防火墙技术研究与应用毕业设计

1、毕 业 论 文论文题目 防火墙技术研究与应用III摘 要本论文旨在研究防火墙的技术原理以及应用。其中着重介绍了防火墙的分类，设计防火墙时所需用到的主要策略和技术。通过阐述人们在选择防火墙时应注意的事项，并介绍当前流行防火墙产品的主要性能，总结出软件防火墙的使用心得和网络平安防范措施，再进一步得出传统防火墙普遍存在的缺乏，从而对新防火墙技术进行介绍并展望新技术的开展。最后到达让计算机用户在比拟深入了解防火墙技术的同时，选择适合自己网络使用的防火墙产品，使用户能轻松平安地上网，免除网络黑客、病毒木马程序的侵扰。关键词：防火墙 计算机技术 网络病毒 平安 目 录1 绪论11.1 概述11.2 防火墙

2、的出现11.3 防火墙系统解决方案12 防火墙介绍22.1 什么是防火墙22.2 防火墙的功能和作用42.2.1 防火墙是网络平安的屏障52.2.2 防火墙可以强化网络平安策略52.2.3 对网络存取和访问进行监控审计62.2.4 防止内部信息的外泄62.3 防火墙技术开展的简介72.3.1 包过滤防火墙Packet Filter Firewall72.3.2 状态检测防火墙Stateful Inspection Firewall72.3.3 深度检测防火墙Deep Inspection Firewall83 防火墙根底和分类83.1 防火墙分类83.1.1 个人防火墙93.1.2 网络防火墙

3、103.2 防火墙产品103.2.1 软件类防火墙113.2.2 应用类防火墙123.2.3 综合类防火墙133.3 防火墙技术143.3.1 个人防火墙143.3.2 报文过滤防火墙153.3.3 NAT防火墙163.3.4 电路级别防火墙183.3.5 代理防火墙183.3.6 状态防火墙203.3.7 透明防火墙203.3.8 虚拟防火墙213.4 开源和非开源防火墙213.5 本节总结224 防火墙的设计谋略及主要技术224.1 防火墙的根本设计谋略224.2 设计防火墙时需要考虑的问题234.3 主要关键技术234.3.1 软件工程方法概述234.3.2 面向对象的软件开发方法234

4、.3.3 防火墙技术244.3.4 VB技术244.3.5 API技术244.3.6 ActiveX技术245 防火墙的选择和考前须知245.1 个人硬件防火墙与软件防火墙的选择255.2 选择防火墙的考前须知256 当前流行防火墙产品的介绍286.1 ZoneAarm Pro Firewall286.2 Agnitum Outpost Firewall296.3 Norman Personal Firewall306.4 瑞星个人防火墙316.5 卡巴斯基全功能平安软件326.6 Norton Internet Security337 软件防火墙使用心得及网络平安防范措施347.1 软件防火

5、墙使用心得347.2 网络平安防范措施358 防火墙的缺乏之处388.1 传统防火墙存在的缺乏388.2 新一代防火墙的出现398.3 新一代防火墙技术的应用表达398.3.1 分布式防火墙技术398.3.2 嵌入式防火墙技术398.3.3 智能防火墙技术409 防火墙未来的开展趋势409.1 防火墙包过滤技术开展趋势409.2 防火墙的体系结构开展趋势419.3 防火墙的系统管理开展趋势4110 总结42参 考 文 献43致 谢45仲恺农业工程学院毕业论文(设计)成绩评定表461 绪论1.1 概述由1946年2月14日世界上第一台电脑ENIAC埃尼阿克的诞生，到现在计算机科学与技术日新月异迅

6、猛开展的21世纪信息时代，计算机经历了无数次的改革换代。随着计算机网络技术的突飞猛进，越来越多计算机需要连接到Internet，在互联网上进行各种各样的网络活动，而正是因为这些活动也同时促使了网络平安、网络侵权等犯罪活动和行为的出现，并且日益猖獗。非法侵入他人计算机系统、破坏计算机系统、窃取机密、非法盗取财物、侵犯用户权利等现象越发频繁。假设你的网络连入了互联网络而没有做任何的网络平安防范措施，那么你的网络很有可能会立即受到网络黑客的不法入侵和攻击，最后甚至导致你的计算机系统崩溃。网络黑客攻击的目标不仅锁定在个人计算机上，而且还有可能入侵公司企业的网络，盗取商业机密等具有重大价值的信息，也是黑

7、客们所感兴趣的。在互联网攻击数量直线上升的情况下，网络平安的问题已经日益凸显地摆在各类用户的面前，原本不重视网络平安的用户开始将网络平安问题摆在首要解决的日程表上，并采取多种方法维护自己计算机网络的平安，从而免遭网络黑客、各种病毒和木马的侵害。保护计算机网络平安现已成为计算机用户必须去考虑并且解决的问题。1.2 防火墙的出现防火墙(Firewall)的出现为用户解决网络平安问题作出了巨大奉献。对于保护网络平安，防火墙是最根底的设备，它的主要功能在于把那些不受欢送的访问、信息或者数据包等隔离在特定的网络之外，是一种经济实用的网络边界防护设备。防火墙通常被放置于内部网络与外部网络的连接处，通过执行

