网络安全中的防火墙设计

1、网络安全中的防火墙网络安全中的防火墙 摘 要 随着计算机网络日益普及，网络技术正在改变着人类得现实世界，改变着人们得工作 方式、学习方式以及生活方式。在经济、文化、科研、军事、政治、教育和社会生活各个 领域内发挥这越来越重要的作用，对于各类信息的收集、分析、传输以及交换等处理，计 算机网络越来越成为必不可少的途径。计算机网络的发展进一步走向开放，开放的计算机 网络给人们提供了更多得机会和方便，社会正越来越依赖于网络及其存储的信息，然而网 络的开放性也带来各种各样的复杂问题。其中网络安全是最令人关注的也是最重要的问题 之一。在网络社会里，国家、政府、企业、学校和个人都面临许多潜在的网络安全的新挑

2、 战和新危险，网络的安全性受到前所未有的重视。 防火墙是目前网络安全领域广泛使用的设备，其主要目的就是限制非法流量，以保护 内部子网。从部署位置来看，防火墙往往位于网络出口，是内部网和外部网之间的唯一通 道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问 题。 【关键词】：计算机 防火墙 网络安全 黑客攻击 Firewall in network security Summary play an increasingly important role in this, for all types of information collection, analysis

3、, transmission and exchange processing, computer networks are increasingly becoming indispensable small way. To further the development of computer networks is open to the peoples computer network was to provide more opportunities and convenience, society is increasingly dependent on the network and

4、 its stored information, however, the openness has also brought a variety of complex problems. Network security is one of the most concern is the most important issues. In the network society, state, government, businesses, schools and individuals are faced with many potential new network security c

5、hallenges and new dangers, network security unprecedented attention. Firewall is widely used network security devices, its main purpose is to restrict the illegal flow, in order to protect the internal subnet. View from the deployment location, network firewalls are often located in export, is inter

6、nal network and the only access between external networks, thereby increasing the performance of a firewall to prevent it from becoming a bottleneck, the success of firewall products become a key issue. Key words: computer firewall network security hacking 目 录 第一章 绪论 .1 1.1 计算机安全.1 1.1.1 计算机安全.1 1.1

7、.2.计算机信息系统的安全.1 1.1.3 计算机病毒.1 1.1.4 网络安全.2 1.1.5 黑客.3 1.1.6 防火墙技术.3 1.1.7 其他防范技术.3 1.1.8 我国负责计算机信息系统安全工作的主要部门.3 1.2.1 防火墙.3 1.2.2 防火墙的发展史.4 1.3 防火墙的功能.4 1.3.1 保护那些易受攻击的服务.4 1.3.2 控制对特殊站点的访问.5 1.3.3 集中化的安全管理.5 1.3.4 对网络访问进行记录和统计.5 1.4 防火墙的安全性设计.5 1.4.1 用户认证.5 1.4.2 域名服务.5 1.4.3 邮件处理.5 1.4.4IP 层的安全性 .

8、5 1.4.5 防火墙的 IP 安全性 .6 1.4.6 防火墙的基本组成结构.6 1.5 防火墙分类.6 1.5.1 屏蔽路由器.6 1.5.2 双宿堡垒主机.6 1.5.3 屏蔽主机防火墙.6 1.5.4 屏蔽子网防火墙.6 1.6 防火墙的局限性.7 1.6.1 网络的安全性通常是以网络服务的开放性和灵活性为代价.7 1.6.2 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失.7 第二章 防火墙的技术 .8 2.1 包过滤防火墙.8 2.1.1 包过滤防火墙的工作原理.8 2.1.2 包过滤防火墙的优缺点.8 2.2 代理型防火墙.9 2.2.1 代理型防火墙的工作原理.

