计算机安全技术第9章

第九章防火墙技术9.1防火墙技术概述随着Internet的迅速发展，越来越多的公司或个人加入到其中，使Internet本身成为了世界上空前庞大以至于无法确切统计的网络系统。当一个机构将其内部网络与Internet连接之后，所关心的一个重要问题就是安全。人们需要一种安全策略，既可以防止非法用户访问内部网络上的资源，又可以阻止用户非法向外传递内部信息。在这种情况下，防火墙技术便应运而生了。防火墙（Firewall）是一种能将内部网和公众网分开的方法。它能限制被保护的网络与互联网络及其他网络之间进行的信息存取、传递等操作。在构建安全的网络环境过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。9.1防火墙技术概述9.1.1防火墙的定义用于保护计算机网络中敏感数据不被窃取和篡改的计算机软硬件系统叫做“防火墙”。简单的说,防火墙实际上是一种访问控制技术，它在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络之间设置障碍，阻止对信息资源的非法访问,也可以阻止保密信息从受保护网络上被非法输出。下图为防火墙示意图：9.1防火墙技术概述9.1.2防火墙的作用应用防火墙的主要目的是要强制执行一定的安全策略，能够过滤掉不安全服务和非法用户、控制对特殊站点的访问，并提供监视系统安全和预警的方便端点。具体来说，防火墙的作用主要体现在以下几个方面：（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）防火墙可以对网络的存取和访问进行监控、审计（4）防火墙可以防止内部信息的外泄（5）防火墙可以限制网络暴露除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。通过VPN，可以将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。9.1防火墙技术概述9.1.3防火墙的局限性尽管防火墙有许多防范功能，但由于互连网的开放性，它也有一些力不能及的地方，具体表现在以下几个方面：（1）防火墙不能防范不经过防火墙的攻击。（2）防火墙不能防止感染了病毒的软件或文件的传输。（3）防火墙不能防止数据驱动式攻击。（4）防火墙不能防止来自内部变节者和用户带来的威胁。总的来说，防火墙只是整体安全防范政策的一部分。整个网络易受攻击的各个点必须以相同程度的安全防护措施加以保护。在没有全面的安全政策情况下设置防火墙，就如同在一顶帐篷上安装一个防盗门。9.1防火墙技术概述9.1.4防火墙技术的现状及发展趋势纵观防火墙技术的发展，可将其分为以下四个阶段：第一代防火墙，又称包过滤防火墙。第二代防火墙，也称代理防火墙。第三代防火墙，称为状态监控功能防火墙。第四代防火墙已超出了原来传统意义上防火墙的范畴，演变成为了一个全方位的安全技术集成系统。归纳起来，一个好的防火墙系统应具有以下的一些特性：（1）所有在内部网络和外部网络之间传输的数据都必须经过防火墙。（2）只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙。（3）防火墙本身应能抵御各种攻击的影响。（4）防火墙应使用目前较先进的信息安全技术。（5）防火墙应具有良好的人机界面，方便用户配置及管理。9.1防火墙技术概述从防火墙的发展趋势来看，未来的防火墙将变得更加能够识别通过的信息，同时在目前的功能上向“透明”、“低级”方面发展。主要有以下的一些发展趋势：（１）防火墙的性能将更加优良。（２）防火墙具有可扩展的结构和功能。（３）防火墙要有简化的安装与管理。（４）防火墙要有主动过滤的能力。（５）防火墙应有防病毒与黑客的能力。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。９.２防火墙技术的分类防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型。按照防火墙对数据的处理方法，大致分为二大类：包过滤防火墙和代理防火墙。９.２.１包过滤防火墙技术数据包过滤技术作为防火墙的应用有三种。第一种是路由设备在完成路由选择和数据转发的同时进行包过滤。第二种是在工作站上使用软件进行包过滤。第三种是在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式是第一种。包过滤作用在网络层和传输层，以IP包信息为基础，对通过防火墙的IP包的源、目的地址、TCP/UDP的端口标识符及ICMP等进行检查。包过滤规则检查数据流中每个数据包后,根据规则来确定是否允许数据包通过，其核心是过滤算法的设计。数据包过滤在网络中起着举足轻重的作用，它允许你在某个地方为整个网络提供特别的保护。包过滤的操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。大多数数据包过滤系统不处理数据本身，它们不根据数据包的内容做决定。９.２防火墙技术的分类９.２.２包过滤防火墙技术的优缺点数据包过滤防火墙技术有很多优点，主要体现在以下几点：（１）应用包过滤技术不用改动客户机和主机上的应用程序，因为过滤发生在网络层和传输层，与应用层无关。（２）一个单独的、放置恰当的数据包过滤路由器有助于保护整个网络。（３）数据包过滤技术对用户没有特别的要求。（４）大多数路由器都具有数据包过滤功能。虽然数据包过滤有很多优点，但同时它也存在着一些缺陷。（１）在过滤过程中判别的只有网络层和传输层的有限信息，而不能在用户级别上进行过滤，不能识别不同的用户和防止ＩＰ地址的盗用，因而各种安全要求不可能充分满足。（２）在许多过滤器中，过滤规则的数目是有限制的。（３）当前的过滤工具并不完善，或多或少的存在着一些局限性。（４）由于缺少上下文关联信息，数据包过滤路由器不能有效地过滤诸如UDP、RPC、FTP一类的协议.（５）大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差。