防火墻技術(shù)研究與應(yīng)用-畢業(yè)設(shè)計(jì)

1、畢 業(yè) 論 文論文題目 防火墻技術(shù)研究與應(yīng)用摘 要本論文旨在研究防火墻的技術(shù)原理以及應(yīng)用。其中著重介紹了防火墻的分類，設(shè)計(jì)防火墻時(shí)所需用到的主要策略和技術(shù)。通過闡述人們在選擇防火墻時(shí)應(yīng)注意的事項(xiàng)，并介紹當(dāng)前流行防火墻產(chǎn)品的主要性能，總結(jié)出軟件防火墻的使用心得和網(wǎng)絡(luò)安全防范措施，再進(jìn)一步得出傳統(tǒng)防火墻普遍存在的不足，從而對新防火墻技術(shù)進(jìn)行介紹并展望新技術(shù)的發(fā)展。最后達(dá)到讓計(jì)算機(jī)用戶在比較深入了解防火墻技術(shù)的同時(shí)，選擇適合自己網(wǎng)絡(luò)使用的防火墻產(chǎn)品，使用戶能輕松安全地上網(wǎng)，免除網(wǎng)絡(luò)黑客、病毒木馬程序的侵?jǐn)_。關(guān)鍵詞：防火墻 計(jì)算機(jī)技術(shù) 網(wǎng)絡(luò)病毒 安全 目 錄1 緒論11.1 概述11.2 防火墻的出現(xiàn)

2、11.3 防火墻系統(tǒng)解決方案12 防火墻介紹22.1 什么是防火墻22.2 防火墻的功能和作用42.2.1 防火墻是網(wǎng)絡(luò)安全的屏障52.2.2 防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略52.2.3 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)62.2.4 防止內(nèi)部信息的外泄62.3 防火墻技術(shù)發(fā)展的簡介72.3.1 包過濾防火墻（Packet Filter Firewall）72.3.2 狀態(tài)檢測防火墻（Stateful Inspection Firewall）72.3.3 深度檢測防火墻（Deep Inspection Firewall）83 防火墻基礎(chǔ)和分類83.1 防火墻分類83.1.1 個(gè)人防火墻93.1.2 網(wǎng)絡(luò)

3、防火墻103.2 防火墻產(chǎn)品103.2.1 軟件類防火墻113.2.2 應(yīng)用類防火墻123.2.3 綜合類防火墻133.3 防火墻技術(shù)143.3.1 個(gè)人防火墻143.3.2 報(bào)文過濾防火墻153.3.3 NAT防火墻163.3.4 電路級別防火墻183.3.5 代理防火墻183.3.6 狀態(tài)防火墻203.3.7 透明防火墻203.3.8 虛擬防火墻213.4 開源和非開源防火墻213.5 本節(jié)總結(jié)224 防火墻的設(shè)計(jì)策略及主要技術(shù)224.1 防火墻的基本設(shè)計(jì)策略224.2 設(shè)計(jì)防火墻時(shí)需要考慮的問題234.3 主要關(guān)鍵技術(shù)234.3.1 軟件工程方法概述234.3.2 面向?qū)ο蟮能浖_發(fā)方法

4、234.3.3 防火墻技術(shù)244.3.4 VB技術(shù)244.3.5 API技術(shù)244.3.6 ActiveX技術(shù)245 防火墻的選擇和注意事項(xiàng)245.1 個(gè)人硬件防火墻與軟件防火墻的選擇255.2 選擇防火墻的注意事項(xiàng)256 當(dāng)前流行防火墻產(chǎn)品的介紹286.1 ZoneAarm Pro Firewall286.2 Agnitum Outpost Firewall296.3 Norman Personal Firewall306.4 瑞星個(gè)人防火墻316.5 卡巴斯基全功能安全軟件326.6 Norton Internet Security337 軟件防火墻使用心得及網(wǎng)絡(luò)安全防范措施347.1 軟

5、件防火墻使用心得347.2 網(wǎng)絡(luò)安全防范措施358 防火墻的不足之處388.1 傳統(tǒng)防火墻存在的不足388.2 新一代防火墻的出現(xiàn)398.3 新一代防火墻技術(shù)的應(yīng)用體現(xiàn)398.3.1 分布式防火墻技術(shù)398.3.2 嵌入式防火墻技術(shù)398.3.3 智能防火墻技術(shù)409 防火墻未來的發(fā)展趨勢409.1 防火墻包過濾技術(shù)發(fā)展趨勢409.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢419.3 防火墻的系統(tǒng)管理發(fā)展趨勢4110 總結(jié)42參 考 文 獻(xiàn)43致 謝45仲愷農(nóng)業(yè)工程學(xué)院畢業(yè)論文(設(shè)計(jì))成績評定表461 緒論1.1 概述由1946年2月14日世界上第一臺電腦ENIAC（埃尼阿克）的誕生，到現(xiàn)在計(jì)算機(jī)科學(xué)與技術(shù)

6、日新月異迅猛發(fā)展的21世紀(jì)信息時(shí)代，計(jì)算機(jī)經(jīng)歷了無數(shù)次的改革換代。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，越來越多計(jì)算機(jī)需要連接到Internet，在互聯(lián)網(wǎng)上進(jìn)行各種各樣的網(wǎng)絡(luò)活動(dòng)，而正是因?yàn)檫@些活動(dòng)也同時(shí)促使了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)侵權(quán)等犯罪活動(dòng)和行為的出現(xiàn)，并且日益猖獗。非法侵入他人計(jì)算機(jī)系統(tǒng)、破壞計(jì)算機(jī)系統(tǒng)、竊取機(jī)密、非法盜取財(cái)物、侵犯用戶權(quán)利等現(xiàn)象越發(fā)頻繁。假如你的網(wǎng)絡(luò)連入了互聯(lián)網(wǎng)絡(luò)而沒有做任何的網(wǎng)絡(luò)安全防范措施，那么你的網(wǎng)絡(luò)很有可能會(huì)立即受到網(wǎng)絡(luò)黑客的不法入侵和攻擊，最后甚至導(dǎo)致你的計(jì)算機(jī)系統(tǒng)崩潰。網(wǎng)絡(luò)黑客攻擊的目標(biāo)不僅鎖定在個(gè)人計(jì)算機(jī)上，而且還有可能入侵公司企業(yè)的網(wǎng)絡(luò)，盜取商業(yè)機(jī)密等具有重大價(jià)值的信

7、息，也是黑客們所感興趣的。在互聯(lián)網(wǎng)攻擊數(shù)量直線上升的情況下，網(wǎng)絡(luò)安全的問題已經(jīng)日益凸顯地?cái)[在各類用戶的面前，原本不重視網(wǎng)絡(luò)安全的用戶開始將網(wǎng)絡(luò)安全問題擺在首要解決的日程表上，并采取多種方法維護(hù)自己計(jì)算機(jī)網(wǎng)絡(luò)的安全，從而免遭網(wǎng)絡(luò)黑客、各種病毒和木馬的侵害。保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)已成為計(jì)算機(jī)用戶必須去考慮并且解決的問題。1.2 防火墻的出現(xiàn)防火墻(Firewall)的出現(xiàn)為用戶解決網(wǎng)絡(luò)安全問題作出了巨大貢獻(xiàn)。對于保護(hù)網(wǎng)絡(luò)安全，防火墻是最基礎(chǔ)的設(shè)備，它的主要功能在于把那些不受歡迎的訪問、信息或者數(shù)據(jù)包等隔離在特定的網(wǎng)絡(luò)之外，是一種經(jīng)濟(jì)實(shí)用的網(wǎng)絡(luò)邊界防護(hù)設(shè)備。防火墻通常被放置于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接處

