防火墙教学讲解课件

第五章防火墙技术5.1防火墙概述5.2防火墙的分类

5.3防火墙的主要技术

5.4防火墙的选择原则

5.5防火墙技术发展趋势

第五章防火墙技术5.1防火墙概述5.1防火墙概述

5.1.1防火墙的基本概念

5.1.2防火墙的功能特性

5.1防火墙概述5.1.1防火墙的基本概念5.1.1防火墙的基本概念防火墙是一种用来增强内部网络安全性的系统，它将网络隔离为内部网和外部网，从某种程度上来说，防火墙是位于内部网和外部网之间的桥梁和检查站，它一般由一台或多台计算机构成，它对内部网和外部网之间的数据流量进行分析、检测、管理和控制，通过对数据的筛选和过滤，来防止未经授权的访问进出内部计算机网络，从而达到保护内部网资源和信息的目的。防火墙基本上是一个独立的进程或一组紧密结合的进程，运行于路由器或服务器上，来控制经过防火墙的网络应用程序的通信流量。引入防火墙是因为传统的网络系统将自己暴露给一些不安全的服务，如NFS等。在没有防火墙的环境中，网络安全完全依赖主系统的安全性。5.1.1防火墙的基本概念防火墙是一种用5.1.2防火墙的功能特性防火墙从本质上来说是一种保护装置，它保护的是内部网络中的数据和资源。防火墙作为外部网与内部网之间的一个中介系统，竖起一道安全屏障。这道屏障的作用就是阻断外部网络对本地网络的威胁和入侵，提供保护本地内部网络的一道关卡。

5.1.2防火墙的功能特性防火墙从本质上来说是一种保护装防火墙的主要功能有

1.网络安全的屏障

2.强化网络安全策略3.对网络存取和访问进行监控审计4.防止内部信息的外泄5.1.2防火墙的功能特性防火墙的主要功能有5.1.2防火墙的功能特性1.网络安全的屏障

防火墙能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止不安全的NFS协议进出受保护网络，这样外部的攻击就不能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。5.1.2防火墙的功能特性1.网络安全的屏障5.1.2防火墙的功能特性2.强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上，而全部集中在防火墙上。5.1.2防火墙的功能特性2.强化网络安全策略5.1.2防火墙的功能特性3.对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以弄清防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

5.1.2防火墙的功能特性3.对网络存取和访问进行监控审计5.1.2防火墙的4.防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透露内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等，但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度、这个系统是否有用户正在连线上网、这个系统是否在被攻击时引起注意，等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（VitualPrivateNetwork，虚拟专用网）。

