論文-088-防火墻技術(shù)的研究與探討.doc

防火墻技術(shù)的研究與探討摘 要 隨著計算機網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴大。政府上網(wǎng)工程的啟動和實施，電子商務(wù)(electronic commerce)、電子貨幣（electronic currency）、網(wǎng)上銀行等網(wǎng)絡(luò)新業(yè)務(wù)的興起和發(fā)展，使得網(wǎng)絡(luò)安全問題顯得日益重要和突出。防火墻技術(shù)是近年來發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施。基于對計算機網(wǎng)絡(luò)的熱愛，希望能通過此次的論文書寫使自己能對防火墻技術(shù)方面的知識得到進一步的充實。關(guān)鍵詞 防火墻 網(wǎng)絡(luò)安全 體系結(jié)構(gòu) Cisco PIX一、引言隨著互聯(lián)網(wǎng)在中國的快速發(fā)展，中國六大經(jīng)營性互聯(lián)網(wǎng)和四大非經(jīng)營性互聯(lián)網(wǎng)都先后建成并投入使用，據(jù)CNNIC統(tǒng)計，到2001年6月30日止，中國互聯(lián)網(wǎng)上網(wǎng)用戶數(shù)達(dá)到2650萬左右，上網(wǎng)計算機約1002萬臺。目前互聯(lián)網(wǎng)用戶中有ISDN（2B+D）用戶93.8萬、專線上網(wǎng)用戶48.8萬。目前中國擁有如此龐大的互聯(lián)網(wǎng)用戶和基礎(chǔ)網(wǎng)絡(luò)，把一個十分嚴(yán)峻的問題擺在了國人的面前，即互聯(lián)網(wǎng)的安全問題。賽迪顧問長期對互聯(lián)網(wǎng)進行跟蹤研究，在目前不斷發(fā)生互聯(lián)網(wǎng)安全事故的時候，對互聯(lián)網(wǎng)的安全狀況進行了一系列的研究與分析，希望引起用戶和廠商對網(wǎng)絡(luò)安全的重視。 2000年11月28日下午，CHINAREN的主頁大巴遭遇了極為罕見的嚴(yán)重硬件故障，導(dǎo)致文件系統(tǒng)崩潰，導(dǎo)致30萬個人主頁用戶的所有資料丟失；2001年1月30日1點鐘左右，263網(wǎng)絡(luò)集團的ISP業(yè)務(wù)頁面、IDC資料信息港頁面等幾乎在同一時刻被黑客攻擊，從2001年互聯(lián)網(wǎng)發(fā)生的幾起事故來看，互聯(lián)網(wǎng)安全受到非常大的挑戰(zhàn)。 增強互聯(lián)網(wǎng)安全的主要方法和途徑有：1、防火墻技術(shù) 2、數(shù)據(jù)加密技術(shù) 3、加強互聯(lián)網(wǎng)安全管理通過下面各大安全產(chǎn)品產(chǎn)商的產(chǎn)品線數(shù)量分布圖：我們可以看出。防火墻在網(wǎng)絡(luò)安全中是占據(jù)著極大的比重的。防火墻也是網(wǎng)絡(luò)安全采用的一種最普遍的方法，借此，希望通過本次論文能夠?qū)Ψ阑饓Φ墓ぷ髟?，?yīng)用及機制有更深一步的了解。在本文中首先介紹了防火墻的一些基本定義，分類，體系結(jié)構(gòu)，優(yōu)缺點等基本內(nèi)容。再對防火墻的一些技術(shù)進行了進一步的講解。最后通過對防火墻現(xiàn)今主流產(chǎn)品的介紹，及對如何選擇防火墻給出了一點建議。并以一個具體的例子來進一步講述防火墻的配置。 由于本人技術(shù)有限，在文中肯定有很多不足之處，敬請各位老師指導(dǎo)。二、 防火墻基本概念（一）、什么是防火墻防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。AT&T的兩位工程師Willam Cheswick和 steven Beellovin，他們將防火墻定義為置于兩個網(wǎng)絡(luò)之間的一組構(gòu)件或一個系統(tǒng)，一個好的防火墻它具有以下5方面的屬性：1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻；3、防火墻本身不受各種攻擊的影響；4、使用目前新的信息安全技術(shù)，比如現(xiàn)代密碼技術(shù)等；5、人機界面良好，用戶配置使用方便，易管理。簡言之：防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范的系統(tǒng)，它用于保護可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅，同時，仍允許雙方通信，目前，許多防火墻都用于Internet內(nèi)部網(wǎng)之間（如圖-1示），但在任何網(wǎng)間和企業(yè)網(wǎng)內(nèi)部均可使用防火墻。因特網(wǎng)防火墻 防火墻 內(nèi)部網(wǎng)圖-1防火墻結(jié)構(gòu)圖（二）、防火墻的分類：防火墻的產(chǎn)生和發(fā)展已經(jīng)歷了相當(dāng)一段時間，根據(jù)不同的標(biāo)準(zhǔn)，其分類方法也各不相同。按防火墻發(fā)展的先后順序可分為；包過濾型（pack Filter）防火墻（也叫第一代防火墻）。