信息系统安全技术防火墙技术

信息系统安全技术--防火墙技术ServerClient防火墙（Firewall）注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。防火墙概念防火墙特征防火墙功能协议与服务防火墙技术内容防火墙体系结构防火墙实现策略对防火墙技术与产品发展的介绍对防火墙技术的展望内容提要防火墙概念

防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙特征保护脆弱和有缺陷的网络服务集中化的安全管理加强对网络系统的访问控制加强隐私对网络存取和访问进行监控审计保护脆弱和有缺陷的网络服务一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙特征(cont.)防火墙特征(cont.)集中化的安全管理通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。加强对网络系统的访问控制一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。防火墙不应向外界提供网络中任何不需要服务的访问权，这实际上是安全政策的要求了。控制对特殊站点的访问：如有些主机或服务能被外部网络访问，而有些则需被保护起来，防止不必要的访问。防火墙特征(cont.)加强隐私隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。防火墙特征(cont.)对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防火墙特征(cont.)从总体体上看看，防防火墙墙应具具有以以下五五大基基本功功能：：过滤进进、出出网络络的数数据；；管理进进、出出网络络的访访问行行为；；封堵某某些禁禁止的的业务务；记录通通过防防火墙墙的信信息内内容和和活动动；对网络络攻击击的检检测和和告警警。防火墙墙功能能协议－－－ISO/OSI协议分分层应用层层表示层层会话层层传输层层数据链链路层层物理层层网络层层数据链链路层层协议－－－ISO/OSI协议分分层(cont.)物理层层：涉及在在物理理信道道上传传输原原始比比特，，处理理与物物理传传输介介质有有关的的机械械的、、电气气的和和过程程的接接口。。数据链链路层层：分为介介质访访问控控制（（MAC））和逻逻辑链链路控控制（（LLC））两个个子层层。MAC子层层解决决广播播型网网络中中多用用户竞竞争信信道使使用权权问题题。LLC的主主要任任务是是将有有噪声声的物物理信信道变变成无无传输输差错错的通通信信信道，，提供供数据据成帧帧、差差错控控制、、流量量控制制和链链路控控制等等功能能。网络层层：负责将将数据据从物物理连连接的的一端端传到到另一一端，，即所所谓点点到点点，通通信主主要功功能是是寻径径，以以及与与之相相关的的流量量控制制和拥拥塞控控制等等。协议－－－ISO/OSI协议分分层(cont.)传输层层：主要目目的在在于弥弥补网网络层层服务务与用用户需需求之之间的的差距距。传传输层层通过过向上上提供供一个个标准准、通通用的的界面面，使使上层层与通通信子子网（（下三三层））的细细节相相隔离离。传传输层层的主主要任任务是是提供供进程程间通通信机机制和和保证证数据据传输输的可可靠性性。会话层：：主要针对对远程终终端访问问。主要要任务包包括会话话管理、、传输同同步以及及活动管管理等。。表示层：：主要功能能是信息息转换，，包括信信息压缩缩、加密密、与标标准格式式的转换换（以及及上述各各操作的的逆操作作）等等等。应用层：：提供最常常用且通通用的应应用程序序，包括括电子邮邮件（E-mail））和文电电传输等等。