8、，通過執(zhí)行特定的訪問規(guī)則和安全策略來保護(hù)與外部網(wǎng)絡(luò)相連的內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的任何數(shù)據(jù)傳遞都必須通過防火墻這一關(guān)，防火墻對這些數(shù)據(jù)以及訪問需求進(jìn)行分析、處理，并根據(jù)已設(shè)置的安全規(guī)則來判定是否允許其通過。建立防火墻對于保護(hù)內(nèi)部網(wǎng)絡(luò)免受來自外部的攻擊有較好的防范作用。同時(shí)，由于防火墻系統(tǒng)本身具備較高的系統(tǒng)安全級別，可以防止非法用戶通過控制防火墻對內(nèi)網(wǎng)發(fā)動(dòng)攻擊。因此防火墻被越來越多的企業(yè)公司和個(gè)人電腦用戶所接納和使用，迅速的發(fā)展普及起來，成為了網(wǎng)絡(luò)黑客和各種病毒、木馬和惡意插件的克星。1.3 防火墻系統(tǒng)解決方案防火墻就如一道墻壁，把內(nèi)部網(wǎng)絡(luò)（也稱私人網(wǎng)絡(luò)）和外部網(wǎng)絡(luò)（也稱公共網(wǎng)絡(luò)）隔離開

9、。起到區(qū)隔網(wǎng)絡(luò)不同安全區(qū)域的防御性設(shè)備的作用，例如：互聯(lián)網(wǎng)絡(luò)(Internet)與企業(yè)內(nèi)部網(wǎng)絡(luò)(Intranet)之間，如圖1-1所示。圖1-1 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)根據(jù)已經(jīng)設(shè)置好的安全規(guī)則，決定是允許（Allow）或者拒絕（Deny）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接，如圖1-2所示。 圖1-2 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接2 防火墻介紹2.1 什么是防火墻防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng), 是這一類防范措施的總稱, 總體上可分為硬件防火墻和軟件防火墻。我們可以把防火墻看成是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺有訪問控制策略的路由器（Route+ACL），也可以是一

10、臺多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使計(jì)算機(jī)本地的網(wǎng)絡(luò)免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議和服務(wù)的影響。所以在一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將會(huì)被部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上，如圖2-1所示。 圖2-1 防火墻邏輯位置示意那么為什么要使用防火墻呢？很多人都會(huì)首先產(chǎn)生這個(gè)問題，也有人提出，如果把我們每個(gè)單獨(dú)的系統(tǒng)配置好，也就能經(jīng)受住攻擊。遺憾的是很多計(jì)算機(jī)系統(tǒng)在缺省情況下都是脆弱的，最顯著的例子就是被廣泛使用的Windows系統(tǒng)，不得不承認(rèn)Windows 2003以前的時(shí)代，Windows默認(rèn)開放了太多不必要的服務(wù)和端口，共享信息沒有合理配

11、置與審核。如果管理員能夠通過安全部署，包括刪除多余的服務(wù)和組件，嚴(yán)格執(zhí)行NTFS權(quán)限分配，控制系統(tǒng)映射和共享資源的訪問，以及對帳戶進(jìn)行加固和審核，對補(bǔ)丁及時(shí)更新等。如果做好了這些必要設(shè)置后，用戶也可以自信的說，Windows系統(tǒng)足夠安全，也可以抵擋住網(wǎng)絡(luò)上愈發(fā)肆無忌憚的非法攻擊。但這樣存在最大的缺陷是，該服務(wù)器系統(tǒng)無法在安全性，可用性和功能上達(dá)到較好的權(quán)衡和妥協(xié)。對于上面的問題回答是：“防火墻只能專注做一件事，在已授權(quán)和未授權(quán)的通信之間做出決斷”。假設(shè)沒有防火墻的存在，我們可以大概的下個(gè)結(jié)論：整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全將依靠該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。但遺憾的是這并不是一個(gè)正確的結(jié)論，現(xiàn)實(shí)的情

12、況和粗略的估計(jì)結(jié)論存在很大的反差：整個(gè)網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的部分所嚴(yán)格限制，即經(jīng)濟(jì)學(xué)中非常有名的木桶理論也可以應(yīng)用到網(wǎng)絡(luò)安全中來。沒有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)和每個(gè)服務(wù)都永遠(yuǎn)保持運(yùn)行于最佳狀態(tài)。一個(gè)網(wǎng)絡(luò)越是龐大，把網(wǎng)絡(luò)中所有主機(jī)維護(hù)至同樣高的安全級別就越是復(fù)雜和困難，而且這將會(huì)耗費(fèi)大量的人力和時(shí)間。整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致整個(gè)網(wǎng)絡(luò)安全框架的崩潰。 于是防火墻就成為了與不可信任的外部網(wǎng)絡(luò)進(jìn)行連接的唯一橋梁，我們可以通過對防火墻的配置，然后通過關(guān)注防火墻的安全，進(jìn)而來保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都需要通過防火墻進(jìn)行審記和保存，能夠記錄有關(guān)連接的信息、服務(wù)器或主機(jī)間

13、的數(shù)據(jù)流量以及任何試圖通過防火墻的非法訪問記錄，為網(wǎng)絡(luò)安全的各種犯罪行為的調(diào)查取證提供了依據(jù)?？偠灾?，防火墻能夠很大地降低整個(gè)網(wǎng)絡(luò)和系統(tǒng)被非法入侵和惡意攻擊的風(fēng)險(xiǎn)。2.2 防火墻的功能和作用防火墻不只可以當(dāng)作是一種路由器、主系統(tǒng)或一批向網(wǎng)絡(luò)提供安全性的系統(tǒng)。而且，防火墻是一種獲取安全性的方法。它有助于實(shí)施一個(gè)比較廣泛的安全性政策，用以確定允許提供的服務(wù)和訪問。就網(wǎng)絡(luò)配置、一個(gè)或多個(gè)主系統(tǒng)和路由器以及其他安全性措施(如代替靜態(tài)口令的先進(jìn)驗(yàn)證)來說，防火墻是該政策的具體實(shí)施。防火墻系統(tǒng)的主要用途就是控制對受保護(hù)的網(wǎng)絡(luò)(即網(wǎng)點(diǎn))的往返訪問,保障計(jì)算機(jī)的安全性。它實(shí)施網(wǎng)絡(luò)訪問政策的方法就是迫使各連接