復(fù)合型（Hybrid）防火墻（也叫第二代防火墻）；以及繼復(fù)合型防火墻之后的第三代防火墻；在第三代防火中最具代表性的有：IGA(Internet Gateway Appciance)防毒墻；Sonic wall防火墻以及Cink Tvust Cyberwall等。按防火墻在網(wǎng)絡(luò)中的位置可分為：邊界防火墻，分布式防火墻，分布式防火墻又包括主機防火墻，網(wǎng)絡(luò)防火墻。如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。 1. 軟件防火墻 軟件防火墻運行于特定的計算機上，它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。 2. 硬件防火墻 這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上所謂二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到OS（操作系統(tǒng)）本身的安全性影響。 傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴展了端口，常見四端口防火墻一般將第四個端口作為配置口、管理端口。很多防火墻還可以進一步擴展端口數(shù)目。 3. 芯片級防火墻 芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)）,因此防火墻本身的漏洞比較少，不過價格相對比較高昂。（三）、防火墻體系結(jié)構(gòu) 目前,防火墻的體系結(jié)構(gòu)一般有以下幾種: 雙重宿主主機體系結(jié)構(gòu)； 屏蔽主機體系結(jié)構(gòu)； 屏蔽子網(wǎng)體系結(jié)構(gòu)。1. .雙重宿主主機體系結(jié)構(gòu) 雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主機計算機而構(gòu)筑的，該計算機至少有兩個網(wǎng)絡(luò)接口。這樣的主機可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而，實現(xiàn)雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。因而，IP數(shù)據(jù)包從一個網(wǎng)絡(luò)（例如，因特網(wǎng)）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如，內(nèi)部的、被保護的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的系統(tǒng)（在因特網(wǎng)上）能與雙重宿主主機通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。 雙重宿主主機的防火墻體系結(jié)構(gòu)是相當(dāng)簡單的：雙重宿主主機位于兩者之間，并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)。如圖2。 2. .屏蔽主機體系結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)提供來自與多個網(wǎng)絡(luò)相連的主機的服務(wù)(但是路由關(guān)閉),而被屏蔽主機體系結(jié)構(gòu)使用一個單獨的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機的服務(wù)。在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過濾。在屏蔽的路由器上的數(shù)據(jù)包過濾是按這樣一種方法設(shè)置的:即堡壘主機是因特網(wǎng)上的主機能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁（例如，傳送進來的電子郵件）。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或者服務(wù)將必須連接到這臺堡壘主機上。因此，堡壘主機需要擁有高等級的安全。數(shù)據(jù)包過濾也允許堡壘主機開放可允許的連接（什么是“可允許”將由用戶的站點的安全策略決定）到外部世界。 在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：允許其它的內(nèi)部主機為了某些服務(wù)與因特網(wǎng)上的主機連接（即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù)）。不允許來自內(nèi)部主機的所有連接（強迫那些主機經(jīng)由堡壘主機使用代理服務(wù)）。用戶可以針對不同的服務(wù)混合使用這些手段；某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過濾，而其它服務(wù)可以被允許僅僅間接地經(jīng)過代理。這完全取決于用戶實行的安全策略。