5.1.2防火墙的功能特性4.防止内部信息的外泄5.1.2防火墙的功能特性5.2

防火墙的分类防火墙按体系结构可以分为以下类型：5.2.1包过滤型防火墙

5.2.2多宿主网关防火墙

5.2.3屏蔽主机型防火墙

5.2.4屏蔽子网型防火墙

5.2.5堡垒主机

5.2防火墙的分类防火墙按体系结构可以分为以下类型：5.2.1包过滤型防火墙包过滤型防火墙又叫筛选路由器或筛选过滤器，它一般作用在网络层（IP层），故也称网络层防火墙或IP过滤器。它对进出内部网络的所有信息进行分析，并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制和过滤，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。5.2.1包过滤型防火墙包过滤型防火墙又叫筛选路由器或筛5.2.1包过滤型防火墙数据包的包头信息包括源（IP）地址、目的IP地址、封装的协议类型（TCP、UDP、ICMP和IGMP等）、源TCP/IP端口、目的TCP/IP端口、ICMP报文类型及TCP包头中的ACK位。如果包的进入接口和出接口匹配，并且满足过滤规则，就允许包通过，数据包就按照路由表中的信息被转发到下一跳；否则拒绝该包通过，该包将被丢弃，相当于此数据包所要到达的网络与发出此包的主机在物理上被断开，起到了保护内部网络的作用。包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。包过滤防火墙往往可以用一台过滤路由器来实现，根据所设定的过滤规则集，对所接收的每个数据包做出允许通过或是拒绝通过的决定，如图5.1所示。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。5.2.1包过滤型防火墙数据包的包头信息包括源（IP）地5.2.1包过滤型防火墙包过滤防火墙一般用在下列场合：(1)机构是非集中化管理；(2)机构没有强大的集中安全策略；(3)网络的主机数非常少；(4)主要依赖于主机安全来防止入侵，但是当主机数增加到一定程度的时候，仅靠主机安全是不够的；(5)没有使用DHCP这样的动态IP地址分配协议。5.2.1包过滤型防火墙包过滤防火墙一般用在下列场合：5.2.1包过滤型防火墙包过滤路由器常见的攻击有以下几种。(1)源IP地址欺骗式攻击。(2)源路由攻击。(3)极小数据段式攻击。5.2.1包过滤型防火墙包过滤路由器常见的攻击有以下几种5.2.2多宿主网关防火墙多宿主主机拥有多个网络接口，每一个接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同的子网，不同子网之间的相互访问实施不同的访问控制策略。双宿主主机是一种防火墙，拥有两个连接到不同网络上的网络接口。例如，一个网络接口连接到外部的不可信任网络上,另一个网络接口连接到内部的可信任的网络上，它的结构如图5.2所示。5.2.2多宿主网关防火墙多宿主主机拥有多个网络接口，每5.2.2多宿主网关防火墙双宿主主机防火墙采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间进行寻径。如果一台双宿主主机中寻径功能被禁止了，则这个主机可以隔离与它相连的内部网和外部网之间的通信，与它相连的内部网和外部网都可以执行由它所提供的网络应用，如果这个应用允许的话，他们就可以共享数据。这样就保证内部网和外部网的某些结点之间可以通过双宿主主机上的共享数据传递信息，但内部网和外部网之间不能传递信息，他们之间的信息必须通过双宿主主机这个隔离内部网与外部网的中介来传递，从而达到保护内部网的作用。双宿主主机防火墙的最大特点是IP层的通信被阻止，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成，而不能直接通信。一般情况下，人们采用代理服务的方法，因为这种方法为用户提供了更为方便的访问手段。5.2.2多宿主网关防火墙双宿主主机防火墙采用主机取代路5.2.2多宿主网关防火墙双宿主主机防火墙可以通过提供代理服务来实现。代理服务相对来说比较安全。在双宿主机上，运行各种各样的代理服务器，当要访问外部站点时，必须先经过代理服务器认证，然后才可以通过代理服务器访问Internet。使用双宿主主机作为防火墙，防火墙本身的安全性至关重要。现在出现的新型双宿主主机防火墙没有IP地址，也被称为透明防火墙。