14、點(diǎn)都必須通過能得到檢查和評估的防火墻，如圖2-2所示。計(jì)算機(jī)計(jì)算機(jī)PacketFilterRouterInternet應(yīng)用網(wǎng)關(guān) 圖2-2 路由器和應(yīng)用網(wǎng)關(guān)防火墻范例防火墻通常位于等級較高的網(wǎng)關(guān)，如網(wǎng)點(diǎn)與Internet的連接處，但是防火墻系統(tǒng)還可以位于等級較低的網(wǎng)關(guān),以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護(hù)。防火墻基本上是一個(gè)獨(dú)立的進(jìn)程或一組緊密結(jié)合的進(jìn)程，運(yùn)行于路由器或服務(wù)器來控制經(jīng)過防火墻的網(wǎng)絡(luò)應(yīng)用程序的通信流量。上文已提到過的，防火墻一般被放置于公共網(wǎng)絡(luò)(如Internet)入口處，它的功能又相當(dāng)于交通警察。防火墻的作用是確保一個(gè)系統(tǒng)的內(nèi)部網(wǎng)絡(luò)與Internet之間所有的通信均符合該內(nèi)部

15、網(wǎng)絡(luò)的安全方針，它能實(shí)施安全路障并為管理員提供下列問題的答案：(1) 當(dāng)前的網(wǎng)絡(luò)被誰在使用；(2) 使用者在網(wǎng)上做了些什么；(3) 使用者什么時(shí)間使用過網(wǎng)絡(luò)；(4) 使用者上網(wǎng)時(shí)去了那些地方(網(wǎng)站)；(5) 有誰想要上網(wǎng)但沒有成功上網(wǎng)的； (6) 保存相關(guān)的日志記錄。在本質(zhì)上，防火墻被認(rèn)為是兩個(gè)網(wǎng)絡(luò)之間的隔斷，只允許防火墻過濾選定的某些形式的通信或信息通過。防火墻另外一個(gè)重要特性是它具有自身抵抗攻擊的能力：防火墻系統(tǒng)本身應(yīng)不易被入侵攻擊，因?yàn)楣ト敕阑饓徒o攻擊者提供了進(jìn)入內(nèi)部網(wǎng)絡(luò)一個(gè)立足點(diǎn)。所以從安全需求來看，理想的防火墻應(yīng)具備以下功能：(1) 能夠分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，管理和控制網(wǎng)絡(luò)流量；(2

16、) 能夠通過識別、認(rèn)證和授權(quán)對進(jìn)出網(wǎng)絡(luò)的行為進(jìn)行訪問控制；(3) 能夠封堵安全策略禁止的業(yè)務(wù)；(4) 能夠?qū)徲?jì)跟蹤通過的信息內(nèi)容和活動(dòng)；(5) 能夠?qū)W(wǎng)絡(luò)入侵行為進(jìn)行檢測和報(bào)警；(6) 能夠?qū)π枰Ｃ艿男畔⑦M(jìn)行授權(quán)的加密和解密；(7) 能夠?qū)邮盏降臄?shù)據(jù)進(jìn)行完整性校驗(yàn)；(8) 能夠記錄和報(bào)告事件。下面是一個(gè)防火墻在網(wǎng)絡(luò)中的幾個(gè)具體作用。 防火墻是網(wǎng)絡(luò)安全的屏障防火墻作為阻塞點(diǎn)和控制點(diǎn)，首先應(yīng)能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)來降低各種風(fēng)險(xiǎn)。因?yàn)橹挥薪?jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，

17、這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)還能夠保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文，并及時(shí)將相關(guān)的情況報(bào)告防火墻管理員。 防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件和安全認(rèn)證等配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更加方便和經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上，從而提高了便利性。 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)如果所有的訪問都經(jīng)過防火墻，那

18、么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 防止內(nèi)部信息的外泄通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。另外，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻

19、擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以有效隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名和真實(shí)的姓名，用戶的最后登錄時(shí)間和使用shell類型等。而Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線互聯(lián)網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻同樣可通過阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機(jī)的域名和IP地址就不會(huì)被外界所輕易獲取了。 防火墻除了具有安全作用之外，還具有其他方面的作用。例如防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN

20、（虛擬專用網(wǎng)絡(luò)）。可以通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。這樣不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。通過選擇優(yōu)秀的防火墻產(chǎn)品，制定合理恰當(dāng)?shù)陌踩呗?，?nèi)部網(wǎng)絡(luò)可以在很大程度上避免受到入侵和攻擊。但是需要指出的是，當(dāng)前流行的許多錯(cuò)誤概念和觀點(diǎn)經(jīng)常誤導(dǎo)計(jì)算機(jī)用戶。那就是過分夸大某些防火墻產(chǎn)品的功能，認(rèn)為所有的網(wǎng)絡(luò)安全問題都可以通過簡單地配置防火墻來解決，而事實(shí)上網(wǎng)絡(luò)安全問題是層出不窮的，網(wǎng)絡(luò)黑客的操作不具有任何特征，攻擊入侵手段無可預(yù)測。所以當(dāng)單位或者個(gè)人用戶將其與網(wǎng)絡(luò)互聯(lián)時(shí)，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)，但并非全部，許多危險(xiǎn)是在防

21、火墻能力范圍之外的。通過學(xué)習(xí)，筆者在以下的內(nèi)容也將會(huì)介紹如何選擇一款適合用戶使用的防火墻，并且在選擇防火墻時(shí)應(yīng)該注意的事項(xiàng)。2.3 防火墻技術(shù)發(fā)展的簡介防火墻的技術(shù)的演變和發(fā)展，到目前為止，主要有包過濾防火墻、狀態(tài)檢測防護(hù)墻和深度檢測防火墻三種類型，如圖2-3所示。圖2-3 防火墻技術(shù)發(fā)展 包過濾防火墻（Packet Filter Firewall）包過濾防火墻的安全方式是IP地址檢驗(yàn)。在互聯(lián)網(wǎng)上,所有的信息都是以包的形式傳輸 ,包括發(fā)送者的IP地址和接收者的IP地址。網(wǎng)絡(luò)上的路由器會(huì)讀取每一個(gè)信息包中接收方的IP地址，然后選擇不同的通信線路將這些信息包發(fā)送到目的地。所有的信息包抵達(dá)目的地后再

22、被重新組裝還原。這時(shí)位于接收方網(wǎng)絡(luò)出口的包過濾式防火墻會(huì)檢查所有信息包中發(fā)送方的IP地址、接收方的IP地址、TCP端口、TCP鏈路狀態(tài),并按照管理員事先設(shè)定的過濾規(guī)則對信息包進(jìn)行過濾篩選。那些不符合規(guī)定的IP地址會(huì)被防火墻過濾掉,由此來保證網(wǎng)絡(luò)系統(tǒng)的安全。這是一種基于網(wǎng)絡(luò)層的安全技術(shù),對于應(yīng)用層上的黑客行為則無能為力，需要運(yùn)用其他技術(shù)才能夠防御。 狀態(tài)檢測防火墻（Stateful Inspection Firewall）狀態(tài)檢測防火墻出現(xiàn)，并很快成為市場上的絕對領(lǐng)導(dǎo)者，主要有以下原因，包括性能，部署能力和擴(kuò)展能力。這些在90年代中期得到了迅速發(fā)展。1993年，由Check Point公司成功推

