第五章防火墻技術(shù)基礎(chǔ)

第五章防火墻技術(shù)基礎(chǔ)由于系統(tǒng)的安全性是由它的最薄弱環(huán)節(jié)決定，因此，安全范圍必須是整個(gè)系統(tǒng)性的。例如，在某個(gè)大企業(yè)的內(nèi)部網(wǎng)絡(luò)中，含有許多不同品牌和型號(hào)的機(jī)器，而這些機(jī)器的操作系統(tǒng)和應(yīng)用程序又是千差萬(wàn)別。它們?cè)偻ㄟ^(guò)不同供應(yīng)商提供的不同性能和容量的網(wǎng)絡(luò)設(shè)備和路由器連接起來(lái)。在這樣不同種類、不斷變化的環(huán)境中，檢測(cè)整個(gè)系統(tǒng)和確保所有部件的安全是相當(dāng)費(fèi)時(shí)和復(fù)雜的。

防火墻的基本知識(shí) 防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過(guò)濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。防火墻的基本功能（1）防火墻能有效地記錄因特網(wǎng)上的活動(dòng)（2）防火墻限制暴露用戶點(diǎn)（3）防火墻是一個(gè)安全策略的檢查站（4）建立一個(gè)節(jié)流點(diǎn)。防火墻作為中心控制點(diǎn)，易于實(shí)現(xiàn)和更新公司的安全策略。它能為網(wǎng)絡(luò)提供安全的單訪問(wèn)點(diǎn)。所以用戶可以在一個(gè)地方改變?cè)O(shè)置而無(wú)需改動(dòng)每臺(tái)機(jī)器。防火墻能在網(wǎng)絡(luò)范圍內(nèi)加強(qiáng)安全，比如防止網(wǎng)絡(luò)中的每個(gè)人都有權(quán)訪問(wèn)某些Internet資源。

防火墻在因特網(wǎng)與內(nèi)部網(wǎng)中的位置

防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計(jì)劃和安全策略中的定義來(lái)保護(hù)其后面的網(wǎng)絡(luò)。它應(yīng)該滿足以下條件：（1）所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過(guò)防火墻。（2）所有穿過(guò)防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)。（3）理論上說(shuō)，防火墻是穿不透的。防火墻的不足之處（1）防火墻不能防范不通過(guò)它的連接

如果網(wǎng)絡(luò)具有其他聯(lián)接方式，比如一臺(tái)WindowsPC使用一臺(tái)調(diào)制解調(diào)器通過(guò)ISP聯(lián)到Internet上，因?yàn)檫B接不經(jīng)過(guò)防火墻，因此繞過(guò)了防火墻提供的安全控制。

（2）防火墻不能防備全部的威脅

防火墻不能防止許多常見的Internet問(wèn)題，如病毒和特洛伊木馬。

從物理角度看，各站點(diǎn)防火墻物理實(shí)現(xiàn)的方式有所不同。許多人認(rèn)為防火墻是一臺(tái)機(jī)器，有一些網(wǎng)絡(luò)是這種情況。然而，防火墻這一術(shù)語(yǔ)和所執(zhí)行的功能關(guān)系更緊密一些，而不是指物理設(shè)備。防火墻可以是一組硬件設(shè)備，即路由器、主計(jì)算機(jī)或者是路由器、計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合。但是也有純軟件防火墻，如天網(wǎng)個(gè)人防火墻。防火墻相關(guān)術(shù)語(yǔ)防火墻通常由多個(gè)不同的部分組成,包括包過(guò)濾器(packetfilters)、代理(proxies)和主機(jī)(hosts)等。我們需要了解這些概念,以及網(wǎng)絡(luò)地址翻譯和操作系統(tǒng)硬化的含義。

包過(guò)濾器包過(guò)濾器在包對(duì)包的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)流量的處理。它們只在OSI參考模型的網(wǎng)絡(luò)層工作,因此,它們能夠準(zhǔn)許或阻止IP地址和端口，并且能夠在標(biāo)準(zhǔn)的路由器上以及專門的防火墻設(shè)備上執(zhí)行。一個(gè)純包過(guò)濾器只關(guān)注下列信息:源IP地址

、目標(biāo)IP地址、源端口、目標(biāo)端口、包類型 包過(guò)濾器的一個(gè)基本例子就是位于Internet

和內(nèi)部網(wǎng)絡(luò)之間的路由器，它根據(jù)數(shù)據(jù)包的來(lái)源、目的地址和端口來(lái)過(guò)濾。這樣的路由器被稱為篩分路由器(screeningrouter)。

