6.2防火墙的类型

6.2防火墙的类型包过滤型防火墙1应用级网关型防火墙2代理服务型防火墙3状态监测防火墙4防火墙技术可根据防火墙防范的方式和工作的侧重点不同而分为很多种类型，但总体来讲可分为:包过滤防火墙应用代理防火墙电路级网关防火墙状态监测防火墙数据包过滤技术——在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。此外，还有一种可以分析包中数据区内容的智能型包过滤器。基于包过滤技术的防火墙，简称包过滤型防火墙。6.2.1包过滤防火墙基于包过滤技术的防火墙，简称包过滤型防火墙，其工作机制如图所示。禁止允许根据安全规则(源IP地址、目标IP、端口号、协议类型)对网络通信进行过滤控制允许输出的网络通信流输入的网络通信流1物理层2数据链路层3网络层(IP)4传输层(TCP)5应用层包过滤技术是防火墙的基本功能，它依赖于数据传输的一般结构，而数据结构所使用的数据包头部包含有IP地址信息和协议所使用的端口信息，根据这些信息，可以决定是否将数据转发给目的地。包过滤技术取决于管理员设定的规则库，规则库的制定包含以下信息：1、发出数据包的源地址和目的地址；2、接收数据包的源地址和目的地址；3、所涉及的网络协议（TCP、UDP等）；4、所使用的端口，如HTTP使用的80端口第一代：静态包过滤这类防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于包头信息进行制定。第二代：动态包过滤这类防火墙采用动态设置报过滤规则的方法，避免了静态包过滤所有的问题，后来发展为包状态监测技术。采用这种技术的防火墙对通过其建立的每一个连接都进行追踪，并且根据需要可动态的在过滤规则中增加或更新条目。一个包过滤防火墙必须具备两个端口，一个端口连接非信任网络（如因特网），另一个端口连接可信网络（如内部网络。防火墙配置的规则必须能对一个非信任端口流向信任端口，或信任端口流向非信任端口进行控制处理，以此来决定是否让信息流通过，如图所示。2、包过滤技术的过程HTTPDNSSMTP由图可见，一个典型的网络结构，包括HTTP、DNS、SMTP内部网络通过包过滤防火墙将其分为服务器区域和子网络区域。创建规则库。规则库包含了最常见的网络服务的安全规则，包括现有的网络情况自定义的安全规则。创建一个规则库需要按照以下标准：协议类型、源地址、目的地址、源端口、目的端口、当数据包和规则库匹配时应采用的措施。目前，由于包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能，并默认转发所有的包。ipf、ipfw、ipfwadm是有名的自由过滤软件，可以运行在Linux操作系统平台上。包过滤的控制依据是规则集，典型的过滤规则表示格式由规则号、匹配条件、匹配操作三部分组成，包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异，但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP，TCP，ICMP)、通信方向及规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计等三种。表1是包过滤型防火墙过滤规则表，这些规则的作用在于只允许内、外网的邮件通信，其他的通信都禁止。表1防火墙过滤规则表规则编号通信方向协议类型源IP目标IP源端口目标端口操作1inTCP197.168.0.0/24197.168.3.1102380允许2outTCP197.168.0.0/24197.168.3.2102325允许3outUDP197.168.0.0/24197.168.3.3102353允许4inTCP197.038.0.0/24197.168.3.4102321允许5eitheranyanyanyanyany拒绝需要特别指出的是：包过滤型防火墙对用户透明，合法用户在进出网络时，感觉不到它的存在，使用起来很方便。在实际网络安全管理中，包过滤技术经常用来进行网络访问控制。下面以CiscoIOS为例，说明包过滤器的作用。CiscoIOS有两种访问规则形式，即标准IP访问表和扩展IP访问表，它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行。标准IP访问控制规则的格式如下：assess-listlist-mumber{deny|pernit}source[source-wildcard][log]而扩展IP访问规则的格式是:assess-listlist-mumber{deny|pernit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]其中：*标准IP访问控制规则的list-number规定为1～99，而扩展IP访问规则的list-number规定为100～199；*deny表示若经过CiscoIOS过滤器的包条件匹配，则禁止该包通过；*permit表示若经过CiscoIOS过滤器的包条件匹配，则允许该包通过；*source表示来源的IP地址；*source-wildcard表示发送数据包的主机IP地址的通配符掩码，其中1代表“忽略”，0代表“需要匹配”，any代表任何来源的IP包；*destination表示目的IP地址；*destination-wildcard表示接收数据包的主机IP地址的通配符掩码；*protocol表示协议选项，如IP、ICMP、UDP、TCP等；*log表示记录符合规则条件的网络包。