23、出了世界上第一臺商用的狀態(tài)檢測防火墻產(chǎn)品。狀態(tài)檢測防火墻工作于OSI模型的傳輸層，與包過濾防火墻相比，狀態(tài)檢測防火墻判斷允許還是禁止數(shù)據(jù)流的依據(jù)也是源IP地址、目的IP地址、源端口、目的端口和通訊協(xié)議等。但與包過濾防火墻不同的是，狀態(tài)檢測防火墻是基于會(huì)話信息做出決策的，而不是基于包信息。狀態(tài)檢測防火墻驗(yàn)證要通過的數(shù)據(jù)包時(shí)，判斷當(dāng)前數(shù)據(jù)包是否符合先前允許的會(huì)話，并在狀態(tài)表中保存這些信息。狀態(tài)檢測防火墻還能阻止基于異常TCP的網(wǎng)絡(luò)層的攻擊行為。網(wǎng)絡(luò)設(shè)備比如路由器，會(huì)將數(shù)據(jù)包分解成更小的數(shù)據(jù)幀，因此狀態(tài)檢測設(shè)備，通常需要進(jìn)行IP數(shù)據(jù)幀的重組，按其原來順序組裝成完整的數(shù)據(jù)包，然后再進(jìn)行其他操作。 深度

24、檢測防火墻（Deep Inspection Firewall）深度檢測防火墻，是將狀態(tài)檢測和應(yīng)用防火墻技術(shù)結(jié)合在一起，以處理應(yīng)用程序的流量，并防范目標(biāo)系統(tǒng)免受各種復(fù)雜的網(wǎng)絡(luò)攻擊的一種防火墻技術(shù)。它結(jié)合了狀態(tài)檢測的所有功能，深度檢測防火墻能夠?qū)?shù)據(jù)流量迅速完成網(wǎng)絡(luò)層級別的分析，并做出訪問控制決策；對于允許通過的數(shù)據(jù)流，根據(jù)應(yīng)用層級別的信息，對負(fù)載做出進(jìn)一步的判斷和決策。深度檢測防火墻深入分析了TCP或UDP數(shù)據(jù)包的內(nèi)容，以便對負(fù)載有總體的認(rèn)識。3 防火墻基礎(chǔ)和分類3.1 防火墻分類防火墻有不同的功能、特性和尺寸。通常認(rèn)為防火墻是專門安置在網(wǎng)絡(luò)中的一種系統(tǒng)或者應(yīng)用來分隔“內(nèi)部”網(wǎng)絡(luò)和“外部”的In

25、ternet。很多家庭或個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)用一種基于應(yīng)用的設(shè)備來提供寬帶，而這些設(shè)備內(nèi)建立了防火墻。一般來說，防火墻可以被劃分為以下兩種通用類型中的一種： (1) 桌面或者個(gè)人電腦防火墻；(2) 網(wǎng)絡(luò)防火墻。這兩種類型的防火墻最主要的區(qū)別可以簡單地認(rèn)為是防火墻所保護(hù)的主機(jī)數(shù)量不同。網(wǎng)絡(luò)防火墻還有一些主要的子類型，包括以下幾種：(1) 報(bào)文過濾防火墻（狀態(tài)化和非狀態(tài)化）；(2) 電路級別網(wǎng)關(guān)；(3) 應(yīng)用級別網(wǎng)關(guān)。以上幾種防火墻描述了通常的防火墻歸類，然而很多網(wǎng)絡(luò)防火墻同時(shí)屬于上述類型中的多種，或者具有以上幾種防火墻的功能，很多實(shí)施的防火墻的特征可能不僅僅屬于一種類型。報(bào)文過濾防火墻報(bào)文過濾防火墻狀

26、態(tài)防火墻個(gè)人防火墻網(wǎng)絡(luò)防火墻防火墻電路級別網(wǎng)關(guān)應(yīng)用級別網(wǎng)關(guān)NAT防火墻狀態(tài)防火墻圖3-1 防火墻分類如圖3-1顯示了目前可用的各種防火墻比較詳細(xì)的分類。雖然本圖沒有提供每種類型防火墻不同功能的全部細(xì)節(jié)，但是列出了兩種通常使用的主要的防火墻分類：桌面/個(gè)人電腦防火墻和網(wǎng)絡(luò)防火墻。借鑒于這些可用的防火墻分類，計(jì)算機(jī)用戶就可以有一個(gè)確定的時(shí)間去準(zhǔn)確認(rèn)定什么樣的防火墻符合他們的需求，從其中選擇一款。很多時(shí)候，價(jià)格是在用戶購買防火墻需要考慮的一個(gè)重要因素，但是如果知道了哪種類型的防火墻適合自己使用，并且這些防火墻提供的哪些功能能幫助用戶，將會(huì)在最后確定購買的時(shí)候讓計(jì)算機(jī)用戶更加心中有數(shù)，不用擔(dān)心選擇了錯(cuò)

27、誤的防火墻。 個(gè)人防火墻個(gè)人電腦防火墻被設(shè)計(jì)用來保護(hù)一個(gè)單一主機(jī)，避免接受未經(jīng)授權(quán)的接入訪問。這種防火墻在近年來發(fā)展迅速，使得現(xiàn)在的防火墻集成增加了一些格外的功能，例如反病毒的軟件監(jiān)控和一些情況下的分析行為和入侵檢測，用來保護(hù)設(shè)備和系統(tǒng)。一些比較流行的商業(yè)個(gè)人防火墻內(nèi)置了BlackICE和Cisco安全代理。在SOHO的市場中，趨勢科技PC-cillin、ZoneAlarm和Symantec公司的防火墻被比較廣泛地使用。微軟的因特網(wǎng)連接防火墻也是屬于大量廣泛使用的個(gè)人防火墻，因?yàn)樗陌惭b是基于運(yùn)行打上了SP2補(bǔ)丁包的WindowsXP設(shè)備。盡管個(gè)人防火墻由于能給終端用戶提供保護(hù)的同時(shí)控制策略而

28、在SOHO和家庭用戶中的口碑非常好，但是對于企業(yè)公司來說，遇到的問題往往更加的復(fù)雜。也許企業(yè)用戶最需要關(guān)心的個(gè)人防火墻有提供集中式策略控制的機(jī)制。在企業(yè)級別的環(huán)境中，集中式策略控制對于最小化管理負(fù)擔(dān)是非常重要的。什么是管理負(fù)擔(dān)？當(dāng)在一個(gè)組織中的防火墻數(shù)量越來越多，網(wǎng)絡(luò)管理員必須對每一臺防火墻的配置和監(jiān)控都非常注意。因此，防火墻越來越多的話，不讓對這些防火墻的管理變得非常繁瑣是十分重要的。通過集中式策略控制和監(jiān)控，很多廠商可以非常簡單地正確地來配置防火墻策略和實(shí)施事件監(jiān)控。 網(wǎng)絡(luò)防火墻顧名思義，網(wǎng)絡(luò)防火墻被設(shè)計(jì)來保護(hù)整個(gè)網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的攻擊。它包羅兩種主要的形式：一種專門的應(yīng)用或者是安裝在主機(jī)

29、操作系統(tǒng)桌面的一套防火墻軟件工具?；趹?yīng)用的網(wǎng)絡(luò)防火墻包括目前比較流行的Cisco PIX防火墻、Cisco ASA，Juniper的NetScreen防火墻、Nokia防火墻和Symantec的企業(yè)版防火墻等。基于軟件的防火墻包括比較流行的Check Point的Firewall-1 NG和NGX防火墻、微軟的ISA服務(wù)器、Linux的IPTables等。很多網(wǎng)絡(luò)防火墻提供給企業(yè)用戶在防火墻系統(tǒng)中最大的伸縮性和保護(hù)性能。這些防火墻在過去的幾年中增加了很多新的特性和功能，比如說線路內(nèi)沖突檢測和避免機(jī)制，就像虛擬專用網(wǎng)（VPN）在LAN到LAN的VPN和遠(yuǎn)程用戶接入VPN中提供的一樣。在網(wǎng)絡(luò)防火

