个人防火墙技术的探讨

1、1 引言随着网络的开放性、共享性、互联程度的扩大，特别是因特网的出现，网络的重要性和对社会的影响也越来越大。网络上各种新业务的兴起，以及各种专用网的建设，使得网络与信息系统的安全与保密问题显得越来越重要。特别是随着全球信息基础设施和各国信息基础设施的逐渐形成，国与国之间变得近在咫尺。网络化、信息化已成为现代社会的一个重要特征，并已深入到国家的政治，军事、经济、文教等诸多领域，许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存储、传输和处理。网络信息本身就是时间、就是财富、就是生命、就是生产力。因此，难免会遭遇各种主动或被动的攻击，例如

2、信息泄露、信息窃取、数据纂改、数据删除和计算机病毒等。因此，网络安全已经成为至关重要的问题。而防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些访问，以及那些外部站点可以被内部人访问。现代信息技术的发展，各种应用软件的广泛应用以及Internet发展，人民对网络信息及信息安全的要求越来越高，各种网络病毒的侵袭使得我们的信息不安全，而防火墙是网络安全的屏障，作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，

3、还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。在目前，互联网攻击数量直线上升的情况下，个人计算机随时都可能遭到各种恶意攻击，这些恶意攻击可能导致的后果是上网账号被窃取、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密文件丢失、隐私被曝光，甚至黑客通过远程控制删除了硬盘上所有的数据，整个系统全线崩溃。为了抵御黑客的攻击，保护网络及计算机安全，着重对主流个人防火墙技术及其功能以及针对个人用户的规则设置，进行了相应的分析，最后本文对实例天网个人防火墙进行分析。 2 防火墙的基本概念2.1 防火墙的定义防火墙的本意指古代人民的房屋之间修建的墙，这道墙可以防

4、止火灾发生时蔓延到别的房屋，但现在的防火墙并不是为防火，而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域与安全区域的连接，同时不会防碍安全区域对风险区域访问。安全区域 工作站服务器打印机 Interner 隔离风险风险防火墙防火墙可以监控进出网络的数据，仅让安全、核准后的数据进入，抵制对局域网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择，因此防火墙的另一作用是防止未授权的数据进入被保护的网络。 2.2 防火墙的分类虽然防火墙的体系

5、结构和技术多种多样，但防火墙基本上分为三种：包过滤防火墙、应用代理防火墙和混合型防火墙。它们各有所长，具体选用应看具体需求。包过滤防火墙，分为普通包过滤和基于状态检测包过滤。作用在协议族的网络层和传输层，在网络层截获数据。根据分组包头源地址、目的地址、协议类型等标志确定是否数据包通过。应用代理防火墙，应用代理（Application Proxy）也叫应用网关，作用在应用层。它是近几年才得到广泛应用的一种新防火墙类型，掌握着应用系统中可作安全决策的全部信息，能够实现较高安全性。混合型防火墙，其结合了包过滤防火墙和应用代理防火墙的特点，通过IP地址和端口号过滤进出数据包。目前在市场上较多防火墙属于

6、混合型防火墙。无论哪种类型防火墙都存在着一定的局限，但可以通过配置监听某些特定的端口解决因特定的服务允许或拒绝某些数据的现象。例如分组过滤防火墙，通过实验了解到一个可靠的过滤防火墙依赖一定的规则，表1-1列出了几条规则集。表1-1 序号动作源IP目的IP源端口目的端口协议类型1允许*TCP2允许*20*TCP3禁止*TCP2.3 防火墙的工作原理防火墙的工作原理是其按照事先规定好配置与规则的方式，监测并过滤通过防火墙的数据流，只允许授权的或者符合规则的数据通过。防火墙能够记录有关连接的信息，服务器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。同时自身也

7、应具备较高的抗攻击性能。3 防火墙的必要性使用防火墙的一般论证是，没有防火墙，子网系统会把自己完全暴露在一些本身并不安全的服务（如NFS和NIS等）面前，并且受到网络上其他地方主系统的试探和攻击，在没有防火墙的环境中，网络安全性完全依赖于系统安全性。防火墙有助于提高主系统总体安全性，因而使网点获得众多的好处。3.1 控制不安全的服务防火墙可以控制不安全的服务，从而大大提高网络安全性，并通过过滤不安全的服务降低子系统所冒的风险。因为只有经过授权的协议和服务才能通过防火墙。例如，防火墙可以禁止某些易受攻击的服务（如NFS）进入或离开受保护的子网，其好处是可以防止这些服务不会被外部攻击者利用，同时，

