信息安全基礎(chǔ)InformationSecurityFundamentals6.1防火墻網(wǎng)絡(luò)安全產(chǎn)品本節(jié)內(nèi)容防火墻的基本概念防火墻的分類下一代防火墻簡介防火墻的基本結(jié)構(gòu)1.防火墻的基本概念防火墻的由來1.防火墻的基本概念防火墻的定義在網(wǎng)絡(luò)系統(tǒng)中，防火墻是一種獲取安全性方法的形象說法，指的是一個由軟件和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)之間構(gòu)造的保護屏障，從而保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。1.防火墻的基本概念防火墻的特性內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應(yīng)具有非常強的抗攻擊免疫力1.防火墻的基本概念防火墻的特性內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻這是防火墻所處的網(wǎng)絡(luò)位置的特性，也是一個前提。因為只有當(dāng)防火墻的內(nèi)、外網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護企業(yè)內(nèi)部網(wǎng)絡(luò)不受侵害。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。1.防火墻的基本概念防火墻的特性只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻的最基本功能是根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)流量快速地從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上。1.防火墻的基本概念防火墻的特性防火墻自身應(yīng)具有非常強的抗攻擊免疫力這是擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵的本領(lǐng)。1.防火墻的基本概念防火墻的功能一個典型的企業(yè)網(wǎng)絡(luò)由三部分組成：外部網(wǎng)絡(luò)DMZ網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部包括互聯(lián)網(wǎng)的主機和網(wǎng)絡(luò)設(shè)備，此區(qū)域為防火墻的不可信公共網(wǎng)絡(luò)。DMZ(DemilitarizedZone，隔離區(qū)，或譯作非軍事區(qū))，是從內(nèi)部網(wǎng)絡(luò)中劃分的一個小區(qū)域，專門用于放置既需被內(nèi)部訪問又需提供公眾服務(wù)的服務(wù)器。如企業(yè)的WEB服務(wù)器、E-mail服務(wù)器、FTP服務(wù)器、DNS服務(wù)器等。此區(qū)域由于要提供對外服務(wù)，因而被保護級別設(shè)置較低。內(nèi)部網(wǎng)絡(luò)是防火墻要保護的對象，包括內(nèi)部網(wǎng)絡(luò)中所有核心設(shè)備，如服務(wù)器、路由器、核心交換機及用戶個人電腦。內(nèi)部網(wǎng)絡(luò)有可能包括不同的安全區(qū)域，具有不同等級的安全訪問權(quán)限。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級別或策略是不同的。1.防火墻的基本概念防火墻的功能——邊界防火墻處于外部不可信網(wǎng)絡(luò)(包括因特網(wǎng)、廣域網(wǎng)和其他公司的專用網(wǎng))與內(nèi)部可信網(wǎng)絡(luò)之間，控制來自外部不可信網(wǎng)絡(luò)對內(nèi)部可信網(wǎng)絡(luò)的訪問，防范來自外部網(wǎng)絡(luò)的非法攻擊。同時，保證了DMZ區(qū)服務(wù)器的相對安全性和使用便利性。1.防火墻的基本概念防火墻的功能——邊界防火墻目前防火墻主要是邊界防火墻。邊界防火墻的主要功能有以下幾方面：創(chuàng)建一個阻塞點隔離不同網(wǎng)絡(luò)，防止內(nèi)部信息的外泄強化安全策略有效地審計和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動1.防火墻的基本概念防火墻的功能——邊界防火墻創(chuàng)建一個阻塞點防火墻在一個公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立一個檢查點。這種實現(xiàn)要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾和檢查所有進出的流量。這樣一個檢查點，在網(wǎng)絡(luò)安全行業(yè)中稱之為“阻塞點”。通過強制所有進出流量都通過這些檢查點，網(wǎng)絡(luò)管理員可以集中在較少的地方來實現(xiàn)安全目的。如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。