30、墻中需要介紹的另一種特性是深度報(bào)文檢查能力。防火墻可以不僅僅通過第三層或者第四層信息去標(biāo)識流量請求，還可以通過研究應(yīng)用數(shù)據(jù)去確定怎樣捆綁流量最好。這種在防火墻設(shè)計(jì)和功能上的改進(jìn)引導(dǎo)了新的防火墻產(chǎn)品的發(fā)展，那就是集成的防火墻，這將在以后的內(nèi)容中介紹到。3.2 防火墻產(chǎn)品從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件類防火墻和應(yīng)用類防火墻以及綜合類防火墻?，F(xiàn)在市面上各種不同的防火墻產(chǎn)品是多不勝舉，本節(jié)中主要介紹比較三種基本的物理防火墻：基于軟件的防火墻、基于應(yīng)用的防火墻和基于集成的綜合防火墻?；谲浖姆阑饓?，就如前面所提及到的，基本上是運(yùn)行在某商業(yè)化操作系統(tǒng)之上，如我們一般經(jīng)常用到的微軟的W

31、indows系統(tǒng)。基于應(yīng)用的防火墻則是一種為實(shí)現(xiàn)某種目的而設(shè)計(jì)出來的硬件設(shè)備，將過濾和檢查程序內(nèi)嵌于其硬件中定制的或者穩(wěn)定的操作系統(tǒng)之中。這一類的防火墻包括Cisco公司的PIX防火墻產(chǎn)品和Juniper的NetScreen防火墻等等。最后要介紹的是基于綜合集成的防火墻，從某種程度上說，它就是基于其他傳統(tǒng)的防火墻產(chǎn)品的一種合成產(chǎn)品。盡管在過去，多種安全設(shè)備，比如說防火墻，VPN和入侵檢測系統(tǒng)都是基于不同的設(shè)備，但是目前該產(chǎn)品的運(yùn)作趨勢是把上述的三種設(shè)備集成于同一個(gè)硬件平臺。這樣合成的好處之一在于可以減少日常需要管理的設(shè)備數(shù)量，使得對設(shè)備必要的配置和管理的工作量大大降低。這種集成的防火墻例子有C

32、isco的ASA和TippingPointX505這樣的設(shè)備。 軟件類防火墻軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Check Point的NG。另外還有Sun的SunScreen防火墻、IPF、微軟ISA服務(wù)器、Gauntlet、Linux的IPTables和FreeBSD，以及開放式BSD的pf報(bào)文過濾。通常，廠商的防火墻軟件套裝也包括了必須被實(shí)施，以使所使用的操作系統(tǒng)對攻擊的防護(hù)

33、更新堅(jiān)固的最新補(bǔ)丁和配置修改，或者包括了內(nèi)核升級或驅(qū)動(dòng)程序來保證防火墻可以更加出色地工作。這類防火墻的一個(gè)主要的優(yōu)勢在于可以給它們分配多種基于不同目的的特征。舉例來說，一個(gè)防火墻也可以是一個(gè)域名系統(tǒng)（DNS）服務(wù)器或者是一個(gè)郵件過濾系統(tǒng)。軟件防火墻比起應(yīng)用防火期來說，讓它們實(shí)施多目的的任務(wù)更加方便和簡單。另外使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。這些防火墻的一個(gè)非常致命的缺陷就是在實(shí)施的時(shí)候需要考慮到操作系統(tǒng)潛在的弱點(diǎn)。比如說，在SunScreen和微軟ISA防火墻中要考慮到它們的安裝必須分別基于Solaris或者Windows2000/2003的操作系統(tǒng)平臺。當(dāng)操作系統(tǒng)發(fā)現(xiàn)

34、一個(gè)新的弱點(diǎn)或者漏洞后，管理員必須決定是要安裝廠商提供的補(bǔ)丁包還是之后再安裝，因?yàn)檫@可能會(huì)對防火墻造成潛在的負(fù)面的影響。什么是補(bǔ)丁包的潛在影響？可能在安裝了補(bǔ)丁包之后，防火墻不能正確地工作。在很多情況下，廠商（操作系統(tǒng)制造商，或防火墻軟件制造商）都會(huì)測試補(bǔ)丁包和防火墻軟件的兼容性，或者通告推薦安裝的版本，或者提醒謹(jǐn)慎安裝補(bǔ)丁包。另外，在一個(gè)企業(yè)環(huán)境中，防火墻軟件可能有時(shí)會(huì)在系統(tǒng)組和網(wǎng)絡(luò)組之間越過“政治”上的界限。需要解決“誰擁有這個(gè)盒子？”的問題。系統(tǒng)組可能會(huì)宣稱那些被安裝好的操作系統(tǒng)是屬于他們的；同樣的，網(wǎng)絡(luò)組可能表示防火墻系統(tǒng)的工作是在他們的管理之下。這樣的問題可能會(huì)在很大規(guī)模的環(huán)境中出現(xiàn)

35、。軟件防火墻最主要的優(yōu)勢在于可以在日常使用的硬件上運(yùn)行，如果這些防火墻軟件出現(xiàn)問題，那么硬件的相關(guān)部分就直接復(fù)位；其最大的缺點(diǎn)卻是防火墻軟件制作商和操作系統(tǒng)制造商在某問題導(dǎo)致防火墻軟件或操作系統(tǒng)故障的時(shí)候可能會(huì)相互指責(zé)。當(dāng)然，如果防火墻制造商和操作系統(tǒng)制造商是同一個(gè)廠商，這個(gè)問題就可以完全避免了，就像基于Linux的防火墻、微軟ISA服務(wù)器、或者是在OpenBSD上運(yùn)行的OpenBSD的IPF。軟件防火墻的其他方面的缺陷還包括它需要有適合的后臺操作系統(tǒng)、保持操作系統(tǒng)打了最新的補(bǔ)丁和潛在的有缺陷的執(zhí)行力，這是因?yàn)槟壳暗牟僮飨到y(tǒng)都不是一個(gè)高操作性的環(huán)境。最后，軟件防火墻往往不如基于應(yīng)用的防火墻那樣

36、能運(yùn)行得很流暢，因?yàn)橥ǔ＿\(yùn)行軟件防火墻的操作系統(tǒng)的最高操作性能都不如硬件防火墻。在一些更小的環(huán)境中，上述問題通常不考慮，因?yàn)橄到y(tǒng)組和網(wǎng)絡(luò)組并不是分開的單獨(dú)部門。同樣，軟件防火墻對于家庭計(jì)算機(jī)用戶只需要較低的成本，因而對技術(shù)要求不高的環(huán)境來說非常的使用。通常對更多家庭計(jì)算機(jī)用戶而言，一些基于應(yīng)用的低端防火墻（如Linksys、D-Link和NETGEAR）能提供給用戶的好處更多，因?yàn)檫@些防火墻的設(shè)置簡單且維護(hù)的要求比較低。 應(yīng)用類防火墻應(yīng)用防火墻是把防火墻內(nèi)建在專門定制的硬件（有時(shí)甚至是常用的硬件）之上，用來對網(wǎng)絡(luò)提供防火墻服務(wù)。應(yīng)用防火墻包括從Cisco PIX、NetScreen、Sonic