標(biāo)準(zhǔn)路由器和篩分路由器的不同之處在于二者檢查報(bào)文的方式。普通路由器只是查看IP地址并把報(bào)文發(fā)送到至目的地的正確路徑上。篩分路由器檢查報(bào)文頭，不僅要決定怎樣對(duì)其進(jìn)行路由，還要基于一些規(guī)則決定是否應(yīng)對(duì)其進(jìn)行路由。 包過(guò)濾系統(tǒng)只能讓我們進(jìn)行類似以下情況的操作： （1）允許或不允許用戶從外部網(wǎng)用Telnet登錄； （2）允許或不允許用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件； （3）允許或不允許某個(gè)IP通過(guò)NNTP往內(nèi)部網(wǎng)發(fā)新聞。

包過(guò)濾不能允許我們進(jìn)行如下的操作：（1）允許某個(gè)用戶從外部網(wǎng)用Telnet登錄而不允許其它用戶進(jìn)行這種操作。（2）允許用戶傳送一些文件而不允許用戶傳送其它文件。

包過(guò)濾的優(yōu)點(diǎn) 包過(guò)濾方式有許多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是僅用一個(gè)放置在重要位置上的包過(guò)濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò)。如果我們的站點(diǎn)與因特網(wǎng)間只有一臺(tái)路由器，那么不管站點(diǎn)規(guī)模有多大，只要在這臺(tái)路由器上設(shè)置合適的包過(guò)濾，我們的站點(diǎn)就可獲得很好的網(wǎng)絡(luò)安全保護(hù)。

包過(guò)濾的缺點(diǎn)（1）在機(jī)器中配置包過(guò)濾規(guī)則比較困難；（2）對(duì)系統(tǒng)中的包過(guò)濾規(guī)則的配置進(jìn)行測(cè)試也較麻煩；（3）許多產(chǎn)品的包過(guò)濾功能有這樣或那樣的局限性，要找一個(gè)比較完整的包過(guò)濾產(chǎn)品比較困難。

包過(guò)濾路由器的配置 在配置包過(guò)濾路由器時(shí)，我們首先要確定哪些服務(wù)允許通過(guò)而哪些服務(wù)應(yīng)被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過(guò)濾規(guī)則。 下面給出將有關(guān)服務(wù)翻譯成包過(guò)濾規(guī)則時(shí)非常重要的幾個(gè)概念。（1）協(xié)議的雙向性。

協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個(gè)請(qǐng)求而另一方返回一個(gè)應(yīng)答。在制定包過(guò)濾規(guī)則時(shí)，要注意包是從兩個(gè)方向來(lái)到路由器的。

（2）“往內(nèi)”與“往外”的服務(wù)的含義。在我們制定包過(guò)濾規(guī)則時(shí)，必須準(zhǔn)確理解“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務(wù)這幾個(gè)詞的語(yǔ)義。

（3）“默認(rèn)允許”與“默認(rèn)拒絕”。網(wǎng)絡(luò)的安全策略中的有兩種方法：默認(rèn)拒絕與默認(rèn)允許:

拒絕所有的信息傳輸在這種情況下,將指定準(zhǔn)許進(jìn)出網(wǎng)絡(luò)的某些類型的信息傳輸。準(zhǔn)許所有的信息傳輸在這種情況下,將指定你要拒絕的某些類型的信息傳輸。從安全角度來(lái)看，用默認(rèn)拒絕應(yīng)該更合適。

包過(guò)濾器操作（l）由于包過(guò)濾器是一臺(tái)按照預(yù)先設(shè)定的內(nèi)容對(duì)每一個(gè)包進(jìn)行檢查的設(shè)備，因此，必須告訴包過(guò)濾器阻塞什么,準(zhǔn)許什么。這些包過(guò)濾標(biāo)準(zhǔn)必須由包過(guò)濾設(shè)備端口存儲(chǔ)起來(lái)，叫做包過(guò)濾規(guī)則。（2）包過(guò)濾器規(guī)則以特定的方式存儲(chǔ)，比如包過(guò)濾器使用由安全管理員已經(jīng)建立好的文本文件。這個(gè)文本文件由逐行順序讀取的一些規(guī)則組成。每一個(gè)規(guī)則包含明確的條目來(lái)幫助決定流入的包將如何被處理。