8、特定的访问规那么和平安策略来保护与外部网络相连的内部网络。内部网络与外部网络之间的任何数据传递都必须通过防火墙这一关，防火墙对这些数据以及访问需求进行分析、处理，并根据已设置的平安规那么来判定是否允许其通过。建立防火墙对于保护内部网络免受来自外部的攻击有较好的防范作用。同时，由于防火墙系统本身具备较高的系统平安级别，可以防止非法用户通过控制防火墙对内网发动攻击。因此防火墙被越来越多的企业公司和个人电脑用户所接纳和使用，迅速的开展普及起来，成为了网络黑客和各种病毒、木马和恶意插件的克星。1.3 防火墙系统解决方案防火墙就如一道墙壁，把内部网络也称私人网络和外部网络也称公共网络隔离开。起到区隔网络

9、不同平安区域的防御性设备的作用，例如：互联网络(Internet)与企业内部网络(Intranet)之间，如图1-1所示。图1-1 内部网络和外部网络根据已经设置好的平安规那么，决定是允许Allow或者拒绝Deny内部网络和外部网络的连接，如图1-2所示。 图1-2 内部网络与外部网络的连接2 防火墙介绍2.1 什么是防火墙防火墙是指隔离在本地网络与外界网络之间的一道防御系统, 是这一类防范措施的总称, 总体上可分为硬件防火墙和软件防火墙。我们可以把防火墙看成是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器Route+ACL，也可以是一台多个网络接口的计算机，

10、效劳器等，被配置成保护指定网络，使计算机本地的网络免受来自于非信任网络区域的某些协议和效劳的影响。所以在一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将会被部署在内部网络到外部网络的核心区域上，如图2-1所示。 图2-1 防火墙逻辑位置示意那么为什么要使用防火墙呢？很多人都会首先产生这个问题，也有人提出，如果把我们每个单独的系统配置好，也就能经受住攻击。遗憾的是很多计算机系统在缺省情况下都是脆弱的，最显著的例子就是被广泛使用的Windows系统，不得不成认Windows 2003以前的时代，Windows默认开放了太多不必要的效劳和端口，共享信息没有合理配置与审核。如果管理员能够

11、通过平安部署，包括删除多余的效劳和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及对帐户进行加固和审核，对补丁及时更新等。如果做好了这些必要设置后，用户也可以自信的说，Windows系统足够平安，也可以抵挡住网络上愈发肆无忌惮的非法攻击。但这样存在最大的缺陷是，该效劳器系统无法在平安性，可用性和功能上到达较好的权衡和妥协。对于上面的问题答复是：“防火墙只能专注做一件事，在已授权和未授权的通信之间做出决断。假设没有防火墙的存在，我们可以大概的下个结论：整个计算机网络的平安将依靠该网络中所有系统的平安性的平均值。但遗憾的是这并不是一个正确的结论，现实的情况和粗略的估计结论存在很大

12、的反差：整个网络的平安性将被网络中最脆弱的局部所严格限制，即经济学中非常有名的木桶理论也可以应用到网络平安中来。没有人可以保证网络中每个节点和每个效劳都永远保持运行于最正确状态。一个网络越是庞大，把网络中所有主机维护至同样高的平安级别就越是复杂和困难，而且这将会消耗大量的人力和时间。整体的平安响应速度将不可忍受，最终导致整个网络平安框架的崩溃。 于是防火墙就成为了与不可信任的外部网络进行连接的唯一桥梁，我们可以通过对防火墙的配置，然后通过关注防火墙的平安，进而来保护其内部的网络平安。并且所有的通信流量都需要通过防火墙进行审记和保存，能够记录有关连接的信息、效劳器或主机间的数据流量以及任何试图通

13、过防火墙的非法访问记录，为网络平安的各种犯罪行为的调查取证提供了依据。总而言之，防火墙能够很大地降低整个网络和系统被非法入侵和恶意攻击的风险。2.2 防火墙的功能和作用防火墙不只可以当作是一种路由器、主系统或一批向网络提供平安性的系统。而且，防火墙是一种获取平安性的方法。它有助于实施一个比拟广泛的平安性政策，用以确定允许提供的效劳和访问。就网络配置、一个或多个主系统和路由器以及其他平安性措施(如代替静态口令的先进验证)来说，防火墙是该政策的具体实施。防火墙系统的主要用途就是控制对受保护的网络(即网点)的往返访问,保障计算机的平安性。它实施网络访问政策的方法就是迫使各连接点都必须通过能得到检查和

14、评估的防火墙，如图2-2所示。计算机计算机PacketFilterRouterInternet应用网关 图2-2 路由器和应用网关防火墙范例防火墙通常位于等级较高的网关，如网点与Internet的连接处，但是防火墙系统还可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。防火墙根本上是一个独立的进程或一组紧密结合的进程，运行于路由器或效劳器来控制经过防火墙的网络应用程序的通信流量。上文已提到过的，防火墙一般被放置于公共网络(如Internet)入口处，它的功能又相当于交通警察。防火墙的作用是确保一个系统的内部网络与Internet之间所有的通信均符合该内部网络的平安方针，它能实施