因為這種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)的移動，所以，它的設(shè)計比沒有外部數(shù)據(jù)包能到達(dá)內(nèi)部網(wǎng)絡(luò)的雙重宿主主機體系結(jié)構(gòu)似乎是更冒風(fēng)險。話說回來，實際上雙重宿主主機體系結(jié)構(gòu)在防備數(shù)據(jù)包從外部網(wǎng)絡(luò)穿過內(nèi)部的網(wǎng)絡(luò)也容易產(chǎn)生失?。ㄒ驗檫@種失敗類型是完全出乎預(yù)料的，不大可能防備黑客侵襲）。進而言之，保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供非常有限的服務(wù)組。多數(shù)情況下，被屏蔽的主機體系結(jié)構(gòu)提供比雙重宿主主機體系結(jié)構(gòu)具有更好的安全性和可用性。 然而，比較其它體系結(jié)構(gòu)，如在下面要討論的屏蔽子網(wǎng)體系結(jié)構(gòu)也有一些缺點。主要的是如果侵襲者沒有辦法侵入堡壘主機時，而且在堡壘主機和其余的內(nèi)部主機之間沒有任何保護網(wǎng)絡(luò)安全的東西存在的情況下，路由器同樣出現(xiàn)一個 單點失效。如果路由器被損害，整個網(wǎng)絡(luò)對侵襲者是開放的。其結(jié)構(gòu)圖，如圖-3 圖-33.屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)一樣，但添加了額外的一層保護體系周邊網(wǎng)絡(luò)。堡壘主機位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。 原因：堡壘主機是用戶網(wǎng)絡(luò)上最容易受侵襲的機器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機，能減少在堡壘主機被侵入的影響。如圖-4所示： 圖-4周邊網(wǎng)絡(luò)：周邊網(wǎng)絡(luò)是一個防護層，在其上可放置一些信息服務(wù)器，它們是犧牲主機，可能會受到攻擊，因此又被稱為非軍事區(qū)（DMZ）。周邊網(wǎng)絡(luò)的作用：即使堡壘主機被入侵者控制，它仍可消除對內(nèi)部網(wǎng)的偵聽。E.g.: netxray等的工作原理。堡壘主機：堡壘主機位于周邊網(wǎng)絡(luò)，是整個防御體系的核心。堡壘主機可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運行各種代理服務(wù)程序。對于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過堡壘主機代理，但對于入站服務(wù)應(yīng)要求所有服務(wù)都通過堡壘主機。外部路由器（訪問路由器）的作用：保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機。防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。內(nèi)部路由器（阻塞路由器）的作用：保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大部分過濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。（四） .防火墻的優(yōu)缺點1.防火墻的優(yōu)點 防火墻能強化安全策略 因為Internet上每天都有上百萬人在那里收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請求通過。 防火墻能有效地記錄Internet上的活動 因為所有進出信息都必須通過防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行記錄。 防火墻限制暴露用戶點 防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。 防火墻是一個安全策略的檢查站 所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。2.防火墻的不足之處 上面我們敘述了防火墻的優(yōu)點，但它還是有缺點的，主要表現(xiàn)在： 不能防范惡意的知情者 防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅只能要求加強內(nèi)部管理，如主機安全和用戶教育等。 不能防范不通過它的連接 防火墻能夠有效地防止通過它進行傳輸信息，然而不能防止不通過它而傳輸?shù)男畔?。例如，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。 不能防備全部的威脅 防火墻被用來防備已知的威脅，如果是一個很好的防火墻設(shè)計方案，可以防備新的威脅，但沒有一個防火墻能自動防御所有的新的威脅。 防火墻不能防范病毒 防火墻不能消除網(wǎng)絡(luò)上的PC機的病毒。三、防火墻技術(shù)（一）、防火墻的技術(shù)防火墻的種類多種多樣，在不同的發(fā)展階段，采用的技術(shù)也各不相同，采用不同的技術(shù)，因而也就產(chǎn)生了不同類型的防火型。防火墻所采用的技術(shù)主要有：1、屏蔽路由技術(shù)最簡單和最流行的防火墻形式是“屏蔽路由器”。