（3）當(dāng)包到達(dá)端口時(shí)，對(duì)包的報(bào)頭進(jìn)行語(yǔ)法分析，大多數(shù)包過(guò)濾設(shè)備只檢查IP、TCP或UDP報(bào)頭中的字段，不檢查包體的內(nèi)容。（4）如果一條規(guī)則阻止包傳輸或接收，此包便不被允許通過(guò)。（5）如果一條規(guī)則允許包傳輸或接收，該包允許通過(guò)。（6）如果一個(gè)包不滿足任何一條規(guī)則，該包被阻塞。因?yàn)橐坏┌谶^(guò)濾器中的某個(gè)部分沒(méi)有通過(guò),后續(xù)的規(guī)則將不再被讀取。因此,要記住考慮一下在一個(gè)過(guò)濾器中規(guī)則的順序。 包過(guò)濾操作流程圖代理服務(wù)器 一、何為proxy？

英文是ProxyServer，功能就是代理網(wǎng)絡(luò)用戶去取得網(wǎng)絡(luò)信息。代理服務(wù)器位于網(wǎng)絡(luò)和Internet之間，接收、分析服務(wù)請(qǐng)求，并在允許的情況下對(duì)其進(jìn)行轉(zhuǎn)發(fā)。代理服務(wù)提供服務(wù)的替代連接，比如，網(wǎng)絡(luò)內(nèi)部的一個(gè)用戶想要遠(yuǎn)程登錄到Internet上的一臺(tái)主機(jī)，代理服務(wù)器會(huì)接收用戶請(qǐng)求，決定是否準(zhǔn)許其到遠(yuǎn)程的連接，之后建立自身與遠(yuǎn)程目標(biāo)主機(jī)之間及自身與用戶之間的Telnet會(huì)話。

代理的實(shí)現(xiàn)過(guò)程

代理服務(wù)器是在雙重宿主主機(jī)或堡壘主機(jī)上運(yùn)行一個(gè)特殊程序。使一些僅能與內(nèi)部用戶交談的主機(jī)同樣也可以與外界交談，這些用戶的客戶程序通過(guò)與該代理服務(wù)器交談來(lái)代替直接與外部因特網(wǎng)中的服務(wù)器的“真正的”交談。代理服務(wù)器判斷從客戶端來(lái)的請(qǐng)求并決定哪些請(qǐng)求允許傳送而哪些應(yīng)被拒絕。當(dāng)某個(gè)請(qǐng)求被允許時(shí)，代理服務(wù)器就代表客戶與真正的服務(wù)器進(jìn)行交談，并將從客戶端來(lái)的請(qǐng)求傳送給真實(shí)服務(wù)器，將真實(shí)服務(wù)器的回答傳送給客戶。代理服務(wù)器有兩種類型：

◆應(yīng)用層代理(Application-layerproxies）(也稱做應(yīng)用層網(wǎng)關(guān)）◆鏈路層代理(Circuit-levelproxies）(也稱做鏈路層網(wǎng)關(guān)）◆應(yīng)用層代理到目前為止,最流行的代理服務(wù)器類型是那些對(duì)應(yīng)用層流量的代理。代理服務(wù)器從內(nèi)部網(wǎng)絡(luò)客戶端接受請(qǐng)求。然后,如果客戶端被代理服務(wù)器授權(quán)了,代理服務(wù)器將代表客戶端與外部服務(wù)器進(jìn)行通信?！翩溌穼哟礞溌穼哟砉ぷ髟贠SI參考模型的傳輸層。鏈路層代理的另一個(gè)名字是鏈路層網(wǎng)關(guān)(circuit-levelgateway）。

鏈路層代理服務(wù)器常常提供網(wǎng)絡(luò)地址翻譯。意思是一臺(tái)網(wǎng)絡(luò)主機(jī)將內(nèi)部網(wǎng)絡(luò)主機(jī)的包進(jìn)行修改,這樣,它們就能夠通過(guò)Internet發(fā)出了。最流行的鏈路層代理是使用協(xié)議SOCKS(SOCKSprotocol）的一種代理。作為中介，代理服務(wù)器隱藏了關(guān)于用戶的一些信息。假設(shè)用戶正在從事一項(xiàng)高度保密的項(xiàng)目，那么用戶就想對(duì)外(Internet)隱藏關(guān)于其所在網(wǎng)絡(luò)的信息—IP地址等等。代理服務(wù)器會(huì)把用戶地址改成自己的地址，使用一個(gè)內(nèi)部表來(lái)解析到正確目的地的進(jìn)出報(bào)文。對(duì)于外面的人而言，只有一個(gè)IP地址(代理服務(wù)器的IP地址)可見。 代理服務(wù)器適用于特定的Internet服務(wù)，如HTTP、FTP等。比如http代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的一臺(tái)服務(wù)器，有了它之后，瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁(yè)而是向代理服務(wù)器發(fā)出請(qǐng)求，Request信號(hào)會(huì)先送到代理服務(wù)器，由代理服務(wù)器來(lái)取回瀏覽器所需要的信息并傳送給你的瀏覽器。