15、平安路障并为管理员提供以下问题的答案：(1) 当前的网络被谁在使用；(2) 使用者在网上做了些什么；(3) 使用者什么时间使用过网络；(4) 使用者上网时去了那些地方(网站)；(5) 有谁想要上网但没有成功上网的； (6) 保存相关的日志记录。在本质上，防火墙被认为是两个网络之间的隔断，只允许防火墙过滤选定的某些形式的通信或信息通过。防火墙另外一个重要特性是它具有自身抵抗攻击的能力：防火墙系统本身应不易被入侵攻击，因为攻入防火墙就给攻击者提供了进入内部网络一个立足点。所以从平安需求来看，理想的防火墙应具备以下功能：(1) 能够分析进出网络的数据，管理和控制网络流量；(2) 能够通过识别、认证和

16、授权对进出网络的行为进行访问控制；(3) 能够封堵平安策略禁止的业务；(4) 能够审计跟踪通过的信息内容和活动；(5) 能够对网络入侵行为进行检测和报警；(6) 能够对需要保密的信息进行授权的加密和解密；(7) 能够对接收到的数据进行完整性校验；(8) 能够记录和报告事件。下面是一个防火墙在网络中的几个具体作用。 防火墙是网络平安的屏障防火墙作为阻塞点和控制点，首先应能极大地提高一个内部网络的平安性，并通过过滤不平安的效劳来降低各种风险。因为只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更平安。如防火墙可以禁止诸如众所周知的不平安的NFS协议进出受保护网络，这样外部的攻击者就不可能

17、利用这些脆弱的协议来攻击内部网络。防火墙同时还能够保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文，并及时将相关的情况报告防火墙管理员。 防火墙可以强化网络平安策略通过以防火墙为中心的平安方案配置，能将所有平安软件和平安认证等配置在防火墙上。与将网络平安问题分散到各个主机上相比，防火墙的集中平安管理更加方便和经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上，从而提高了便利性。 对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些

18、访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络平安问题对全局网络造成的影响。另外，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关平安的线索而引起外部攻击者的兴趣，甚至因此而暴

19、漏了内部网络的某些平安漏洞。使用防火墙就可以有效隐蔽那些透漏内部细节如Finger，DNS等效劳。Finger显示了主机的所有用户的注册名和真实的姓名，用户的最后登录时间和使用shell类型等。而Finger显示的信息非常容易被攻击者所得悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线互联网，这个系统是否在被攻击时引起注意等等。防火墙同样可通过阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所轻易获取了。 防火墙除了具有平安作用之外，还具有其他方面的作用。例如防火墙还支持具有Internet效劳特性的企业内部网络技术体系VPN虚拟专用网络。可以通过V

20、PN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。这样不仅省去了专用通信线路，而且为信息共享提供了技术保障。通过选择优秀的防火墙产品，制定合理恰当的平安策略，内部网络可以在很大程度上防止受到入侵和攻击。但是需要指出的是，当前流行的许多错误概念和观点经常误导计算机用户。那就是过分夸大某些防火墙产品的功能，认为所有的网络平安问题都可以通过简单地配置防火墙来解决，而事实上网络平安问题是层出不穷的，网络黑客的操作不具有任何特征，攻击入侵手段无可预测。所以当单位或者个人用户将其与网络互联时，防火墙是网络平安的重要一环，但并非全部，许多危险是在防火墙能力范围之外的。通过学习

21、，笔者在以下的内容也将会介绍如何选择一款适合用户使用的防火墙，并且在选择防火墙时应该注意的事项。2.3 防火墙技术开展的简介防火墙的技术的演变和开展，到目前为止，主要有包过滤防火墙、状态检测防护墙和深度检测防火墙三种类型，如图2-3所示。图2-3 防火墙技术开展 包过滤防火墙Packet Filter Firewall包过滤防火墙的平安方式是IP地址检验。在互联网上,所有的信息都是以包的形式传输 ,包括发送者的IP地址和接收者的IP地址。网络上的路由器会读取每一个信息包中接收方的IP地址，然后选择不同的通信线路将这些信息包发送到目的地。所有的信息包抵达目的地后再被重新组装复原。这时位于接收方网

22、络出口的包过滤式防火墙会检查所有信息包中发送方的IP地址、接收方的IP地址、TCP端口、TCP链路状态,并按照管理员事先设定的过滤规那么对信息包进行过滤筛选。那些不符合规定的IP地址会被防火墙过滤掉,由此来保证网络系统的平安。这是一种基于网络层的平安技术,对于应用层上的黑客行为那么无能为力，需要运用其他技术才能够防御。 状态检测防火墙Stateful Inspection Firewall状态检测防火墙出现，并很快成为市场上的绝对领导者，主要有以下原因，包括性能，部署能力和扩展能力。这些在90年代中期得到了迅速开展。1993年，由Check Point公司成功推出了世界上第一台商用的状态检测防

