网络安全(第二章)

第二章防火墙技术及应用防火墙技术概述防火墙的体系结构防火墙的实现技术典型防火墙的设置防火墙技术展望瑞星个人防火墙应用实例CiscoPIX防火墙基础配置实例防火墙概述防火墙的提出什么是防火墙防火墙的功能防火墙的分类防火墙的局限性防火墙的提出企业上网面临的安全问题之一：

需要内部网与外部网有效隔离解答：

防火墙防火墙示意图防火墙技术防火墙的概念防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。防火墙是实现网络和信息安全的基础设施，一个高效可靠的防火墙应用具备以下的基本特性：

·防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外和从外到里的所有信息都必须通过防火墙；

·通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过；

·防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。什么是防火墙不可信网络和服务器可信网络防火墙路由器InternetIntranet可信用户不可信用户

DMZ什么是防火墙最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。什么是防火墙定义：防火墙（Firewall）是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型。

核心思想：在不安全的网际网环境中构造一个相对安全的子网环境。

目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。什么是防火墙防火墙可在链路层、网络层和应用层上实现；其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的；从网络防御体系上看，防火墙是一种被动防御的保护装置。防火墙的功能①网络安全的屏障；②过滤不安全的服务；（两层含义）

内部提供的不安全服务和内部访问外部的不安全服务③阻断特定的网络攻击；（联动技术的产生）④部署NAT机制；⑤提供了监视局域网安全和预警的方便端点。

提供包括安全和统计数据在内的审计数据，好的防火墙还能灵活设置各种报警方式。防火墙的功能防火墙的基本功能1．监控并限制访问2．控制协议和服务3．保护内部网络4．网络地址转换（NAT）5．虚拟专用网（VPN）6．日志记录与审计防火墙的分类1.个人防火墙是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能；大家常用的个人防火墙有：NortonPersonalFirewall、天网个人防火墙、瑞星个人防火墙等；安装在个人PC上，而不是放置在网络边界，因此，个人防火墙关心的不是一个网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。防火墙的分类2.软件防火墙个人防火墙也是一种纯软件防火墙，但其应用范围较小，且只支持Windows系统，功能相对来说要弱很多，并且安全性和并发连接处理能力较差；作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统，并且多数都支持Unix或Linux系统。如十分著名的CheckPoint，FireWall-1，MicrosoftISAServer2000等

。防火墙的分类3.一般硬件防火墙不等同于采用专用芯片的纯硬件防火墙，但和纯软件防火墙有很大差异

；一般由小型的防火墙厂商开发，或者是大型厂商开发的中低端产品，应用于中小型企业，功能比较全，但性能一般；一般都采用PC架构（就是一台嵌入式主机），但使用的各个配件都量身定制。防火墙的分类其操作系统一般都采用经过精简和修改过内核的Linux或Unix，安全性比使用通用操作系统的纯软件防火墙要好很多，并且不会在上面运行不必要的服务，这样的操作系统基本就没有什么漏洞。但是，这种防火墙使用的操作系统内核一般是固定的，是不可升级的，因此新发现的漏洞对防火墙来说可能是致命的

；国内自主开发的防火墙大部分都属于这种类型。防火墙的分类4.纯硬件防火墙采用专用芯片（非X86芯片）来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙。（专用集成电路（ASIC）芯片或者网络处理器（NP）芯片）；最大的亮点：高性能，非常高的并发连接数和吞吐量；采用ASIC芯片的方法在国外比较流行，技术也比较成熟，如美国NetScreen公司的高端防火墙产品；国内芯片级防火墙大多还处于开发发展的阶段，采用的是NP技术。防火墙的分类5.分布式防火墙前面提到的几种防火墙都属于边界防火墙（PerimeterFirewall），它无法对内部网络实现有效地保护；随着人们对网络安全防护要求的提高，产生了一种新型的防火墙体系结构——分布式防火墙。近几年，分布式防火墙技术已逐渐兴起，并在国外一些大的网络设备开发商中得到实现，由于其优越的安全防护体系，符合未来的发展趋势，这一技术一出现就得到了许多用户的认可和接受。防火墙的局限性网络的安全性通常是以网络服务的开放性和灵活性为代价的。防火墙的使用也会削弱网络的功能：