9、9 2.2.2 代理型防火墙的优缺点.11 2.3 状态监视器防火墙.12 2.3.1 状态监视器防火墙的工作原理.12 2.3.2 状态监视器防火墙的优缺点.12 2.4 复合式防火墙.12 2.5 防火墙的优缺点.12 第三章 第四代防火墙技术 .14 3.1 第四代防火墙的技术和功能.14 3.1.1 双端口或三端口的结构.14 3.1.2 透明的访问方式.14 3.1.3 灵活的代理系统.14 3.1.4 多级过滤技术.14 3.1.5 网络地址转换技术.14 3.1.6Internet 网关技术.18 3.1.7 安全服务器网络.19 3.1.8 用户鉴别与加密.19 3.1.9 用

10、户定制服务.19 3.1.10 审计和告警.19 第四章 防火墙的应用 .20 4.1 个人防火墙的应用.20 4.1.1 个人防火墙简介.20 4.1.2 个人防火墙的发展背景.20 4.1.3 个人防火墙应用.21 4.1.4 个人防火墙的特点.22 4.1.5 主流个人防火墙简介.22 4.2 企业防火墙的应用.23 4.2.1 企业防火墙的简介.23 4.2.2 企业防火墙的应用.24 4.2.3 企业防火墙选购.25 第五章总结与发展 .27 参考文献 .28 致谢 .29 第一章第一章 绪论绪论 1.1 计算机安全计算机安全 1.1.1 计算机安全计算机安全 计算机在安全方面的脆弱

11、性使它面临的威胁是多方面的，主要的威胁可分为恶劣环境 的影响、偶然故障和错误、人为的攻击破坏以及计算机病毒感染四类。 1.1.2.计算机信息系统的安全计算机信息系统的安全 随着计算机信息系统应用的深入，计算机信息系统逐步从单机向局域网、广域网发展， 特别是 Internet 的迅速发展，计算机信息系统安全面临新的、更严峻的挑战。 构成计算 机信息系统基础的计算机操作系统和网络的千差万别，实现计算机联接的多种网络拓朴结 构的混合，所采用介质的多样性，信息的集中处理或分布处理等多种形式，这些都大大增 加了计算机信息系统安全问题解决的难度。因此计算机信息系统安全不再是系统内某个元 素或某几个元素的安

12、全，而是系统整体的安全，不再是一个单纯而简单的问题，而是一个 系统工程。 从技术角度看，计算机系统安全包括计算机安全、网络安全和信息安全。其中 信息安全是主线，它贯穿在计算机安全和网络安全之中。 1.1.3 计算机病毒计算机病毒 计算机病毒是具有自我复制能力的并具有破坏性的计算机程序（下简称病毒） ，它会 影响和破坏正 常程序的执行和数据的安全。它不仅侵入到所运行的计算机系统，而且还能 不断地把自己的复制品传播到 其他的程序中，以此达到其破坏作用。病毒一般都具有很强 的隐蔽性，所以不易被发现。计算机病毒发展 到今天，已成为计算机世界里的一种恶性顽 疾，是研究计算机安全保密防范时必须经常考虑和面

13、对的一个主要问题。 1.病毒的特点 计算机病毒与生物病毒几乎具有完全相同的特征，如生物病毒的传染性、流行性、 繁殖性、表现性、 针对性等特征，计算机病毒都具备，所不同的是：计算机病毒不是微生 物，而是一段可执行的计算机程序。 2.病毒的传染途径 传染性是计算机病毒最显著的特征，威胁也最大。如没有传染性，即使病毒的破 坏性再大，也只能破坏一台计算机，而不能威胁其它计算机。 计算机病毒从一个计算机系 统向其它计算机系统进行传染的主要途径是联网线路、磁盘和光盘。在单机环境下，病毒 主要是通过互相交换的带毒磁盘或光盘传染的。硬盘虽然是固定式存储介质，但是硬盘是 病毒的重要滋生地，许多病毒都寄生在硬盘上