23、火墙产品。状态检测防火墙工作于OSI模型的传输层，与包过滤防火墙相比，状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址、目的IP地址、源端口、目的端口和通讯协议等。但与包过滤防火墙不同的是，状态检测防火墙是基于会话信息做出决策的，而不是基于包信息。状态检测防火墙验证要通过的数据包时，判断当前数据包是否符合先前允许的会话，并在状态表中保存这些信息。状态检测防火墙还能阻止基于异常TCP的网络层的攻击行为。网络设备比方路由器，会将数据包分解成更小的数据帧，因此状态检测设备，通常需要进行IP数据帧的重组，按其原来顺序组装成完整的数据包，然后再进行其他操作。 深度检测防火墙Deep Inspec

24、tion Firewall深度检测防火墙，是将状态检测和应用防火墙技术结合在一起，以处理应用程序的流量，并防范目标系统免受各种复杂的网络攻击的一种防火墙技术。它结合了状态检测的所有功能，深度检测防火墙能够对数据流量迅速完成网络层级别的分析，并做出访问控制决策；对于允许通过的数据流，根据应用层级别的信息，对负载做出进一步的判断和决策。深度检测防火墙深入分析了TCP或UDP数据包的内容，以便对负载有总体的认识。3 防火墙根底和分类3.1 防火墙分类防火墙有不同的功能、特性和尺寸。通常认为防火墙是专门安置在网络中的一种系统或者应用来分隔“内部网络和“外部的Internet。很多家庭或个人计算机网络用

25、一种基于应用的设备来提供宽带，而这些设备内建立了防火墙。一般来说，防火墙可以被划分为以下两种通用类型中的一种： (1) 桌面或者个人电脑防火墙；(2) 网络防火墙。这两种类型的防火墙最主要的区别可以简单地认为是防火墙所保护的主机数量不同。网络防火墙还有一些主要的子类型，包括以下几种：(1) 报文过滤防火墙状态化和非状态化；(2) 电路级别网关；(3) 应用级别网关。以上几种防火墙描述了通常的防火墙归类，然而很多网络防火墙同时属于上述类型中的多种，或者具有以上几种防火墙的功能，很多实施的防火墙的特征可能不仅仅属于一种类型。报文过滤防火墙报文过滤防火墙状态防火墙个人防火墙网络防火墙防火墙电路级别网

26、关应用级别网关NAT防火墙状态防火墙图3-1 防火墙分类如图3-1显示了目前可用的各种防火墙比拟详细的分类。虽然本图没有提供每种类型防火墙不同功能的全部细节，但是列出了两种通常使用的主要的防火墙分类：桌面/个人电脑防火墙和网络防火墙。借鉴于这些可用的防火墙分类，计算机用户就可以有一个确定的时间去准确认定什么样的防火墙符合他们的需求，从其中选择一款。很多时候，价格是在用户购置防火墙需要考虑的一个重要因素，但是如果知道了哪种类型的防火墙适合自己使用，并且这些防火墙提供的哪些功能能帮助用户，将会在最后确定购置的时候让计算机用户更加心中有数，不用担忧选择了错误的防火墙。 个人防火墙个人电脑防火墙被设计

27、用来保护一个单一主机，防止接受未经授权的接入访问。这种防火墙在近年来开展迅速，使得现在的防火墙集成增加了一些格外的功能，例如反病毒的软件监控和一些情况下的分析行为和入侵检测，用来保护设备和系统。一些比拟流行的商业个人防火墙内置了BlackICE和Cisco平安代理。在SOHO的市场中，趋势科技PC-cillin、ZoneAlarm和Symantec公司的防火墙被比拟广泛地使用。微软的因特网连接防火墙也是属于大量广泛使用的个人防火墙，因为它的安装是基于运行打上了SP2补丁包的WindowsXP设备。尽管个人防火墙由于能给终端用户提供保护的同时控制策略而在SOHO和家庭用户中的口碑非常好，但是对于

28、企业公司来说，遇到的问题往往更加的复杂。也许企业用户最需要关心的个人防火墙有提供集中式策略控制的机制。在企业级别的环境中，集中式策略控制对于最小化管理负担是非常重要的。什么是管理负担？当在一个组织中的防火墙数量越来越多，网络管理员必须对每一台防火墙的配置和监控都非常注意。因此，防火墙越来越多的话，不让对这些防火墙的管理变得非常繁琐是十分重要的。通过集中式策略控制和监控，很多厂商可以非常简单地正确地来配置防火墙策略和实施事件监控。 网络防火墙顾名思义，网络防火墙被设计来保护整个网络免受外部网络的攻击。它包罗两种主要的形式：一种专门的应用或者是安装在主机操作系统桌面的一套防火墙软件工具。基于应用的

29、网络防火墙包括目前比拟流行的Cisco PIX防火墙、Cisco ASA，Juniper的NetScreen防火墙、Nokia防火墙和Symantec的企业版防火墙等。基于软件的防火墙包括比拟流行的Check Point的Firewall-1 NG和NGX防火墙、微软的ISA效劳器、Linux的IPTables等。很多网络防火墙提供应企业用户在防火墙系统中最大的伸缩性和保护性能。这些防火墙在过去的几年中增加了很多新的特性和功能，比方说线路内冲突检测和防止机制，就像虚拟专用网VPN在LAN到LAN的VPN和远程用户接入VPN中提供的一样。在网络防火墙中需要介绍的另一种特性是深度报文检查能力。防火

