防火墻技術(shù)介紹

1、防火墻技術(shù)介紹,嚴峻的網(wǎng)絡(luò)安全形勢，促進了防火墻技術(shù)的不斷發(fā)展。防火墻是一種綜合性的科學技術(shù)，涉及網(wǎng)絡(luò)通信、數(shù)據(jù)加密、安全決策、信息安全、硬件研制、軟件開發(fā)等綜合性課題。,防火墻的定義,防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實現(xiàn)網(wǎng)絡(luò)的安全保護，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻本身具有較強的抗攻擊能力，它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。圖8.1為防火墻示意圖。,防火墻的基本概念,,圖1　防火墻示

2、意圖,返回本節(jié),防火墻的發(fā)展簡史,第一代防火墻：采用了包過濾（Packet Filter）技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。,,圖 2　防火墻技術(shù)的簡單發(fā)展歷史,返回本節(jié),設(shè)置防火墻的目的和功能,（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）

3、防火墻可以強化網(wǎng)絡(luò)安全策略（3）對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計（4）防止內(nèi)部信息的外泄,返回本節(jié),防火墻的局限性,（1）防火墻防外不防內(nèi)。（2）防火墻難于管理和配置，易造成安全漏洞。（3）很難為用戶在防火墻內(nèi)外提供一致的安全策略。（4）防火墻只實現(xiàn)了粗粒度的訪問控制。,返回本節(jié),防火墻技術(shù)發(fā)展動態(tài)和趨勢,（1）優(yōu)良的性能（2）可擴展的結(jié)構(gòu)和功能（3）簡化的安裝與管理（4）主動過濾（5）防病毒與防黑客,返回本節(jié),防火墻的技

4、術(shù)種類,1．包過濾防火墻2．代理防火墻3．狀態(tài)監(jiān)視器防火墻4．復(fù)合式防火墻,防火墻技術(shù),包過濾防火墻,包過濾防火墻的工作原理 采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中的適當位置對數(shù)據(jù)包進行過濾，根據(jù)檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。,包過濾防火墻,（1）數(shù)據(jù)包過濾

5、技術(shù)的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。 （2）包過濾的優(yōu)點：不用改動應(yīng)用程序、一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。,（3）包過濾的缺點：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾（如UDP協(xié)議）；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；安全性較差 ；數(shù)據(jù)包工具存在很多局限性。,,圖3　包過濾處理,,圖4　靜態(tài)包過濾防火墻,圖5　動態(tài)包過濾防火墻,,（1）代理防火墻的原理：　　

6、代理防火墻運行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器一樣，而對于外界的服務(wù)器來說，它又是一臺客戶機。當代理服務(wù)器接收到用戶的請求后，會檢查用戶請求的站點是否符合公司的要求，如果公司允許用戶訪問該站點的話，代理服務(wù)器會像一個客戶一樣，去那個站點取回所需信息再轉(zhuǎn)發(fā)給客戶。,代理防火墻,代理技術(shù)的優(yōu)點1）代理易于配置。 2）代理能生成各項記錄。 3）代理能靈活、完全地控制進出流量、內(nèi)容。 4）代理能過濾數(shù)據(jù)內(nèi)容。 5）代理能

7、為用戶提供透明的加密機制。6）代理可以方便地與其他安全手段集成。,代理技術(shù)的缺點1）代理速度較路由器慢。2）代理對用戶不透明。 3）對于每項服務(wù)代理可能要求不同的服務(wù)器。 4）代理服務(wù)不能保證免受所有協(xié)議弱點的限制。 5）代理不能改進底層協(xié)議的安全性。,,代理的工作方式,,兩種防火墻技術(shù),返回本節(jié),狀態(tài)監(jiān)視器防火墻,（1） 狀態(tài)監(jiān)視器防火墻的工作原理 這種防火墻安全特性非常好，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全

8、策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。,,（2） 狀態(tài)監(jiān)視器防火墻的優(yōu)缺點狀態(tài)監(jiān)視器的優(yōu)點：檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充。它會監(jiān)測RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關(guān)都不支持此類端口。性能堅固狀態(tài)監(jiān)視器的缺點：配置非常復(fù)雜。會

9、降低網(wǎng)絡(luò)的速度。,4．復(fù)合式防火墻,常見是代理服務(wù)器和狀態(tài)分析技術(shù)的組合具有對一切連接嘗試進行過濾的功能；提取和管理多種狀態(tài)信息的功能；智能化做出安全控制和流量控制的決策；提供高性能的服務(wù)和靈活的適應(yīng)性；具有網(wǎng)絡(luò)內(nèi)外完全透明的特性。,防火墻的優(yōu)缺點,優(yōu)點：1、保護網(wǎng)絡(luò)中脆弱的服務(wù)2、實現(xiàn)網(wǎng)絡(luò)安全性監(jiān)視和實時報警3、增強保密性和強化私有權(quán)4、實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換5、實現(xiàn)安全性失效和自動故障恢復(fù)缺點：1、不能防范惡毒的知