透明防火墙由于没有IP地址，黑客很难对防火墙实施攻击，因而安全性较高。对于非透明防火墙，则要禁止其路由功能，否则数据包就会绕过代理，防火墙也就失效了。5.2.2多宿主网关防火墙双宿主主机防火墙可以通过提供代5.2.3屏蔽主机型防火墙屏蔽主机型防火墙由堡垒主机和包过滤路由器组成，所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。堡垒主机位于内部网中，包过滤路由器则放置在内部网路和Internet之间。在包过滤路由器上进行规则配置，使得包过滤路由器强迫所有到达路由器的数据包被发送到堡垒主机。它的结构示意图如图所示。5.2.3屏蔽主机型防火墙屏蔽主机型防火墙由堡垒主机和包5.2.3屏蔽主机型防火墙该防火墙系统的安全等级比包过滤防火墙系统高，因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网前，首先必须渗透两种不同的安全系统。当然，并不是所有服务的入站连接都会被路由到堡垒主机上，屏蔽路由器根据安全策略允许或禁止某种服务的入站连接(外部到内部的主动连接)。对于出站连接(内部网络到外部不可信网络的主动连接)，可以采用不同的策略。对于一些服务，如Telnet，可以允许经过屏蔽路由器连接到Internet，并在堡垒主机上运行该服务的代理服务器，怎样安排这些服务取决于安全策略。5.2.3屏蔽主机型防火墙该防火墙系统的安全等级比包过滤5.2.3屏蔽主机型防火墙如果入侵者绕过包过滤路由器进入内部网，也要和堡垒主机竞争，而堡垒主机是一台安全性很高的主机，主机上没有任何入侵者可以利用的工具，不能作为黑客进一步入侵的基地。该防火墙系统的工作原理如图5.6所示。另外，过滤路由器是否正确配置是这种防火墙安全与否的关键，过滤路由器的路由表应当受到严格的保护，否则，如果路由表被攻击者破坏掉，数据包就不能被路由到堡垒主机上，导致堡垒主机被越过，从而导致严重后果。因而，用户趋向于使用另一种防火墙安全体系结构——屏蔽子网型防火墙。5.2.3屏蔽主机型防火墙如果入侵者绕过包过滤路由器进入5.2.4屏蔽子网型防火墙在被屏蔽主机结构中，堡垒主机最容易受到攻击。而且内部网对堡垒主机是完全公开的，入侵者只要破坏了这一层保护，那么内部网就暴露在入侵的攻击之下。屏蔽子网结构本质上和屏蔽主机是一样的，但是，通过在屏蔽主机结构中再增加一台路由器，它的作用在于在内部网和外部网之间构筑出一个安全子网(DMZ)。从而给内部网络增加了一层保护体系——周边网络，使得周边网络和内部网被内部屏蔽路由器分开，周边网络和外部网被外部屏蔽路由器隔开，这样内部网和外部网之间有两层保护体系。堡垒主机位于周边网络中，用于给外部网的用户提供应用服务，比如Web服务等。堡垒主机是内部网和外部网的连接点，这样增加了内部网的安全性。典型的屏蔽子网结构如图5.7所示。5.2.4屏蔽子网型防火墙在被屏蔽主机结构中，堡垒主机最5.2.4屏蔽子网型防火墙5.2.4屏蔽子网型防火墙5.2.4屏蔽子网型防火墙在一般情况下，DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统，而通过DMZ网络直接进行传输是严格禁止的。对于进来的信息，外部路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击)，并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机(也可能是信息服务器)。里面的这个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ到内部网络的访问。而对于从内部网发往外部网的数据包，内部路由器管理内部网络到DMZ的访问。它允许内部系统只访问堡垒主机(或者信息服务器)。外部路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机的去往Internet的数据包)。如果入侵者仅仅侵入到DMZ子网中的堡垒主机，它只能得到DMZ网络中的信息流，而看不到内部网络中的信息流，因此即使堡垒主机受到损害也不会危及内部网的安全。5.2.4屏蔽子网型防火墙在一般情况下，DMZ配置成使用5.2.4屏蔽子网型防火墙内部路由器(又称阻塞路由器)位于内部网和DMZ之间，用于保护内部网不受DMZ和Internet的侵害。完成防火墙大部分的过滤工作，在包过滤规则认为安全的前提下，允许某些站点的服务在内外网之间互相传送。