37、Wall工具、WatchGuard Fireboxes、Nokia防火墻一直到低端的用于家庭用戶的linksys、D-Link和NETGEAR。這些防火墻并不需要專門定制的操作系統(tǒng)。它們可以是一個(gè)有高用戶自定義能力的普通操作系統(tǒng)的某些版本，如WatchGuard使用Linux、Nokia使用FreeBSD作為它們基于的操作系統(tǒng)。在很多情況下，應(yīng)用防火墻相對軟件防火墻來說可以提供更好的實(shí)施性，因?yàn)樗鼈兓诳勺远x的操作系統(tǒng)，并且使用專用的處理器和專用集成電路（ASICs）來處理數(shù)據(jù)的接收和發(fā)送（I/O）的請求。另外，這些防火墻也許還有一個(gè)好處，就是通過移除了軟件防火墻需要的硬盤（或者某些情況需要

38、的磁盤），所以應(yīng)用防火墻幾乎沒有需要移動(dòng)的組件。當(dāng)防火墻越來越成熟也越來越復(fù)雜的時(shí)候，應(yīng)用防火墻和軟件防火墻之間的隔閡也戲劇性地變得越來越小了。很多應(yīng)用防火墻所擁有的特性也有選擇地被軟件防火墻所具有。也許應(yīng)用防火墻最主要的優(yōu)勢在于有技術(shù)支持。正如上面提及的，對于軟件防火墻來說至少和三家制造商（也許更多）有關(guān)系：硬件制造商、操作系統(tǒng)制造商和防火墻軟件制造商。所以當(dāng)很多不同的部門都參與一個(gè)具體設(shè)備的提供的話，那么如果出現(xiàn)什么問題以后就會(huì)出現(xiàn)相互指責(zé)的現(xiàn)象。但對于應(yīng)用防火墻來說，整個(gè)設(shè)備的制造商一般都只是一家。如果發(fā)生故障，這個(gè)惟一的廠商就會(huì)被通知要去解決這些故障或問題。其他一些應(yīng)用防火墻典型的好處

39、是優(yōu)良且全面的可實(shí)施性、防火墻操作系統(tǒng)中嚴(yán)格的安全特性且與商業(yè)化軟件防火墻比起來有較低的總成本。單一的廠商去處理防火墻故障的缺點(diǎn)在于如果該廠商選擇停止當(dāng)前使用的某種特定模式的防火墻的生產(chǎn)，那么很可能該廠商在將來的商業(yè)競爭中就不能立足（或者因?yàn)槠飘a(chǎn)或競爭），以及如果在防火墻軟件中發(fā)現(xiàn)一個(gè)程序缺陷（或者操作系統(tǒng)中發(fā)現(xiàn)）的話，廠商需要確定什么時(shí)候或者是否要發(fā)行相應(yīng)的補(bǔ)丁包。基于應(yīng)用的防火墻的其他缺陷在于可能會(huì)缺乏一些基于軟件的防火墻可以提供的高級特性和功能。這種防火墻相對于基于軟件的防火墻來說也很難提供額外的安全功能，如郵件控制。對基于軟件的防火墻來說額外添加一個(gè)應(yīng)用只是一件小事，可以輕易地安裝新的

40、應(yīng)用，但是基于應(yīng)用的防火墻通常需要額外的實(shí)施硬件來提供相同的功能，這就增加了這種潛在解決方案實(shí)施的復(fù)雜性。 綜合類防火墻 綜合集成的防火墻是一種多用途設(shè)備，它在傳統(tǒng)的防火墻中集成了其他的特性和功能，如遠(yuǎn)程接入VPN、LAN到LAN的VPN、入侵檢測或防護(hù)、郵件過濾和反病毒過濾。這些設(shè)備被設(shè)計(jì)來提供“多合一”的接入，即是把需要在網(wǎng)絡(luò)邊緣實(shí)施的安全的所有功能集成在同一個(gè)設(shè)備中，而不同實(shí)施多個(gè)設(shè)備。綜合集成的防火墻的好處在于通過減少網(wǎng)絡(luò)中設(shè)備的數(shù)量來簡化網(wǎng)絡(luò)設(shè)計(jì)，同時(shí)也提供了單一系統(tǒng)的管理，從而減少了網(wǎng)絡(luò)部門員工的管理負(fù)擔(dān)。另一個(gè)優(yōu)勢在于相對使用多廠商的多個(gè)設(shè)備來說，這樣潛在地減少了設(shè)備的成本。實(shí)施

41、這樣的設(shè)備的最大的問題就是如果出現(xiàn)故障的話，會(huì)導(dǎo)致很多方面的隱患。另外，對于這樣一個(gè)復(fù)雜的設(shè)備而言，很難去排查其連接性問題，因?yàn)樵谠O(shè)備中的功能會(huì)相互影響，無法判斷其對基本的防火墻功能的影響。盡管綜合集成的防火墻可以很大地降低購買者的成本（TCO），但是潛在的成本可能會(huì)很高。如果一臺綜合集成的防火墻比只提供其中單一功能的設(shè)備成本要高很多，而它的成本效益很低的話，那么用戶可能不會(huì)決定購買一臺綜合集成防火墻，而選擇其他類型的防火墻了。3.3 防火墻技術(shù) 根據(jù)防火墻使用的技術(shù)原理又可將防火墻分為好幾種類型，本小節(jié)的內(nèi)容主要是介紹各種使用不同技術(shù)的防火墻，以及它們是如何進(jìn)行工作的。重點(diǎn)放在那些使用不同類

42、型設(shè)備的底層技術(shù)。在某種情況下，討論的一種技術(shù)可能被多種類型的防火墻所使用。本節(jié)主要介紹的是較為寬泛的防火墻技術(shù)，具體包括以下幾種：(1) 個(gè)人防火墻；(2) 報(bào)文過濾防火墻；(3) 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）防火墻；(4) 電路級別防火墻；(5) 代理防火墻；(6) 狀態(tài)防火墻；(7) 透明防火墻；(8) 虛擬防火墻。之前我們提到的防火墻分為三種產(chǎn)品：基于軟件的、基于應(yīng)用的和基于集成的。本節(jié)所要討論研究的防火墻技術(shù)可能都會(huì)用到這三類物理防火墻，這些技術(shù)能讓我們輕易地定義多種風(fēng)格共存的防火墻。舉個(gè)例子來說，一臺應(yīng)用防火墻可能進(jìn)一步被量化成一臺狀態(tài)防火墻。調(diào)查和討論這些防火墻技術(shù)可以讓我們了解到這些