8、允许在大大降低被外部攻击利用的风险情况下使用这些服务。这是对局域网特别有用的服务，因而可得到共用，并用来减轻主系统管理负担。防火墙还可以防止和保护基于路由器选择的攻击。例如，源路由器选择和企图ICMP改向，把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ISMP改向，然后把偶发事件通知管理人员或用户。3.2 控制访问网点防火墙还提供对网点的访问控制，例如，可以允许外部网络访问某些主机系统，而其他主系统则能有效的封闭起来，防止非法访问。除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对主系统的访问。3.3 集中安全性对一个机构来说，防火墙实际上可能并不昂贵，因为所有的或大多

9、数经过修改的软件和附加的安全性软件都放在放火墙，而不是分布在很多主系统上，尤其是一次性口令系统和其他附加验证软件可以放在防火墙上，而不是放在每个被需要访问因特网的系统上。其他的网络安全性解决方案，如Kerbers，要对每个主系统都进行修改。尽管Kerbers和其他技术有很多优点值得考虑，而且在某些情况下可能要比防火墙更适用，但是，防火墙往往更易实施，因为只有防火墙需要运行专门的软件。3.4 增强性保密对某些网点来说，保密是非常重要的，一般认为无关大局的信息，实际上可能有对攻击者有用的线索。使用防火墙后，某些网点希望封锁某些服务，如域名服务。防火墙还可用来封锁有关网点系统的DNS信息。因此，网点

10、系统名字和IP地址都不要提供因特网主系统，有的网点认为，通过封锁这种信息它们正在把对攻击者有用的信息隐藏起来。3.5 网络日志及使用统计如果因特网的往返访问都通过防火墙，那么，防火墙可以记录歌词访问，并提供有关网络使用率的有价值的统计数字，如果一个防火墙能在可疑活动发生时发出音响警报，则可以提供防火墙和网络是否被试探或攻击的细节。3.6 策略的执行防火墙可以提供实施和执行网络访问策略的工具。事实上，防火墙可向用户和服务提供访问控制。因此，网络访问册落可以由防火墙执行，如果没有防火墙，这样一种策略完全取决于用户的协作。4 病毒入侵防火墙检测步骤防火墙具有入侵检测系统，检测系统是一种增强系统安全的

11、有效方法，能检测出系统安全性规则，作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生或减少工具造成的危害。数据分析响 应信息收集 3-1 检测结构流图4.1 信息收集防火墙要抵制风险的侵入， 第一步就是要将信息收集，收集整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于所收集信息的可靠性和完备性。因此，要确保收集、报告这些信息的可靠性。4.2 数据分析数据分析是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测性能的高低。根据数据分析的不同方式可将入侵系统分为异常入侵检测与滥用入侵两类。4.3 响应数据分析发现入侵迹象后，检测系统的下一步

12、工作就是响应。响应并不限于对可疑的攻击者。目前的入侵系统一般采取下列响应：（1）将分析结果记录在日志文件中，并产生相应的报告。（2）触发警报，如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件，等等。（3）修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络或更改防火墙配置等。5 防火墙的部署 根据网络结构和应用系统的重要程序，用户可以在网络边界和网络内部的不同区域部署防火墙，以实现整体防护作用。用户可以按具体需求将防火墙部署在以下位置：5.1 部署在网络系统内部各网络的接口部署在网络系统内部各网络的接口处，利用防火墙实现系统内部各级网络层次间的访问控制。5.2 部署

13、在网络系统的公开信息发布平台与外部互联网的接口部署在网络系统的公开信息发布平台与外部互联网的接口处，实现公开信息发布平台与外部互连网的访问控制。5.3 部署在网络系统与政府专用网间部署在网络系统与政府专用网间，实现部门网络系统与政府专用网间的访问控制。5.4 部署在部门局域网络内不同信任区部署在部门局域网络内不同信任区之间，实现部分局域网内不同信任区之间的访问控制。5.5 部署在拨号服务器的接入口部署在拨号服务器的接入口上，实现对公开服务器的安全保护，以及对远程用户的安全认证与访问权限控制，并且能够实现对专线资源管理与控制。下图所示为设计的一个防火墙部署实例 PSIN 外网 拨号服务器 防火墙

14、 拨号服务器 重点保护区 防火墙 内网 5-1 防火墙部署实例事例中一台防火墙部署在网络的出口处，将整个网络分隔成四个区域：外网区、服务器区及拨号服务器区，拨号服务器存在暴力破解攻击等安全隐患，应放在防火墙的一个单独区域。另一台防火墙部署在内网的重点保护区前面，将存放重要数据的重点保护区和其他内区域网分开，属于内网不同信任区域的部署方式。 6 天网个人防火墙具体实例分析 6.1 天网防火墙功能 目前天网个人版防火墙是国内外针对个人用户最好的软件防火墙之一，是一套供个人电脑使用的网络安全程序，它可以帮助用户抵挡网络入侵和攻击，防止信息泄露。最新版本的天网个人版防火墙可在天网安全阵线免费下载(ww