应用层表示层会话层传输层网络层数据链路路层物理层FTP、、TELNETNFSSMTP、SNMPXDRRPCTCP、、UDPIPEthernet、PDN、IEEE802.3、、IEEE802.4、IEEE802.5及其它ICMPARPRARPOSI参考模型型Internet协议议簇OSI参考模型型与Internet协议簇簇注解：通通过对每每一个协协议簇中中各种协协议结构构的详细细了解，，就可以以非常轻轻松的针针对包过过滤型、、应用代代理型等等防火墙墙的ACL（访访问控制制列表））进行制制定和理理解，并并有助于于了解防防火墙的的架构体体系。协议－－TCP/IP协议议分层应用层传输层网间网层层网络接口口层协议－－TCP/IP协议议分层应用层：：向用户提提供一组组常用的的应用程程序，比比如文件件传输访访问、电电子邮件件、远程程登录等等。用户户完全可可以在““网间网网”之上上（即传传输层之之上），，建立自自己的专专用应用用程序，，这些专专用应用用程序要要用到TCP/IP，，但不属属于TCP/IP。传输层（（TCP/UDP）：：提供应用用程序间间（即端端到端））的可靠靠（TCP）或或高效（（UDP）的通通信。其其功能包包括：格格式化信信息流及及提供可可靠传输输。传输输层还要要解决不不同应用用程序的的识别问问题。网间网层层（IP）：负责相邻邻计算机机之间的的通信。。其功能能包括：：处理来来自传输输层的分分组发送送请求；；处理理输入数数据包；；处理ICMP报文。。网络接口口层：TCP/IP协协议的最最低层，，负责接接收IP数据报报并通过过网络发发送，或或者从网网络上接接收物理理帧，抽抽出IP数据包包，交给给IP层层。TCP/IP服服务注解：通通过该服服务体系系的理解解，大家家一定要要了解清清楚IP包过滤滤型防火火墙中的的TCP协议簇簇包括那那些具体体协议、、UDP协议簇簇包括那那些具体体协议，，并要特特别注意意怎样通通过防火火墙的ICMP协议去去安全有有效的控控制PING命命令的执执行。TCP/IP服服务(cont.)RPC-远程过程程调用服服务。如如NFS-NetworkFileSystem,可允允许系统统共享目目录与磁磁盘。NIS-NetworkInformationServices,网网络信息息服务容容许多个个系统共共享数据据库,如如passwordfile容容许集中中管理。。XWindowSystem：：一个个图形化化的窗口口系统。。Rlogin、、rsh、及及其它它“r”服务务。运运用相互互信任的的主机的的概念，，在其它它系统上上可以执执行命令令且不要要求password。TCP/IP服服务(cont.)IPIP协议的主主要内容容包括无无连接数数据报传传送、数数据报寻寻径及差差错处理理三部分分。IP层作作为通信信子网的的最高层层，屏蔽蔽底层各各种物理理网络的的技术环环节，向向上（TCP层层）提供供一致的的、通用用性的接接口，使使得各种种物理网网络的差差异性对对上层协协议不复复存在。。IP数据据报分为为报头和和数据区区两部分分，IP报头由由IP协协议处理理，是IP协议议的体现现；数据据体则用用于封装装传输层层数据或或差错和和控制报报文（ICMP）数据据，由TCP协协议或ICMP协议处处理。TCPTCP是传输层层的重要要协议之之一，提提供面向向连接的的可靠字字节流传传输。面面向连接接的TCP要求求在进行行实际数数据传输输前，必必须在信信源端与与信宿端端建立一一条连接接。且面面向连接接的每一一个报文文都需接接收端确确认，未未确认报报文被认认为是出出错报文文，出错错的报文文协议要要求出错错重传。。TCP采采用可变变窗口进进行流量量控制和和拥塞控控制以保保证可靠靠性。分组是TCP传传输数据据的基本本单元，，分TCP头和和TCP数据体体两大部部分。UDPUDP是传输输层的重重要协议议之一；；基于UDP的服服务包括括NIS、NFS、NTP及及DNS等。UDP不不是面向向连接的的服务，，几乎不不提供可可靠性措措施；因因此，基基于UDP的服服务具有有较高的的风险。。