1.防火墻的基本概念防火墻的功能——邊界防火墻隔離不同網(wǎng)絡(luò)，防止內(nèi)部信息的外泄這是防火墻最基本的功能，它通過隔離內(nèi)、外部網(wǎng)絡(luò)來確保內(nèi)部網(wǎng)絡(luò)的安全。也限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。企業(yè)秘密是大家普遍非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所截獲，攻擊者通過所獲取的信息可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)等信息。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。1.防火墻的基本概念防火墻的功能——邊界防火墻強化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。各種安全措施的有機結(jié)合，更能有效地對網(wǎng)絡(luò)安全性能起到加強作用。1.防火墻的基本概念防火墻的功能——邊界防火墻有效地審計和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動防火墻可以對內(nèi)、外部網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并進行日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。這為網(wǎng)絡(luò)管理人員提供非常重要的安全管理信息，可以使管理員清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。1.防火墻的基本概念防火墻的功能——內(nèi)部防火墻處于內(nèi)部不同可信等級安全域之間，起到隔離內(nèi)部網(wǎng)絡(luò)關(guān)鍵部門、子網(wǎng)或用戶的目的。內(nèi)部防火墻的主要功能有以下幾方面：可以精確制訂每個用戶的訪問權(quán)限，保證內(nèi)部網(wǎng)絡(luò)用戶只能訪問必要的資源。內(nèi)部防火墻可以記錄網(wǎng)段間的訪問信息，及時發(fā)現(xiàn)誤操作和來自內(nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為。通過集中的安全策略管理，使每個網(wǎng)段上的主機不必再單獨設(shè)立安全策略，降低了人為因素導(dǎo)致產(chǎn)生網(wǎng)絡(luò)安全問題的可能性。2.防火墻的基本結(jié)構(gòu)一般防火墻有如下四種結(jié)構(gòu)：屏蔽路由器防火墻雙宿主堡壘主機防火墻屏蔽主機防火墻屏蔽子網(wǎng)防火墻2.防火墻的基本結(jié)構(gòu)屏蔽路由器防火墻此結(jié)構(gòu)是最初的防火墻結(jié)構(gòu)方案，并不是采用專用的防火墻設(shè)備部署的，而是在原有的包過濾路由器上進行包過濾部署，又稱為包過濾路由器防火墻。在屏蔽路由防火墻結(jié)構(gòu)中，內(nèi)部網(wǎng)絡(luò)的所有出入都必須通過過濾路由器，路由器審核每個數(shù)據(jù)包，依據(jù)過濾規(guī)則決定允許或拒絕數(shù)據(jù)包。2.防火墻的基本結(jié)構(gòu)雙宿主堡壘主機防火墻此結(jié)構(gòu)用一臺特殊主機來實現(xiàn)，這臺主機也被稱為堡壘主機。這臺主機擁有兩個不同的網(wǎng)絡(luò)接口，一端接外部網(wǎng)絡(luò)，另一端連接需要保護的內(nèi)部網(wǎng)絡(luò)，故稱為雙宿主機。此主機上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序、提供服務(wù)等雙宿主堡壘主機結(jié)構(gòu)優(yōu)于屏蔽路由結(jié)構(gòu)，理由是雙宿主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件復(fù)制日志和遠程日志，這對日后的檢查很有用。但這不能幫助管理員確認哪些主機可能已被黑客入侵。2.防火墻的基本結(jié)構(gòu)雙宿主堡壘主機防火墻雙宿主堡壘主機是隔開內(nèi)部和外部網(wǎng)絡(luò)的唯一屏障，如果入侵者得到了雙宿主機的訪問權(quán)，就能迅速控制內(nèi)部網(wǎng)絡(luò)，因此雙宿主機上只能安裝小的服務(wù)，并設(shè)置較低的權(quán)限，以免被攻擊者控制后對內(nèi)部網(wǎng)絡(luò)造成大的危害。此外，雙宿主機的角色決定了其性能非常重要，否則將影響外部用戶對內(nèi)部網(wǎng)絡(luò)的訪問。2.防火墻的基本結(jié)構(gòu)屏蔽主機防火墻屏蔽主機防火墻使用一個屏蔽路由器，屏蔽路由器至少有一條路徑，分別連接到非信任的網(wǎng)絡(luò)和堡壘主機上。屏蔽路由器為堡壘主機提供基本的過濾服務(wù)，所有的IP數(shù)據(jù)包只有經(jīng)過路由器過濾后才能到達堡壘主機。堡壘主機同樣可以連接多個內(nèi)部網(wǎng)絡(luò)，只需按需安裝多個網(wǎng)卡。