下面给出一个例子，用Cisco路由器防止DDoS攻击，配置信息如下：!theTRINOODDoSsystemsaccess-list170denytcpanyanyeq27665logaccess-list170denyudpanyanyeq31335logaccess-list170denyudpanyanyeq27444log!theStacheldrahtDDoSsystemsaccess-list170denytcpanyanyeq16660logaccess-list170denytcpanyanyeq65000log!theTrinityV3systemsaccess-list170denytcpanyanyeq33270logaccess-list170denytcpanyanyeq39268log!theSubsevensystemsandsomevariantsaccess-list170denytcpanyanyrange67116712logaccess-list170denytcpanyanyeq6776logaccess-list170denytcpanyanyeq6669logaccess-list170denytcpanyanyeq2222logaccess-list170denytcpanyanyeq7000log简而言之，包过滤成为当前解决网络安全问题的重要技术之一，不仅可以用在网络边界上，而且也可应用在单台主机上。例如，现在的个人防火墙以及Windows2000和WindowsXP都提供了对TCP、UDP等协议的过滤支持，用户可以根据自己的安全需求，通过过滤规则的配置来限制外部对本机的访问。下图是利用Windows2000系统自带的包过滤功能对139端口进行过滤，这样可以阻止基于RPC的漏洞攻击。Windows2000过滤配置示意图包过滤防火墙的优缺点数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好；低负载、高通过率、对用户透明；对流量管理较好。使网络设备具有很多漏洞，只能在传输层或者是网络层上检测数据，不能在应用层上检测数据。能禁止和通过向内的HTTP请求，但不能判断这个请求是非法的还是合法的，许多Web服务器上都有缓冲区漏洞；在复杂的网络中很难管理；非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒；没有用户身份验证机制。应用代理或代理服务器是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达到外部服务器，同时将外部服务器的响应再送回给用户。应用服务代理防火墙扮演着受保护网络的内部网主机和外部网络主机的网络通信连接“中间人”的角色，代理防火墙代替受保护网络的主机向外部网络发送服务请求，并将外部服务请求响应的结果返回给受保护网络的主机，具体流程如图所示。6.2.2应用代理防火墙代理服务是否需要认证？等待代理服务请求接受代理服务请求读取代理服务安全策略执行代理服务认证是认证是否通过？否响应代理服务请求代理服务处理是否完成？结束是否是否采用代理服务技术的防火墙简称代理服务器，它能够提供在应用级的网络安全访问控制。代理服务器按照所代理的服务可以分为FTP代理、TELENET、HTTP代理、SOCKET代理、邮件代理等。代理服务器通常由一组按应用分类的代理服务程序和身份验证服务程序构成。每个代理服务程序应用到一个指定的网络端口，代理客户程序通过该端口获得相应的代理服务。受保护内部用户对外部网络访问时，首先需要通过代理服务器的认可，才能向外提出请求，而外网的用户只能看到代理服务器，从而隐藏了受保护网的内部结构及用户的计算机信息。因而，代理服务器可以提高网络系统的安全性应用代理网关即代理服务器，适用于特定的互联网服务。代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器，而对外界来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合要求，如果规则运行用户访问该站点的话，代理服务器会像一个客户一样去那个站点取回所需要信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复的获取相同的内容，直接将缓存内容发出去即可，节省了时间和网络资源。应用代理型防火墙是内网与外网的隔离点，起着监视和隔绝应用层通信流的作用。它工作在应用层，掌握着应用系统中可做安全决策的全部信息。安全管理员为了对内部网络用户进行应用级上的访问控制，常安装代理服务器，如图所示。外网服务器代理服务器内部网客户代理外部网络代理易于配置；代理能生成各项记录；代理能灵活、完全地控制进出的流量、内容；代理能过滤数据内容；代理能为用户提供透明的加密机制；代理可以方便地与其他安全手段集成。应用代理防火墙的优点：速度比包过滤慢；对用户不透明；与特定应用协议相关联，代理服务器并不能支持所有的网络协议；对于每项服务代理可能要求不同的服务器；代理不能改进底层协议的安全性。应用代理防火墙的缺点电路级网关用来监控受信任的客户或服务器与不手信任的主机间的TCP握手信息，以此来决定该会话是否有效。电路级网关在OSI模型中会话层上过滤数据包，这样比包过滤防火墙要高两层。实际上，电路级网关并非作为一个独立的产品存在，它于其他的应用级网关结合在一起。另外电路级网关还提供一个重要的安全功能：代理服务器，在其上运行一个叫做“地址转移”的进程，用来将所有公司内部的IP地址映射到一个由防火墙使用的安全的IP地址。6.2.3电路级网关防火墙电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理服务器。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特