HTTP代理服務(wù)器通常都擁有一個(gè)高速緩存，這個(gè)緩存存儲(chǔ)用戶經(jīng)常訪問(wèn)的站點(diǎn)內(nèi)容，在下一個(gè)用戶要訪問(wèn)同一站點(diǎn)時(shí)，服務(wù)器就不用重復(fù)地獲取相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出即可，既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。代理服務(wù)器的主要功能：1連接Internet與Intranet充當(dāng)防火墻： 因?yàn)樗袃?nèi)部網(wǎng)的用戶通過(guò)代理服務(wù)器訪問(wèn)外界時(shí)，只映射為一個(gè)IP地址，所以外界不能直接訪問(wèn)到內(nèi)部網(wǎng)；同時(shí)可以設(shè)置IP地址過(guò)濾，限制內(nèi)部網(wǎng)對(duì)外部的訪問(wèn)權(quán)限；另外，兩個(gè)沒(méi)有互聯(lián)的內(nèi)部網(wǎng)，也可以通過(guò)第三方的代理服務(wù)器進(jìn)行互聯(lián)來(lái)交換信息。2節(jié)省IP開銷： 如前面所講，所有用戶對(duì)外只占用一個(gè)IP，所以不必租用過(guò)多的IP地址，降低網(wǎng)絡(luò)的維護(hù)成本。這樣，局域網(wǎng)內(nèi)沒(méi)有與外網(wǎng)相連的眾多機(jī)器就可以通過(guò)內(nèi)網(wǎng)的一臺(tái)代理服務(wù)器連接到外網(wǎng)，大大減少費(fèi)用。當(dāng)然也有它不利的一面，如許多網(wǎng)絡(luò)黑客通過(guò)這種方法隱藏自己的真實(shí)IP地址，而逃過(guò)監(jiān)視。3提高訪問(wèn)速度： 本身帶寬較小，通過(guò)帶寬較大的proxy與目標(biāo)主機(jī)連接。而且通常代理服務(wù)器都設(shè)置一個(gè)較大的硬盤緩沖區(qū)（可能高達(dá)幾個(gè)GB或更大），當(dāng)有外界的信息通過(guò)時(shí)，同時(shí)也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問(wèn)相同的信息時(shí)，則直接由緩沖區(qū)中取出信息，傳給用戶，從而達(dá)到提高訪問(wèn)速度的目的。

決定proxy的速度的因素:

1.proxy所在的網(wǎng)絡(luò)。網(wǎng)絡(luò)的出口帶寬就直接決定著其中的proxy的速度。 2.proxyserver的性能。 3.proxyserver與你的機(jī)器之間的距離。4.你所訪問(wèn)的站點(diǎn)情況。

代理服務(wù)器的優(yōu)點(diǎn)和特點(diǎn)代理服務(wù)器的主要優(yōu)點(diǎn)是能夠提供NAT。對(duì)公共網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)是極為重要的。除此以外,還有下列的好處:驗(yàn)證、日志記錄和報(bào)警、緩存、較少的規(guī)則面向代理的防火墻對(duì)IP包的查尋是很深入的,它們并不停留于OSI參考模型的網(wǎng)絡(luò)層。它們可以在應(yīng)用層上讀取文本字符串,并且它們能夠驗(yàn)證用戶。由于代理服務(wù)器提供更多的特點(diǎn),它們通常需要額外的系統(tǒng)資源。這樣,在網(wǎng)絡(luò)上運(yùn)行一個(gè)代理服務(wù)器可能需要更昂貴的硬件。使用代理的不足之處：首先它會(huì)使訪問(wèn)速度變慢，因?yàn)椴辉试S用戶直接訪問(wèn)網(wǎng)絡(luò)，而且應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)軟件，其次，用戶不能使用未被服務(wù)器支持的服務(wù)，對(duì)每一類服務(wù)要使用特殊的客戶端軟件，尤其是，并非所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器。使用代理服務(wù)器與遠(yuǎn)端TCP/IP連接的客戶端,必須配置使用一個(gè)代理服務(wù)器并且具備所有指定參數(shù)的正確設(shè)置。同時(shí)代理服務(wù)不能保護(hù)我們不受協(xié)議本身缺點(diǎn)的限制。

防火墻體系結(jié)構(gòu)

有四種常用的防火墻設(shè)計(jì),每一個(gè)都提供了一個(gè)確定的安全級(jí)別。這四個(gè)選擇是:

屏蔽路由器雙重宿主主機(jī)體系結(jié)構(gòu)主機(jī)過(guò)濾體系結(jié)構(gòu)子網(wǎng)過(guò)濾體系結(jié)構(gòu)