2.防火墻的基本結(jié)構(gòu)屏蔽主機防火墻當(dāng)外部網(wǎng)絡(luò)的數(shù)據(jù)包經(jīng)過路由器過濾后，還必須到堡壘主機上進行進一步檢查，堡壘主機不僅可以使用網(wǎng)絡(luò)層策略，還可以使用應(yīng)用層的功能對發(fā)來的數(shù)據(jù)包進行檢查，允許或者拒絕數(shù)據(jù)包進行內(nèi)部網(wǎng)絡(luò)。屏蔽主機防火墻結(jié)構(gòu)的安全等級比包過濾防火墻更高，因為它實現(xiàn)了網(wǎng)絡(luò)層安全和應(yīng)用層安全，入侵者在進入內(nèi)部網(wǎng)絡(luò)之前必須參透兩種不同的安全系統(tǒng)。外部網(wǎng)絡(luò)只能訪問堡壘主機，去往內(nèi)部網(wǎng)絡(luò)的所有信息被阻斷。2.防火墻的基本結(jié)構(gòu)屏蔽主機防火墻屏蔽主機防火墻存在如下三方面的問題:屏蔽路由器成為安全關(guān)鍵點，也可能成為可信網(wǎng)絡(luò)流量的瓶頸。屏蔽路由器是否正確配置是防火墻安全與否的關(guān)鍵。屏蔽路由器的路由表必須正確防護，避免入侵者的修改。禁止ICMP重新定向。以避免入侵者利用路由器對錯誤ICMP重定向消息的應(yīng)答而攻擊網(wǎng)絡(luò)。在屏蔽主機防火墻結(jié)構(gòu)中，堡壘主機有被繞過的可能，一旦堡壘主機被攻破，內(nèi)部網(wǎng)絡(luò)完全暴露。2.防火墻的基本結(jié)構(gòu)屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻使用一個或多個屏蔽路由器和堡壘主機，同時在內(nèi)外網(wǎng)之間建立一個被隔離的子網(wǎng)，即DMZ非軍事區(qū)。這是當(dāng)前應(yīng)用最廣泛的防火墻結(jié)構(gòu)。2.防火墻的基本結(jié)構(gòu)屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻結(jié)構(gòu)中存在三道防線，外部屏蔽路由器用于管理所有外部網(wǎng)絡(luò)對DMZ的訪問，它只允許外部訪問堡壘主機或DMZ中對外開放的服務(wù)器，并防范來外部的網(wǎng)絡(luò)攻擊。內(nèi)部屏蔽路由器位于DMZ與內(nèi)部網(wǎng)絡(luò)之間，提供第三層防御，它只接收來自堡壘主機的數(shù)據(jù)包，管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問，只允許內(nèi)部網(wǎng)絡(luò)訪問DMZ網(wǎng)絡(luò)中的堡壘主機或服務(wù)器。這種防火墻系統(tǒng)的安全性很好，不管是外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的流量，還是內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的流量，都必須經(jīng)過DMZ區(qū)子網(wǎng)并接受檢查。3.防火墻的分類軟件防火墻硬件防火墻按形態(tài)分類按保護對象分類保護整個網(wǎng)絡(luò)保護單臺主機網(wǎng)絡(luò)防火墻單機防火墻3.防火墻的分類操作系統(tǒng)平臺安全性性能穩(wěn)定性網(wǎng)絡(luò)適應(yīng)性分發(fā)升級成本硬件防火墻基于精簡專用OS高高較高強不易較容易Price=firewall+Server軟件防火墻基于龐大通用OS較高較高高較強非常容易容易Price=Firewall僅獲得Firewall軟件，需要準備額外的OS平臺安全性依賴低層的OS網(wǎng)絡(luò)適應(yīng)性弱（主要以路由模式工作）穩(wěn)定性高軟件分發(fā)、升級比較方便硬件+軟件，不用準備額外的OS平臺安全性完全取決于專用的OS網(wǎng)絡(luò)適應(yīng)性強（支持多種接入模式）穩(wěn)定性較高升級、更新不太靈活3.防火墻的分類保護單臺主機安全策略分散安全功能簡單普通用戶維護安全隱患較大策略設(shè)置靈活保護整個網(wǎng)絡(luò)安全策略集中安全功能復(fù)雜多樣專業(yè)管理員維護安全隱患小策略設(shè)置復(fù)雜單機防火墻網(wǎng)絡(luò)防火墻產(chǎn)品形態(tài)軟件硬件或者軟件安裝點單臺獨立的Host網(wǎng)絡(luò)邊界處安全策略分散在各個安全點對整個網(wǎng)絡(luò)有效保護范圍單臺主機一個網(wǎng)段管理方式分散管理集中管理功能功能單一功能復(fù)雜、多樣管理人員普通計算機用戶專業(yè)網(wǎng)管人員安全措施單點安全措施全局安全措施結(jié)論單機防火墻是網(wǎng)絡(luò)防火墻的有益補充，但不能代替網(wǎng)絡(luò)防火墻為內(nèi)部網(wǎng)絡(luò)提供強大的保護功能3.