30、墙可以不仅仅通过第三层或者第四层信息去标识流量请求，还可以通过研究应用数据去确定怎样捆绑流量最好。这种在防火墙设计和功能上的改进引导了新的防火墙产品的开展，那就是集成的防火墙，这将在以后的内容中介绍到。3.2 防火墙产品从防火墙的软、硬件形式来分的话，防火墙可以分为软件类防火墙和应用类防火墙以及综合类防火墙。现在市面上各种不同的防火墙产品是多不胜举，本节中主要介绍比拟三种根本的物理防火墙：基于软件的防火墙、基于应用的防火墙和基于集成的综合防火墙。基于软件的防火墙，就如前面所提及到的，根本上是运行在某商业化操作系统之上，如我们一般经常用到的微软的Windows系统。基于应用的防火墙那么是一种为实

31、现某种目的而设计出来的硬件设备，将过滤和检查程序内嵌于其硬件中定制的或者稳定的操作系统之中。这一类的防火墙包括Cisco公司的PIX防火墙产品和Juniper的NetScreen防火墙等等。最后要介绍的是基于综合集成的防火墙，从某种程度上说，它就是基于其他传统的防火墙产品的一种合成产品。尽管在过去，多种平安设备，比方说防火墙，VPN和入侵检测系统都是基于不同的设备，但是目前该产品的运作趋势是把上述的三种设备集成于同一个硬件平台。这样合成的好处之一在于可以减少日常需要管理的设备数量，使得对设备必要的配置和管理的工作量大大降低。这种集成的防火墙例子有Cisco的ASA和TippingPointX5

32、05这样的设备。 软件类防火墙软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最知名的莫过于Check Point的NG。另外还有Sun的SunScreen防火墙、IPF、微软ISA效劳器、Gauntlet、Linux的IPTables和FreeBSD，以及开放式BSD的pf报文过滤。通常，厂商的防火墙软件套装也包括了必须被实施，以使所使用的操作系统对攻击的防护更新巩固的最新补丁和配置修改，或者包括了内核升级

33、或驱动程序来保证防火墙可以更加出色地工作。这类防火墙的一个主要的优势在于可以给它们分配多种基于不同目的的特征。举例来说，一个防火墙也可以是一个域名系统DNS效劳器或者是一个邮件过滤系统。软件防火墙比起应用防火期来说，让它们实施多目的的任务更加方便和简单。另外使用这类防火墙，需要网管对所工作的操作系统平台比拟熟悉。这些防火墙的一个非常致命的缺陷就是在实施的时候需要考虑到操作系统潜在的弱点。比方说，在SunScreen和微软ISA防火墙中要考虑到它们的安装必须分别基于Solaris或者Windows2000/2003的操作系统平台。当操作系统发现一个新的弱点或者漏洞后，管理员必须决定是要安装厂商提

34、供的补丁包还是之后再安装，因为这可能会对防火墙造成潜在的负面的影响。什么是补丁包的潜在影响？可能在安装了补丁包之后，防火墙不能正确地工作。在很多情况下，厂商操作系统制造商，或防火墙软件制造商都会测试补丁包和防火墙软件的兼容性，或者通告推荐安装的版本，或者提醒谨慎安装补丁包。另外，在一个企业环境中，防火墙软件可能有时会在系统组和网络组之间越过“政治上的界限。需要解决“谁拥有这个盒子？的问题。系统组可能会宣称那些被安装好的操作系统是属于他们的；同样的，网络组可能表示防火墙系统的工作是在他们的管理之下。这样的问题可能会在很大规模的环境中出现。软件防火墙最主要的优势在于可以在日常使用的硬件上运行，如果

35、这些防火墙软件出现问题，那么硬件的相关局部就直接复位；其最大的缺点却是防火墙软件制作商和操作系统制造商在某问题导致防火墙软件或操作系统故障的时候可能会相互指责。当然，如果防火墙制造商和操作系统制造商是同一个厂商，这个问题就可以完全防止了，就像基于Linux的防火墙、微软ISA效劳器、或者是在OpenBSD上运行的OpenBSD的IPF。软件防火墙的其他方面的缺陷还包括它需要有适合的后台操作系统、保持操作系统打了最新的补丁和潜在的有缺陷的执行力，这是因为目前的操作系统都不是一个高操作性的环境。最后，软件防火墙往往不如基于应用的防火墙那样能运行得很流畅，因为通常运行软件防火墙的操作系统的最高操作性

36、能都不如硬件防火墙。在一些更小的环境中，上述问题通常不考虑，因为系统组和网络组并不是分开的单独部门。同样，软件防火墙对于家庭计算机用户只需要较低的本钱，因而对技术要求不高的环境来说非常的使用。通常对更多家庭计算机用户而言，一些基于应用的低端防火墙如Linksys、D-Link和NETGEAR能提供应用户的好处更多，因为这些防火墙的设置简单且维护的要求比拟低。 应用类防火墙应用防火墙是把防火墙内建在专门定制的硬件有时甚至是常用的硬件之上，用来对网络提供防火墙效劳。应用防火墙包括从Cisco PIX、NetScreen、SonicWall工具、WatchGuard Fireboxes、Nokia防