多數(shù)商業(yè)路由器具有內(nèi)置的限制目的地間通信的能力。屏蔽路由器一般只在網(wǎng)絡(luò)層工作（有的還包括傳輸層），采用包過濾或虛電路技術(shù)，包過濾通過檢查每個網(wǎng)絡(luò)包，取得其頭信息，一般包括：到達(dá)的物理網(wǎng)絡(luò)接口，源地址，目標(biāo)地址，傳輸層類型（），源端口和目的端口。根據(jù)這些信息，判別是否規(guī)則集中的某條目匹配，并對匹配包執(zhí)行規(guī)則中指定的動作（禁止或允許）。包過濾系統(tǒng)通?？梢灾刂镁W(wǎng)絡(luò)包地址，從而流出的通信包看來不同于其原始主機地址轉(zhuǎn)換（），通過可以隱藏內(nèi)部網(wǎng)絡(luò)拓樸和地址表，而虛電路技術(shù)的核心是驗證通信包是一個連接中的數(shù)據(jù)包（兩個傳輸層之間的虛電路）。首先，它檢查每個連接的建立以確保其發(fā)生在合法的握手之后。并且，在握手完成前不轉(zhuǎn)發(fā)數(shù)據(jù)包，系統(tǒng)維護一個有效連接表（包括完整的會話狀態(tài)和序列信息），當(dāng)網(wǎng)絡(luò)包信息與虛電路表中的某一入口匹配時才允許包含數(shù)據(jù)的網(wǎng)絡(luò)包通過。當(dāng)連接終止后，它在表中的入口就被刪除，從而兩個會話層之間的虛電路也就被關(guān)閉了。屏蔽路由器類型的防火墻的優(yōu)點：.性能要優(yōu)于其他類型的防火墻，因為它執(zhí)行較少的計算。并且，可以很容易地以硬件方式實現(xiàn)。規(guī)則設(shè)置簡單，通過禁止內(nèi)部計算機和特定Internet 資源的連接，單一規(guī)則即可保護整個網(wǎng)絡(luò)。.不需對客戶端計算機進行專門的配置。.通過，可以對外部用戶屏蔽內(nèi)部。.其缺點是：.無法識別到應(yīng)用層協(xié)議，也無法對協(xié)議子集進行約束。.處理包內(nèi)信息的能力有限。.通常不能提供其他附加功能，如http的目標(biāo)緩存，過濾以及認(rèn)證。.無法約束由內(nèi)部主機到防火墻服務(wù)器上的信息，只能控制什么信息可以過去，從而入侵者可能防問到防火墻主機的服務(wù)，從而帶來安舍隱患，.沒有或缺乏審計追蹤，從而也就缺乏報警機制。.由于對眾多網(wǎng)絡(luò)服務(wù)的“廣泛”支持所造成的復(fù)雜性，很難對規(guī)則有效性進行測試。綜上所述：屏蔽路由技術(shù)往往比較脆弱，因為它還要依賴其背后主機上應(yīng)用軟件的正確配置。因此，在使用此類型的防火墻時，通常配合其他系統(tǒng)使用。、2、基于代理的（也稱應(yīng)用網(wǎng)關(guān)）防火墻壁技術(shù)它通常被配置為“雙宿主網(wǎng)關(guān)”，具有兩個網(wǎng)絡(luò)接口卡，同時接入內(nèi)部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個網(wǎng)絡(luò)通信，它是安裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就稱為“代理”，通常是為其所提供的服務(wù)定制的。代理服務(wù)不允許直接與真正的服務(wù)通信，而是與代理服務(wù)器通信（用戶的默認(rèn)網(wǎng)關(guān)指向代理服務(wù)器）。各個應(yīng)用代理在用戶和服務(wù)之間處理所有的通信。能夠?qū)νㄟ^它的數(shù)據(jù)進行詳細(xì)的審計追蹤，許多專家也認(rèn)為它更加安全，因為代理軟件可以根據(jù)防火墻后面的主機的脆弱性來制定，以專門防范已知的攻擊。如圖-5所示應(yīng)用層傳輸層外部網(wǎng)鏈路層內(nèi)部網(wǎng)物理層圖-5代理服務(wù)原理結(jié)構(gòu)代理防火墻的主要優(yōu)點：.代理服務(wù)可以識別并實施高層的協(xié)議，如http和ftp等。.代理服務(wù)包含通過防火墻服務(wù)器的通信信息，可以提供源于部分傳輸層，全部應(yīng)用層和部分會話層的信息。.代理服務(wù)可以用于禁止訪問特定的網(wǎng)絡(luò)服務(wù)，而允許其他服務(wù)的使用。代理服務(wù)能處理數(shù)據(jù)包 通過提供透明服務(wù)，可以讓使用代理的用戶感覺在直接與外部通信。.代理服務(wù)還可以提供屏蔽路由器不具備的附加功能。代理防火墻的主要缺點 .代理服務(wù)有性能上的延遲，因為流入數(shù)據(jù)需要被處理兩次（應(yīng)用程序和其代理） .代理防火墻一般需要客戶端的修改或設(shè)置，因此，配置過程繁瑣。 代理由于通常需要附加的口令和認(rèn)證而造成延遲，可以會給用戶帶來不便。 .應(yīng)用級防火墻一般不能提供UDP，RPC等特殊協(xié)議類的代理。 .應(yīng)用層有時會忽略那些底層的網(wǎng)絡(luò)包信息。3、包過濾技術(shù)系統(tǒng)按照一定的信息過濾規(guī)則，對進出內(nèi)部網(wǎng)絡(luò)的信息進行限制，允許授權(quán)信息通過，而拒絕非授權(quán)信息通過。包過虎防火墻工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。