TCP与UDP端口一个TCP或UDP连接由由下述要要素唯一一确定：：源IP地址、、目的地地IP地地址、源源端口、、目的地地端口。。TCP或或UDP用协议议端口标标识通信信进程，，端口是是一种抽抽象的软软件结构构（包括括一些数数据结构构和I/O缓冲冲区）。。应用程程序（即即进程））通过系系统调用用与某些些端口建建立连接接后，传传输层传传给该端端口的数数据被相相应进程程所接收收。接口又是是进程访访问传输输服务的的人口点点。每个个端口拥拥有一个个叫端口口号的16位整整数标识识符，用用于区分分不同端端口。TCP和和UDP软件分分别可以以提供65536个不不同的端端口。端口有两两部分，，一部分分是保留留端口（（端口号号小于1024，对应应于服务务器进程程），一一部分是是自由端端口（以以本地方方式分配配）。某些服务务进程通通常对应应于特定定的端口口。如SMTP为25，，XWINDOWS为6000。。客户使用用端口号号及目的的地IP地址初初始化与与一个特特定主机机或服务务的连接接。TCP与UDP端口(cont.)协议－－－IPV6IETF决定在不不久的将将来利用用IPV6来代代替IPV4。。IPV6既能适适应高速速网络（（如ATM），，也能适适应低带带宽环境境。扩展地址址和路由由规模。。主机地址址自动配配置。公共子网网服务。。安全性加加强。防火墙技技术可根根据防范范的方式式和侧重重点的不不同而分分为很多种类型型，但总总体来讲讲可分为为三大类类：分组过滤滤、应用用代理、、电路中中继分组过滤滤（Packetfiltering）：：作用在网网络层和和传输层层，它根根据分组组包头源地址，，目的地地址和端端口号、、协议类类型等标标志确定定是否允允许数据据包通过过。只有有满足过过滤逻辑辑的数据据包才被被转发到到相应的的目的地地出口端端，其余余数据包包则被从从数据流流中丢弃弃。防火墙技技术内容容应用代理理（ApplicationProxy））：也叫应用用网关（（ApplicationGateway）,它作用用在应用用层，其其特点是是完全““阻隔””了网络络通信流流，通过过对每种种应用服服务编制制专门的的代理程程序，实实现监视视和控制制应用层层通信流流的作用用。实际际中的应应用网关关通常由由专用工工作站实实现。电路中继继(CircuitRelay)：：也叫电路路网关(CircuitGateway)或TCP代代理（TCP－－Proxy）,其其工作原原理与应应用代理理类似，，不同之之处是该该代理程程序是专专门为传传输层的的TCP协议编编制的。。防火墙技技术内容容(cont.)防火墙技技术内容容－分组过滤滤应用层表示层会话层传输层网络层数据链路路层物理层物理层数据链路路层网络层应用层表示层会话层传输层网络层数据链路路层物理层外部网络络主机内部网络络主机分组过滤滤型防火火墙一个分组组过滤型型防火墙墙通常能能根据IP分组的以以下各项项过滤：：源IP地地址目标IP地址TCP/UDP源端口口TCP/UDP目标端端口协议类型型防火墙技技术内容容－分组过滤滤(cont.)防火墙技技术内容容－分组过滤滤(cont.)分组过滤滤防火墙墙应用示示例优点：透明的防防火墙系系统高速的网网络性能能易于配置置支持网络络内部隐隐藏防火墙技技术内容容－分组过滤滤(cont.)缺点：易于IP地址假冒冒记录日志志信息不不充分源路由攻攻击设计和配配置一个个真正安安全的分分组过滤滤规则比比较困难难分组过滤滤防火墙墙并不能能过滤所所有的协协议极小分片片设数据据包攻击击无法防止止数据驱驱动式攻攻击防火墙技技术内容容－分组过滤滤(cont.)防火墙技技术内容容－应用代理理应用层表示层会话层传输层网络层数据链路路层物理层物理层数据链路路层网络层应用层表示层会话层传输层网络层数据链路路层物理层外部网络络主机内部网络络主机应用代理理型防火火墙应用层表示层会话层传输层防火墙技技术内容容－应用代理理(cont.)