外部路由器的一个主要功能是保护DMZ上的主机，但这种保护不是很必要，因为这主要是通过堡垒主机来进行安全保护的。外部路由器还可以防止部分的IP欺骗，因为内部路由器分辨不出一个声称从非军事区(DMZ)来的数据是否真的从非军事区来，而外部路由器很容易分辨出其真伪。在堡垒主机上，内部网仍受到内部过滤路由器的保护。5.2.4屏蔽子网型防火墙内部路由器(又称阻塞路由器)位5.2.4屏蔽子网型防火墙根据堡垒主机和包过滤器的各种组合，基于屏蔽子网的防火墙系统衍生出了一些派生结构体系。(1)合并“非军事区”的外部路由器和堡垒主机的结构系统，如图5.8所示。这种结构是由双宿主堡垒主机来执行原来的外部路由器的功能。双宿主机进行路由会缺乏专用的路由器的灵活性和性能，但是在WAN速度不高的情况下，双宿主机可以胜任路由的工作。所以这种结构同DMZ结构相比没有明显的弱点。但堡垒主机完全暴露在Internet上，因此需要更加小心保护。

5.2.4屏蔽子网型防火墙根据堡垒主机和包过滤器的各种组5.2.4屏蔽子网型防火墙(2)合并DMZ的内部路由器和外部路由器结构如图5.9所示。只有当拥有功能强大的路由器的时候才可以合并内部路由器和外部路由器。这种体系结构中的堡垒主机处于DMZ的位置，在过滤路由器上一般设置Internet只能访问位于DMZ的堡垒主机。这种结构如同屏蔽主机结构一样，路由器易受损害。这种防火墙结构是目前最常见的一种结构，一个防火墙上至少有3个网络接口，一个接内部网，一个接外部网，另一个接“非军事区”网络。一些公共信息服务器接在DMZ区域。内部网和外部网之间的访问是严格限制的。而处于DMZ区域内的主机是公共信息服务器，需要对外提供服务。外部网络往往可以访问DMZ区域内主机所提供的服务。

5.2.4屏蔽子网型防火墙(2)合并DMZ的内部路由器和5.2.5堡垒主机(1)使堡垒主机尽可能简单在堡垒主机上设置的服务要尽可能的少，而且对于不得不设置的服务，还要给予尽可能低的权限。因为越简单，安全漏洞越少，也就越能保障其安全。在堡垒主机上运行的各种软件不可能不存在安全缺陷，只是多少不同而已；越复杂和功能越强大的程序，其安全缺陷也就越多。不可能保证堡垒主机没有缺陷，但可以在保证完成其作用的前提下，尽可能地减少堡垒主机的缺陷，这就是最小特权原则的体现。所以只有采用最简化原则，才能尽可能地减少堡垒主机的缺陷，使得堡垒主机更加安全。5.2.5堡垒主机(1)使堡垒主机尽可能简单5.2.5堡垒主机(2)做好备份工作以防堡垒主机受损堡垒主机吸引了敌人的大部分炮火，虽然它是坚固的，但世上没有不可攻克的堡垒，更何况专业的黑客和攻击者一直致力于研究如何成功地入侵，因而，即使堡垒主机非常安全，但用户仍应对最坏的情况做好准备，以备万一堡垒主机被攻破时能够及时的修复堡垒主机，这样才能做到有备无患，把可能的损失降到最低程度。因此用户必须从内部网整体的角度来考虑安全问题，加强内部网与堡垒主机的通信，对堡垒主机的安全情况进行检测。5.2.5堡垒主机(2)做好备份工作以防堡垒主机受损5.3防火墙的主要技术前面讲述了防火墙的一些体系结构，其中涉及到一些防火墙的关键技术，包括数据过滤技术、代理技术和状态检查技术，5.3.1数据包过滤技术5.3.2代理技术5.3.3VPN技术

5.3.4其他防火墙技术5.3防火墙的主要技术前面讲述了防火墙的一些体5.3.1数据包过滤技术数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。选择好过滤规则后，只有满足过滤规则的数据包才被转发至相应的网络接口，而其余数据包则从数据流中被丢弃。数据包过滤一般由过滤路由器来完成，这种路由器是普通路由器功能的扩展，是一种硬件设备，价格比较昂贵。如果网络不大，使用软件来实现是比较经济的选择。数据包过滤技术是防火墙中最常用的技术。对于一个充满危险的网络，过滤路由器提供了一种方法，用这种方法可以阻塞某些主机和网络连入内部网络，也可以限制内部人员对一些站点的访问。