14、，一旦用寄生有病毒的硬盘启动计算机，并 且对某些软盘和光盘进行读写操作，那么，病毒就会传染到软盘和光盘上，并通过这张软 盘和光盘扩散开来。 对于网络来说，带病毒的服务器则是病毒的集散点，它一般通过可执 行文件的传递而传播。在联网条件下，计算机病毒扩散的途径，增加了许多，它可以通过 访问、文件下载、电子邮件等各种途径来传播病毒。 3.毒的危害 计算机病毒对计算机的危害形式主要有以下几种： （1） 减少存储器的可用空间； （2）使用无效的指令串与正常运行程序争夺 CPU 时间； （3）破坏存储器中的数据信息； （4）破坏相连网络中的各项资源； （5）构成系统死循环； （6）肆意更改、破坏各类文件和

15、数据； （7）破坏系统 I/O 功能； （8）彻底毁灭软件系统。 （9）用借读数据更改主板上可檫写型 BIOS 芯片，造成系统崩溃或主板损坏； （10）造成磁头在硬盘某些点上死读，从而破坏硬盘。计算机病毒通过这几种危害形 式，给计算机造成的灾害是巨大的。这方面的事例数不胜数。 4.病毒的防治 由于病毒对微机资源造成严重的破坏，所以必须从管理和技术两方面采取有效措 施，以防止病毒的入侵。 在日常工作中，防止病毒感染的主要措施有： （1） 首先，也是最重要的一点是选择并安装一个反病毒软件，由于新的病毒不 断出现（平均每天 13 个） ，没有一台计算机能在如今高度共享、高度网络化的世界里在不 装反病

16、毒软件的情况下躲过病毒的攻击。定期对所用微机进行检查，包括所使用的软盘和 硬盘，以便及时发现病毒，防患于未然。 （2）减少服务器中用户写的权力。把服务器中写的权力控制在尽量少的人手中， 能避免不必要的麻烦和损失。 （3）防范来历不明软盘和盗版光盘。应对来历不明的软盘和盗版光盘保持高度警 惕，在把它塞进驱动器前要考虑清楚，如果你不得不这样做，请先用反病毒软件对软盘进 行检查，扫描盘中的每一个文件（不仅仅是可执行文件） ，包括压缩文件。同样，在你给别 人软盘时，及时对软盘写保护，这样别人机器里的病毒就不会传到你的软盘里。 （4）在阅读电子邮件的附件前进行扫描。有些邮件接收软件在用户打开一封邮件 后

17、会自动打开附件，请千万关闭这个功能。 （5）下载的时候要小心。下载文件是病毒来源之一。 1.1.4 网络安全网络安全 网络安全，是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒，计算 机系统的互联，在大大扩展信息资源的共享空间的同时，也将其本身暴露在更多恶意攻击 之下。如何保证网络信息存储、处理的安全和信息传输的安全的问题，就是我们所谓的计 算机网络安全。信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏 或使信息被非法系统辩识、控制；确保信息的保密性、完整性、可用性、可控性。信息安 全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方 面。

18、设计一个安全网络系统，必须做到既能有效地防止对网络系统的各种各样的攻击，保 证系统的安全，同时又要有较高的成本效益，操作的简易性，以及对用户的透明性和界面 的友好性。 1.1.5 黑客黑客 黑客是英文Hacker的音译原意为热衷于电脑程序的设计者。今天已演变为挑战权威， 喜欢标新立异，利用某种技术手段非法进入其权限以外的电脑和网络空间的人们。黑客入 侵目的很复杂，有的为显示技术实力，有的为报复他人，有的出于政治目的，有的为了技 术情报和经济目的，其目标是各式各样的，包括国家安全、军事技术、政治机密、知识产 权、商业机密和个人隐私。 1.1.6 防火墙技术防火墙技术 伴随着的国际互联网的迅速普及

