計算機(jī)網(wǎng)絡(luò)安全管理作業(yè)-防火墻技術(shù)

計算機(jī)網(wǎng)絡(luò)安全作業(yè)

——防火墻技術(shù)防火墻技術(shù)簡要回答防火墻的定義和發(fā)展簡史。設(shè)置防火墻目的是什么？防火墻的功能和局限性各有哪些？簡述防火墻的發(fā)展動態(tài)和趨勢。試述包過濾防火墻的原理及特點。靜態(tài)包過濾和動態(tài)包過濾有什么區(qū)別？試述代理防火墻的原理及特點。應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)有什么區(qū)別？防火墻的主要技術(shù)及實現(xiàn)方式有哪些？防火墻的常見體系結(jié)構(gòu)有哪幾種？屏蔽路由器防火墻和屏蔽主機(jī)網(wǎng)關(guān)防火墻各如何實現(xiàn)？一、防火墻的定義和發(fā)展簡史

防火墻的定義防火墻：一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過相關(guān)的安全策略來控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。

發(fā)展簡史第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾（Packetfilter）技術(shù)。下圖表示了防火墻技術(shù)的簡單發(fā)展歷史。第二、三代防火墻1989年，貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。

第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。一體化安全網(wǎng)關(guān)UTMUTM統(tǒng)一威脅管理，在防火墻基礎(chǔ)上發(fā)展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設(shè)備。由于同時開啟多項功能會大大降低UTM的處理性能，因此主要用于對性能要求不高的中低端領(lǐng)域。在中低端領(lǐng)域，UTM已經(jīng)出現(xiàn)了代替防火墻的趨勢，因為在不開啟附加功能的情況下，UTM本身就是一個防火墻，而附加功能又為用戶的應(yīng)用提供了更多選擇。在高端應(yīng)用領(lǐng)域，比如電信、金融等行業(yè)，仍然以專用的高性能防火墻、IPS為主流。二、設(shè)置防火墻的目的、防火墻的功能和局限性

設(shè)置防火墻的目的（1）強(qiáng)化安全策略。（2）有效地記錄Internet上的活動。（3）限制暴露用戶點。防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。（4）防火墻是一個安全策略的檢查站。所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。防火墻的功能應(yīng)用程序代理包過濾&狀態(tài)檢測用戶認(rèn)證NATVPN日志IDS與報警內(nèi)容過濾基本功能（1）基本功能（2）防火墻的功能過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄進(jìn)出網(wǎng)絡(luò)的信息和活動對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警Internet防火墻允許網(wǎng)絡(luò)管理員定義一個中心“扼制點”來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。應(yīng)該注意的是：對一個內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的機(jī)構(gòu)來說，重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊，而是何時會受到攻擊。網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機(jī)構(gòu)在變換ISP時帶來的重新編址的麻煩。Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸的位置，并能夠根據(jù)機(jī)構(gòu)的核算模式提供部門級的記費(fèi)。Internet防火墻也可以成為向客戶發(fā)布信息的地點。Internet防火墻作為部署WWW服務(wù)器和FTP服務(wù)器的地點非常理想。還可以對防火墻進(jìn)行配置，允許Internet訪問上述服務(wù)，而禁止外部對受保護(hù)的內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問。防火墻局限性（1）防火墻不能防范不通過它的連接如果網(wǎng)絡(luò)具有其他聯(lián)接方式，比如一臺WindowsPC使用一臺調(diào)制解調(diào)器通過ISP聯(lián)到Internet上，因為連接不經(jīng)過防火墻，因此繞過了防火墻提供的安全控制。（2）防火墻不能防備全部的威脅防火墻不能防止許多常見的Internet問題，如病毒和特洛伊木馬。

三、防火墻的發(fā)展動態(tài)和趨勢（1）優(yōu)良的性能（2）可擴(kuò)展的結(jié)構(gòu)和功能（3）簡化的安裝與管理（4）主動過濾（5）防病毒與防黑客四、包過濾防火墻的原理及特點靜態(tài)包過濾和動態(tài)包過濾的區(qū)別包過濾防火墻的原理簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關(guān)應(yīng)用層控制很弱包過濾操作流程圖包過濾防火墻的特點

包過濾的優(yōu)點：不用改動應(yīng)用程序、一個過濾路由器能協(xié)助保護(hù)整個網(wǎng)絡(luò)、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。包過濾的缺點：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；安全性較差；數(shù)據(jù)包工具存在很多局限性。

包過濾防火墻具有根本的缺陷：

1．不能防范黑客攻擊。包過濾防火墻的工作基于一個前提，就是網(wǎng)管知道哪些IP是可信網(wǎng)絡(luò)，哪些是不可信網(wǎng)絡(luò)的IP地址。但是隨著遠(yuǎn)程辦公等新應(yīng)用的出現(xiàn)，網(wǎng)管不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限，對于黑客來說，只需將源IP包改成合法IP即可輕松通過包過濾防火墻，進(jìn)入內(nèi)網(wǎng)，而任何一個初級水平的黑客都能進(jìn)行IP地址欺騙。

2．不支持應(yīng)用層協(xié)議。假如內(nèi)網(wǎng)用戶提出這樣一個需求，只允許內(nèi)網(wǎng)員工訪問外網(wǎng)的網(wǎng)頁（使用HTTP協(xié)議），不允許去外網(wǎng)下載電影（一般使用FTP協(xié)議）。包過濾防火墻無能為力，因為它不認(rèn)識數(shù)據(jù)包中的應(yīng)用層協(xié)議，訪問控制粒度太粗糙。