15、)。其功能如下： 6.1.1 灵活的安全规则：天网防火墙设置了一系列安全规则，允许特定主机的相应服务，拒绝其它主机的访问要求。用户还可以根据实际情况，添加、删除、修改安全规则，保护本机安全。 6.1.2 应用程序规则设置：新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通信端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具有的功能。6.1.3 详细的访问记录和完善的报警系统：天网防火墙可显示所有被拦截的访问记录包括访问的时间、来源、类型、代码等都详细地记录下来，用户可以清楚地看到是否有入侵者想连接到自己的机器，

16、从而制定更有效的防护规则。与以往的版本相比，天网防火墙(个人版)设置了完善的声音报警系统，当出现异常情况的时候，系统会发出预警信号，从而让用户作好防御措施。6.1.4 严密的实时监控：天网防火墙对所有来自外部机器的访问请求进行过滤，发现 非授权的访问请求后立即拒绝，随时保护用户系统的信息安全。6.1.5 支持高保密的“VPN技术”。天网防火墙采用符合IPSEC标准的高保密性虚拟专 用系统，系统支持多种加密算法，使系统具有完善的安全特征，保证了数据的真实性、完整性和机密性。 6.1.6 即时聊天保护功能。6.2 天网防火墙的安全规则设置“天网”在启动后的默认窗口是“安全规则设置”窗口，在主对话框

17、中可以自行指定防火墙的安全规则，针对每一项规则，在窗口底部的对话框中都有详细的注释，因为“天网”是以对数据包进行监控为基础的，所以在对话框中也包括了对数据包的发送方向、遵从的协议、对方的地址、对方的端口都做出了说明。可以看到，在最下面还有若干的“空规则”，这是“天网”设计的一个自行升级的方法，用户可以到网站上下载新制定的规则来完善防火墙的功能。关于各项设置的具体意义，这里选择几项重要的规则设置来解释，实际上“天网”本身已经默认设置好了相当完善的安全级别，一般，用户并不需要自行更改设置。图5-1为天网防火墙个人版基本界面的应用 图5-1 天网防火墙应用 6.2.1 防御ICMP攻击和防止别人用p

18、ing命令探测：选择时，即其它用户无法用ping的方法来确定该用户的存在。但不影响该用户去ping别人。由于ICMP协议现在也被用作蓝屏攻击的一种方法，而且该协议对于大多数普通用户来说，是很少使用到的。 6.2.2 防御IGMP攻击：IGMP是用于组播的一种协议，对于MS Windows的用户是没有什么用途的，但现在也被用来作为蓝屏攻击的一种方法，建议选择此设置，不会对用户造成影响。6.2.3 TCP数据包监视：选择时，可以监视用户机器上所有的TCP端口服务。这是一种对付特洛伊木马客户端程序的有效方法，因为这些程序也是一种服务程序，如果关闭了TCP端口的服务功能，外部几乎不可能与这些程序进行通

19、讯。而且，对于普通用户来说，在互联网上只是用于WWW浏览，关闭此功能不会影响用户的操作。但要注意，如果用户的机器要执行一些服务程序，如 FTP server，HTTP server时，一定不要关闭此功能。而且，如果用ICQ来接受文件，也一定要使该功能正常，否则，将无法收到其它用户的文件。另外，选择监视TCP数据包，也可以防止许多端口扫描程序的扫描。6.2.4 禁止互联网上的机器使用我的共享资源：开启该规则后，其它用户就不能访问该用户的共享资源，包括获取该用户的机器名称。 6.2.5 禁止所有人连接低端端口：防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口，几乎所

20、有的Internet服务都是在这些端口上工作的，所以这是一条非常严厉的规则，有可能影响用户使用某些软件。如果用户需要向外面公开自己的特定端口，请在本规则之前添加使该特定端口数据包可通行的规则。 6.2.6 允许己经授权程序打开的端口：某些程序，如ICQ，视频电话等软件，都会开放一些端口，这样，该用户的同伴才可以连接到访问用户的机器上。本规则可以有效保证这些软件正常工作。以上，设置了多条安全规则，主要针对现时一些用户对网络服务端口的开放和木马端口的拦截。其实安全规则的设置是系统最重要，也是最复杂的地方。如果不太熟悉IP规则，最好不要调整它，可以直接使用缺省的规则。如果熟悉IP规则，就可以非常灵活的设置。当设置完成，启动使用后，运行“Netsh firewall show state”或是“Netsh firewall show config”命令可以检查