19、和发展，诞生了一个崭新的名词-防火墙技术。所谓 防火墙技术，就是象征性地比喻将危害信息系统安全的火阻挡在网络之外，为网络建一 道安全的屏障。它可能由一个硬件和软件组成，也可以是一组硬件和软件构成的保护屏障。 它是阻止国际互联网络黑客攻击的一种有效手段。简单地讲，它的作用就是在可信网络 （用户的内部网络）和非可信网络（国际互联网、外部网）之间建立和实施特定的访问控 制策略。所有进出的信息包都必须通过这层屏障，而只有授权的信息包（由网络的访问控 制策略决定）才能通过。 1.1.7 其他防范技术其他防范技术 防火墙技术是国际互联网安全技术的一个重要手段，但也不是万能的，对一些重要的 网络，根据需要采

20、用其他加密技术、网络安全检测技术和防病毒技术等等。 1.1.8 我国负责计算机信息系统安全工作的主要部门我国负责计算机信息系统安全工作的主要部门 目前我国有三个部门负责计算机信息网络安全的工作，一个是公安部，负责计算机网 络安全；第二是国家保密局，负责计算机网络系统的信息保密;第三是国家密码委员会，负 责密码的研制、管理和使用。 1.2 防火墙防火墙 1.2.1 防火墙防火墙 防火墙是设置在被保护网络和外部网络之间的一道屏障，以防发生不可预测潜在的破 坏性侵入。它可通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内 部的信息、结构和运行状况，以此来实现网络的安全保护。 防火墙是具

21、有以下特征的计算机硬件或软件： 1.由内到外和由外到内德所有访问都必须通过它。 2.只有本地安全策略所定义的合法访问才被允许通过它。 3.防火墙本身无法被穿透。 通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、 外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙是 通过软件的方式来达到隔离内、外部网络的目的，价格很便宜，但这类防火墙只能通过一 定的规则来达到限制一些非法用户访问内部网的目的。 1.2.2 防火墙的发展史防火墙的发展史 第一代防火墙：该防火墙技术几乎与路由器同时出现，采用了包过滤技术。 第二、三代防火墙：1989 年，贝尔实验室

22、的 Dave Presotto 和 Howard Trickey 推出了第 二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙） 的初步结构。 第四代防火墙：1992 年，USC 信息科学院的 BobBraden 开发出了基于动态包过滤 （Dynamic packet filter）技术的第四代防火墙，后来演变为状态检测（Stateful inspection） 技术。1994 年，以色列的 CheckPoint 公司开发出了第一个采用这种技术的商业化的产品。 第五代防火墙：1998 年，NAI 公司推出了一种自适应代理（Adaptive proxy）技术，并 在其产品

23、 Gauntlet Firewall for NT 中得以实现，给代理类型的防火墙赋予了全新的意义，可 以称之为第五代防火墙。 下图表示了防火墙技术的简单发展历史： 图 1-1 防火墙的发展图 1.3 防火墙的功能防火墙的功能 防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访 问行为来实现对网络安全的有效管理。从基本要求上看，防火墙还是在两个网络之间执行 控制策略的系统（包括硬件和软件） ，目的是不被非法用户侵入。它遵循的是一种允许或禁 止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 因此，对数据和访问的控制、对网络活动的记录，是防火墙

24、发挥作用的根本和关键。 无论何种类型的防火墙，从总体上看，都应具有五大基本功能：过滤进、出网络的数 据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活 动；对网络攻击的检测和告警。 1.3.1 保护那些易受攻击的服务保护那些易受攻击的服务 防火墙能过滤那些不安全的服务。只有预先被允许的服务才能通过防火墙，这样降低 了收到非法攻击的风险性，大大地提高了企业内部网的安全性。 1.3.2 控制对特殊站点的访问控制对特殊站点的访问 防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问而有些则要被保护起 来，防止不不要的访问。通常会有这样一种情况，在内部网种只有 Mail

25、 服务器、FTP 服务 器和 WWW 服务器能被外部网访问，而其他访问则被防火墙禁止。 1.3.3 集中化的安全管理集中化的安全管理 对于一个企业而言，使用防火墙不不使用防火墙可能更加经济一些。这是因为如果使 用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而 不使用防火墙，就必须将所有软件分散到各个主机上。 1.3.4 对网络访问进行记录和统计对网络访问进行记录和统计 如果所有对 Internet 的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能 提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到 监测和攻击的详细信息。 1.4