37、火墙一直到低端的用于家庭用户的linksys、D-Link和NETGEAR。这些防火墙并不需要专门定制的操作系统。它们可以是一个有高用户自定义能力的普通操作系统的某些版本，如WatchGuard使用Linux、Nokia使用FreeBSD作为它们基于的操作系统。在很多情况下，应用防火墙相对软件防火墙来说可以提供更好的实施性，因为它们基于可自定义的操作系统，并且使用专用的处理器和专用集成电路ASICs来处理数据的接收和发送I/O的请求。另外，这些防火墙也许还有一个好处，就是通过移除了软件防火墙需要的硬盘或者某些情况需要的磁盘，所以应用防火墙几乎没有需要移动的组件。当防火墙越来越成熟也越来越复杂的

38、时候，应用防火墙和软件防火墙之间的隔膜也戏剧性地变得越来越小了。很多应用防火墙所拥有的特性也有选择地被软件防火墙所具有。也许应用防火墙最主要的优势在于有技术支持。正如上面提及的，对于软件防火墙来说至少和三家制造商也许更多有关系：硬件制造商、操作系统制造商和防火墙软件制造商。所以当很多不同的部门都参与一个具体设备的提供的话，那么如果出现什么问题以后就会出现相互指责的现象。但对于应用防火墙来说，整个设备的制造商一般都只是一家。如果发生故障，这个惟一的厂商就会被通知要去解决这些故障或问题。其他一些应用防火墙典型的好处是优良且全面的可实施性、防火墙操作系统中严格的平安特性且与商业化软件防火墙比起来有较

39、低的总本钱。单一的厂商去处理防火墙故障的缺点在于如果该厂商选择停止当前使用的某种特定模式的防火墙的生产，那么很可能该厂商在将来的商业竞争中就不能立足或者因为破产或竞争，以及如果在防火墙软件中发现一个程序缺陷或者操作系统中发现的话，厂商需要确定什么时候或者是否要发行相应的补丁包。基于应用的防火墙的其他缺陷在于可能会缺乏一些基于软件的防火墙可以提供的高级特性和功能。这种防火墙相对于基于软件的防火墙来说也很难提供额外的平安功能，如邮件控制。对基于软件的防火墙来说额外添加一个应用只是一件小事，可以轻易地安装新的应用，但是基于应用的防火墙通常需要额外的实施硬件来提供相同的功能，这就增加了这种潜在解决方案

40、实施的复杂性。 综合类防火墙 综合集成的防火墙是一种多用途设备，它在传统的防火墙中集成了其他的特性和功能，如远程接入VPN、LAN到LAN的VPN、入侵检测或防护、邮件过滤和反病毒过滤。这些设备被设计来提供“多合一的接入，即是把需要在网络边缘实施的平安的所有功能集成在同一个设备中，而不同实施多个设备。综合集成的防火墙的好处在于通过减少网络中设备的数量来简化网络设计，同时也提供了单一系统的管理，从而减少了网络部门员工的管理负担。另一个优势在于相对使用多厂商的多个设备来说，这样潜在地减少了设备的本钱。实施这样的设备的最大的问题就是如果出现故障的话，会导致很多方面的隐患。另外，对于这样一个复杂的设备

41、而言，很难去排查其连接性问题，因为在设备中的功能会相互影响，无法判断其对根本的防火墙功能的影响。尽管综合集成的防火墙可以很大地降低购置者的本钱TCO，但是潜在的本钱可能会很高。如果一台综合集成的防火墙比只提供其中单一功能的设备本钱要高很多，而它的本钱效益很低的话，那么用户可能不会决定购置一台综合集成防火墙，而选择其他类型的防火墙了。3.3 防火墙技术 根据防火墙使用的技术原理又可将防火墙分为好几种类型，本小节的内容主要是介绍各种使用不同技术的防火墙，以及它们是如何进行工作的。重点放在那些使用不同类型设备的底层技术。在某种情况下，讨论的一种技术可能被多种类型的防火墙所使用。本节主要介绍的是较为宽

42、泛的防火墙技术，具体包括以下几种：(1) 个人防火墙；(2) 报文过滤防火墙；(3) 网络地址转换NAT防火墙；(4) 电路级别防火墙；(5) 代理防火墙；(6) 状态防火墙；(7) 透明防火墙；(8) 虚拟防火墙。之前我们提到的防火墙分为三种产品：基于软件的、基于应用的和基于集成的。本节所要讨论研究的防火墙技术可能都会用到这三类物理防火墙，这些技术能让我们轻易地定义多种风格共存的防火墙。举个例子来说，一台应用防火墙可能进一步被量化成一台状态防火墙。调查和讨论这些防火墙技术可以让我们了解到这些技术的差异和不同之处，并且可以把防火墙进行扩展，从而使用这些技术。接下来的每一个小节中都会着重介绍防火

