎn)品之一，選用一個(gè)安全、穩(wěn)定和可靠的防火墻產(chǎn)品非常重要。在選購防火墻時(shí)應(yīng)該注意的事項(xiàng)如表5.4所示。表5.4防火墻性能表在具體的操作中，可以將主要的產(chǎn)品參數(shù)列表比較，再根據(jù)主要參數(shù)性能比較和價(jià)格分析選出最合適的防火墻產(chǎn)品。主要防火墻參數(shù)如表5.5所示。表5.5防火墻參數(shù)表總之，用戶在選擇防火墻產(chǎn)品時(shí)應(yīng)依據(jù)企業(yè)的業(yè)務(wù)和數(shù)據(jù)安全需求來確定所選的防火墻必備功能并根據(jù)預(yù)算選擇一款適合自己的防火墻產(chǎn)品。防火墻選購參考如表5.6所示。表5.6防火墻選購參考

5.5防火墻技術(shù)實(shí)例

5.5.1包過濾防火墻實(shí)例

【實(shí)驗(yàn)背景】

包過濾是防火墻最基本的功能，通過對(duì)防火墻包過濾規(guī)則的配置可以防止外網(wǎng)主機(jī)對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行探測(cè)和入侵。本實(shí)驗(yàn)以天網(wǎng)防火墻個(gè)人版Athena2006為例，設(shè)計(jì)包過濾規(guī)則并檢驗(yàn)。由于本實(shí)驗(yàn)中實(shí)驗(yàn)結(jié)果的出現(xiàn)可能是由不同的包過濾規(guī)則組合形成的，因此不做統(tǒng)一的配置實(shí)驗(yàn)指導(dǎo)，僅給出日志記錄以供參考。指導(dǎo)教師需根據(jù)學(xué)生實(shí)際配置的規(guī)則組合進(jìn)行分析，判斷其合理性以及是否有安全隱患。天網(wǎng)防火墻個(gè)人版Athena2006試用版可以從/下載。

【實(shí)驗(yàn)?zāi)康摹?/p>

依據(jù)包過濾防火墻原理，學(xué)習(xí)設(shè)計(jì)包過濾規(guī)則并驗(yàn)證。

【實(shí)驗(yàn)條件】

(1)天網(wǎng)防火墻個(gè)人版Athena2006試用版。

(2)基于Windows的PC機(jī)2臺(tái)。

A主機(jī)：作為防火墻主機(jī)，安裝WindowsServer2003系統(tǒng)，IP地址設(shè)為/24。配置一個(gè)共享文件夾，一個(gè)Web服務(wù)器，一個(gè)FTP服務(wù)器。

B主機(jī)：作為外部訪問主機(jī)，安裝Windows2000/XP/2003系統(tǒng)，IP地址設(shè)為00/24。

【實(shí)驗(yàn)任務(wù)】

(1)在未安裝防火墻之前，測(cè)試防火墻主機(jī)提供的網(wǎng)絡(luò)、共享、Web及FTP各項(xiàng)服務(wù)是否正常。

(2)安裝天網(wǎng)防火墻，并根據(jù)安全策略設(shè)計(jì)包過濾規(guī)則。

(3)在天網(wǎng)防火墻上配置包過濾規(guī)則并進(jìn)行分析和驗(yàn)證。

【實(shí)驗(yàn)內(nèi)容】

從網(wǎng)上下載天網(wǎng)防火墻個(gè)人版Athena2006試用版并運(yùn)行，安裝成功后在操作系統(tǒng)右下角任務(wù)欄出現(xiàn)圖標(biāo)，雙擊打開防火墻管理界面，在系統(tǒng)設(shè)置界面中對(duì)主機(jī)局域網(wǎng)地址進(jìn)行刷新，確認(rèn)本主機(jī)的IP地址，如圖5.12所示。圖5.12防火墻基本設(shè)置在如圖5.7和圖5.8中設(shè)定IP規(guī)則各選項(xiàng)，完成以下功能。

1.?Ping測(cè)試

(1)按默認(rèn)安裝，A機(jī)器安裝了防火墻，B機(jī)器沒有安裝，這時(shí)APingB成功，但BPingA顯示為：“Timeout”，且A的日志中有四個(gè)數(shù)據(jù)包探測(cè)信息。(注：若規(guī)則修改后一定要保存，按“磁盤”按鈕。)

(2)修改相關(guān)IP規(guī)則并保存規(guī)則，使B機(jī)器PingA機(jī)器顯示允許記錄。

IP規(guī)則修改前后的參考日志如圖5.13所示。圖5.13防火墻Ping測(cè)試日志

2.資源共享

(1)設(shè)置IP規(guī)則禁止B機(jī)器共享A資源并記錄，設(shè)置后保存規(guī)則，在B機(jī)器上單擊“開始”→“運(yùn)行”，輸入“\\”嘗試連接機(jī)器A上設(shè)置的共享資源夾。在防火墻日志中可以看到“139”端口操作被拒絕。

(2)將相關(guān)IP規(guī)則設(shè)置的“攔截”改為“通行”，保存規(guī)則后再測(cè)試。此時(shí)日志中有“139”端口操作被允許。

IP規(guī)則修改前后的參考日志如圖5.14所示。

(3)其他IP規(guī)則設(shè)置。實(shí)現(xiàn)5.3.1節(jié)【例5.1】中的表5.2包過濾規(guī)則配置。

(4)系統(tǒng)設(shè)置。學(xué)會(huì)設(shè)置、更改。圖5.14防火墻共享測(cè)試日志5.5.2代理防火墻應(yīng)用實(shí)例

【實(shí)驗(yàn)背景】

代理技術(shù)是最常用的防火墻技術(shù)之一，通過對(duì)防火墻代理服務(wù)的配置可以使局域網(wǎng)內(nèi)部的主機(jī)通過一臺(tái)代理服務(wù)器訪問外網(wǎng)，也可以使外網(wǎng)對(duì)內(nèi)網(wǎng)的訪問受到防火墻的限制。安裝了代理軟件的主機(jī)即為應(yīng)用型防火墻主機(jī)。本實(shí)驗(yàn)僅以NetProxy4.0為例，通過對(duì)其代理服務(wù)功能的配置實(shí)現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)服務(wù)器。NetProx4.0試用版由GrokDevelopments提供，可以從http://www.grok.co.uk/下載。

【實(shí)驗(yàn)?zāi)康摹?/p>

依據(jù)代理技術(shù)原理，學(xué)習(xí)配置代理服務(wù)器并驗(yàn)證。

【實(shí)驗(yàn)條件】

(1)?NetProx4.0試用版。

(2)基于Windows的PC機(jī)2～3臺(tái)(如果有一臺(tái)機(jī)器可以連接到外網(wǎng)，則只需要另一臺(tái)機(jī)器做內(nèi)網(wǎng)主機(jī)即可；如果沒有連接外網(wǎng)的主機(jī)，則需要將一臺(tái)主機(jī)配置成外網(wǎng)主機(jī)，一臺(tái)做防火墻主機(jī)，一臺(tái)做內(nèi)網(wǎng)主機(jī))。

【實(shí)驗(yàn)任務(wù)】

(1)在未安裝防火墻之前，在防火墻主機(jī)上測(cè)試外網(wǎng)主機(jī)提供的Web及FTP各項(xiàng)服務(wù)是否正常。

(2)安裝NetProx4.0，并根據(jù)訪問需求配置代理服務(wù)。

(3)驗(yàn)證內(nèi)網(wǎng)主機(jī)通過代理服務(wù)器訪問外