26、 防火墙的安全性设计防火墙的安全性设计 1.4.1 用户认证用户认证 对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。 防火墙产品作为对网络访问进行有效控制的信息安全设备，在对用户的网络访问进行 控制的时候，要使用有效的用户认证技术来区分不同的用户身份，以适应不同访问级别的 用户对网络访问的不同权限 1.4.2 域名服务域名服务 防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机 的 IP 地址泄露出去。因此，对于来自 Internet 主机的请求，防火墙应当分辨内部网内所有 到防火墙 IP 地址的主机名字；而对于来自内部网内主机的请求，防火墙提

27、供寻址名字，以 分辨 Internet 上的主机。 1.4.3 邮件处理邮件处理 电子邮件是内部网络与 Internet 连通的一项主要业务，是 Internet 上用户之间交换信息 时广泛采用的手段，一般采用（简单邮件传送协议simple mail transfer protocol,SMTP） 。 这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通， 再与 Internet 上的用户连通。 1.4.4IP 层的安全性层的安全性 IP 层得安全包括两个功能：认证和保密。认证机构保证接收的数据组就是由数据组报 头中所识别出的作为该数据组的源所发生的。此外，认证机构还

28、要保证该数据组在传送中 未被篡改。保密性保证通信节点多说传消息进行加密，防止第三者窃听。 1.4.5 防火墙的防火墙的 IP 安全性安全性 防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过 Internet 相互连接而成。这些网之间的数据保密性和完整性可以通过 IP 的安全机制实现。 1.4.6 防火墙的基本组成结构防火墙的基本组成结构 防火墙的基本组成机构有：屏蔽路由器、双宿堡垒主机、屏蔽主机防火墙和屏蔽子网 防火墙。 1.5 防火墙分类防火墙分类 1.5.1 屏蔽路由器屏蔽路由器 屏蔽路由器又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能， 是一个检查通过

29、它的数据包的路由器。 1.5.2 双宿堡垒主机双宿堡垒主机 双宿堡垒主机又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。 1.5.3 屏蔽主机防火墙屏蔽主机防火墙 屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它所提供得安全性能要比包过滤防 火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。 当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。 1.5.4 屏蔽子网防火墙屏蔽子网防火墙 屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服 务器、Modem 组，以及其他公用服务器放在该子网中，这个子网称为“停火区”

30、或“非军 事区” 。 1.6 防火墙的局限性防火墙的局限性 1.6.1 网络的安全性通常是以网络服务的开放性和灵活性为代价网络的安全性通常是以网络服务的开放性和灵活性为代价 在网络系统中部署防火墙，通常会使用网络系统的部分功能被削弱。 1） 由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受阻 碍； 2）由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息 传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。 1.6.2 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失

31、 1.只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力； 2.不能解决来自内部网络的攻击和安全问题； 3.不能防止受病毒感染的文件的传输； 4.不能繁殖策略配置不当或错误配置引起的安全威胁； 5.不能防止自然或人为的故意破坏； 6.不能防止本身安全漏洞的威胁。 第二章第二章 防火墙的技术防火墙的技术 2.1 包过滤防火墙包过滤防火墙 包过滤防火墙是最简单的防火墙，通常只包括对源和目的的 IP 地址及端口的检查。 2.1.1 包过滤防火墙的工作原理包过滤防火墙的工作原理 包过滤防火墙工作在 OSI 网络参考模型的网络层和传输层，它根据数据包头源地址， 目的地址、端口号和协议类

32、型等标志确定是否允许通过。只有满足过滤条件的数据包才被 转发到相应的目的地，其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各 个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多 数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效， 是因为它能很大程度上满足了绝大多数企业安全要求。 在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静 态包过滤”和“第二代动态包过滤” 。 第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一