43、墙作为一台网络平安设备功能的实施。在这里不讨论防火墙的冗余能力、操作和具体的管理和设置。下面我将比拟深入地介绍这些不同防火墙的相关细节。 个人防火墙个人防火墙是为了保护单一主机而设计的，它们可以被看成是主机系统巩固的外壳，无论是效劳器、桌面电脑还是笔记本电脑。通常，个人防火墙都采取从该系统离开的流量都得到允许而入站流量都需要检查的工作方式。默认情况下，个人防火墙包括了多种形式，让系统能发现所有典型的流量。比方说，ZoneAlarm防火墙有低、中、高三种设置方式，相应地允许几乎所有流量、选择流量和几乎不允许流量穿越被保护的系统。同样的思路，对于IPTables防火墙，你可以设置一台个人防火墙去扮

44、演网络防火墙的角色，在Linux系统中进行安装时，允许安装者去选择系统保护等级和自定义某些应用端口不被防火墙干预。需要重点考虑的一点是个人防火墙是集中式管理的。一些制造商会在每台终端系统实施一道重要的屏障，使得必须进行集中化管理，从而使策略可以远程设置和应用于终端系统，并且可以在他们的产品中实施这样的功能。大型企业会考虑是否要采用个人防火墙技术去保护他们的系统，因为这种防火墙很难做到维持在整个企业环境中使用一致的防火墙策略。 报文过滤防火墙报文过滤这种网络设备或称为策略是基于简单的报文特征进行流量过滤的。这些设备通常都是无状态的，所以不会针对各种穿越它们的流量维护一张连接状态表。为了允许双向的

45、流量穿越，这些设备或策略必须配置允许返回的流量。简单的报文过滤包括Cisco的IOS访问控制列表和Linux的ipfwadm工具在内的很多设备或策略。尽管这些过滤针对多种威胁提供保护，但是它们并没有被认为是真正的防火墙。它们主要的工作是在限制入站流量的同时提供无限制的出站流量和已经建立连接的回复。范例3-1列出了一个用于流量过滤的简单的访问控制列表。这个列表是针对图3-2中具体的网络环境的。这个访问控制列表应用于这个连接LAN和因特网的过滤设置的入站方向。范例3-1 简单的访问控制列表access list 101 permit icmp any .255 echo

46、 replyaccess list 101 permit icmp any .255 ttl exceededaccess list 101 permit tcp any .255 ttl establishedaccess list 101 permit udp any host 00 eq 53access list 101 permit udp any eq 85.0 .255图3-2 简单访问控制列表例如网络注意到针对DNS53/UDP和NTP123/TCP的入站回复流量明确记录

47、在了该过滤列表之中，同时Internet控制报文协议ICMP的回复和生存时间TTL超出回用也记录在了该列表之中。除了这些状态报文，其他的报文甚至是起源于被保护LAN中的回复报文都将会被阻止。最后注意下面的规那么:access list 101 permit tcp any .255 ttl established这条规那么对于允许从任何外部系统到/24的回复流量都是必需的，只要回复的流量的TCP ACK位被设置了。因为典型的报文过滤没有任何状态化的能力去检查出站的流量和动态生成允许出站流量的回复进入的规那么。图3-3描述了一个简单的报文过滤

48、防火墙。图3-3 报文过滤防火墙 NAT防火墙一种短期存在的特殊的防火墙是网络地址转换NAT防火墙。在今天的防火墙市场上，几乎所有的防火墙都支持NAT。从Linksys的BEFSX41这样最低端的SOHO防火墙到高端的企业级别的PIX535，都对NAT有很好的支持。NAT防火墙自动提供对防火墙前方系统的保护，因为它们只允许从防火墙内部起源的流量。NAT的根本目的是使得多个内部网络的流量可以通过使用单一的或者一小段IP地址访问到广域网络既Internet。NAT防火墙在缓存中建立一张表，这张表包括了能被防火墙看到的连接信息。这张表将内部系统的地址映射为一个外部地址。在NAT防火墙上支持通过端口号

49、映射的方式使得能用单一的地址去替换整个防火墙后面的网络。比方说，考虑图3-4中描述的系统图3-4 NAT防火墙在NAT防火墙“内部 。NAT防火墙配置将整个/24的网络转换成5这个单一地址。当这个防火墙发现出站连接，它重写流量中的IP层的信息，用单一的IP地址5去代替和。在防火墙内部，它维护一张表，这张表记录下了对流量的跟踪和对和到5这个地址的转换。防火墙通过这种方法去惟一标识一个给定的连接的网络槽socket。在

50、图3-4的例子中，有两个独立的槽：：3844和：4687.当这些流量经过防火墙时，NAT发起一个进程去用5代替192.168.1的网络地址。表3-1描述了这个过程。表3-1 网络地址转换源IP源端口Port NAT IPNAT端口目的IP目的端口3844384480468746878046876344080表中的最后一个条目说明当一个特定的源端口已经被前面的连接所使用时，NAT防火墙怎样工作。在这样的情况下，客户尝试发起对Web效劳器4的第二个连接。该客户在TCP端口4687上翻开

