計(jì)算機(jī)網(wǎng)絡(luò)安全管理作業(yè)-防火墻技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全作業(yè)

——防火墻技術(shù)防火墻技術(shù)簡(jiǎn)要回答防火墻的定義和發(fā)展簡(jiǎn)史。設(shè)置防火墻目的是什么？防火墻的功能和局限性各有哪些？簡(jiǎn)述防火墻的發(fā)展動(dòng)態(tài)和趨勢(shì)。試述包過(guò)濾防火墻的原理及特點(diǎn)。靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾有什么區(qū)別？試述代理防火墻的原理及特點(diǎn)。應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)有什么區(qū)別？防火墻的主要技術(shù)及實(shí)現(xiàn)方式有哪些？防火墻的常見體系結(jié)構(gòu)有哪幾種？屏蔽路由器防火墻和屏蔽主機(jī)網(wǎng)關(guān)防火墻各如何實(shí)現(xiàn)？一、防火墻的定義和發(fā)展簡(jiǎn)史

防火墻的定義防火墻：一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過(guò)相關(guān)的安全策略來(lái)控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。

發(fā)展簡(jiǎn)史第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（Packetfilter）技術(shù)。下圖表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。第二、三代防火墻1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。

第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。一體化安全網(wǎng)關(guān)UTMUTM統(tǒng)一威脅管理，在防火墻基礎(chǔ)上發(fā)展起來(lái)的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設(shè)備。由于同時(shí)開啟多項(xiàng)功能會(huì)大大降低UTM的處理性能，因此主要用于對(duì)性能要求不高的中低端領(lǐng)域。在中低端領(lǐng)域，UTM已經(jīng)出現(xiàn)了代替防火墻的趨勢(shì)，因?yàn)樵诓婚_啟附加功能的情況下，UTM本身就是一個(gè)防火墻，而附加功能又為用戶的應(yīng)用提供了更多選擇。在高端應(yīng)用領(lǐng)域，比如電信、金融等行業(yè)，仍然以專用的高性能防火墻、IPS為主流。二、設(shè)置防火墻的目的、防火墻的功能和局限性

設(shè)置防火墻的目的（1）強(qiáng)化安全策略。（2）有效地記錄Internet上的活動(dòng)。（3）限制暴露用戶點(diǎn)。防火墻能夠用來(lái)隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。（4）防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門外。防火墻的功能應(yīng)用程序代理包過(guò)濾&狀態(tài)檢測(cè)用戶認(rèn)證NATVPN日志IDS與報(bào)警內(nèi)容過(guò)濾基本功能（1）基本功能（2）防火墻的功能過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為封堵某些禁止的業(yè)務(wù)記錄進(jìn)出網(wǎng)絡(luò)的信息和活動(dòng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來(lái)防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種路線的攻擊。Internet防火墻能夠簡(jiǎn)化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。應(yīng)該注意的是：對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的機(jī)構(gòu)來(lái)說(shuō)，重要的問(wèn)題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是何時(shí)會(huì)受到攻擊。網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過(guò)防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以用來(lái)緩解地址空間短缺的問(wèn)題，并消除機(jī)構(gòu)在變換ISP時(shí)帶來(lái)的重新編址的麻煩。Internet防火墻是審計(jì)和記錄Internet使用量的一個(gè)最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸的位置，并能夠根據(jù)機(jī)構(gòu)的核算模式提供部門級(jí)的記費(fèi)。Internet防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。Internet防火墻作為部署WWW服務(wù)器和FTP服務(wù)器的地點(diǎn)非常理想。還可以對(duì)防火墻進(jìn)行配置，允許Internet訪問(wèn)上述服務(wù)，而禁止外部對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問(wèn)。防火墻局限性（1）防火墻不能防范不通過(guò)它的連接如果網(wǎng)絡(luò)具有其他聯(lián)接方式，比如一臺(tái)WindowsPC使用一臺(tái)調(diào)制解調(diào)器通過(guò)ISP聯(lián)到Internet上，因?yàn)檫B接不經(jīng)過(guò)防火墻，因此繞過(guò)了防火墻提供的安全控制。（2）防火墻不能防備全部的威脅防火墻不能防止許多常見的Internet問(wèn)題，如病毒和特洛伊木馬。