5.3.1数据包过滤技术数据包过滤技术是在网络中的适当位5.3.1数据包过滤技术1．

包过滤的模型包过滤防火墙一般有一个包检查模块，包过滤可以安装在一个双宿主网关上或一个路由器上实现，当然也可以安装在一台服务器上。数据包过滤可以控制站点与站点、站点与网络和网络与网络之间的相互访问，但不能控制传输的数据内容，因为内容是应用层数据，不是包过滤系统所能辨认的，数据包过滤允许在单个地方为整个网络提供特别的保护。包检查模块应该深入到操作系统的核心，在操作系统或路由器转发包之前拦截所有的数据包。当把包过滤防火墙安装在网关上之后，包过滤检查模块深入到系统的网络层和数据链路层之间。因为数据链路层是事实上的网卡(NIC)，网络层是第一层协议堆栈，所以防火墙位于软件层次的最底层，如图5.10所示。5.3.1数据包过滤技术1．包过滤的模型5.3.1数据包过滤技术5.3.1数据包过滤技术5.3.1数据包过滤技术通过检查模块，防火墙能拦截和检查所有出站和进站的数据。防火墙检查模块首先验证这个包是否符合过滤规则，不管是否符合过滤规则，防火墙一般都要记录数据包情况，不符合规则的数据包要进行报警或通知管理员。对丢弃的数据包，防火墙可以给发送方一个消息，也可以不给，这要取决于包过滤策略。如果都返回—个消息，攻击者可能会根据拒绝包的类型猜测包过滤规则的大致情况，所以对是否发一个返回消息给发送方要慎重对待。包检查模块能检查包中的所有信息，一般是网络层的IP头和传输层的头，5.3.1数据包过滤技术通过检查模块，防火墙能拦截和检查5.3.1数据包过滤技术包过滤一般要检查下面几项：(1)IP源地址(2)IP目的地址；(3)协议类型(TCP包、UDP包、ICMP包)；(4)TCP或UDP的源端口；(5)TCP或UDP的目的端口；(6)ICMP消息类型；(7)TCP报头中的ACK位。另外，TCP的序列号、确认号，IP校验以及分段偏移也往往是要检查的选项。5.3.1数据包过滤技术包过滤一般要检查下面几项：5.3.1数据包过滤技术2.数据包过滤特性

(1)IP包过滤特性

(2)TCP包过滤特性

(3)UDP包的过滤特性

(4)ICMP包的过滤特性

5.3.1数据包过滤技术2.数据包过滤特性5.3.2代理技术代理技术也称为应用层网关技术，代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有的一个程序。代理是在应用层实现防火墙的功能，代理的主要特点是有状态性。代理能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。现在，代理技术一般有两种：应用级代理技术和电路级网关代理技术。

5.3.2代理技术代理技术也称为应用层网关技术，代理技术5.3.2代理技术1.应用级代理技术

应用级代理程序要求防火墙提供一个惟一的程序来接收客户应用程序发送过来的数据，并且应用级代理程序应为中转站将数据发往具体的目的服务器。也就是说，在客户机到目的服务器之间，要建立两次连接，一次是客户应用程序和应用级代理程序间的连接，而后是应用级代理程序和目的服务器间的连接。

应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是，外部网通过代理访问内部网，内部网只接受代理提出的服务请求，拒绝外部网络其他节点的请求，

5.3.2代理技术1.应用级代理技术5.3.2代理技术提供代理应用层网关主要有以下优点。(1)应用层网关有能力支持可靠的用户认证并提供详细的注册信息。(2)应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。(3)代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。(4)提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这样可以隐藏内部网的IP地址，可以保护内部主机免受外部网的进攻。(5)通过代理访问Internet，可以解决合法的IP地址不够用的问题，因为Internet看到的只是代理服务器的地址，内部不合法的IP通过代理可以访问Internet。