截獲所有流經(jīng)的IP包，從其IP頭、傳輸層協(xié)議頭，甚至應(yīng)用層協(xié)議數(shù)據(jù)中獲取過濾所需的相關(guān)信息。然后依次按順序與事先設(shè)定的訪問控制規(guī)則進行一一匹配比較，執(zhí)行其相關(guān)的動作。其原理和結(jié)構(gòu)如圖-6所示外部網(wǎng)內(nèi)部網(wǎng) 包過過例 網(wǎng)絡(luò)層 鏈路層 物理 圖-6 包過濾結(jié)構(gòu)4、動態(tài)防火墻技術(shù)它是針對靜態(tài)包過濾技術(shù)而提出的一項新技術(shù)。靜態(tài)包過濾技術(shù)局限于過濾基于源及目的的端口，IP地址的輸入輸出業(yè)務(wù)，因而限制了控制能力，并且由于網(wǎng)絡(luò)的所有高位（102465535）端要么開放，要么關(guān)閉，使網(wǎng)絡(luò)處于很不完全的境地。而動態(tài)防火墻技術(shù)可創(chuàng)建動態(tài)的規(guī)則，使其適應(yīng)不斷改變的網(wǎng)絡(luò)業(yè)務(wù)量。根據(jù)用戶的不同要求，規(guī)則能被修改并接受或拒絕條件。具體地講，動態(tài)防火墻技術(shù)并不是根據(jù)狀態(tài)來對包進行有效性檢查，而是通過為每個會話維護其狀態(tài)信息，來提供一種防御措施和方法。它可分辨通訊是初始請求還是對請求的回應(yīng)，即是否是新的會話通訊，以實現(xiàn)“單向規(guī)則”即在過濾規(guī)則中可以只允許一個方向上的通訊。在該方向上的初始請求被允許和記錄后，其連接的另一方向的回應(yīng)也將被允許，這樣不必在過濾規(guī)則中為其回應(yīng)考慮，大大減少過濾規(guī)則的數(shù)量和復(fù)雜性。同時，它還為協(xié)議和服務(wù)的過濾提供了理想解決方案，能很好地實現(xiàn)“只允許內(nèi)部訪問外部”的策略，使內(nèi)部網(wǎng)絡(luò)更安全。從處部看，在沒有合法的通訊時，除規(guī)則允許外部訪問的所有內(nèi)部主機端口開放。并且當(dāng)連接結(jié)束進，也隨之關(guān)閉；而從內(nèi)部看，除規(guī)則明確拒絕處，所有外部資源都是開放的，并且它還為一些針對TCP的攻擊提供了在包過濾上進行防御的手段。動態(tài)防火墻技術(shù)的實現(xiàn)動態(tài)防火墻為了跟蹤 維護連接狀態(tài)，它必須對所有進出的數(shù)據(jù)包進行分析，從其傳輸層，應(yīng)用層中提取相關(guān)的通訊和應(yīng)用狀態(tài)信息，根據(jù)其源和目的IP地址，傳輸層協(xié)議和源目的端口及目的端口來區(qū)分每一連接，并建立動態(tài)連接表為所有連接存儲其狀態(tài)和上下文信息；同時為檢查后續(xù)通訊。應(yīng)及時更新這些信息，當(dāng)連接結(jié)束時，也應(yīng)及時從連接表中刪除其相應(yīng)信息。其原理如圖-7所示。動態(tài)包過濾記錄連接表中Src port dst pohSrc port dst poh在連接表中查找客戶機 服務(wù)器圖-7 動態(tài)防火墻動態(tài)連接表是動態(tài)防火墻技術(shù)的核心，對所有進出的數(shù)據(jù)包，首先在動態(tài)連接表中查找相應(yīng)的連接表項，若其存在，便可得到過濾結(jié)果，否則，查找相應(yīng)過濾規(guī)則，并為某創(chuàng)建一連接表項。這樣，就不必為每個數(shù)據(jù)包都在過濾規(guī)則中依次進行比較來查找響應(yīng)規(guī)則，從而大大提高了過濾效率和網(wǎng)絡(luò)通訊速度，但是，動態(tài)防火墻包過濾技術(shù)在實現(xiàn)中也有一些缺陷；它通過檢查關(guān)鍵詞來實現(xiàn)對應(yīng)用協(xié)議和數(shù)據(jù)的過濾，但無法對跨分組的關(guān)鍵詞進行檢查，而且一旦過濾掉分組后，它只能簡單地關(guān)閉連接，不會向源端口傳送任何錯誤信息。5、一種改進的防火墻技術(shù)（或稱復(fù)合型防火墻技術(shù)）由于過濾型防火墻安全性不高，代理服務(wù)器型防火墻速度較慢，因而出現(xiàn)了一種綜合上述兩種技術(shù)優(yōu)點的改進型防火墻技術(shù)，它保證了一定的安全性，又使通過它的信息傳輸速度不至于受到太大的影響，其系統(tǒng)結(jié)構(gòu)如圖-8所示： 圖-8 復(fù)合型防火墻在上述防火墻結(jié)構(gòu)中，對于那些從內(nèi)部網(wǎng)向外部網(wǎng)發(fā)出的請求，由于對內(nèi)部網(wǎng)的安全威脅不大，因此可直接下外部網(wǎng)建立連接，對于那些從外部網(wǎng)向內(nèi)部網(wǎng)提出的請求，先要通過包過濾型防火墻，在此經(jīng)過初步安全檢查，兩次檢查確定無疑后可接受其請求，否則，就需要丟棄或作其它處理。（二）、 防火墻的功能評價 如何評價防火墻是一個復(fù)雜的問題，因為用戶在這方面有不同的需求，很難給出統(tǒng)一的標(biāo)準(zhǔn)，一般說來，防火墻的安全和性能（速度等）是最主要的指標(biāo)，從安全需求來看，理想的防火墻應(yīng)具：訪問控制，防御功能，安全特性，管理功能，記錄和報表這幾方面的功能。