三、防火墻的發(fā)展動(dòng)態(tài)和趨勢(shì)（1）優(yōu)良的性能（2）可擴(kuò)展的結(jié)構(gòu)和功能（3）簡(jiǎn)化的安裝與管理（4）主動(dòng)過(guò)濾（5）防病毒與防黑客四、包過(guò)濾防火墻的原理及特點(diǎn)靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾的區(qū)別包過(guò)濾防火墻的原理簡(jiǎn)單包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)簡(jiǎn)單包過(guò)濾防火墻不建立連接狀態(tài)表前后報(bào)文無(wú)關(guān)應(yīng)用層控制很弱包過(guò)濾操作流程圖包過(guò)濾防火墻的特點(diǎn)

包過(guò)濾的優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過(guò)濾對(duì)用戶透明、過(guò)濾路由器速度快、效率高。包過(guò)濾的缺點(diǎn)：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾；正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略；安全性較差；數(shù)據(jù)包工具存在很多局限性。

包過(guò)濾防火墻具有根本的缺陷：

1．不能防范黑客攻擊。包過(guò)濾防火墻的工作基于一個(gè)前提，就是網(wǎng)管知道哪些IP是可信網(wǎng)絡(luò)，哪些是不可信網(wǎng)絡(luò)的IP地址。但是隨著遠(yuǎn)程辦公等新應(yīng)用的出現(xiàn)，網(wǎng)管不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限，對(duì)于黑客來(lái)說(shuō)，只需將源IP包改成合法IP即可輕松通過(guò)包過(guò)濾防火墻，進(jìn)入內(nèi)網(wǎng)，而任何一個(gè)初級(jí)水平的黑客都能進(jìn)行IP地址欺騙。

2．不支持應(yīng)用層協(xié)議。假如內(nèi)網(wǎng)用戶提出這樣一個(gè)需求，只允許內(nèi)網(wǎng)員工訪問(wèn)外網(wǎng)的網(wǎng)頁(yè)（使用HTTP協(xié)議），不允許去外網(wǎng)下載電影（一般使用FTP協(xié)議）。包過(guò)濾防火墻無(wú)能為力，因?yàn)樗徽J(rèn)識(shí)數(shù)據(jù)包中的應(yīng)用層協(xié)議，訪問(wèn)控制粒度太粗糙。

3．不能處理新的安全威脅。它不能跟蹤TCP狀態(tài)，所以對(duì)TCP層的控制有漏洞。如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問(wèn)時(shí)，一些以TCP應(yīng)答包的形式從外部對(duì)內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿透防火墻。

綜上可見，包過(guò)濾防火墻技術(shù)面太過(guò)初級(jí)，就好比一位保安只能根據(jù)訪客來(lái)自哪個(gè)省市來(lái)判斷是否允許他（她）進(jìn)入一樣，難以履行保護(hù)內(nèi)網(wǎng)安全的職責(zé)。

靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾的區(qū)別靜態(tài)包過(guò)濾：一般防火墻的包過(guò)濾的過(guò)濾規(guī)則是在啟動(dòng)時(shí)配置好的，只有系統(tǒng)管理員可以修改，是靜態(tài)存在的，稱為靜態(tài)規(guī)則，利用靜態(tài)包過(guò)濾規(guī)則建立的防火墻叫做靜態(tài)包過(guò)濾防火墻。動(dòng)態(tài)包過(guò)濾：這種防火墻對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)的在過(guò)濾規(guī)則中增加或更新條目。五、代理防火墻的原理及特點(diǎn)

應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)的區(qū)別代理防火墻的原理代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。不允許通信直接經(jīng)過(guò)外部網(wǎng)和內(nèi)部網(wǎng)。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終端代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)。外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。

代理防火墻的特點(diǎn)代理技術(shù)的優(yōu)點(diǎn)（1）代理易于配置（2）代理能生成各項(xiàng)記錄（3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容（4）代理能過(guò)濾數(shù)據(jù)內(nèi)容（5）代理能為用戶提供透明的加密機(jī)制（6）代理可以方便地與其他安全手段集成