5.3.2代理技术提供代理应用层网关主要有以下优点。5.3.2代理技术2.电路级网关代理技术

电路级网关(CircuitLevelGateway)也是一种代理，但是只是建立起一个回路，对数据包只起转发的作用。电路级网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。它更多的是面向非交互式的应用程序，在用户通过身份验证后，电路级网关就允许用户穿过网关来访问服务了

电路级网关的工作方式是对从受信任的网络(内部网)到不受信任的网络(外部网或Internet)的TCP连接进行中转，即在该方向上的连接进行内部网主机到电路级网关以及电路级网关到目的服务器之间的两次连接。在电路级网关中，数据包被提交给用户应用层来处理，网关只用来在两个通信终点之间转发数据包，只是简单的字节拷贝，由于连接似乎是起源于防火墙，故隐藏了受保护网络的有关信息。但从不受信任网络到内部网络主机的连接则不需中转。这种代理的优点是它可以对各种不同的协议提供服务，但这种代理需要改进客户程序。这种网关对外像一个代理，而对内则是一个过滤路由器

5.3.2代理技术2.电路级网关代理技术5.3.2代理技术一个简单的电路级网关仅传输TCP的数据段，增强的电路级网关还应该具有认证的功能。电路级网关的一个缺点是，同应用层网关技术一样，新的应用出现可能会要求对电路级网关的代码作相应的修改(Socks服务器除外)。

5.3.2代理技术一个简单的电路级网关仅传输TCP的数据5.3.3VPN技术

随着Internet的商业化进程，利用Internet实现网络银行、电子购物与电子商务等已成为网络经济的一大亮点。要实现这些新功能就必须采用安全技术，而虚拟专用网技术将是重要手段之一。通过Internet传输，虚拟专用网(VPN)可以降低费用、增加灵活性，而且比传统的网络连接更容易管理。虚拟专用网络的出现，使得“网络边界”的概念模糊了，虚拟专用网允许一个远程用户通过防火墙连入一个网络就好像他在网络内部一样。现在，虚拟专用网(VPN)技术已经成为防火墙的重要功能，越来越多的防火墙支持VPN。虚拟专用网被定义为通过一个公共网络(Internet)建立的一个临时的和安全的连接，是一条穿过混乱的公用网络的安全与稳定的隧道，它是对企业内部网的扩展，如图5.19所示。

5.3.3VPN技术随着Internet的商业化进程，5.3.3VPN技术

VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的IP网络上，一个企业的VPN解决方案将大幅度减少用户花费在WAN上和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，它还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的VPN解决方案可以使用户将精力集中到自己的生意上，而不是网络上。VPN可用于不断增长的移动用户的全球Internet接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，经济有效地连接到商业伙伴和用户的安全外联网VPN。企业级VPN解决方案使得这一切变得更易于管理，更加经济。

5.3.3VPN技术VPN可以帮助远程用户、公司分支机5.3.3VPN技术

一个VPN至少应该能提供如下功能。(1)加密数据，以保证通过公网传输的信息即使被他人截获也不会泄漏。(2)信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。(3)提供访问控制，不同的用户有不同的访问权限。基于Internet建立VPN，如果实施得当，可以保护网络免受病毒感染、防止欺骗、防止商业间谍、增强访问控制、增强系统管理及加强认证等。在VPN提供的功能中，认证和加密是最重要的。而访问控制相对比较复杂，因为它的配置与实施策略和所用工具紧密相关。VPN的3种功能必须相互配合，才能保证真正的安全性。

5.3.3VPN技术一个VPN至少应该能提供如下功能。5.3.3VPN技术

1.虚拟专用网的分类及用途

根据不同需要，可以构造不同类型的VPN，不同商业环境对VPN的要求和VPN所起的作用是不一样的。下面分3种情况说明VPN的用途。●在公司总部和它的分支机构之间建立VPN，称为“内部网VPN”。●在公司总部和远地雇员或旅行之中的雇员之间建立VPN，称为“远程访问VPN”。●在公司与商业伙伴、顾客、供应商和投资者之间建立VPN，称为“外联网VPN”。