①由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；

②由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，还减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。防火墙的局限性防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失：

①只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；②不能解决来自内部网络的攻击和安全问题；③不能防止受病毒感染的文件的传输；④不能防止策略配置不当或错误配置引起的安全威胁；⑤不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。防火墙的局限性防火墙的评价--防火墙不可以防范什么防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务。无法防护内部用户之间的攻击无法防护基于操作系统漏洞的攻击无法防护内部用户的其他恶意行为无法防护端口反弹木马的攻击无法防护病毒的侵袭和病毒感染程序或文件的传递无法防护非法通道出现防火墙的基本原理所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查，而且检查的项目越多、层次越深，则防火墙越安全。由于现在计算机网络结构采用自顶向下的分层模型，而分层的主要依据是各层的功能划分，不同层次功能的实现又是通过相关的协议来实现的。所以，防火墙检查的重点是网络协议及采用相关协议封装的数据。防火墙的基本准则1．所有未被允许的就是禁止的

所有未被允许的就是禁止的，这一准则是指根据用户的安全管理策略，所有未被允许的通信禁止通过防火墙。2．所有未被禁止的就是允许的

所有未被禁止的就是允许的，这一准则是指根据用户的安全管理策略，防火墙转发所有信息流，允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址等参数对未授权的用户或不信任的站点进行逐项屏蔽。2防火墙的体系结构分组过滤路由器双宿主机屏蔽主机屏蔽子网防火墙的体系结构防火墙的体系结构：是指防火墙系统实现所采用的架构及其实现所采用的方法，它决定着防火墙的功能、性能以及使用范围。防火墙可以被设置成许多不同的结构，并提供不同级别的安全，而维护运行的费用也各不相同。分组过滤路由器分组过滤路由器作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可利用过滤规则实现报文过滤功能。缺点：在单机上实现，是网络中的“单失效点”。不支持有效的用户认证、不提供有用的日志，安全性低。分组过滤路由器举例分组过滤路由器举例分组过滤路由器举例分组过滤路由器举例双宿主机双宿主机在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成通常采用代理服务的方法堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等优缺点：堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计该方式的防火墙仍是网络的“单失效点”。隔离了一切内部网与Internet的直接连接，不适合于一些高灵活性要求的场合屏蔽主机屏蔽主机一个分组过滤路由器连接外部网络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。提供的安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格的保护，如果路由表遭到破坏，则堡垒主机就有被越过的危险。屏蔽子网屏蔽子网是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ（DemilitarizedZone））在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者控制堡垒主机后就可以监听整个内部网络的会话3防火墙的实现技术数据包过滤（PacketFiltering）代理服务（ProxyService）状态检测（StatefulInspection）网络地址转换（NetworkAddressTranslation

）数据包过滤（1/6）

（包过滤防火墙）

应用层表示层会话层传输层数据链路层物理层路由器应用层表示层会话层传输层数据链路层物理层网络层网络层数据链路层物理层数据包过滤（2/6）数据包过滤技术是一种简单、高效的安全控制技术，是防火墙发展初期普遍采用的技术。工作原理：系统在网络层检查数据包，与应用层无关。依据在系统内设置的过滤规则（通常称为访问控制表——AccessControlList）对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。数据包过滤（3/6）包过滤一般要检查（网络层的IP头和传输层的头）：

IP源地址

IP目的地址协议类型（TCP包/UDP包/ICMP包）

TCP或UDP的源端口

TCP或UDP的目的端口

ICMP消息类型

TCP报头中的ACK位如图8-5所示，当网络管理员在防火墙上设置了过滤规则后，在防火墙中会形成一个过滤规则表。当数据包进入防火墙时，防火墙会将IP分组的头部信息与过滤规则表进行逐条比对，根据比对结果决定是否允许数据包通过。图8-5包过滤防火墙工作示意图3．包过滤防火墙的应用特点包过滤防火墙是一种技术非常成熟、应用非常广泛的防火墙技术，具有以下的主要特点：（1）过滤规则表需要事先进行人工设置，规则表中的条目根据用户的安全要求来定。（2）防火墙在进行检查时，首先从过滤规则表中的第1个条目开始逐条进行，所以过滤规则表中条目的先后顺序非常重要。（3）由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。数据包过滤（4/6）举例： 某条过滤规则为：禁止地址1的任意端口到地址2的80端口的TCP包。