33、条 包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP 源地址、 IP 目标地址、传输协议(TCP、UDP、ICMP 等等)、TCP/UDP 目标端口、ICMP 消息类型等。 包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则” ，即明确允许那些管理员希 望通 第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这 种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对 通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条 目。 2.1.2 包过滤防

34、火墙的优缺点包过滤防火墙的优缺点 包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传 输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限 信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的， 且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地 过滤如 UDP、RPC 一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据 包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人 员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入

35、的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。 2.2 代理型防火墙代理型防火墙 应用代理型防火墙是工作在 OSI 的最高层，即应用层。其特点是完全阻隔了网络通 信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网 关型代理防火墙和第二代自适应代理防火墙。 .1 代理型防火墙的工作原理代理型防火墙的工作原理 第一代：代理防火墙 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理 （Proxy）技术参与到一个 TC

36、P 连接的全过程。从内部发出的数据包经过这样的防火墙处 理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类 型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务 器技术。 所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一 个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的 Proxy 应用程序处理 连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处 理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发 挥了中间转接的作用。 第二代：自适应代理防火墙 自

37、适应代理技术（Adaptive proxy）是最近在对于一个企业而言，使用防火墙不不使用 防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附 加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个 主机上。 如果所有对 Internet 的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能 提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到 监测和攻击的详细信息。 对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。 防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机

38、 的 IP 地址泄露出去。因此，对于来自 Internet 主机的请求，防火墙应当分辨内部网内所有 到防火墙 IP 地址的主机名字；而对于来自内部网内主机的请求，防火墙提供寻址名字，以 分辨 Internet 上的主机。 电子邮件是内部网络与 Internet 连通的一项主要业务，是 Internet 上用户之间交换信息 时广泛采用的手段，一般采用（简单邮件传送协议simple mail transfer protocol,SMTP） 。 这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通， 再与 Internet 上的用户连通。 P 层得安全包括两个功能：认证和保

39、密。认证机构保证接收的数据组就是由数据组报 头中所识别出的作为该数据组的源所发生的。此外，认证机构还要保证该数据组在传送中 未被篡改。保密性保证通信节点多说传消息进行加密，防止第三者窃听。 防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过 Internet 相互连接而成。这些网之间的数据保密性和完整性可以通过 IP 的安全机制实现。 防火墙的基本组成机构有：屏蔽路由器、双宿堡垒主机、屏蔽主机防火墙和屏蔽子网 防火墙。 屏蔽路由器又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能， 是一个检查通过它的数据包的路由器。 双宿堡垒主机又称应用型防火墙，在运行防火墙软件

40、的堡垒主机上运行代理服务器。 屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它所提供得安全性能要比包过滤防 火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。 当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。 屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服 务器、Modem 组，以及其他公用服务器放在该子网中，这个子网称为“停火区”或“非军 事区” 。 网络的安全性通常是以网络服务的开放性和灵活性为代价 在网络系统中部署防火墙，通常会使用网络系统的部分功能被削弱。 1.由于防火墙的隔离作用，在保护内部网络的同时使它与外

41、部网络的信息交流受阻 碍； 2.由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息 传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失 1.只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力； 2.不能解决来自内部网络的攻击和安全问题； 3.不能防止受病毒感染的文件的传输； 4.不能繁殖策略配置不当或错误配置引起的安全威胁； 不能防止自然或人为的故意破坏； 6.不能防止本身安全漏洞的威胁。 包过滤防火墙是最简单的防火墙，通常只包括对源和目的的 IP 地址及端口的检查。 包过滤防

42、火墙工作在 OSI 网络参考模型的网络层和传输层，它根据数据包头源地址， 目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被 转发到相应的目的地，其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各 个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多 数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效， 是因为它能很大程度上满足了绝大多数企业安全要求。 在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静 态包过滤”和“第二代动态包过滤”

43、 。 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条 包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP 源地址、 IP 目标地址、传输协议(TCP、UDP、ICMP 等等)、TCP/UDP 目标端口、ICMP 消息类型等。 包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则” ，即明确允许那些管理员希 望通 第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。 这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙 对通过其建立的每一个连接都进行