外部Telnet服务器内部Telnet服务器日志系统统Telnet代理FTP代理认证系统统应用网关关一个Telnet代理理的例子子一个Telnet应用用代理的的过程用户首先先Telnet到应用用网关主主机，并并输入内内部目标标主机的的名字（（域名、、IP地址）应用网关关检查用用户的源源IP地地址等，，并根据据事先设设定的访访问规则则来决定定是否转转发或拒拒绝然后用户户必须进进行是否否验证（（如一次次一密等等高级认认证设备备）应用网关关中的代代理服务务器为用用户建立立在网关关与内部部主机之之间的Telnet连连接代理服务务器在两两个连接接（用户户/应用用网关，，代理服服务器/内部主主机）之之间传送送数据应用网关关对本次次连接进进行日志志记录防火墙技技术内容容－应用代理理(cont.)优点：在网络连连接建立立之前可可以对用用户身份份进行认认证所有通过过防火墙墙的信息息流可以以被记录录下来易于配置置支持内部部网络的的信息隐隐藏与分组过过滤规则则相比简简单易于控制制和管理理防火墙技技术内容容－应用代理理(cont.)缺点：对每种类类型的服服务都需需要一个个代理网络性能能不高防火墙对对用户不不透明客户应用用可能需需要修改改需要多个个防火墙墙主机防火墙技技术内容容－应用代理理(cont.)防火墙体体系结构构分组过滤滤防火墙墙结构分组过滤滤＋应用用网关（（I）分组过滤滤＋应用用网关（（II））屏蔽子网网防火墙墙结构分组过滤滤防火墙墙适合于较较小的、、简单的的系统如规则复复杂，则则难于管管理分组过滤滤＋应用用网关（（I）简化路由由配置加强隐私私双重保护护花费高一一些只有网关关上的代代理服务务支持的的应用才才能通过过分组过滤滤＋应用用网关（（II））路由器过过滤应用用网关不不支持的的危险协协议应用网关关仅需一一个网络络接口，，不要求求在应用用网关与与路由器器之间有有一个分分离的子子网路由器允允许转发发可信服服务到网网关周围围和直接接到内部部网络分组过滤滤＋应用用网关（（II））也叫屏蔽蔽主机防防火墙结结构，屏屏蔽路由由器使用用分组过过滤技术术，堡垒垒主机运运行应用用网关程程序，为为内部主主机提供供代理服服务。路由过滤滤器根据据以下规规则来路路由内外外部通信信路由从Internet外部部访问应应用网关关的通信信拒绝来自自任何Internet外部部的其它它访问拒绝路由由任何内内部网络络访问Internet外部部的请求求，除非非来自内内部的应应用代理理。适于需要要灵活性性的网络络，但安安全性降降低。屏蔽子网网防火墙墙结构适于通信信量很大大或高速速网络通通信的内内部网络络强化安全全，但配配置较为为复杂屏蔽子网网防火墙墙结构(cont.)屏蔽子网网防火墙墙结构(cont.)防火墙实实现策略略(cont.)对防火墙墙系统而而言，共共有两层层网络安安全策略略：网络服务务访问策策略：是是高层策策略，定定义了受受保护网网络明确确允许和和明确拒拒绝的网网络服务务，分析析网络服服务的可可用性（（包括可可用条件件）、风风险性等等。防火墙设设计策略略：是低低层策略略，描述述了防火火墙如何何根据高高层的网网络服务务访问策策略中定定义的策策略来具具体地限限制访问问和过滤滤服务。。网络服务务访问策策略不允许外外部网络络或Internet访问内内部网络络，但允允许内部部网络访访问外部部网络或或Internet。。允许外部部网络或或Internet访访问部分分内部网网络，这这些特定定的网络络服务是是经过严严格选择择和控制制的，如如一些信信息服务务器、电电子邮件件服务器器或域名名服务器器等等。。防火墙实实现策略略(cont.)防火墙设设计策略略防火墙设设计策略略必须针针对具体体的防火火墙，它它定义过过滤规则则等，以以实现高高层的网网络服务务策略。。这个策策略在设设计时必必须考虑虑到防火火墙本身身的性能能、限制制及具体体协议如如TCP/IP。常用用的两种种基本防防火墙设设计策略略是：允许所有有除明确确拒绝之之外的通通信或服服务（很很少考虑虑，因为为这样的的防火墙墙可能带带来许多多风险和和安全问问题。