10、情者（內(nèi)網(wǎng)用戶和內(nèi)外串通）2、不能防范不經(jīng)過它的連接3、不能防備全部的威脅，特別是新產(chǎn)生的威脅4、不能有效地防范病毒的攻擊,現(xiàn)代防火墻的安全技術(shù)及實現(xiàn)方式,第四代防火墻技術(shù)第四代防火墻，具有安全操作系統(tǒng)的防火墻產(chǎn)品。1．雙端口或三端口的結(jié)構(gòu)　　新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務(wù)器的安全保護。,,2．透明的訪問方式　　以前的防火墻在訪問方

11、式上要么要求用戶作系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。 3．靈活的代理系統(tǒng)　　代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。第四代防火墻采用了兩種代理機制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)來解決，后者采用非保密的用戶定制代理或保密的代理

12、系統(tǒng)技術(shù)來解決。,,4．多級的過濾技術(shù)　　為保證系統(tǒng)的安全性和防護水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務(wù)的通行實行嚴格控制。5．網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）　　第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部

13、地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。,,6． Internet網(wǎng)關(guān)技術(shù)　　由于是直接串連在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互連的所有服務(wù)，同時還要防止與Internet服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的應(yīng)用服務(wù)器（包括FTP、Finger、mail、Ident、News、WWW等）來實現(xiàn)

14、網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用（chroot）”作物理上的隔離。7、安全服務(wù)器網(wǎng)絡(luò)（SSN）　　利用保護策略對服務(wù)器實施保護，利用網(wǎng)卡將對外服務(wù)器作獨立網(wǎng)絡(luò)處理，與內(nèi)部網(wǎng)關(guān)安全隔離。,8．用戶鑒別與加密　　為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠程管理上的安全風險，鑒別功能必不可少，第四代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。 9．用戶定

15、制服務(wù)　　為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時，還為用戶定制提供支持，這類選項有：通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可利用這些支持，方便設(shè)置。,,10．審計和告警　　第四代防火墻產(chǎn)品的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP

16、代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。告警功能會守住每一個TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。,防火墻的基本組成結(jié)構(gòu),1．屏蔽路由器 2．雙宿堡壘主機 3．屏蔽主機防火墻 4．屏蔽子網(wǎng)防火墻,1．屏蔽路由器,又稱包過濾路由器，在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能，是一個檢查通過它的數(shù)據(jù)包的路由器。,屏蔽路由器示意圖,2．雙宿堡壘主機,又稱應(yīng)用型防火墻，在運行防火墻軟件的堡壘主機上運行代理服務(wù)器。,

17、雙宿堡壘主機示意圖,3．屏蔽主機防火墻,屏蔽主機防火墻由包過濾路由器和堡壘主機（Bastion Host）組成，它所提供的安全性能要比包過濾防火墻系統(tǒng)要強，因為它實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）的結(jié)合。當入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先突破這兩種不同的安全系統(tǒng)。,屏蔽主機網(wǎng)關(guān)示意圖,原理和實現(xiàn)過程 ：　　堡壘主機位于內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。在路由器上設(shè)置相應(yīng)的規(guī)則，使得外部

18、系統(tǒng)只能訪問堡壘主機。由于內(nèi)部主機與堡壘主機處于同一個網(wǎng)絡(luò)，內(nèi)部系統(tǒng)是否允許直接訪問外部網(wǎng)絡(luò)，或者是要求使用堡壘主機上的代理服務(wù)來訪問外部網(wǎng)絡(luò)完全由企業(yè)的安全策略來決定。對路由器的過濾規(guī)則進行配置，使得其只接收來自堡壘主機的內(nèi)部數(shù)據(jù)包，就可以強制內(nèi)部用戶使用代理服務(wù)，從而加強內(nèi)部用戶對外部Internet訪問的管理。,4．屏蔽子網(wǎng)防火墻,屏蔽子網(wǎng)防火墻利用兩臺屏蔽路由器把子網(wǎng)與內(nèi)外部網(wǎng)絡(luò)隔離開，堡壘主機、信息服務(wù)器、Modem組，以及其

19、他公用服務(wù)器放在該子網(wǎng)中，這個子網(wǎng)稱為“?；饏^(qū)”或“非軍事區(qū)”（DeMilitarised Zone，DMZ）,屏蔽子網(wǎng)防火墻示意圖,防火墻的物理位置,1、服務(wù)器置于防火墻之內(nèi)2、服務(wù)器置于防火墻之外3、服務(wù)器置于防火墻之上,1、 服務(wù)器置于防火墻之內(nèi),如圖所示，將Web服務(wù)器裝在防火墻內(nèi)的好處是它得到了安全保護，不容易被黑客闖入。,如圖所示，為保證內(nèi)部網(wǎng)絡(luò)的安全，將Web服務(wù)器完全置于防火墻之外是比較合適的。在這種模式中，Web服