44、跟踪，并且根据需要可动态地在过滤规则中增加或更新 条目。 包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传 输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限 信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的， 且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地 过滤如 UDP、RPC 一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据 包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人 员素质要求高，建立安全规则时，必须对协议本身及其在不同应

45、用程序中的作用有较深入 的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。 应用代理型防火墙是工作在 OSI 的最高层，即应用层。其特点是完全阻隔了网络通 信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网 关型代理防火墙和第二代自适应代理防火墙。 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理 （Proxy）技术参与到一个 TCP 连接的全过程。从内部发出的数据包经过这样的防火墙处 理后，就好像是源于防火墙外部网卡一样，从而

46、可以达到隐藏内部网结构的作用。这种类 型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务 器技术。 所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一 个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的 Proxy 应用程序处理 连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处 理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发 挥了中间转接的作用。 第二代：自适应代理防火墙 第一代：代理防火墙 商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和 包过

47、滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高 10 倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter） 。 在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户 仅仅将所需要的服务类型、安全级别等信息通过相应 Proxy 的管理界面进行设置就可以了。 然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还 是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速 度和安全性的双重要求

48、。 2.2.2 代理型防火墙的优缺点代理型防火墙的优缺点 代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络 中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。 另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代 理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由 代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了 入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这 一漏洞的。 有优点就有缺点，任何事物都一样。代理防火墙的最大缺点就是

49、速度相对比较慢，当 用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶 颈。那因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、 外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很 明显。 2.3 状态监视器防火墙状态监视器防火墙 2.3.1 状态监视器防火墙的工作原理状态监视器防火墙的工作原理 这种防火墙的安全特性是非常好的，它采用了一个在网关上执行网络安全策略的软件 引擎，称之为检测模块。检测模块在不影响网络正常工作得前提下，采用抽取相关数据的 方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存

50、起来作为以 后指定安全决策的参与。 当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络 配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规 定，安全报警器就会拒绝和记录该访问，并向系统管理器报告网络状态。 2.3.2 状态监视器防火墙的优缺点状态监视器防火墙的优缺点 状态监视器防火墙的优点： 1.监测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。 2.它会监测 RPC 和 UDP 之类得端口信息，而包过滤和代理网关都不支持此类端口。 3.性能坚固。 状态监视器防火墙的缺点： 1.配置非常复杂。 2.会降低网络的速度。 2.4

51、 复合式防火墙复合式防火墙 1.常见是代理服务器和状态分析技术的组合； 2.具有对一切连接尝试进行过滤的功能； 3.提取和管理多种状态信息的功能； 4.智能化做出安全控制和流量控制的决策； 5.提供高性能的服务和灵活的适应性； 6.具有网络内外完全透明的特性。 2.5 防火墙的优缺点防火墙的优缺点 优点： 1.保护网络中脆弱的服务 2.实现网络安全性监视和试试报警 3.增强保密性和强化私有权 4.实现网络地址转换 5.实现安全性失效和自动故障恢复 缺点： 1.不能防范恶毒的知情者。 2.不能防范不经过它的连接。 3.不能防备全部的威胁，特别是新产生的威胁。 4.不能有效地防范病毒的攻击。 第三

52、章第三章 第四代防火墙技术第四代防火墙技术 3.1 第四代防火墙的技术和功能第四代防火墙的技术和功能 1.主要功能 (1)双端口或三端口的结构 (2)透明访问方式 (3)灵活的代理系统 (4)多级过滤技术 (5)网络地址转换技术（ NAT） 2. 技术实现 在第四代防火墙产品的设计与开发中，安全内核、代理系统、多级过滤、安全服 务器和鉴别与加密是关键所在。 (1)安全内核的实现 (2) 代理系统的建立 所有外部网络到 防火墙内部或 SSN 的连接由进站代理处理，进站代理要保证内部 主机能了解外部主机的所有信息，而外部主机只能看到防火墙之外或 SSN 的地址。 所有从内部网络或 SSN 通过防火