含义？表示禁止地址1的计算机连接地址2的计算机的WWW服务。包过滤的基本过程：包过滤规则必须被包过滤设备端口存储起来当到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP，TCP或UDP报头中的字段包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同若一条规则阻止包传输或接收，则此包便不被允许若一条规则允许包传输或接收，则此包可以被继续处理若包不满足任何一条规则，则此包便被默认阻塞数据包过滤（5/6）优点： 逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。主要缺点：安全控制的力度只限于源地址、目的地址和端口号等，不能保存与传输或与应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低；数据包的源地址、目的地址以及端口号等都在数据包的头部，很有可能被窃听或假冒。数据包过滤（6/6）注意：①创建规则比较困难；②规则过于复杂并难以测试，必须要用手工或用仪器才能彻底检测规则的正确性；③对特定协议包的过滤：

FTP协议：使用两个端口，因此要作特殊的考虑；

UDP协议：要对UDP数据包进行过滤，防火墙应有动态数据包过滤的特点；

ICMP协议：应根据ICMP的类型进行过滤。思考：为什么说包过滤中过滤规则的顺序对防火墙的性能会有关键影响？代理服务（1/4）

（代理防火墙）应用层表示层会话层传输层数据链路层物理层应用层表示层会话层传输层数据链路层物理层网络层TelnetHTTPFTP应用层表示层会话层传输层数据链路层物理层网络层网络层代理防火墙1．代理防火墙的工作原理代理防火墙具有传统的代理服务器和防火墙的双重功能。如图8-6所示，代理服务器位于客户机与服务器图8-6代理防火墙的工作示意图之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器仅是一台客户机。代理服务（2/4）是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。

工作过程：当用户需要访问代理服务器另一侧的主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言，似乎是直接与外部网络相连。代理防火墙具有以下的主要特点：（1）代理防火墙可以针对应用层进行检测和扫描，可有效地防止应用层的恶意入侵和病毒。（2）代理防火墙具有较高的安全性。由于每一个内外网络之间的连接都要通过代理服务器的介入和转换，而且在代理防火墙上会针对每一种网络应用（如HTTP）使用特定的应用程序来处理。代理防火墙的应用特点（3）代理服务器通常拥有高速缓存，缓存中保存了用户最近访问过的站点内容。（4）代理防火墙的缺点是对系统的整体性能有较大的影响，系统的处理效率会有所下降，因为代理型防火墙对数据包进行内部结构的分析和处理，这会导致数据包的吞吐能力降低（低于包过滤防火墙）。代理服务（3/4）主要优点：内部网络拓扑结构等重要信息不易外泄，从而减少了黑客攻击时所必需的必要信息；可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹，安全性较高。代理服务（4/4）主要缺点：①针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用；②有些代理还需要相应的支持代理的客户和服务器软件；用户可能还需要专门学习程序的使用方法才能通过代理访问Internet；③性能下降。状态检测（1/5）

（状态检测防火墙）物理层引擎检测动态状态表应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层网络层应用层表示层会话层传输层数据链路层物理层网络层静态包过滤的缺陷

由于静态包过滤技术要检查进入防火墙的每一个数据包，所以在一定程序上影响了网络的通信速度。另外，静态包过滤技术固定地根据包的头部信息进行规则的匹配，这种方法在遇到利用动态端口的应用协议时就会出现问题。