（６）数据包过滤技术对安全管理人员素质要求较高。由于数据包过滤技术本身的缺陷，在实际应用中，很少把数据包过滤技术当作单独的安全解决方案。过滤路由器通常是和应用网关配合或是与其他防火墙技术揉和使用，共同组成防火墙系统。９.２防火墙技术的分类９.２.３代理防火墙技术代理防火墙作用在应用层，用来提供应用层服务的控制。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。所以代理防火墙又被称为应用代理或应用层网关型防火墙。应用层网关型防火墙控制的内部网络只接受代理服务器提出的服务请求，拒绝外部网络其它接点的直接请求。它同时提供了多种方法认证用户。当确认了用户名和口令后，服务器根据系统的设置对用户进行进一步的检查，验证其是否可以访问本服务器。应用层网关型防火墙还对进出防火墙的信息进行记录，并可由网络管理员用来监视和管理防火墙的使用情况。实际中的应用网关通常由专用代理服务器实现。下图为代理防火墙的示意图：９.２防火墙技术的分类９.２防火墙技术的分类９.２.４代理防火墙技术的优缺点代理防火墙技术的优点主要有：（１）代理易于配置。（２）代理能生成各项记录。（３）代理能灵活、完全地控制进出流量、内容。（４）代理能过滤数据内容。（５）代理能为用户提供透明的加密机制。（６）代理可以方便地与其它安全手段集成。代理防火墙技术的缺点主要有：（１）代理速度较路由器慢。（２）代理对用户不透明。（３）对于每项服务代理可能要求不同的服务器。（４）代理服务通常要求对客户、过程之一或两者进行限制。（５）代理服务不能保证免受所有协议弱点的限制。（６）代理不能改进底层协议的安全性。在实际应用当中，构筑防火墙的解决方案很少采用单一的技术，大多数防火墙是将数据包过滤和代理服务器结合起来使用的。９.３防火墙的体系结构出于对更高安全性的要求，通常的防火墙体系是多种解决不同问题的技术的有机组合。例如，把基于包过滤的方法与基于应用代理的方法结合起来，就形成了复合型防火墙产品。目前常见的配置有以下几种：（１）屏蔽路由器（ScreeningRouter）屏蔽路由器是防火墙最基本的构件，是最简单也是最常见的防火墙。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。（２）双宿主主机网关（DualHomedGateway）双宿主主机是一台安装有两块网卡的计算机，每块网卡有各自的IP地址，并分别与受保护网和外部网相连。如果外部网络上的计算机想与内部网络上的计算机进行通信，它就必须与双宿主主机上与外部网络相连的IP地址联系，代理服务器软件再通过另一块网卡与内部网络相连接。也就是说，外部网络与内部网络不能直接通信，它们之间的通信必须经过双宿主主机的过滤和控制。如下图所示：９.３防火墙的体系结构（３）屏蔽主机网关（ScreenedHostGateway）屏蔽主机网关由屏蔽路由器和应用网关组成，屏蔽路由器的作用是包过滤，应用网关的作用是代理服务。这样，在内部网络和外部网络之间建立了两道安全屏障，既实现了网络层安全，有实现了应用层安全。来自外部网络的所有通信都会连接到屏蔽路由器，它根据所设置的规则过滤这些通信。如下图所示：９.３防火墙的体系结构（４）屏蔽子网（ScreenedSubnet）屏蔽子网体系结构是在屏蔽主机网关的基础上再添加一个屏蔽路由器，两个路由器放在子网的两端，三者形成了一个被称为“非军事区”的子网，如下图所示：９.３防火墙的体系结构这种方法在内部网络和外部网络之间建立了一个被隔离的子网。用两台屏蔽路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。外部屏蔽路由器和应用网关与在屏蔽主机网关中的功能相同，内部屏蔽路由器在应用网关和受保护网络之间提供附加保护。9.4防火墙的选购策略防火墙作为网络安全体系的基础和核心控制设备，它贯穿于整个网络通信主干线，对通过受控网络的任何通信行为进行控制、审计、报警、反应等安全处理，同时防火墙还承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，同时还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防火墙产品，是极其重要的。在防火墙的选购上，应注意以下的一些策略：（1）防火墙自身的安全性（2）防火墙系统的稳定性（3）防火墙的性能（4）防火墙的可靠性（5）防火墙的灵活性（6）防火墙配置的方便性（7）防火墙管理的简便性（8）防火墙抵抗拒绝服务攻击的能力（9）防火墙对用户身份的过滤能力（10）防火墙的可扩展性、可升级性总之，防火墙作为目前用来实现网络安全措施的一种主要手段，可以在很大程度上提高网络安全。但网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。9.5防火墙实例9.5.1天网防火墙简介天网防火墙（SkyNet-FireWall）个人版是一套由天网安全实验室制作的给个人电脑使用的网络安全程序。它根据系统管理者设定的安全规则（SecurityRules）把守网络，提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击，防止信息泄露，并可与天网安全实验室的网站（）相配合，根据可疑的攻击信息，来找到攻击者。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，它适合于在拨号上网的用户，也适合通过网络共享软件上网的用户。天网防火墙可以有效地控制个人用户电脑的信息在互联网上的收发。用户自己可以通过设定一些参数，从而达到控制本机与互联网之间的信息交流，阻止和杜绝一些恶性信息对本机的攻击，比如ICMPflood攻击、聊天室炸弹、木马信息等等。天网防火墙（个人版）安装方便，使用简单，界面简易清晰，用户只需在天网安全阵线()或是相关的网站上下载个人版的安装程序，在机上直接运行程序即可。该软件为自适应安装，能自动辨认用户的操作系统，安装合适的驱动程序。9.5防火墙实例9.5.2天网防火墙的使用（1）安