43、技術(shù)的差別和不同之處，并且可以把防火墻進(jìn)行擴(kuò)展，從而使用這些技術(shù)。接下來的每一個(gè)小節(jié)中都會(huì)著重介紹防火墻作為一臺網(wǎng)絡(luò)安全設(shè)備功能的實(shí)施。在這里不討論防火墻的冗余能力、操作和具體的管理和設(shè)置。下面我將比較深入地介紹這些不同防火墻的相關(guān)細(xì)節(jié)。 個(gè)人防火墻個(gè)人防火墻是為了保護(hù)單一主機(jī)而設(shè)計(jì)的，它們可以被看成是主機(jī)系統(tǒng)堅(jiān)固的外殼，無論是服務(wù)器、桌面電腦還是筆記本電腦。通常，個(gè)人防火墻都采取從該系統(tǒng)離開的流量都得到允許而入站流量都需要檢查的工作方式。默認(rèn)情況下，個(gè)人防火墻包括了多種形式，讓系統(tǒng)能發(fā)現(xiàn)所有典型的流量。比如說，ZoneAlarm防火墻有低、中、高三種設(shè)置方式，相應(yīng)地允許幾乎所有流量、選擇流量

44、和幾乎不允許流量穿越被保護(hù)的系統(tǒng)。同樣的思路，對于IPTables防火墻，你可以設(shè)置一臺個(gè)人防火墻去扮演網(wǎng)絡(luò)防火墻的角色，在Linux系統(tǒng)中進(jìn)行安裝時(shí)，允許安裝者去選擇系統(tǒng)保護(hù)等級和自定義某些應(yīng)用端口不被防火墻干涉。需要重點(diǎn)考慮的一點(diǎn)是個(gè)人防火墻是集中式管理的。一些制造商會(huì)在每臺終端系統(tǒng)實(shí)施一道重要的屏障，使得必須進(jìn)行集中化管理，從而使策略可以遠(yuǎn)程設(shè)置和應(yīng)用于終端系統(tǒng)，并且可以在他們的產(chǎn)品中實(shí)施這樣的功能。大型企業(yè)會(huì)考慮是否要采用個(gè)人防火墻技術(shù)去保護(hù)他們的系統(tǒng)，因?yàn)檫@種防火墻很難做到維持在整個(gè)企業(yè)環(huán)境中使用一致的防火墻策略。 報(bào)文過濾防火墻報(bào)文過濾這種網(wǎng)絡(luò)設(shè)備（或稱為策略）是基于簡單的報(bào)文特征

45、進(jìn)行流量過濾的。這些設(shè)備通常都是無狀態(tài)的，所以不會(huì)針對各種穿越它們的流量維護(hù)一張連接狀態(tài)表。為了允許雙向的流量穿越，這些設(shè)備或策略必須配置允許返回的流量。簡單的報(bào)文過濾包括Cisco的IOS訪問控制列表和Linux的ipfwadm工具在內(nèi)的很多設(shè)備或策略。盡管這些過濾針對多種威脅提供保護(hù)，但是它們并沒有被認(rèn)為是真正的防火墻。它們主要的工作是在限制入站流量的同時(shí)提供無限制的出站流量和已經(jīng)建立連接的回復(fù)。范例3-1列出了一個(gè)用于流量過濾的簡單的訪問控制列表。這個(gè)列表是針對圖3-2中具體的網(wǎng)絡(luò)環(huán)境的。這個(gè)訪問控制列表應(yīng)用于這個(gè)連接LAN和因特網(wǎng)的過濾設(shè)置的入站方向。范例3-1 簡單的訪問控制列表ac

46、cess list 101 permit icmp any .255 echo replyaccess list 101 permit icmp any .255 ttl exceededaccess list 101 permit tcp any .255 ttl establishedaccess list 101 permit udp any host 00 eq 53access list 101 permit udp any eq 85.0 .255

47、圖3-2 簡單訪問控制列表示例網(wǎng)絡(luò)注意到針對DNS（53/UDP）和NTP（123/TCP）的入站回復(fù)流量明確記錄在了該過濾列表之中，同時(shí)Internet控制報(bào)文協(xié)議（ICMP）的回復(fù)和生存時(shí)間（TTL）超出回用也記錄在了該列表之中。除了這些狀態(tài)報(bào)文，其他的報(bào)文甚至是起源于被保護(hù)LAN中的回復(fù)報(bào)文都將會(huì)被阻止。最后注意下面的規(guī)則:access list 101 permit tcp any .255 ttl established這條規(guī)則對于允許從任何外部系統(tǒng)到/24的回復(fù)流量都是必需的，只要回復(fù)的流量的TCP ACK位被設(shè)置了。因?yàn)榈湫偷?/p>

48、報(bào)文過濾沒有任何狀態(tài)化的能力去檢查出站的流量和動(dòng)態(tài)生成允許出站流量的回復(fù)進(jìn)入的規(guī)則。圖3-3描述了一個(gè)簡單的報(bào)文過濾防火墻。圖3-3 報(bào)文過濾防火墻 NAT防火墻一種短期存在的特殊的防火墻是網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）防火墻。在今天的防火墻市場上，幾乎所有的防火墻都支持NAT。從Linksys的BEFSX41這樣最低端的SOHO防火墻到高端的企業(yè)級別的PIX535，都對NAT有很好的支持。NAT防火墻自動(dòng)提供對防火墻后方系統(tǒng)的保護(hù)，因?yàn)樗鼈冎辉试S從防火墻內(nèi)部起源的流量。NAT的基本目的是使得多個(gè)內(nèi)部網(wǎng)絡(luò)的流量可以通過使用單一的或者一小段IP地址訪問到廣域網(wǎng)絡(luò)（既Internet）。NAT防火墻在緩存

49、中建立一張表，這張表包括了能被防火墻看到的連接信息。這張表將內(nèi)部系統(tǒng)的地址映射為一個(gè)外部地址。在NAT防火墻上支持通過端口號映射的方式使得能用單一的地址去替換整個(gè)防火墻后面的網(wǎng)絡(luò)。比如說，考慮圖3-4中描述的系統(tǒng)圖3-4 NAT防火墻在NAT防火墻“內(nèi)部” 。NAT防火墻配置將整個(gè)/24的網(wǎng)絡(luò)轉(zhuǎn)換成5這個(gè)單一地址。當(dāng)這個(gè)防火墻發(fā)現(xiàn)出站連接，它重寫流量中的IP層的信息，用單一的IP地址5去代替和。在防火墻內(nèi)部，它維護(hù)一張表，這張表記錄下了對流量的跟蹤和對和192

50、.168.1.2到5這個(gè)地址的轉(zhuǎn)換。防火墻通過這種方法去惟一標(biāo)識一個(gè)給定的連接的網(wǎng)絡(luò)槽（socket）。在圖3-4的例子中，有兩個(gè)獨(dú)立的槽：：3844和：4687.當(dāng)這些流量經(jīng)過防火墻時(shí)，NAT發(fā)起一個(gè)進(jìn)程去用5代替192.168.1的網(wǎng)絡(luò)地址。表3-1描述了這個(gè)過程。表3-1 網(wǎng)絡(luò)地址轉(zhuǎn)換源IP源端口Port NAT IPNAT端口目的IP目的端口3844384480468746878046876344080表中的最后一個(gè)條目說明當(dāng)一個(gè)特定的源端口已經(jīng)被前面的連接所使用時(shí)，NAT防火墻怎樣工作。在這樣