5.3.3VPN技术1.虚拟专用网的分类及用途5.3.3VPN技术

(1)内部网VPN(2)远程访问VPN(3)外联网VPN5.3.3VPN技术(1)内部网VPN5.3.3VPN技术

2.VPN的主要安全协议

(1)SOCKv5协议

(2)IPSec(3)PPTP/L2TP5.3.3VPN技术2.VPN的主要安全协议5.3.4其他防火墙技术1.状态检查技术2.地址翻译技术3.内容检查技术4.身份认证技术5.加密技术6.安全审计5.3.4其他防火墙技术1.状态检查技术5.3.4其他防火墙技术1．

状态检查技术状态检查技术能在网络层实现所有的防火墙功能，它既有包过滤机制的速度和灵活，也有应用级网关安全的优点，它是包过滤器和应用级网关功能的折衷。防火墙上的状态检查模块访问和分析从各层次得到的数据，它对每一个通过防火墙的数据包都要进行检查，并存储和更新状态数据和上下文信息，为跟踪无连接的协议(比如RPC和基于UDP的应用)提供虚拟的会话信息。为此，状态包检查防火墙通常要建立一个连接表，它至少包含源IP地址、目的lP地址、传输层的源端口号和目的端口号。防火墙根据从传输过程和应用状态所获得的数据以及网络设置和安全规则，对比连接表来检查这些数据是否属于一个已经通过防火墙并且正在进行连接的会话，或者是否与规则集相匹配，从而产生一个合适的操作，要么拒绝，要么允许，或者使用加密传输。任何安全规则没有明确允许的数据包将被丢弃或者产生一个安全警告，并向系统管理员提供整个网络的状态。5.3.4其他防火墙技术1．状态检查技术5.3.4其他防火墙技术2．

地址翻译技术地址翻译(NetworkAddressTranslation，NAT)就是将一个IP地址用另一个IP地址代替。尽管，最初设计NAT的目的是为了增加在专用网络中可使用的IP地址数目，但是它有一个隐蔽的安全特性，如内部主机隐蔽等，在一定程度上保证了网络的安全。地址翻译主要用在以下两个方面。(1)网络管理员希望隐藏内部网络的IP地址。这样Internet上的主机无法判断内部网络的情况。(2)内部网络的IP地址是无效的1P地址。这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址。在上面两种情况下，内部网对外面是不可见的，Internet不能访问内部网，但是内部网内主机之间可以相互访问。

5.3.4其他防火墙技术2．地址翻译技术5.3.4其他防火墙技术3．

内容检查技术内容检查技术提供对高层服务协议数据的监控能力，确保用户的安全。包括计算机病毒、恶意的JavaApplet和ActiveX的攻击、恶意电子邮件及不健康网页内容的过滤防护。当连接两个网络时，防火墙用来允许或者拒绝用户的访问和提供一些服务。内容检查工具可以用来确保数据流的安全而使组织和企业免受损失。这些内容安全威胁的形式有通过电子邮件和Web而传播的病毒，有通过电子邮件造成的机密信息的泄漏和通过电子邮件散布的诽谤和谣言。内容检查工具利用一定智能的方式来分析数据，并使其免受内容安全威胁的一个软件组件。5.3.4其他防火墙技术3．内容检查技术5.3.4其他防火墙技术4．

身份认证技术目前，一般防火墙主要提供以下3种认证方法。

(1)用户认证(UserAuthentication,UA)：防火墙设定可以访问内部网络资源的用户访问权限。(2)客户认证(ClientAuthentication，CA)：防火墙提供特定用户端授权用户特定的服务权限。(3)会话认证（SessionAuthentication，SA）：防火墙提供通信双方每次通信时透明的会话授权机制。5.3.4其他防火墙技术4．身份认证技术5.3.4其他防火墙技术4．