1、訪問控制訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。2、防御功能防御功能主要包括：支持病毒掃描；提供內(nèi)容過濾；能防御的DOS攻擊類型；阻止ActiveX、 Java、Cookies、javascript等進行HTTP內(nèi)容過濾，防火墻應(yīng)該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，并向瀏覽器用戶報警。同時，能夠過、過濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)危險代碼時，向服務(wù)器報警。3、安全特性安全特性只要是指防火墻能夠支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議（ICMP代理）；提供入侵實行時警告；提供實時入侵防范；識別/記錄/防止企圖進行IP地址欺騙。4、管理功能通過集成策略集中管理多個防火墻：是否支持集中管理，防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運行狀態(tài)的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。5、記錄和報表功能記錄和報表功能是指：防火墻處理完整日志的方法；提供自動日志掃描；提供自動報表、日志報告書寫器；警告通知機制；提供簡要報表（按照用戶ID或IP地址）；提供實時統(tǒng)計； 列出獲得的國內(nèi)有關(guān)部門許可證類別及號碼。四、防火墻的選擇及配置（一）、防火墻主流產(chǎn)品介紹防火墻可以分為硬件防火墻和軟件防火墻兩種，對于硬件防火墻。SonicWALL，Netscreen，Cisco，F(xiàn)ortigate，華為， 天融信等公司生產(chǎn)的硬件防火墻都是現(xiàn)今市面上比較流行的。比如CISCO PIX 525，F(xiàn)ORTINET FortiGate 3600LX2，華為3Com Eudemon1000等?，F(xiàn)主要對CISCO PIX 525的性能指標(biāo)進行介紹，其具體產(chǎn)品性能指標(biāo)見附錄一?，F(xiàn)在運用比較廣泛的軟件防火墻有天網(wǎng)，瑞星，KV3000，江民等。 （二）、防火墻選擇說明防火墻作為網(wǎng)絡(luò)邊界的安全哨卡，其重要性已經(jīng)越來越得到企業(yè)的認(rèn)可。這就意味著防火墻的市場需求越來越大。也因此，國內(nèi)外眾多商家紛紛投身防火墻市場的激烈競爭，這樣就形成了防火墻產(chǎn)品的品牌、檔次五花八門，參差不齊，企業(yè)選擇防火墻也就眼花繚亂，無所適從。那么，作為企業(yè)級用戶，如何來選擇一款既滿足需求，又價格合理的防火墻產(chǎn)品呢？1、做好需求分析 選擇合適產(chǎn)品的一個前提條件就是，明確企業(yè)本身的具體需求。因此，選擇產(chǎn)品的第一個步驟就是針對企業(yè)自身的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)應(yīng)用系統(tǒng)、用戶及通信流量規(guī)模、防攻擊能力、可靠性、可用性、易用性等具體需求進行分析。 2、選擇原則 在整理出具體的需求以后，可以得到一份防火墻的需求分析報告。下一步的工作就是在眾多的品牌和檔次中選出滿足各種需求的品牌，并考慮一定的擴展性要求。選擇的主要原則有：.以需求為導(dǎo)向，選擇最適合本企業(yè)需求的產(chǎn)品。由于防火墻的各項指標(biāo)具有較強的專業(yè)性，因此企業(yè)在選擇時，有必要把防火墻的主要指標(biāo)和需求聯(lián)系起來。另外，還要考慮到企業(yè)可承受的性價比。.對于產(chǎn)品的選型，可參考的指標(biāo)來源有廠家提供的技術(shù)白皮書、各種測評機構(gòu)的橫向?qū)Ρ葴y試報告，從中可以了解產(chǎn)品的一些基本性能情況。.要完全按照企業(yè)的實際需求來對比各種品牌的滿足程度，最好是根據(jù)需求，定制一套解決方案，并對防火墻在統(tǒng)一測試條件和測試環(huán)境下進行橫向?qū)Ρ取?、了解產(chǎn)品的性能指標(biāo)性能指標(biāo)主要包括吞吐量、丟包率、延遲、背靠背包、最大并發(fā)連接數(shù)、并發(fā)連接處理速率等。吞吐量是防火墻在各種幀長的滿負(fù)載（100M或1000M）雙向（Bidirectional Traffic）UDP數(shù)據(jù)包情況下的穩(wěn)定性表現(xiàn)，是其它指標(biāo)的基礎(chǔ)。它反映的是防火墻的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。其中， 64字節(jié)幀長小包的處理能力，對于反映防火墻數(shù)據(jù)包的轉(zhuǎn)發(fā)能力尤其重要，現(xiàn)已引起國內(nèi)外廠商和用戶的關(guān)注。防火墻丟包率這項測試，是用來確定防火墻在不同傳輸速率下丟失數(shù)據(jù)包的百分?jǐn)?shù)，目的在于測試防火墻在超負(fù)載情況下的性能。延遲這項測試通常是指測試從測試數(shù)據(jù)幀的最后一個比特進入被測設(shè)備端口開始，至測試數(shù)據(jù)包的第一個比特從被測設(shè)備另一端口離開的時間間隔。