1，屏蔽路由器

屏蔽路由器(screeningrouter)被認(rèn)為是出色的首道防線屏蔽路由器的選擇是最簡(jiǎn)單和最常用的。這個(gè)方法費(fèi)用不高,但仍提供了顯著的保護(hù)。只使用一臺(tái)屏蔽路由器的解決方案可能會(huì)有一些缺點(diǎn)。主要的一個(gè)缺點(diǎn)是建立恰當(dāng)?shù)倪^(guò)濾器需要高水平的TCP/IP知識(shí)。另一個(gè)缺點(diǎn)是只有一臺(tái)單一的設(shè)備在保護(hù)網(wǎng)絡(luò)。屏蔽路由器還沒(méi)有高質(zhì)量的監(jiān)控或日志記錄功能。

2．雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。

雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡(jiǎn)單的，雙重宿主主機(jī)位于兩者之間，并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)。右圖顯示這種體系結(jié)構(gòu)。

防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的網(wǎng)絡(luò)系統(tǒng)（在因特網(wǎng)上）也能與雙重宿主主機(jī)通信。通過(guò)雙重宿主主機(jī)，防火墻內(nèi)外的計(jì)算機(jī)便可進(jìn)行通信了，但是這些系統(tǒng)不能直接互相通信，它們之間的IP通信被完全阻止。 在主機(jī)過(guò)濾體系結(jié)構(gòu)中提供安全保護(hù)的壁壘主機(jī)僅僅與內(nèi)部網(wǎng)相連。另外，主機(jī)過(guò)濾結(jié)構(gòu)還有一臺(tái)單獨(dú)的路由器（過(guò)濾路由器）。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過(guò)濾提供，其結(jié)構(gòu)如右圖所示。3．主機(jī)過(guò)濾體系結(jié)構(gòu)堡壘主機(jī)既可以被配置成鏈路級(jí)也可以是應(yīng)用級(jí)網(wǎng)關(guān)。當(dāng)使用這兩種類型中的任意一種時(shí),每一個(gè)都是代理服務(wù)器,堡壘主機(jī)可以用來(lái)隱藏內(nèi)部網(wǎng)絡(luò)的配置。

在某些方面,這種實(shí)施方式優(yōu)于包過(guò)濾防火墻。首先,它增加了一臺(tái)壁壘主機(jī)以及鏈路級(jí)和應(yīng)用級(jí)網(wǎng)關(guān),同樣,壁壘本身構(gòu)成又一個(gè)安全設(shè)備，因?yàn)檫@種防火墻在網(wǎng)絡(luò)和任意一個(gè)外部網(wǎng)絡(luò)(如Internet）之間建立了一個(gè)完全的物理間隔,所以它的實(shí)施是安全的。比起包過(guò)濾器來(lái),這種方法的缺點(diǎn)在于成本的增加和性能上可能的下降。

最常用的、實(shí)現(xiàn)一個(gè)防火墻的方法是屏蔽子網(wǎng)(screenedsubnet）。它也被稱做是非軍事化區(qū),這是由于它在Internet和你的網(wǎng)絡(luò)之間,建立了一個(gè)相當(dāng)安全的空間,或子網(wǎng)。子網(wǎng)過(guò)濾體系結(jié)構(gòu)添加了額外的安全層到主機(jī)過(guò)濾體系結(jié)構(gòu)中，即通過(guò)添加屏蔽子網(wǎng)，更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)隔離開。 子網(wǎng)過(guò)濾體系結(jié)構(gòu)的最簡(jiǎn)單的形式為兩個(gè)過(guò)濾路由器，每一個(gè)都連接到子網(wǎng)，一個(gè)位于子網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于子網(wǎng)與外部網(wǎng)絡(luò)之間。4．子網(wǎng)過(guò)濾體系結(jié)構(gòu)（1）屏蔽子網(wǎng)