状态检测技术及优势

状态检测技术即动态包过滤技术。状态检测防火墙检查的不仅仅是数据包中的头部信息，而且会跟踪数据包的状态，即不同数据包之间的共性。状态检测（2/5）状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的；动态包过滤与普通包过滤相比，需要多做一项工作：对外出数据包的“身份”做一个标记，允许相同连接的进入数据包通过。状态检测（3/5）利用状态表跟踪每一个网络会话的状态，对每一个数据包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态；状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，并动态地保存起来作为以后制定安全决策的参考。状态检测（4/5）既能够提供代理服务的控制灵活性，又能够提供包过滤的高效性，是二者的结合；工作过程： 对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接；请求数据包通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。（状态检测的逻辑流程图）状态检测防火墙的工作过程

状态检测防火墙的工作过程如图8-7所示。在状态检测防火墙中有一个状态检测表，它由规则表和连接状态表两部分组成。状态检测防火墙的工作过程是：首先利用规则表进行数据包的过滤，此过程与静态包过滤防火墙基本相同。如果某一个数据包（如“IP分组B1”）在进入防火墙时，规则表拒绝它通过，则防火墙直接丢弃该数据包，与该数据包相关的后续数据包（如“IP分组B2”、“IP分组B3”等）同样会被拒绝通过。状态检测的逻辑流程图数据包到达防火墙的接口数据包已经在连接吗对数据包特征检测YES策略是否允许数据包内容转发数据包更新对话表，记录日志YESYES数据包符合规则集是否通过数据包YES拒绝和丢弃数据包并记录日志NONO图8-7状态检测防火墙的工作示意图

状态检测（5/5）主要优点：①高安全性（工作在数据链路层和网络层之间；“状态感知”能力）②高效性（对连接的后续数据包直接进行状态检查）③应用范围广（支持基于无连接协议的应用）主要缺点： 状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题（如实现应用层内容过滤）等方面显得力不从心。跟踪连接状态的方式

状态检测防火墙跟踪连接状态的方式取决于所使用的传输层协议，下面进行简要的分析和介绍。（1）TCP数据包。（2）UDP数据包。状态检测防火墙的应用特点状态检测防火墙具有以下的主要特点：（1）与静态包过滤防火墙相比，采用动态包过滤技术的状态检测防火墙通过对数据包的跟踪检测技术，解决了静态包过滤防火墙中某些应用需要使用动态端口时存在的安全隐患，解决了静态包过滤防火墙存在的一些缺陷。（2）与代理防火墙相比，状态检测防火墙不需要中断直接参与通信的两台主机之间的连接，对网络速度的影响较小。（3）状态检测防火墙具有新型的分布式防火墙的特征。（4）状态检测防火墙的不足主要表现为：对防火墙CPU、内存等硬件要求较高、安全性主要依赖于防火墙操作系统的安全性、安全性不如代理防火墙。网络地址转换（1/4）NAT示意图网络地址转换（1/4）网络地址转换/翻译（NAT，NetworkAddressTranslation）就是将一个IP地址用另一个IP地址代替。NAT的主要作用：隐藏内部网络的IP地址；解决地址紧缺问题。

注意：NAT本身并不是一种有安全保证的方案，它仅仅在包的最外层改变IP地址。所以通常要把NAT集成在防火墙系统中。网络地址转换（2/4）NAT是基于网络层的应用，按照不同的理解角度（实现方式/数据流向）分类也不同。

SNAT和DNAT静态（static）网络地址转换和动态（dynamic）网络地址转换源（source）网络地址转换和目标（destination）网络地址转换

静态网络地址转换：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址；

动态网络地址转换：可用的合法IP地址是一个范围，而内部网络地址的范围大于合法IP的范围，在做地址转换时，如果合法IP都被占用，此时从内部网络的新的请求会由于没有合法地址可以分配而失败。无法满足实际的应用需求——PAT（端口地址转换/翻译）网络地址转换（2/4）网络地址转换（3/4）PAT：把内部地址映射到外部网络的一个IP地址的不同端口上。