攻攻击者完完全可以以使用一一种拒绝绝策略中中没有定定义的服服务而被被允许并并攻击网网络）拒绝所有有除明确确允许之之外的通通信或服服务（常常用，但但操作困困难，并并有可能能拒绝网网络用户户的正常常需求与与合法服服务）防火墙实实现策略略(cont.)作为一个个安全策策略的设设计者，，应懂得得以下问问题的要要点：哪些Internet服务是是本网络络系统打打算使用用或提供供的？（（如TELNET、FTP、、HTTP）这些Internet服务在在哪或哪哪个范围围内使用用？（如如在本地地网内、、整个Internet或拨拨号服务务等）可能有哪哪些额外外或临时时的服务务或需求求？（如如加密、、拨入服服务等））提供这些些服务和和访问有有哪些风风险和总总的花费费？防火墙实实现策略略(cont.)对防火墙墙技术与与产品发发展的介介绍防火墙技技术是建建立在现现代通信信网络技技术和信信息安全全技术基础上上的应用用性安全全技术，，越来越越多地应应用于专专用网络与公公用网络络的互联联环境之之中，尤尤其以接接入Internet网络为为最甚。。Internet的迅迅猛发展展，使得得防火墙墙产品在在短短的的几年内内异军突突起，很很快形成成了一个个产业：：据不完完全统计计，在国国际上防防火墙产产品销售售从1995年年的不到到1万套套，猛猛增到1997年底的的10万万套。据国际权权威商业业调查机机构的预预测,防防火墙市市场将以以173％的复复合增长长率增长长，到2000年将达达150万套，，市场营营业额将将从1995年年的1.6亿美美元上升升到2000年年的9.8亿美美元。防火墙发发展历程程第一阶段段：基于于路由器器的防火火墙第二阶段段：用户户化的防防火墙工工具套第三阶段段：建立立在通用用操作系系统上的的防火墙墙第四阶段段：具有有安全操操作系统统的防火火墙对防火墙墙技术与与产品发发展的介介绍(cont.)第一代防防火墙产产品的特特点是：：利用路由由器本身身对分组组的解析析,以访访问控制制表（accesslist）方方式实现现对分组组的过滤滤；过滤判决决的依据据可以是是：地址址、端口口号、IP旗标标及其它它网络特征征；只有分组组过滤的的功能，，且防火火墙与路路由器是是一体的的，对安全要求求低的网网络可采采用路由由器附带带防火墙墙功能的的方法，，对安全性性要求高高的网络络则可单单独利用用一台路路由器作作防火墙墙。第一阶段段：基于于路由器器的防火火墙第一阶段段：基于于路由器器的防火火墙(cont.)第一代防防火墙产产品的不不足之处处为：路由协议议十分灵灵活，本本身具有有安全漏漏洞，外外部网络络要探寻寻内部网网络十分分容易。。路由器上上的分组组过滤规规则的设设置和配配置存在在安全隐隐患。攻击者可可以“假假冒”地地址，由由于信息息在网络络上是以以明文传传送的，，黑客可可以在网网络上伪伪造假的的路由信信息欺骗骗防火墙墙。防火墙的的规则设设置会大大大降低低路由器器的性能能。第二阶段段：用户户化的防防火墙工工具套作为第二二代防火火墙产品品，用户户化的防防火墙工工具套具有有以下特特征：将过滤功功能从路路由器中中独立出出来，并并加上审审计和告告警功能能；针对用户户需求，，提供模模块化的的软件包包；软件可通通过网络络发送，，用户可可根据需需要构造造防火墙墙；与第一代代防火墙墙相比，，安全性性提高了了，价格格降低了了。第二阶段：：用户化的的防火墙工工具套(cont.)不足之处：：配置和维护护过程复杂杂、费时；；对用户的技技术要求高高；全软件实现现，安全性性和处理速速度均有局局限；实践表明，，使用中出出现差错的的情况很多多。第三阶段：：建立在通通用操作系系统上的防防火墙具有以下特特点：是批量上市市的专用防防火墙产品品；包括分组过过滤或者借借用路由器器的分组过过滤功能；；装有专用的的代理系统统，监控所所有协议的的数据和指指令；保护用户编编程空间和和用户可配配置内核参参数的设置置；安全性和速速度大为提提高。