屏蔽子網(wǎng)是在內(nèi)外部網(wǎng)之間另加的一層安全保護(hù)網(wǎng)絡(luò)層。如果入侵者成功地闖過(guò)外層保護(hù)網(wǎng)到達(dá)防火墻，屏蔽子網(wǎng)就能在入侵者與內(nèi)部網(wǎng)之間再提供一層保護(hù)。 如果入侵者僅僅侵入到屏蔽子網(wǎng)的堡壘主機(jī)，他只能偷看到這層網(wǎng)絡(luò)的信息流（看不到內(nèi)部網(wǎng)的信息），而這層網(wǎng)絡(luò)的信息流僅從屏蔽子網(wǎng)往來(lái)于外部網(wǎng)或者從屏蔽子網(wǎng)往來(lái)于堡壘主機(jī)。因?yàn)闆](méi)有純粹的內(nèi)部信息流在屏蔽子網(wǎng)中流動(dòng)，所以即使堡壘主機(jī)受到損害也不會(huì)讓入侵者破壞內(nèi)部網(wǎng)的信息流。（2）堡壘主機(jī) 在子網(wǎng)過(guò)濾結(jié)構(gòu)中，我們將堡壘主機(jī)與屏蔽子網(wǎng)相連，而這臺(tái)主機(jī)是外部網(wǎng)服務(wù)于內(nèi)部網(wǎng)的主節(jié)點(diǎn)。它為內(nèi)部網(wǎng)服務(wù)的主要功能有：①它接收外來(lái)的電子郵件再分發(fā)給相應(yīng)的站點(diǎn)；②它接收外來(lái)的FTP，并連到內(nèi)部網(wǎng)的匿名FTP服務(wù)器；③它接收外來(lái)的有關(guān)內(nèi)部網(wǎng)站點(diǎn)的域名服務(wù)。

（3）內(nèi)部路由器

內(nèi)部路由器的主要功能是保護(hù)內(nèi)部網(wǎng)免受來(lái)自外部網(wǎng)與屏蔽子網(wǎng)的侵?jǐn)_。 內(nèi)部路由器完成防火墻的大部分包過(guò)濾工作，它允許某些站點(diǎn)的包過(guò)濾系統(tǒng)認(rèn)為符合安全規(guī)則的服務(wù)在內(nèi)外部網(wǎng)之間互傳。（4）外部路由器

外部路由器既可保護(hù)屏蔽子網(wǎng)又保護(hù)內(nèi)部網(wǎng)。實(shí)際上，在外部路由器上僅做一小部分包過(guò)濾，它幾乎讓所有外向請(qǐng)求通過(guò)。 外部路由器的包過(guò)濾主要是對(duì)屏蔽子網(wǎng)上的主機(jī)提供保護(hù)。然而，一般情況下，因?yàn)槠帘巫泳W(wǎng)上主機(jī)的安全主要通過(guò)主機(jī)安全機(jī)制加以保障，所以由外部路由器提供的很多保護(hù)并非必要。

外部路由器真正有效的任務(wù)就是阻斷來(lái)自外部網(wǎng)上偽造源地址進(jìn)來(lái)的任何數(shù)據(jù)包。這些數(shù)據(jù)包自稱是來(lái)自內(nèi)部網(wǎng)，而其實(shí)它是來(lái)自外部網(wǎng)。入侵者總是把他們偽裝成來(lái)自于內(nèi)部網(wǎng)。要用包過(guò)濾路由器來(lái)實(shí)現(xiàn)我們?cè)O(shè)計(jì)的安全規(guī)則，唯一的方法是通過(guò)屏蔽子網(wǎng)上的包過(guò)濾路由器。只有處在這種位置上的包過(guò)濾路由器才能通過(guò)查看包的源地址和目的地址，從而辨認(rèn)出這個(gè)包到底是來(lái)自于內(nèi)部網(wǎng)還是來(lái)自于外部網(wǎng)。這種網(wǎng)絡(luò)體系結(jié)構(gòu)的主要好處在于,黑客要想接近網(wǎng)絡(luò),必須破壞三個(gè)分離的設(shè)備,而且不被發(fā)現(xiàn)。再一個(gè)好處是由于所有的出去和進(jìn)來(lái)的信息包直接到達(dá)屏蔽子網(wǎng),而不是你的網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò)有效地隱形于Internet。第三,由于這個(gè)路由信息包含在網(wǎng)絡(luò)中,內(nèi)部用戶不能不穿過(guò)壁壘主機(jī)而訪問(wèn)Internet。

防火墻自身的安全性 大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)上，但往往忽略一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)設(shè)備或軟件系統(tǒng)，也可能存在安全問(wèn)題。防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。

硬件問(wèn)題當(dāng)選擇硬件時(shí),只使用經(jīng)測(cè)試過(guò)的常用的硬件,而不是那些邊緣技術(shù)。這些新的技術(shù)可以在生產(chǎn)環(huán)境中測(cè)試之后,通常會(huì)發(fā)現(xiàn)一些安全漏洞。確定處理器運(yùn)行多快和購(gòu)買多少RAM將由壁壘主機(jī)的角色而定。

還必須備份壁壘主機(jī),它應(yīng)該配置有它自己的磁帶備份設(shè)備。

操作系統(tǒng)