注意：进行地址翻译时，优先还是NAT，当合法IP地址分配完后，对于新发起的连接会重复使用已分配过的合法IP，要区别此次NAT与上次NAT的数据包，就要通过端口地址加以区分。比较：静态地址翻译：不需要维护地址转换状态表，功能简单，性能较好；动态转换和端口转换：必须维护一个转换表，以保证能够对返回的数据包进行正确的反向转换，功能强大，但是需要的资源较多。思考题：一个主机的端口有六万多个，但实际可以用于PAT的要少的多。网络地址转换（4/4）源网络地址转换：修改数据报中IP头部中的数据源地址（通常发生在使用私有地址的用户访问Internet的情况下，把私有地址翻译成合法的因特网地址）

目标网络地址转换：修改数据报中IP头部中的数据目的地址（通常发生在防火墙之后的服务器上）个人防火墙技术

个人防火墙概述1．个人防火墙的产生动因为保护单机用户接入互联网时的安全，防止个人计算机上信用卡、银行账号等私有信息的被泄露和窃取，防止计算机病毒及各种恶意程序对个人计算机的入侵和破坏，个人防火墙产品应运而生。2．个人防火墙的概念个人防火墙是一套安装在个人计算机上的软件系统，它能够监视计算机的通信状况，一旦发现有对计算机产生危险的通信就会报警通知管理员或立即中断网络连接，以此实现对个人计算机上重要数据的安全保护。个人防火墙的主要功能1．防止Internet上用户的攻击2．阻断木马及其他恶意软件的攻击3．为移动计算机提供安全保护4．与其他安全产品进行集成个人防火墙的主要技术1．基于应用层网关典型的个人防火墙属于应用层网关类型，应用层网关也称为代理。应用层网关随时检测用户应用程序的执行情况，可以根据需要对特定的应用拒绝或允许。

2．基于IP地址和TCP/UDP端口的安全规则如果要在个人防火墙上实现基于IP地址和TCP/UDP端口的控制将非常容易。3．端口“隐蔽”功能端口“隐蔽”会将主机上的端口完全隐藏起来，而不返回任何拒绝响应的报文。4．邮件过滤功能个人防火墙的现状及发展个人防火墙为接入到Internet的个人计算机提供了所需要的安全保护，主要包括：·可有效地防范各种网络攻击；·高效的入侵检测、报警和日志收集与分析；·防火墙本身应该具有良好的容错性；·及时阻止攻击的继续，同时还应能对攻击源进行定位，并具有自我学习、扩充和更新规则的功能；·操作界面友好，操作过程简单、易学、易用，并具有在线安全策略的维护功能。有关个人防火墙未来的发展，除技术的不断创新和功能的不断完善外，在实现形式上还需要从以下几个方面取得发展：（1）与网络设备集成。可将个人防火墙功能集成到Modem、xDSL、CableModem、无线AP等设备中，使个人防火墙成为这些网络设备的组成模块。（2）与防病毒软件集成，并实现与防病毒软件之间的安全联动。例如，同一网络安全厂商开发的防病毒软件和个人防火墙软件可以合并成同一个产品，而不是将个人防火墙作为防病毒软件的一个可选组件来存在。（3）使个人防火墙成为企业级防火墙的一个子系统，通过企业级防火墙对个人防火墙进行分布式管理。这一思想其实就是将个人防火墙作为分布式防火墙中的主机防火墙来存在。5

防火墙技术展望智能防火墙分布式防火墙网络安全产品的系统化智能防火墙传统防火墙：采用数据匹配检查技术

智能防火墙：采用人工智能识别技术（统计、记忆、概率和决策等）优势：安全，高效应用：在保护网络和站点免受黑客攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面具有广泛的应用价值。分布式防火墙1.传统防火墙的不足虽然本章前面介绍的几类传统防火仍然是现代计算机网络安全防范的支柱，但在安全要求较高的大型网络中存在一些不足，主要表现如下：（1）结构性限制。（2）防外不防内。（3）效率问题。（4）故障问题。2．分布式防火墙的概念