第三阶段：：建立在通通用操作系系统上的防防火墙(cont.)存在的问题题：作为基础的的操作系统统及其内核核往往不为为防火墙管管理者所知知，由于原原码的保密密，其安全全性无从保保证；由于大多数数防火墙厂厂商并非通通用操作系系统的厂商商，通用操操作系统厂厂商不会对对操作系统统的安全性性负责；从本质上看看，第三代代防火墙既既要防止来来自外部网网络的攻击击，还要防防止来自操操作系统厂厂商的攻击击。用户必须依依赖两方面面的安全支支持：一是是防火墙厂厂商、一是是操作系统统厂商。第四阶段：：具有安全全操作系统统的防火墙墙具有以下特特点：防火墙厂商商具有操作作系统的源源代码，并并可实现安安全内核；；对安全内核核实现加固固处理:即即去掉不必必要的系统统特性，加加固内核，，强化安全全保护；对每个服务务器、子系系统都作了了安全处理理，一旦黑黑客攻破了了一个服务务器，它将将会被隔离离在此服务务器内，不不会对网络络的其它部部份构成威威胁；在功能上包包括了分组组过滤、应应用网关、、电路级网网关，且具具有加密与与鉴别功能能；透明性好，，易于使用用。第四代防火火墙的主要要技术与功功能第四代防火火墙产品将将网关与安安全系统合合二为一，，具有以下下技术与功功能特点：：双端口或三三端口的结结构透明的访问问方式灵活的代理理系统多级的过滤滤技术网络地址转转换技术Internet网网关技术安全服务器器网络（SSN）用户鉴别与与加密用户定制服服务审计和告警警双端口或三三端口的结结构新一代防火火墙产品具具有两个或或三个独立立的网卡卡，内外两两个网卡可可不作IP转化而串接接于内部网网与外部网网之间，另另一个网卡卡可专用于于对服务器器的安全保保护。透明的访问问方式以前的防火火墙在访问问方式上要要么要求用用户作系统登录，，要么需要要通过SOCKS等库路径修修改客户机的应用用。第四代代防火墙利利用了透明明的代理系系统技术，从从而降低了了系统登录录固有的安安全风险和和出错概率。。灵活的代理理系统代理系统是是一种将信信息从防火火墙的一侧侧传送到另另一侧的软软件模块。。第四代防防火墙采用用了两种代代理机制，，一种用于于代理从内内部网络到到外部网络络的连接，，采用网络络地址转换换(NAT)技术来解决决，另一种种用于代理理从外部网网络到内部部网络的连连接。采用用非保密的的用户定制制代理或保保密的代理理系统技术术来解决。。多级的过滤滤技术为保证系统统的安全性性和防护水水平，第四四代防火墙墙采用了三三级过滤措措施，并辅辅以鉴别手手段。在分分组过滤一一级，能过过滤掉所有有的源路由由分组和假假冒的IP源地址；在在应用级网网关一级,能利用FTP、SMTP等各种网关关，控制和和监测Internet提供的所有有通用服务务；在电路路网关一级级，实现内内部主机与与外部站点点的透明连连接，并对对服务的通通行实行严严格控制。。网络地址转转换技术第四代防火火墙利用NAT技术能透明明地对所有有内部地址址作转换，，使外部网网络无法了了解内部网网络的内部部结构，同同时允许内内部网络使使用自己编编的IP地址和专用用网络，防防火墙能详详尽记录每每一个主机机的通信，，确保每个个分组送往往正确的地地址。Internet网关技术安全服务器器网络（SSN）为适应越来来越多的用用户向Internet上提供服务务时对服务务器保护的的需要,第第四代防火火墙采用特特别保护的的策略对用用户上网的的对外服务务器实施保保护，它利利用一张网网卡将对外外服务器作作为一个独独立网络处处理，对外外服务器既既是内部网网的一部份份，又与内内部网关完完全隔离。。这就是安安全服务器器网络(SSN)技术，对对SSN上的主机既既可单独管管理，也可可设置成通通过FTP、Telnet等方式从内内部网上管管理。用户鉴别与与加密为了降低防防火墙产品品在Telnet、FTP等服务和远程管理理上的安全全风险，鉴鉴别功能必必不可少，，第四代防火火墙采用一一次性使用用的口令字字系统来作作为用户的鉴鉴别手段，，并实现了了对邮件的的加密。