包過(guò)濾器常常運(yùn)行在路由器上,它們具有包過(guò)濾器必須使用的專用的操作系統(tǒng)。但是很多防火墻安裝在一般的操作系統(tǒng)上，如unix、NT系統(tǒng)。在防火墻主機(jī)上的執(zhí)行的除了防火墻軟件外，還有其他程序、系統(tǒng)核心，當(dāng)防火墻上所執(zhí)行的軟件出現(xiàn)安全漏洞時(shí)，防火墻本身也將受到威脅。應(yīng)該單獨(dú)地并且在所有層次上保護(hù)每一臺(tái)壁壘主機(jī)。

還應(yīng)該盡可能多的刪除操作系統(tǒng)上的應(yīng)用程序。消除任何多余的服務(wù)、后臺(tái)運(yùn)行程序或應(yīng)用程序是建立一個(gè)安全的壁壘主機(jī)中最基本的步驟。黑客提出的批評(píng)： 首先，對(duì)任何打成包的大型商用防火墻，如果沒(méi)有配置它的知識(shí)，那對(duì)你是毫無(wú)用處的。同時(shí)，一個(gè)商用防火墻軟件包又自己創(chuàng)建了風(fēng)險(xiǎn)。就像一個(gè)黑客指出的：“兩千個(gè)人在他們的站點(diǎn)上安裝了“SuperFirewallX”，然后你和我坐了一兩個(gè)星期并闖進(jìn)了“SuperFirewallX”—嘿，我們一下就可攻擊兩千個(gè)站點(diǎn)”。

防火墻的關(guān)鍵技術(shù)防火墻技術(shù)發(fā)展到現(xiàn)在，其技術(shù)競(jìng)爭(zhēng)的焦點(diǎn)主要是在管理、功能、性能、抗攻擊能力這四個(gè)方面：管理是關(guān)鍵：用戶要使用一個(gè)安全的防火墻系統(tǒng)，就需要實(shí)行一套安全的防火墻策略，這就對(duì)防火墻的實(shí)際操作人員提出較高要求。由于不同防火墻在管理上存在差異。因此，管理的難易程度可能造成管理員的錯(cuò)誤配置，使網(wǎng)絡(luò)產(chǎn)生安全隱患，因?yàn)闊o(wú)法要求每個(gè)網(wǎng)絡(luò)管理員都是網(wǎng)絡(luò)安全專家，所以管理是網(wǎng)絡(luò)安全的關(guān)鍵。功能是基礎(chǔ)：防火墻所具有的功能越來(lái)越多，但防火墻是否具有信息內(nèi)容過(guò)濾是選購(gòu)防火墻時(shí)需要著重考察的功能點(diǎn),內(nèi)容過(guò)濾能夠?qū)崿F(xiàn)對(duì)應(yīng)用層內(nèi)容的檢測(cè)，提高網(wǎng)絡(luò)的安全性,內(nèi)容過(guò)濾是在http,ftp和smtp等協(xié)議層根據(jù)過(guò)濾條件對(duì)信息流進(jìn)行控制。JavaApplet,JavaScript,ActiveX,Servlet,CGI,PHP,電子郵件附加的DOC和ZIP文件；FTP下載和上載文件的內(nèi)容等都可能包含危險(xiǎn)信息，如病毒,非法的關(guān)鍵字,非法操作命令等。因此對(duì)內(nèi)容進(jìn)行過(guò)濾能有效地提高網(wǎng)絡(luò)的安全性。性能是中堅(jiān)：防火墻是網(wǎng)絡(luò)的單一接入設(shè)備，吞吐量小，就會(huì)造成網(wǎng)絡(luò)出口的瓶頸，以至影響到整個(gè)網(wǎng)絡(luò)的傳輸效率。如果還需要對(duì)外提供如Web服務(wù)，DNS域名解析或郵件服務(wù)等，防火墻就得通過(guò)更大流量的信息，因此防火墻的吞吐能力對(duì)其性能表現(xiàn)有重要作用。并發(fā)連接數(shù)是指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)。它不僅能體現(xiàn)防火墻建立和維持TCP連接的性能，而且通過(guò)并發(fā)連接數(shù)的大小體現(xiàn)防火墻對(duì)來(lái)自于客戶端的TCP連接請(qǐng)求的響應(yīng)能力。如果支持的并發(fā)連接數(shù)有限，它就會(huì)成為網(wǎng)絡(luò)的瓶頸。為了提高防火墻的處理速度，使防火墻的實(shí)際吞吐率接近或達(dá)到線速。一些防火墻摒棄了通用的平臺(tái)而采用專門的設(shè)計(jì)，使用高速的RISC處理器和高效的實(shí)時(shí)操作系統(tǒng)并采用專用的ASIC芯片。這類防火墻雖然失去了硬件平臺(tái)的通用性，但是其專業(yè)的ASIC設(shè)計(jì)使防火墻處理速度有了本質(zhì)的提高?？构袅κ潜ＷC：目前，在“黑客”的攻擊行為中，使用最多、最有效的是DDoS攻擊，它造成的結(jié)果是服務(wù)器無(wú)法正常提供服務(wù)。防火墻作為網(wǎng)絡(luò)的單一通道，要保證受保護(hù)網(wǎng)絡(luò)的安全，它本身應(yīng)具有抗攻擊能力?？构裟芰Φ拇笮》从沉怂旧淼陌踩裕蔷W(wǎng)絡(luò)安全的保證，也是用戶購(gòu)買防火墻的重要參考指標(biāo)。僅安裝一個(gè)防火墻，設(shè)置好它的規(guī)則，而后讓它選擇通過(guò)的數(shù)據(jù)包是遠(yuǎn)遠(yuǎn)不夠的。還需要經(jīng)常檢查防火墻的日志文件。通過(guò)檢查這些文件，確定是不是有新的IP地址在探測(cè)你的網(wǎng)絡(luò)，然后確定是不是需要采用更嚴(yán)格的防火墻規(guī)則來(lái)過(guò)濾它們，或是追蹤這些探測(cè)行為并采取相應(yīng)的行動(dòng)。