为了解决传统防火墙正在面临的问题，美国AT&T实验室研究员StevenM.Bellovin于1999年在他的论文“分布式防火墙”（DistributedFirewalls，DFW）一文中首次提出了分布式防火墙的概念。在该论文中提供了DFW的方案：策略集中定制，在各台主机上执行，日志集中收集处理。根据DFW所需要完成的功能，分布式防火墙系统由以下3部分组成：（1）网络防火墙。（2）主机防火墙。（3）中心管理服务器。分布式防火墙传统防火墙：边界防火墙缺陷：结构性限制；内部威胁；效率和故障

分布式防火墙（广义）：一种新的防火墙体系结构（包含网络防火墙、主机防火墙和管理中心）优势：在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用，与拓扑无关，支持移动计算。3．分布式防火墙的工作模式分布式防火墙的基本工作模式是：由中心管理服务器统一制定安全策略，然后将这些定义好的策略分发到各个相关节点。而安全策略的执行则由相关主机节点独立实施，由各主机产生的安全日志集中保存在中心管理服务器上。分布式防火墙的工作模式如图8-9所示。

图8-9分布式防火墙的工作模式4．分布式防火墙的应用特点分布式防火墙的应用优势主要表现为：（1）增加了针对主机的入侵检测和防护功能，加强了对来自内部网络的攻击防范，可以实施全方位的安全策略。（2）提高了系统性能，克服了结构性瓶颈问题，提高了系统性能。（3）与网络的物理扑拓结构无关，支持VPN和移动计算等应用，应用更加广泛。5．分布式防火墙产品虽然分布式防火墙技术的提出相对较晚，但相应的产品非常丰富。目前，从总体来看国外的一些著名网络设备制造商（如3COM、Cisco、美国网络安全系统公司等）在分布式防火墙技术方面更加先进，所提供的产品性能也比较高。网络安全产品的系统化（1/2）“以防火墙为核心的网络安全体系”解决方法：直接把相关安全产品“做”到防火墙中各个产品相互分离，但是通过某种通信方式形成一个整体（防火墙联动技术）联动：通过一种组合的方式，将不同技术与防火墙技术进行整合，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能，以适应网络安全整体化、立体化的要求。网络安全产品的系统化（2/2）防火墙与防病毒产品联动防火墙与IDS联动防火墙与认证系统联动防火墙与日志分析系统联动防火墙的应用防火墙在网络中的位置防火墙多应用于一个局域网的出口处（如图8-1（a）所示）或置于两个网络中间（如图8-1（b）所示）。图8-1防火墙在网络中的位置

使用了防火墙后的网络组成防火墙是构建可信赖网络域的安全产品。如图8-2所示，当一个网络在加入了防火墙后，防火墙将成为不同安全域之间的一个屏障，原来具有相同安全等级的主机或区域将会因为防火墙的介入而发生变化.图8-2使用防火墙后的网络组成

1．信赖域和非信赖域当局域网通过防火墙接入公共网络时，以防火墙为节点将网络分为内、外两部分，其中内部的局域网称为信赖域，而外部的公共网络（如Internet）称为非信赖域。2．信赖主机和非信赖主机位于信赖域中的主机因为具有较高的安全性，所以称为信赖主机；而位于非信赖域中的主机因为安全性较低，所以称为非信赖主机。3．DMZDMZ（Demilitarizedzone）称为“隔离区”或“非军事化区”，它是介于信赖域和非信赖域之间的一个安全区域。防火墙应用的局限性1．防火墙不能防范未通过自身的网络连接对于有线网络来说，防火墙是进出网络的唯一节点。但是如果使用无线网络（如无线局域网），内部用户与外部网络之间以及外部用户与内部网络之间的通信就会绕过防火墙，这时防火墙就没有任何用处。2．防火墙不能防范全部的威胁防火墙安全策略的制定建立在已知的安全威胁上，所以防火墙能够防范已知的安全威胁。3．防火墙不能防止感染了病毒的软件或文件的传输即使是最先进的数据包过滤技术在病毒防范上也是不适用的，因为病毒的种类太多，操作系统多种多样，而且目前的病毒编写技术很容易将病毒隐藏在数据中。4．防火墙不能防范内部用户的恶意破坏据相关资料统计，目前局域网中有80%以上的网络破坏行为是由内部用户所为，如在局域网中窃取其他主机上的数据、对其他主机进行网络攻击、散布计算机病毒等。这些行为都不通过位于局域网出口处的防火墙，防火墙对其无能为力。5．防火墙本身也存在安全问题防火墙的工作过程要依赖于防火墙操作系统，与我们平常所使用的Windows、Linux等操作系统一样，防火墙操作系统也存在安全漏洞，而且防火墙的功能越强、越复杂，其漏洞就会越多。补充其他的防火墙结构（1）补充其他的防火墙结构（2）补充典型的防火墙配置补充防火墙在VLAN网络中的应用补充防火墙在内网安全分段中的应用补充主流防火墙产品简介国内：天融信网络卫士防火墙（NGFW）我国第一套自主版权的防火墙系统