防火墻的分類保護單臺主機安全策略分散安全功能簡單普通用戶維護安全隱患較大策略設(shè)置靈活保護整個網(wǎng)絡(luò)安全策略集中安全功能復(fù)雜多樣專業(yè)管理員維護安全隱患小策略設(shè)置復(fù)雜單機防火墻網(wǎng)絡(luò)防火墻產(chǎn)品形態(tài)軟件硬件或者軟件安裝點單臺獨立的Host網(wǎng)絡(luò)邊界處安全策略分散在各個安全點對整個網(wǎng)絡(luò)有效保護范圍單臺主機一個網(wǎng)段管理方式分散管理集中管理功能功能單一功能復(fù)雜、多樣管理人員普通計算機用戶專業(yè)網(wǎng)管人員安全措施單點安全措施全局安全措施結(jié)論單機防火墻是網(wǎng)絡(luò)防火墻的有益補充，但不能代替網(wǎng)絡(luò)防火墻為內(nèi)部網(wǎng)絡(luò)提供強大的保護功能3.防火墻的分類所使用的技術(shù)包過濾型應(yīng)用代理型第一代靜態(tài)包過濾型第二代動態(tài)包過濾型第一代應(yīng)用網(wǎng)關(guān)(ApplicationGateway)型第二代自適應(yīng)代理(Adaptiveproxy)型3.防火墻的分類工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。包過濾型防火墻包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因為它在很大程度上滿足了絕大多數(shù)企業(yè)安全要求。3.防火墻的分類應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全"阻隔"了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。應(yīng)用代理型防火墻3.防火墻的分類應(yīng)用部署位置邊界防火墻：位于內(nèi)、外部網(wǎng)絡(luò)的邊界，對內(nèi)、外部網(wǎng)絡(luò)實施隔離，保護邊界內(nèi)部網(wǎng)絡(luò)。一般都是硬件類型的，價格較貴，性能較好?；旌戏阑饓Γ阂卜Q為“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機之間，既對內(nèi)、外部網(wǎng)絡(luò)之間通信進行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機間的通信進行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價格也最貴。個人防火墻：安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應(yīng)用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。4.下一代防火墻為什么需要下一代防火墻1.網(wǎng)絡(luò)發(fā)展的趨勢讓傳統(tǒng)防火墻方案失效近幾年來，越來越多的安全事故告訴我們，安全風(fēng)險比以往更加難以察覺。隨著網(wǎng)絡(luò)安全形勢逐漸惡化，網(wǎng)絡(luò)攻擊愈加頻繁，傳統(tǒng)防火墻安全方案已不在適應(yīng)互聯(lián)網(wǎng)的發(fā)展，主要體現(xiàn)在以下幾方面：網(wǎng)絡(luò)中大量的新應(yīng)用建立在HTTP/HTTPS標準協(xié)議之上許多威脅依附在應(yīng)用之中傳播肆虐Gartner報告：75%的攻擊來自應(yīng)用層攻擊的多樣化、黑客平民化4.下一代防火墻為什么需要下一代防火墻1.網(wǎng)絡(luò)發(fā)展的趨勢讓傳統(tǒng)防火墻方案失效傳統(tǒng)的防火墻存在以下的缺陷：基于包頭信息做檢測無法分辨應(yīng)用及其內(nèi)容也不能區(qū)分用戶更無法分析記錄用戶的行為因此，適應(yīng)互聯(lián)網(wǎng)發(fā)展的下一代防火墻勢在必行。4.下一代防火墻為什么需要下一代防火墻2.“補丁式”設(shè)備堆疊的防火墻替代方案由于防火墻功能上的缺失使得企業(yè)在網(wǎng)絡(luò)安全建設(shè)的時候針對現(xiàn)有多樣化的攻擊類型采取了打補丁式的設(shè)備疊加方案，形成了“串糖葫蘆”式部署。通常我們看到的網(wǎng)絡(luò)安全規(guī)劃方案的時候都會以防火墻+入侵防御系統(tǒng)+網(wǎng)關(guān)殺毒+……的形式。這種方式在一定程度上能彌補防火墻功能單一的缺陷，對網(wǎng)絡(luò)中存在的各類攻擊形成了似乎全面的防護。但在這種環(huán)境中，管理人員通常會遇到如下的困難：多種設(shè)備堆砌，投資高，功能上有重合設(shè)備多，線路多，維護成本高效率低，數(shù)據(jù)包文要反復(fù)封裝-發(fā)送，效率低，就像機場安檢總排長隊一樣維護復(fù)雜，獨立管理，安全風(fēng)險無法分析4.下一代防火墻為什么需要下一代防火墻3.UTM統(tǒng)一威脅管理2004年IDC推出統(tǒng)一威脅管理UTM的概念。這種設(shè)備的理念是將多個功能模塊集中。如：FW、IPS、AV，聯(lián)合起來達到統(tǒng)一防護，集中管理的目的。這無疑給安全建設(shè)者們提供了更新的思路。事實證明國內(nèi)市場UTM產(chǎn)品確實得到用戶認可，據(jù)IDC統(tǒng)計數(shù)據(jù)2009年UTM市場增長迅速，但2010年UTM