防火墻的新發(fā)展：狀態(tài)檢測(cè)技術(shù)

這是防火墻近兩年才應(yīng)用的新技術(shù)。傳統(tǒng)“包過(guò)濾”技術(shù)只是通過(guò)檢測(cè)IP包頭的相關(guān)信息來(lái)決定數(shù)據(jù)流的通過(guò)還是拒絕，由CheckPoint提出的狀態(tài)多層檢測(cè)準(zhǔn)許包過(guò)濾器克服包過(guò)濾中的缺點(diǎn)。由于防火墻可以維護(hù)一個(gè)過(guò)去連接的數(shù)據(jù)庫(kù),因此,它允許包過(guò)濾器在OSI參考模型的所有層上對(duì)包進(jìn)行檢測(cè),并不只是在網(wǎng)絡(luò)層上進(jìn)行檢測(cè)。

狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，因此，與傳統(tǒng)包過(guò)濾防火墻相比，它具有較好的系統(tǒng)性能和安全性。

選擇防火墻的原則

注意一：防火墻自身是否安全

1，防火墻是否基于安全（甚至是專用）的操作系統(tǒng)；2，防火墻是否采用專用的硬件平臺(tái)。只有基于安全（甚至是專用）的操作系統(tǒng)并采用專用硬件平臺(tái)的防火墻才能提供最大限度的安全。注意二：系統(tǒng)是否穩(wěn)定就一個(gè)成熟的產(chǎn)品來(lái)說(shuō),系統(tǒng)的穩(wěn)定性是最基本的要求。但是目前由于種種原因，有些防火墻尚未最后定型或經(jīng)過(guò)嚴(yán)格的大量測(cè)試就被推向了市場(chǎng)。 防火墻的穩(wěn)定性情況從廠家的宣傳材料中是看不出來(lái)的,但可以從以下幾個(gè)渠道獲得：1，國(guó)家權(quán)威的測(cè)評(píng)認(rèn)證機(jī)構(gòu),如公安部計(jì)算機(jī)安全產(chǎn)品檢測(cè)中心和中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心。2，實(shí)際調(diào)查，考察這種防火墻是否已經(jīng)有了使用單位，用戶們對(duì)于該防火墻的評(píng)價(jià)。如有可能,最好咨詢一下那些對(duì)穩(wěn)定性要求較高的重要單位的用戶,如政府機(jī)關(guān)、國(guó)家部委、證券或銀行系統(tǒng)、軍隊(duì)用戶等。3，自己試用，先在自己的網(wǎng)絡(luò)上進(jìn)行一段時(shí)間的試用。注意三：是否高效高性能是防火墻的一個(gè)重要指標(biāo)，它直接體現(xiàn)了防火墻的可用性，也體現(xiàn)了用戶使用防火墻所需付出的安全代價(jià)。如果由于使用防火墻而帶來(lái)了網(wǎng)絡(luò)性能較大幅度地下降的話，就意味著安全代價(jià)過(guò)高，用戶是無(wú)法接受的。一般來(lái)說(shuō)，防火墻加載上百條規(guī)則，其性能下降不應(yīng)超過(guò)5％（指包過(guò)濾防火墻）。注意四