背靠背包是指以最小幀間隔發(fā)送最多數(shù)據(jù)包而不引起丟包時的數(shù)據(jù)包數(shù)量。最后兩項分別測試防火墻的每秒所能建立起的TCP/HTTP連接數(shù)及防火墻所能保持的最大TCP/HTTP連接數(shù)。了解這些之后，我們會明白，采用具有優(yōu)異性能的防火墻，是我們保護投資的一種有效方式。用戶在選擇時，應(yīng)該根據(jù)自身的網(wǎng)絡(luò)規(guī)模和需求，對上述幾個指標(biāo)參數(shù)進行詳細(xì)了解，選擇適合的產(chǎn)品。 （三）、 配置實例 硬件防火墻，是網(wǎng)絡(luò)間的墻，防止非法侵入，過濾信息等，從結(jié)構(gòu)上講，簡單地說是一種PC式的電腦主機加上閃存（Flash）和防火墻操作系統(tǒng)。它的硬件跟共控機差不多，都是屬于能適合24小時工作的，外觀造型也是相類似。閃存基本上跟路由器一樣，都是那中EEPROM，操作系統(tǒng)跟Cisco IOS相似,都是命令行（Command）式。 Cisco Firewall Pix 525，是一種機架式標(biāo)準(zhǔn)（即能安裝在標(biāo)準(zhǔn)的機柜里），有2U的高度，正面看跟Cisco 路由器一樣，只有一些指示燈，從背板看，有兩個以太口（RJ-45網(wǎng)卡）,一個配置口（console）,2個USB,一個15針的Failover口，還有三個PCI擴展口。 如何開始Cisco Firewall Pix呢？我想應(yīng)該是跟Cisco 路由器使用差不多吧，于是用配置線從電腦的COM2連到PIX 525的console口，進入PIX操作系統(tǒng)采用windows系統(tǒng)里的“超級終端”，通訊參數(shù)設(shè)置為默然。初始使用有一個初始化過程，主要設(shè)置： Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，如果以上設(shè)置正確，就能保存以上設(shè)置，也就建立了一個初始化設(shè)置了。 下面我講一下一般用到的最基本配置 1、 建立用戶和密碼用enable進入特權(quán)模式（附錄二），然后用config t進入全局模式（附錄二）建立用戶及密碼PIX525enable /進入特權(quán)模式PIX525#congfig t /進入全局模式PIX525(config)#username username /創(chuàng)建用戶PIX525config)# password password /攝制密碼2、 激活以太端口 必須用enable進入，然后進入configure模式 PIX525enable Password: PIX525#config t PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto 在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。 3、 命名端口與安全級別 采用命令nameif PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全級別（0安全級別最高） security100是內(nèi)部端口inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個網(wǎng)卡組成多個網(wǎng)絡(luò)，一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區(qū)域)。 4、 配置以太端口IP 地址 采用命令為：ip address 如：內(nèi)部網(wǎng)絡(luò)為： 外部網(wǎng)絡(luò)為： PIX525(config)#ip address inside PIX525(config)#ip address outside 5、 配置遠(yuǎn)程訪問telnet 在默然情況下，PIX的以太端口是不允許telnet的，這一點與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關(guān)。 PIX525(config)#telnet inside PIX525(config)#telnet outside 測試telnet 在開始-運行 telnet PIX passwd: 輸入密碼：cisco 6、 訪問列表(access-list) 此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機:54的www,端口為：80 PIX525(config)#access-list 100 permit ip any host 54 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside 7、 地址轉(zhuǎn)換（NAT）和端口轉(zhuǎn)換(PAT) NAT跟路由器基本是一樣的， 首先必須定義IP Pool，提供給內(nèi)部IP地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。 