代理技術(shù)的缺點(diǎn)（1）代理速度較路由器慢（2）代理對(duì)用戶不透明（3）對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器（4）代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制（5）代理不能改進(jìn)底層協(xié)議的安全性

應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)的區(qū)別應(yīng)用層網(wǎng)關(guān)型防火墻主要保存Internet上那些最常用和最近訪問(wèn)過(guò)的內(nèi)容：在Web上，代理首先試圖在本地尋找數(shù)據(jù)，如果沒(méi)有，再到遠(yuǎn)程服務(wù)器上去查找。為用戶提供了更快的訪問(wèn)速度，并且提高了網(wǎng)絡(luò)安全性。應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是安全，缺點(diǎn)就是速度相對(duì)比較慢。電路層網(wǎng)關(guān)防火墻在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來(lái)在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包。電路層網(wǎng)關(guān)防火墻的特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。

六、防火墻的主要技術(shù)及實(shí)現(xiàn)方式先進(jìn)的防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)與功能。雙端口或三端口的結(jié)構(gòu)新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。透明的訪問(wèn)方式以前的防火墻在訪問(wèn)方式上要么要求用戶作系統(tǒng)登錄，要么需要通過(guò)SOCKS等庫(kù)路徑修改客戶機(jī)的應(yīng)用。新一代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。新一代防火墻采用了兩種代理機(jī)制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)來(lái)解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來(lái)解決。

多級(jí)的過(guò)濾技術(shù)為保證系統(tǒng)的安全性和防護(hù)水平，新一代防火墻采用了三級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾一級(jí)，能過(guò)濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）新一代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己定制的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。同時(shí)使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。NAT的另一個(gè)顯而易見的用途是解決IP地址匱乏問(wèn)題。Internet網(wǎng)關(guān)技術(shù)由于是直接串連在網(wǎng)絡(luò)之中，新一代防火墻必須支持用戶在Internet互連的所有服務(wù)，同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的應(yīng)用服務(wù)器（包括FTP、Finger、mail、Ident、News、WWW等）來(lái)實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用"改變根系統(tǒng)調(diào)用（chroot）"作物理上的隔離。在域名服務(wù)方面，新一代防火墻采用兩種獨(dú)立的域名服務(wù)器，一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)的DNS信息，另一種是外部DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部份DNS信息。在匿名FTP方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部份目錄的只讀訪問(wèn)。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁(yè)，而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行，在Finger服務(wù)器中，對(duì)外部訪問(wèn)，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件作處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境，Ident服務(wù)器對(duì)用戶連接的識(shí)別作專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來(lái)自ISP的新聞開設(shè)了專門的磁盤空間。七、防火墻的常見體系結(jié)構(gòu)有四種常用的防火墻設(shè)計(jì),每一個(gè)都提供了一個(gè)確定的安全級(jí)別。這四個(gè)選擇是:

1．屏蔽路由器2．雙穴主機(jī)網(wǎng)關(guān)3．屏蔽主機(jī)網(wǎng)關(guān)4．被屏蔽子網(wǎng)屏蔽路由器是防火墻的基本構(gòu)件；雙穴主機(jī)網(wǎng)關(guān)是在一臺(tái)主機(jī)上配置了兩塊網(wǎng)卡，分別與內(nèi)外網(wǎng)絡(luò)相連接；屏蔽主機(jī)網(wǎng)關(guān)由一個(gè)路由連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上；被屏蔽子網(wǎng)方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過(guò)濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開；多重防火墻組合就是在內(nèi)外網(wǎng)絡(luò)之間設(shè)置一個(gè)周邊網(wǎng)絡(luò)，它只是一個(gè)小的單段網(wǎng)絡(luò)，是外部世界和內(nèi)部網(wǎng)絡(luò)之間的安全緩沖區(qū)。不同的防火墻體系結(jié)構(gòu)具有不同的優(yōu)缺點(diǎn)。

八、屏蔽路由器防火墻和屏蔽主機(jī)網(wǎng)關(guān)防火墻各如何實(shí)現(xiàn)？屏蔽路由器屏蔽路由器(screeningrouter)被認(rèn)為是出色的首道防線屏蔽路由器的選擇是最簡(jiǎn)