51、一个连接，但是在防火墙上的TCP端口4687已经被另一个客户所使用。这样一来，NAT防火墙不仅要转换源IP地址，还要转换源端口，并且在它的转换表中记录这个映射。 电路级别防火墙电路级别的防火墙工作在OSI模型的会话层，它通过监控报文之间的“握手去确定流量是否合法。指向远程计算机的访问流量将会被修改，让那些流量看上去好似是从电路防火墙起源的一样。这样的修改使电路级别的防火墙通常被用来隐藏被保护网络的信息，它的缺点是不能过滤掉给定连接的单个报文。图3-5给出了一个电路级别防火墙的例子。图3-5 电路级别防火墙 代理防火墙代理防火墙和电路级别网关一样，它在两个终端系统之间扮演中

52、间媒介的角色。然而，代理防火墙的工作是在应用层执行的，如图3-6所示。代理防火墙工作在OSI模型的应用层，通过强制两端的连接会话通过代理去引导完成通信。它通过在防火墙上创立和运行一个进程去映射一个效劳，而这个效劳看上去像是运行在终端系统中。为了能支持各种不同的效劳，代理防火墙必须为每种协议运行特定的效劳：一个简单邮件传输协议SMTP代理用于E-mail、一个文件传输协议FTP代理用于文件传输、一个超文本传输协议 代理用于Web效劳。图3-6 代理防火墙当一个客户想要连接到Internet上的一种效劳的时候，在流量被传输到目标系统之前，针对该特定协议的代理效劳启动一个进程去相应那些请求连接的报文

53、。Internet上的效劳器返回的报文在到达内部系统之前也被同样的代理效劳处理。在很多代理防火墙中，不一定非要使用特定的、为流量量身定做的效劳，可以使用一种通用的代理效劳。但是，并不是所有的效劳都可以使用这种通用代理。如果在防火墙中针对某种特定的效劳没有代理能力，或可能某种效劳被针对外部效劳器的连接所使用，再或者防火墙利用其他的技术，例如使用电路级别过滤去过滤连接。从对报文的检查能力方面来讲，代理效劳器可以深入检查一个连接的报文，进而应用额外的规那么去确定一个报文是否可以转发到一台内部主机。然而，复杂的配置和反响速度是代理防火墙的缺点和劣势所在。这种防火墙会深入检查应用报文，这将在网络连接中参

54、加延迟。最后，如果针对某特定的应用没有指定的代理效劳，该防火墙也不能通过使用通用代理效劳来工作的话，就不能通过其他方式实施过滤了，因为不能在该防火墙后面实施策略。很多目前使用的防火墙都包括根本的代理效劳构架，有可以实施一局部形式的代理效劳的能力。举例来说，PIX OS 6和更早一些的设备有fixup命令，IPF能够提供FTP代理效劳去处理活泼的FTP连接。 状态防火墙目前的状态防火墙结合了NAT防火墙、电路级别防火墙和代理防火墙的功能和特性。这些防火墙最初过滤流量是基于报文特征，就像报文过滤防火墙，同时也包括了用会话检查去确定被允许的特定会话。和代理防火墙和电路级别防火墙不同的是，状态防火墙通

55、常被设计得更加透明化就像报文过滤和NAT。然而，这种防火墙通过检查应用层数据和使用特定的效劳也实现了代理过滤的功能。这种特性最好的例子就是PIX的应用检查能力通过在PIX OS 6中使用fixup命令或者在PIX OS 7中使用inspect命令，这种能力允许PIX支持FTP、SMTP、H.323和其他很多协议。图3-7描述了状态防火墙。图3-7 状态防火墙状态防火墙比起其他单一能力的防火墙来说要复杂得多，然而几乎所有目前市面上的防火墙都是状态防火墙，受到企业和计算机用户的青睐，并且这也成了今天网络平安的标志。 透明防火墙透明防火墙也称作桥接防火墙并不完全是一种新型的防火墙，更恰当地说，应该是

56、状态防火墙的一种。不同于工作在IP层或更高层的其他防火墙，透明防火墙工作在OSI的第二层数据链路层，监控第三层及第三层以上层次的流量。另外，透明防火墙可以像其他状态防火墙一样应用报文过滤规那么，这些行为对终端用户来讲是不可见的。从本质上讲，透明防火墙在两个网络分段之间扮演过滤网桥的角色。它提出了一种很好的方法在网络分段之间应用平安策略，而不需要使用到NAT过滤。透明网桥的优势可以大体分为三类：(1) 零配件；(2) 性能；(3) 行为的秘密性。透明防火墙的实施不需要对现有网络进行修改，如此简单的原因是透明桥接防火墙通过插入被保护网络来进行工作。因为它工作于数据链路层，对IP地址的修改没有要求。这种防火墙可以在低平安性和高平安性的网络分段之间实施，或者仅根据需要用于保护一台单一的主机。因为透明防火墙往往比其他的第三层及第三层以上层次的防火墙简单，所以其进程管理上的花费也相对较低。较低的管理花费使这些防