TOPSEC（TalentOpenProtocolforSecurity）安全体系（联动协议安全标准）补充主流防火墙产品简介国外：CheckPoint的Firewall-1防火墙状态检测（StatefulInspection）技术最早由CheckPoint提出

OPSEC（OpenPlatformforSecureEnterpriseConnectivity）——开放安全企业互联联盟的组织和倡导者之一，允许用户通过一个开放的、可扩展的框架集成、管理所有的安全产品。（目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。）补充防火墙性能测试简介性能测试标准：RFC2544（2-3层）和RFC3511（4-7层）吞吐量：网络设备在不丢失任何一个帧情况下的最大转发速率。延时（比特转发）：入口处输入帧第1个比特到达被测设备至出口处输出帧的第1个比特输出时所用的时间间隔丢包率：在稳态负载下由于缺少资源应转发而没有转发的帧占所有应被转发的帧的比例补充选择防火墙的标准选择防火墙的标准有很多，但最重要的是以下几条：1、总拥有成本2、功能（内容过滤、负载均衡、HA）3、性能（千兆、策略数影响）4、稳定性5、可扩充性（端口）6、售后升级能力补充对防火墙的几个误区最全的就是最好的，最贵的就是最好的软件防火墙部署后不对操作系统加固一次配置，永远运行测试不够完全审计是可有可无的实验操作—瑞星个人防火墙应用实例个人防火墙主要是为解决网络上各类攻击问题而研制的个人信息安全产品，具有较为完备的规则设置功能，能有效地监控网络连接，保护网络不受攻击。本实验以2008版瑞星个人防火墙为例，通过对个人防火墙主要功能及配置方法的介绍，使读者对个人防火墙技术及使用有所了解。下面是2008版瑞星个人防火墙的主要特性：（1）防火墙多账户管理。（2）未知木马扫描技术。（3）IE功能调用拦截。（4）反钓鱼和防木马病毒网站。（5）模块检查。具体配置方法见教材。实验操作—CiscoPIX防火墙基础配置实例PIX防火墙的管理访问模式PIX防火墙提供了4种管理访问模式，分别是：·非特权模式。PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>（其中pixfirewall为防火墙的名称）。·特权模式。在非特权模式下输入enable命令，将进入特权模式。在特权模式下可以改变当前配置。特权模式的显示为pixfirewall#。·配置模式。在特权模式下输入configureterminal命令将进入配置模式，绝大部分的系统配置都在配置模式下进行。配置模式的显示为pixfirewall(config)#。·监视模式。PIX防火墙在开机或重启过程中，按住管理机上的Escape键或发送一个“Break”字符，将进入监视模式。在监视模式下可以更新系统映像文件，并可以进行口令的恢复操作。监视模式下的显示为monitor>。