身份认证技术它的实现主要有以下3种方法(1)基于口令的认证(Password-BasedAuthentication)(2)基于地址的认证（Address-BasedAuThentication）(3)密码认证(CryptographicAuthentication)

5.3.4其他防火墙技术4．身份认证技术5.3.4其他防火墙技术5．

加密技术网络上传输信息的私有性、可认性和完整性可以用加密技术解决。在应用中，它包括3个部分：加密算法的选择；信息确认算法的选择；产生和分配密钥的密钥管理协议。6．

安全审计绝对的安全是不可能的，因此必须对网络上发生的事件进行记载和分析，对某些被保护网络的敏感信息访问保持不间断的记录，并通过各种不同类型的报表、报警等方式向系统管理人员进行报告。比如在防火墙的控制台上实时显示与安全有关的信息、对用户口令非法与非法访问进行动态跟踪等。

5.3.4其他防火墙技术5．

加密技术5.4防火墙的选择原则

5.4.1选择防火墙必须考虑的基本原则5.4.2选择防火墙的基本标准5.4防火墙的选择原则5.4.1选择防火墙必须考虑的基本原则首先应该明确如何操作这个系统，亦即只允许希望的业务通过，还是允许多种业务通过防火墙，但要设置相应的监测、计量、注册和稽核等。

其次，是想要达到什么级别的监测和控制。

第三是费用问题。

5.4.1选择防火墙必须考虑的基本原则首先应该明确如何操5.4.2选择防火墙的基本标准广义地说，只要是能够限制封包通行的网络设备，或安装在各种操作系统上的软件都可以用来当做防火墙。可以由不同特性的防火墙设计方式来评估各种防火墙是否足够安全，以及能否满足企业的安全需求。具体有以下几类指标。

1.防火墙的管理难易程度

2.防火墙自身的安全性

3.NCSC的认证标准

4.能弥补操作系统的不足

5.能为使用者提供不同平台的选择

6.能向使用者提供完善的售后服务

5.4.2选择防火墙的基本标准广义地说，只要是能够限制封5.5防火墙技术发展趋势

尽管防火墙有许多防范功能，但由于互联网的开放性，也有一些力不能及的地方，表现在：防火墙不能防范不经由防火墙的攻击防火墙目前还不能防止感染了病毒的软件或文件的传输。防火墙不能防止数据驱动式攻击。

防火墙还存在着安装、管理、配置复杂的缺点，

另外，防火墙还存在着安装、管理、配置复杂的缺点，在高流量的网络中，防火墙还容易成为网络的瓶颈。5.5防火墙技术发展趋势尽管防火墙有许多防范功5.5防火墙技术发展趋势前面讲述了防火墙的一些体系结构，其中涉及到一些防火墙的关键技术，包括数据过滤技术、代理技术和状态检查技术，5.5.1优良的性能5.5.2可扩展的结构和功能5.5.3简化的安装与管理

5.5.4主动过滤5.5.5防病毒与防黑客5.5.6发展联动技术5.5防火墙技术发展趋势前面讲述了防火墙的5.5.1优良的性能新一代防火墙系统不仅应该能更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，但是同时它也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通过防火墙时会产生延时。自然，数据通过率越高，防火墙性能越好。现在大多数的防火墙产品都支持NAT功能，它可以让受防火墙保护的一边的IP地址不至于暴露在没有保护的另一边，但启用NAT后，势必对防火墙系统性能有所影响，目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外，当防火墙系统中集成了VPN的功能时，其处理速度必须足够快，否则容易成为网络通信的瓶颈。特别是采用复杂的加密算法时，防火墙性能尤为重要。总之，未来的防火墙系统将把高速的性能和最大限度的安全性有机结合在一起，有效地消除制约传统防火墙的性能瓶颈。

5.5.1优良的性能新一代防火墙系统不仅应该能更好地保护5.5.2可扩展的结构和功能对于一个