3．不能處理新的安全威脅。它不能跟蹤TCP狀態(tài)，所以對TCP層的控制有漏洞。如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問時，一些以TCP應(yīng)答包的形式從外部對內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿透防火墻。

綜上可見，包過濾防火墻技術(shù)面太過初級，就好比一位保安只能根據(jù)訪客來自哪個省市來判斷是否允許他（她）進(jìn)入一樣，難以履行保護(hù)內(nèi)網(wǎng)安全的職責(zé)。

靜態(tài)包過濾和動態(tài)包過濾的區(qū)別靜態(tài)包過濾：一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的，只有系統(tǒng)管理員可以修改，是靜態(tài)存在的，稱為靜態(tài)規(guī)則，利用靜態(tài)包過濾規(guī)則建立的防火墻叫做靜態(tài)包過濾防火墻。動態(tài)包過濾：這種防火墻對通過其建立的每一個連接都進(jìn)行跟蹤，并且根據(jù)需要可動態(tài)的在過濾規(guī)則中增加或更新條目。五、代理防火墻的原理及特點

應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)的區(qū)別代理防火墻的原理代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。不允許通信直接經(jīng)過外部網(wǎng)和內(nèi)部網(wǎng)。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終端代理服務(wù)器上的“鏈接”來實現(xiàn)。外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。

代理防火墻的特點代理技術(shù)的優(yōu)點（1）代理易于配置（2）代理能生成各項記錄（3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容（4）代理能過濾數(shù)據(jù)內(nèi)容（5）代理能為用戶提供透明的加密機(jī)制（6）代理可以方便地與其他安全手段集成

代理技術(shù)的缺點（1）代理速度較路由器慢（2）代理對用戶不透明（3）對于每項服務(wù)代理可能要求不同的服務(wù)器（4）代理服務(wù)不能保證免受所有協(xié)議弱點的限制（5）代理不能改進(jìn)底層協(xié)議的安全性

應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)的區(qū)別應(yīng)用層網(wǎng)關(guān)型防火墻主要保存Internet上那些最常用和最近訪問過的內(nèi)容：在Web上，代理首先試圖在本地尋找數(shù)據(jù)，如果沒有，再到遠(yuǎn)程服務(wù)器上去查找。為用戶提供了更快的訪問速度，并且提高了網(wǎng)絡(luò)安全性。應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點就是安全，缺點就是速度相對比較慢。電路層網(wǎng)關(guān)防火墻在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個通信的終點之間轉(zhuǎn)換包。電路層網(wǎng)關(guān)防火墻的特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。

六、防火墻的主要技術(shù)及實現(xiàn)方式先進(jìn)的防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)與功能。雙端口或三端口的結(jié)構(gòu)新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務(wù)器的安全保護(hù)。透明的訪問方式以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機(jī)的應(yīng)用。新一代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。新一代防火墻采用了兩種代理機(jī)制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。

多級的過濾技術(shù)為保證系統(tǒng)的安全性和防護(hù)水平，新一代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機(jī)與外部站點的透明連接，并對服務(wù)的通行實行嚴(yán)格控制。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）新一代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己定制的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機(jī)的通信，確保每個分組送往正確的地址。同時使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題。Internet網(wǎng)關(guān)技術(shù)由于是直接串連在網(wǎng)絡(luò)之中，新一代防火墻必須支持用戶在Internet互連的所有服務(wù)，同時還要防止與Internet服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的應(yīng)用服務(wù)器（包括FTP、Finger、mail、Ident、News、WWW等）來實現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對所有的文件和命令均要利用"改變根系統(tǒng)調(diào)用（chroot）"作物理上的隔離。在域名服務(wù)方面，新一代防火墻采用兩種獨立的域名服務(wù)器，一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)的DNS信息，另一種是外部DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部份DNS信息。在匿名FTP方面，服務(wù)器只提供對有限的受保護(hù)的部份目錄的只讀訪問。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行，在Finger服務(wù)器中，對外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進(jìn)、出防火墻的郵件作處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境，Ident服務(wù)器對用戶連接的識別作專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。七、防火墻的常見體系結(jié)構(gòu)有四種常用的防火墻設(shè)計,每一個都提供了一個確定的安全級別。這四個選擇是:

1．屏蔽路由器2．雙穴主機(jī)網(wǎng)關(guān)3．屏蔽主機(jī)網(wǎng)關(guān)4．被屏蔽子網(wǎng)屏蔽路由器是防火墻的基本構(gòu)件；雙穴主機(jī)網(wǎng)關(guān)是在一臺主機(jī)上配置了兩塊網(wǎng)卡，分別與內(nèi)外網(wǎng)絡(luò)相連接；屏蔽主機(jī)網(wǎng)關(guān)由一個路由連接外部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上；被屏蔽子網(wǎng)方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開；多重防火墻組合就是在內(nèi)外網(wǎng)絡(luò)之間設(shè)置一個周邊網(wǎng)絡(luò)，它只是一個小的單段網(wǎng)絡(luò)，是外部世界和內(nèi)部網(wǎng)絡(luò)之間的安全緩沖區(qū)。不同的防火墻體系結(jié)構(gòu)具有不同的優(yōu)缺點。

八、屏蔽路由器防火墻和屏蔽主機(jī)網(wǎng)關(guān)防火墻各如何實現(xiàn)？屏蔽路由器屏蔽路由器(screeningrouter)被認(rèn)為是出色的首道防線屏蔽路由器的選擇是最簡