PIX防火墙的基本配置命令1．配置防火墙接口的名称（nameif）可以使用nameif命令来配置防火墙的接口名称，同时在使用nameif命令配置防火墙名称的时候还需要为接口指定安全等级。Pix525(config)#nameifethernet0outsidesecurity0（将外网接口ethernet0的安全等级设置为0）Pix525(config)#nameifethernet1insidesecurity100（将内网接口ethernet1的安全等级设置为100）Pix525(config)#nameif

dmzsecurity50（将DMZ接口的安全等级设置为50）2.配置以太网接口参数（interface）下面，我们将PIX防火墙上的快速以太网接口0（ethernet0）配置为自适应，将快速以太网接口1（fastethernet1）配置为全双工。Pix525(config)#interfaceethernet0auto（auto选项表示该接口为自适应）Pix525(config)#interfaceethernet1100full（100full选项表示该接口为100Mbit/s全双工）如果要关闭该接口，可以使用以下的命令：Pix525(config)#interfaceethernet1100fullshutdown（shutdown选项表示关闭这个接口，若启用接口去掉shutdown）3．配置内外网接口的IP地址（ipaddress）根据系统规划，由于PIX防火墙还担负着路由器的功能，所以必须给相应的连接外网和内网的接口配置IP地址。在下面的方案中，我们把与外网连接的ethernet0接口的IP地址配置为25，子网掩码为24，将与内网连接的ethernet1接口的IP地址配置为，子网掩码为。Pix525(config)#interfaceethernet0（进入接口ethernet0的配置状态）Pix525(config-if)#ipaddress

outside2524Pix525(config)#interfaceethernet1（进入接口ethernet1的配置状态）Pix525(config-if)#ipaddressinside

4.进行地址转换（nat）nat(interface_name)nat_id

local_ip[netmark]其中（interface_name）表示内网接口名称，多使用inside。nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的IP地址，表示内网所有主机可以对外访问。[netmark]表示内网IP地址的子网掩码。例1让内网的所有主机都可以访问外网Pix525(config)#nat(inside)100也可以写成：Pix525(config)#nat(inside)1

其中，用0可以代表。例2

只允许/24这个网段内的主机可以访问外网Pix525(config)#nat(inside)15.指定外部地址范围（global）global命令把内网的IP地址翻译成外网的一个或一段IP地址。global命令的配置格式为：global(interface_name)nat_id

ip_address-ip_address[netmark

global_mask]其中，（interface_name）表示外网接口名字，一般为outside；nat_id用来标识全局地址池，使它与其相应的nat命令相匹配；ip_address-ip_address表示转换后的单个IP地址或一段IP地址；[netmark

global_mask]表示全局IP地址的网络掩码。下面举例说明global命令的功能和使用方法。例3当内网的主机访问外网时，将使用~54这段IP地址池为要访问外网的主机分配一个全局IP地址。Pix525(config)#global(outside)1~54例4当内网要访问外网时，访问外网的所有主机统一使用这个单IP地址。Pix525(config)#global(outside)1当要取消配置时，像Cisco路由器和交换机的配置一样，只需要在命令行前面加no即可，如例5所示。例5取消对global(outside)1命令的配置Pix525(config)#noglobal(outside)16.配置静态路由（route）静态路由是最常使用的一种路由选择方法，在中小型网络中尤其常见。PIX防火墙配置静态路由的语法格式为：route(interface_name)00gateway_ip[metric]其中（interface_name）表示接口名称，内网接口常用inside，外网接口常用outside。gateway_ip表示网关IP地址。[metric]表示到gateway_ip的跳数，通常缺省是1。0表示。例6设置一条指向25的静态路由Pix525(config)#routeoutside0025该命令还可以写成：Pix525(config)#routeoutside251如果内部网络使用多个IP网段时，需要为每一个网段指定一个静态路由，例如内部网络使用了/24和/16两个网段，这时需要在PIX防火墙上同时配置以下两条静态路由，网关IP地址都为25.Pix525(config)#routeinside251Pix525(config)#routeinside251PIX防火墙的扩展配置命令1．配置静态IP地址转换（static）static(internal_interface_name，external_interface_name)outside_ip_addressinside_ip_address[netmaskmask]其中：internal_interface_name表示内部网络的接口名称，一般为inside，属于高安全等级的接口；external_interface_name表示外部网络接口的名称，一般为outside，接口安全等级较低；outside_ip_address为外网接口（external_interface_name）的