PIX525(config)#global (outside) 1 00-00 netmask PIX525(config)#nat (inside) 1 如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則： PIX525(config)#nat (inside) 1 則某些情況下，外部地址是很有限的，有些主機必須單獨占用一個IP地址，必須解決的是公用一個外部IP(01),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理服務(wù)器一樣的功能。配置如下： PIX525(config)#global (outside) 1 00-00 netmask PIX525(config)#global (outside) 1 01 netmask PIX525(config)#nat (inside) 1 8、 DHCP Server 在內(nèi)部網(wǎng)絡(luò)，為了維護的集中管理和充分利用有限IP地址，都會啟用動態(tài)主機分配IP地址服務(wù)器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡單配置DHCP Server,地址段為0000 DNS: 主8 備7 主域名稱： DHCP Client 通過PIX Firewall PIX525(config)#ip address dhcp DHCP Server配置 PIX525(config)#dhcpd address 00-00 inside PIX525(config)#dhcp dns 8 7 PIX525(config)#dhcp domain 9、 靜態(tài)端口重定向(Port Redirection with Statics) 在PIX 版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址/端口通過Firewall PIX 傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器了，這種方式并不是直接連接，而是通過端口重定向，使得內(nèi)部服務(wù)器很安全。 命令格式： static (internal_if_name,external_if_name)global_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq static (internal_if_name,external_if_name)tcp|udpglobal_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq !-外部用戶直接訪問地址9 telnet端口，通過PIX重定向到內(nèi)部主機9的telnet端口（23）。 PIX525(config)#static (inside,outside) tcp 9 telnet 9 telnet netmask 55 0 0 !-外部用戶直接訪問地址9 FTP，通過PIX重定向到內(nèi)部的FTP Server。 PIX525(config)#static (inside,outside) tcp 9 ftp ftp netmask 55 0 0 !-外部用戶直接訪問地址08 www(即80端口)，通過PIX重定向到內(nèi)部192.168.123的主機的www(即80端口)。 PIX525(config)#static (inside,outside) tcp 08 www www netmask 55 0 0 !-外部用戶直接訪問地址01 HTTP(8080端口)，通過PIX重定向到內(nèi)部的主機的www(即80端口)。 PIX525(config)#static (inside,outside) tcp 08 8080 www netmask 55 0 0 !-外部用戶直接訪問地址 smtp(25端口)，通過PIX重定向到內(nèi)部的郵件主機的smtp(即25端口) PIX525(config)#static (inside,outside) tcp 08 smtp smtp netmask 55 0 0 10、顯示與保存結(jié)果 采用命令show config 保存采用write memory總結(jié)隨著Internet/Intranet技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進行有效的保護，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實上60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識等等。參考文獻1. 防火墻技術(shù)論壇 （/zh/ScienceFields/netSF/517.aspx）2. 瑞星 (/newSite/)3 防火墻技術(shù)網(wǎng) （/article_view.asp?id=40）4 .中國cisco技術(shù)論壇 （/）5. （美）Greg Holden 著 王斌 孔璐 譯 防火墻與網(wǎng)絡(luò)安全入侵檢測VPNs清華大學(xué)出版社6. 美） David W. Chapmen Jr. Andy Fox 著劉興初李逢天 譯 李逢天 審CISCO 安全PIX防火墻 人民郵電出版社 附錄一：CISCO PIX