用户定制服服务为满足特定定用户的特特定需求，，第四代防防火墙在提供众多多服务的同同时,还为为用户定制制提供支持持，这类选选项有：通通用TCP，出站UDP、FTP、SMTP等类,如果果某一用户户需要建立立一个数据据库的代理理，便可利利用这些支支持，方便便设置。审计和告警警第四代防火火墙产品的的审计和告告警功能十十分健全，日志文文件包括：：一般信息息、内核信信息、核心心信息、接收收邮件、邮邮件路径、、发送邮件件、已收消消息、已发消消息、连接接请求、已已鉴别的访访问、告警警条件、管理理日志、进进站代理、、FTP代理、出站站代理、邮件服服务器、域域名服务器器等。告警警功能会守守住每一个TCP或UDP探寻，并能能以发出邮邮件、声响等多种方方式报警。。第四代防火火墙技术实实现在第四代防防火墙产品品的设计与与开发中，，关键在于于：安全内核代理系统多级过滤安全服务器器鉴别与加密密安全内核的的实现对安全操作作系统内核核的固化与与改造主要要从以下几方面进进行：取消危险的的系统调用用；限制命令的的执行权限限；取消IP的的转发功能能；检查每个分分组的接口口；采用随机连连接序号；；驻留分组过过滤模块；；取消动态路路由功能；；采用多个安安全内核。。代理系统的的建立在所有的连连接通过防防火墙前，，所有的代代理要检查已定义义的访问规规则，这些些规则控制制代理的服服务并根据以以下内容处处理分组：：源地址；目的地址；；时间；同类服务的的最大数量量。代理系统的的建立（cont.)所有外部网网络到防火火墙内部或或SSN的连接由进进站代理处理，进站站代理要保保证内部主主机能了解解外部主机机的所有信息，而而外部主机机只能看到到防火墙之之外或SSN的地址。所有从内部部网络或SSN通过防火墙墙与外部网网络建立的的连接由出站站代理处理理，出站代代理必须确确保完全由由它代表内部网络络与外部地地址相连，，防止内部部网址与外外部网址的直接连连接,同时时还要处理理内部网络络到SSN的连接。分组过滤器器的设计分组过滤器器包括以下下参数:进站接口；；出站接口；；IP协议特特征；允许的连接接；源端口范围围；源地址；目的地址；；目的端口的的范围等。。安全服务器器的设计安全服务器器的设计有有两个要点点：第一，所有有SSN的流量都要要隔离处理理，即从内内部网和外部网而来来的路由信信息流在机机制上是分分离的；第二，SSN的作用类似似于两个网网络，它看看上去象是是内部网，因为为它对外透透明，同时时又象是外外部网络，，因为它从内部网网络对外访访问的方式式十分有限限。安全服务器器的设计（（cont.)SSN上的每一个个服务器都都是隐蔽于于Inter-net，SSN提供的服务务对外部网网络而言好好象防火墙的功能，，由于地址址转换已是是透明的,对各种网网络应用没有有限制。实现SSN的关键在于于：解决分组过过滤器与SSN的连连接；支持通过防防火墙对SSN的访访问；支持代理服服务。鉴别与加密密的考虑鉴别与加密密是防火墙墙识别用户户，验证访访问和保护护信息的有效手手段，鉴别别机制除了了提供安全全保护而外外，还有安全管理的的功能，目目前国外防防火墙产品品中广泛使使用令牌鉴别方式，，具体方法法有两种，，一种是加加密卡（CryptoCard）；另一种种是SecureID，这两种都都是一次性性口令的生成工具具。对信息内容容的加密与与鉴别则涉涉及加密算算法和数字字签名技术，除除PEM、PGP和Kerberos外，目前国国外防火墙墙产品中尚没没有更好的的机制出现现，由于加加密算法涉涉及国家信息安全全和主权，，各国有不不同的要求求。第四代防火火墙的抗攻攻击能力作为一种安安全防护设设备，防火火墙在网络络中自然是是众多攻击击者的目标标，故抗攻攻击能力也也是防火墙墙的必备功功能，在Internet环境中针对对防火墙的的攻击方法法主要有：：抗IP假冒攻击抗特洛伊木木马攻击抗口令字探探寻攻击抗网络安全全性分析抗邮件诈骗骗攻击抗IP假冒冒攻击IP假冒是是指一个非非法的主机机假冒内部部的主机地地址，骗取取服务器的的“信任””，从而达达到对网络络的攻击目目的。