51、的情況下，客戶嘗試發(fā)起對Web服務(wù)器4的第二個(gè)連接。該客戶在TCP端口4687上打開一個(gè)連接，但是在防火墻上的TCP端口4687已經(jīng)被另一個(gè)客戶所使用。這樣一來，NAT防火墻不僅要轉(zhuǎn)換源IP地址，還要轉(zhuǎn)換源端口，并且在它的轉(zhuǎn)換表中記錄這個(gè)映射。 電路級別防火墻電路級別的防火墻工作在OSI模型的會(huì)話層，它通過監(jiān)控報(bào)文之間的“握手”去確定流量是否合法。指向遠(yuǎn)程計(jì)算機(jī)的訪問流量將會(huì)被修改，讓那些流量看上去好像是從電路防火墻起源的一樣。這樣的修改使電路級別的防火墻通常被用來隱藏被保護(hù)網(wǎng)絡(luò)的信息，它的缺點(diǎn)是不能過濾掉給定連接的單個(gè)報(bào)文。

52、圖3-5給出了一個(gè)電路級別防火墻的例子。圖3-5 電路級別防火墻 代理防火墻代理防火墻和電路級別網(wǎng)關(guān)一樣，它在兩個(gè)終端系統(tǒng)之間扮演中間媒介的角色。然而，代理防火墻的工作是在應(yīng)用層執(zhí)行的，如圖3-6所示。代理防火墻工作在OSI模型的應(yīng)用層，通過強(qiáng)制兩端的連接會(huì)話通過代理去引導(dǎo)完成通信。它通過在防火墻上創(chuàng)建和運(yùn)行一個(gè)進(jìn)程去映射一個(gè)服務(wù)，而這個(gè)服務(wù)看上去像是運(yùn)行在終端系統(tǒng)中。為了能支持各種不同的服務(wù)，代理防火墻必須為每種協(xié)議運(yùn)行特定的服務(wù)：一個(gè)簡單郵件傳輸協(xié)議（SMTP）代理用于E-mail、一個(gè)文件傳輸協(xié)議（FTP）代理用于文件傳輸、一個(gè)超文本傳輸協(xié)議（ ）代理用于Web服務(wù)。圖3-6 代理防火墻

53、當(dāng)一個(gè)客戶想要連接到Internet上的一種服務(wù)的時(shí)候，在流量被傳輸?shù)侥繕?biāo)系統(tǒng)之前，針對該特定協(xié)議的代理服務(wù)啟動(dòng)一個(gè)進(jìn)程去相應(yīng)那些請求連接的報(bào)文。Internet上的服務(wù)器返回的報(bào)文在到達(dá)內(nèi)部系統(tǒng)之前也被同樣的代理服務(wù)處理。在很多代理防火墻中，不一定非要使用特定的、為流量量身定做的服務(wù)，可以使用一種通用的代理服務(wù)。但是，并不是所有的服務(wù)都可以使用這種通用代理。如果在防火墻中針對某種特定的服務(wù)沒有代理能力，或可能某種服務(wù)被針對外部服務(wù)器的連接所使用，再或者防火墻利用其他的技術(shù)，例如使用電路級別過濾去過濾連接。從對報(bào)文的檢查能力方面來講，代理服務(wù)器可以深入檢查一個(gè)連接的報(bào)文，進(jìn)而應(yīng)用額外的規(guī)則去確

54、定一個(gè)報(bào)文是否可以轉(zhuǎn)發(fā)到一臺內(nèi)部主機(jī)。然而，復(fù)雜的配置和反應(yīng)速度是代理防火墻的缺點(diǎn)和劣勢所在。這種防火墻會(huì)深入檢查應(yīng)用報(bào)文，這將在網(wǎng)絡(luò)連接中加入延遲。最后，如果針對某特定的應(yīng)用沒有指定的代理服務(wù)，該防火墻也不能通過使用通用代理服務(wù)來工作的話，就不能通過其他方式實(shí)施過濾了，因?yàn)椴荒茉谠摲阑饓竺鎸?shí)施策略。很多目前使用的防火墻都包括基本的代理服務(wù)構(gòu)架，有可以實(shí)施一部分形式的代理服務(wù)的能力。舉例來說，PIX OS 6和更早一些的設(shè)備有fixup命令，IPF能夠提供FTP代理服務(wù)去處理活躍的FTP連接。 狀態(tài)防火墻目前的狀態(tài)防火墻結(jié)合了NAT防火墻、電路級別防火墻和代理防火墻的功能和特性。這些防火墻最

55、初過濾流量是基于報(bào)文特征，就像報(bào)文過濾防火墻，同時(shí)也包括了用會(huì)話檢查去確定被允許的特定會(huì)話。和代理防火墻和電路級別防火墻不同的是，狀態(tài)防火墻通常被設(shè)計(jì)得更加透明化（就像報(bào)文過濾和NAT）。然而，這種防火墻通過檢查應(yīng)用層數(shù)據(jù)和使用特定的服務(wù)也實(shí)現(xiàn)了代理過濾的功能。這種特性最好的例子就是PIX的應(yīng)用檢查能力（通過在PIX OS 6中使用fixup命令或者在PIX OS 7中使用inspect命令），這種能力允許PIX支持FTP、SMTP、H.323和其他很多協(xié)議。圖3-7描述了狀態(tài)防火墻。圖3-7 狀態(tài)防火墻狀態(tài)防火墻比起其他單一能力的防火墻來說要復(fù)雜得多，然而幾乎所有目前市面上的防火墻都是狀態(tài)防

56、火墻，受到企業(yè)和計(jì)算機(jī)用戶的青睞，并且這也成了今天網(wǎng)絡(luò)安全的標(biāo)志。 透明防火墻透明防火墻（也稱作橋接防火墻）并不完全是一種新型的防火墻，更恰當(dāng)?shù)卣f，應(yīng)該是狀態(tài)防火墻的一種。不同于工作在IP層或更高層的其他防火墻，透明防火墻工作在OSI的第二層數(shù)據(jù)鏈路層，監(jiān)控第三層及第三層以上層次的流量。另外，透明防火墻可以像其他狀態(tài)防火墻一樣應(yīng)用報(bào)文過濾規(guī)則，這些行為對終端用戶來講是不可見的。從本質(zhì)上講，透明防火墻在兩個(gè)網(wǎng)絡(luò)分段之間扮演過濾網(wǎng)橋的角色。它提出了一種很好的辦法在網(wǎng)絡(luò)分段之間應(yīng)用安全策略，而不需要使用到NAT過濾。透明網(wǎng)橋的優(yōu)勢可以大體分為三類：(1) 零配件；(2) 性能；(3) 行為的秘密性。透明防火墻的實(shí)施不需要對現(xiàn)有網(wǎng)絡(luò)進(jìn)行修改，如此簡單的原因是透明橋接防火墻通過插入被保護(hù)網(wǎng)絡(luò)來進(jìn)行工作。因?yàn)樗ぷ饔跀?shù)據(jù)鏈路層，對IP地址的修改沒有要求。這種防火墻可以在低安全性和高安全性的網(wǎng)絡(luò)分段之間實(shí)施，或者僅根據(jù)需要用于保護(hù)一臺單一的主機(jī)。因?yàn)橥该鞣阑饓ν绕渌牡谌龑蛹暗谌龑右陨蠈哟蔚姆阑饓唵危云溥M(jìn)程管理上的花費(fèi)也相對較低。較低的管理花費(fèi)使這些防火墻可以提供更好的性能，如更深入的報(bào)文檢查