53、墙与外部网络建立的连接由出站代理处理，出站代理 必须确保由它代表的内部网络与外部地址相连，防止内部网址与外部网址的直接连接， 同时还要处理内部网络到 SSN 的连接。 3.2 双端口或三端口的结构双端口或三端口的结构 新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做 IP 转化而串接于 内部与外部之间,另一个网卡可专用于对服务器的安全保护。 以前的防火墙在访问方式上要么要求用户登录进系统，要么需要通过SOCKS 等 路径修改客户机的应用。第四代 防火墙利用了透明代理技术，从而降低了系统登录固 有的安全风险和出错概率 3.3 透明的访问方式透明的访问方式 以前的防火墙在访问方式上要么

54、要求用户做系统登录,要么需要通过 SOCKS 等库路径 修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的 安全风险和出错概率。 3.4 灵活的代理系统灵活的代理系统 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两 种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内 部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理 或保密的代理系统技术来解决。 3.5 多级过滤技术多级过滤技术 为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在 分组过滤

55、一级,能过滤掉所有的源路由分组和假冒 IP 地址; 在应用级网关一级,能利用 FTP、SMTP 等各种网关,控制和监测 Internet 提供的所有通用服务;在电路网关一级,实现内 部主机与外部站点的透明连接,并对服务的通行实行严格控制。 3.6 网络地址转换技术网络地址转换技术 第四代防火墙利用 NAT 技术能透明地对所有内部地址做转换,使得外部网络无法了解 内部网络的内部结构,同时允许内部网络使用自己编的 IP 源地址和专用网络,防火墙能详尽 记录每一个主机的通信,确保每个分组送往正确的地址应用代理型防火墙是工作在 OSI 的最 高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用

56、服务编制专门的代 理程序，实现监视和控制应用层通信流的作用。 在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型 代理防火墙和第二代自适应代理防火墙。 第一代：代理防火墙 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理 （Proxy）技术参与到一个 TCP 连接的全过程。从内部发出的数据包经过这样的防火墙处 理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类 型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务 器技术。 所谓代理服务器，是指代表客户处理在服务器连

57、接请求的程序。当代理服务器得到一 个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的 Proxy 应用程序处理 连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处 理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发 挥了中间转接的作用。 第二代：自适应代理防火墙 自适应代理技术（Adaptive proxy）是最近在对于一个企业而言，使用防火墙不不使用 防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附 加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个 主机上。 如果所有

58、对 Internet 的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能 提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到 监测和攻击的详细信息。 对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。 防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机 的 IP 地址泄露出去。因此，对于来自 Internet 主机的请求，防火墙应 当分辨内部网内所有到防火墙 IP 地址的主机名字；而对于来自内部网内主机的请求， 防火墙提供寻址名字，以分辨 Internet 上的主机。 电子邮件是内部网络与 Internet 连通的

59、一项主要业务，是 Internet 上用户之间交换信息 时广泛采用的手段，一般采用（简单邮件传送协议simple mail transfer protocol,SMTP） 。 这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通， 再与 Internet 上的用户连通。 P 层得安全包括两个功能：认证和保密。认证机构保证接收的数据组就是由数据组报 头中所识别出的作为该数据组的源所发生的。此外，认证机构还要保证该数据组在传送中 未被篡改。保密性保证通信节点多说传消息进行加密，防止第三者窃听。 防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过 Inter

60、net 相互连接而成。这些网之间的数据保密性和完整性可以通过 IP 的安全机制实现。 防火墙的基本组成机构有：屏蔽路由器、双宿堡垒主机、屏蔽主机防火墙和屏蔽子网 防火墙。 屏蔽路由器又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能， 是一个检查通过它的数据包的路由器。 双宿堡垒主机又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。 屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它所提供得安全性能要比包过滤防 火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。 当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。 屏蔽子网防