由于于第四代防防火墙知道道网络内外外的IP地地址，它会会丢弃所有有来自网络络外部但却却有内部地地址的分组组，再之防防火墙已将将网内的实实际地址隐隐蔽起来，，外部用户户很难知道道内部的IP地址，，因而难以以攻击。第四代防火火墙的抗攻攻击能力(cont.)抗特洛伊木木马攻击特洛伊木马马能将病毒毒或破坏性性程序传入入计算机网网络，且通通常是将这这些恶意程程序隐蔽在在正常的程程序，尤其其是热门程程序或游戏戏之中，一一些用户下下载并执行行这一程序序，其中的的病毒便会会发作。第第四代防火火墙是建立立在安全的的操作系统统之上的，，其安全内内核中不能能执行下载载的程序，，故而可防防止特洛伊伊木马的发发生。必须须指出的是是，防火墙墙能抗特洛洛伊木马的的攻击并不不表明受其其保护的某某个主机也也能防止这这类攻击。。事实上，，内部用户户可通过防防火墙下载载程序，并并执行下载载的程序。。第四代防火火墙的抗攻攻击能力(cont.)抗口令字探探寻攻击在网络中探探寻口令字字的方法很很多，最常常见的是口口令字嗅探探和口令字字解密。嗅嗅探是通过过监测网络络通信，截截获用户传传给服务器器的口令字字，记录下下来，以便便使用；解解密是指采采用强力攻攻击、猜测测或截获含含有加密口口令字的文文件，并设设法解密。。此外，攻攻击者还常常常利用一一些常用口口令字直接接登录。第四代防火火墙采用了了一次性口口令字和禁禁止直接登登录防火墙墙的措施，，能有效防防止对口令令字的攻击击。第四代防火火墙的抗攻攻击能力(cont.)抗网络安全全性分析网络安全性性分析工具具本是供管管理人员分分析网络安安全性之用用的，一旦旦这类工具具用作攻击击网络的手手段，则能能较方便地地探测到内内部网络的的安全缺陷陷和弱点所所在，目前前，SATAN软件件可以从网网上免费获获得，InternetScanner可可从市面上上购买，这这些分析工工具给网络络安全构成成了直接威威胁。第四四代防火墙墙采用了地地址转换技技术，将内内部网络隐隐蔽起来，，使网络安安全分析工工具无法从从外部对内内部网作分分析。第四代防火火墙的抗攻攻击能力(cont.)抗邮件诈骗骗攻击邮件诈骗也也是越来越越突出的攻攻击方式，，第四代防防火墙不接接收任何邮邮件，故难难以采用这这种方式对对它攻击，，同样值得得一提的是是，防火墙墙不接受邮邮件，并不不表示它不不让邮件通通过，实际际上用户仍仍可收发邮邮件，内部部用户要防防邮件诈骗骗，最终的的解决办法法是对邮件件加密。第四代防火火墙的抗攻攻击能力(cont.)对防火墙技技术的展望望：几点趋势防火墙将从从目前对子子网或内部部网管理的的方式向远远程上网集集中管理的的方式发展展；过滤滤深深度度不不断断加加强强,从从目目前前的的地地址址、、服服务务过过滤滤，，发发展展到到URL（页页面面））过过滤滤，，关关键键字字过过滤滤和和对对ActiveX、Java等的的过过滤滤，，并并逐逐渐渐有有病病毒毒扫扫除除功功能能。。单向向防防火火墙墙（（又又叫叫网网络络二二极极管管））将将作作为为一一种种产产品品门门类类而而出出现现；利用用防防火火墙墙建建立立专专用用网网(VPN)是是较较长长一一段段时时间间的的用用户户使使用用的的主主流流，，IP的加加密密需需求求越越来来越越强强，，安安全全协协议议的的开开发发是是一一大大热热点点；；对网网络络攻攻击击的的检检测测和和告告警警将将成成为为防防火火墙墙的的重重要要功功能能；；安全全管管理理工工具具不不断断完完善善，，特特别别是是可可疑疑活活动动的的日日志志分分析析工工具具等等将将成成为为防防火火墙墙产产品品中中的的一一部部分分。对防防火火墙墙技技术术的的展展望望：：几点点趋趋势势(cont.)对防防火火墙墙技技术术的的展展望望：：需