信息系统安全技术防火墙技术

信息系统安全技术--防火墙技术ServerClient防火墙（Firewall）注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。防火墙概念防火墙特征防火墙功能协议与服务防火墙技术内容防火墙体系结构防火墙实现策略对防火墙技术与产品发展的介绍对防火墙技术的展望内容提要防火墙概念

防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙特征保护脆弱和有缺陷的网络服务集中化的安全管理加强对网络系统的访问控制加强隐私对网络存取和访问进行监控审计保护脆弱和有缺陷的网络服务一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙特征(cont.)防火墙特征(cont.)集中化的安全管理通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。加强对网络系统的访问控制一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。防火墙不应向外界提供网络中任何不需要服务的访问权，这实际上是安全政策的要求了。控制对特殊站点的访问：如有些主机或服务能被外部网络访问，而有些则需被保护起来，防止不必要的访问。防火墙特征(cont.)加强隐私隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。防火墙特征(cont.)对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防火墙特征(cont.)从总体体上看看，防防火墙墙应具具有以以下五五大基基本功功能：：过滤进进、出出网络络的数数据；；管理进进、出出网络络的访访问行行为；；封堵某某些禁禁止的的业务务；记录通通过防防火墙墙的信信息内内容和和活动动；对网络络攻击击的检检测和和告警警。防火墙墙功能能协议－－－ISO/OSI协议分分层应用层层表示层层会话层层传输层层数据链链路层层物理层层网络层层数据链链路层层协议－－－ISO/OSI协议分分层(cont.)物理层层：涉及在在物理理信道道上传传输原原始比比特，，处理理与物物理传传输介介质有有关的的机械械的、、电气气的和和过程程的接接口。。数据链链路层层：分为介介质访访问控控制（（MAC））和逻逻辑链链路控控制（（LLC））两个个子层层。MAC子层层解决决广播播型网网络中中多用用户竞竞争信信道使使用权权问题题。LLC的主主要任任务是是将有有噪声声的物物理信信道变变成无无传输输差错错的通通信信信道，，提供供数据据成帧帧、差差错控控制、、流量量控制制和链链路控控制等等功能能。网络层层：负责将将数据据从物物理连连接的的一端端传到到另一一端，，即所所谓点点到点点，通通信主主要功功能是是寻径径，以以及与与之相相关的的流量量控制制和拥拥塞控控制等等。协议－－－ISO/OSI协议分分层(cont.)传输层层：主要目目的在在于弥弥补网网络层层服务务与用用户需需求之之间的的差距距。传传输层层通过过向上上提供供一个个标准准、通通用的的界面面，使使上层层与通通信子子网（（下三三层））的细细节相相隔离离。传传输层层的主主要任任务是是提供供进程程间通通信机机制和和保证证数据据传输输的可可靠性性。会话层层：主要针针对远远程终终端访访问。。主要要任务务包括括会话话管理理、传传输同同步以以及活活动管管理等等。表示层层：主要功功能是是信息息转换换，包包括信信息压压缩、、加密密、与与标准准格式式的转转换（（以及及上述述各操操作的的逆操操作））等等等。应用层层：提供最最常用用且通通用的的应用用程序序，包包括电电子邮邮件（（E-mail）和和文电电传输输等。应用层层表示层层会话层层传输层层网络层层数据链链路层层物理层层FTP、TELNETNFSSMTP、、SNMPXDRRPCTCP、UDPIPEthernet、、PDN、IEEE802.3、、IEEE802.4、IEEE802.5及其它它ICMPARPRARPOSI参考模模型Internet协协议簇簇OSI参考模模型与与Internet协议议簇注解：：通过过对每每一个个协议议簇中中各种种协议议结构构的详详细了了解，，就可可以非非常轻轻松的的针对对包过过滤型型、应应用代代理型型等防防火墙墙的ACL（访访问控控制列列表））进行行制定定和理理解，，并有有助于于了解解防火火墙的的架构构体系系。协议－－TCP/IP协协议分分层应用层层传输层层网间网网层网络接接口层层协议－－TCP/IP协协议分分层应用层层：向用户户提供供一组组常用用的应应用程程序，，比如如文件件传输输访问问、电电子邮邮件、、远程程登录录等。。用户户完全全可以以在““网间间网””之上上（即即传输输层之之上）），建建立自自己的的专用用应用用程序序，这这些专专用应应用程程序要要用到到TCP/IP，但但不属属于TCP/IP。。传输层层（TCP/UDP）：：提供应应用程程序间间（即即端到到端））的可可靠（（TCP））或高高效（（UDP））的通通信。。其功功能包包括：：格式式化信信息流流及提提供可可靠传传输。。传输输层还还要解解决不不同应应用程程序的的识别别问题题。网间网网层（（IP）：：负责相相邻计计算机机之间间的通通信。。其功功能包包括：：处理理来自自传输输层的的分组组发送送请求求；处处理理输入入数据据包；；处理理ICMP报文文。网络络接接口口层层：：TCP/IP协协议议的的最最低低层层，，负负责责接接收收IP数数据据报报并并通通过过网网络络发发送送，，或或者者从从网网络络上上接接收收物物理理帧帧，，抽抽出出IP数数据据包包，，交交给给IP层层。。TCP/IP服服务务注解解：：通通过过该该服服务务体体系系的的理理解解，，大大家家一一定定要要了了解解清清楚楚IP包包过过滤滤型型防防火火墙墙中中的的TCP协协议议簇簇包包括括那那些些具具体体协协议议、、UDP协协议议簇簇包包括括那那些些具具体体协协议议，，并并要要特特别别注注意意怎怎样样通通过过防防火火墙墙的的ICMP协协议议去去安安全全有有效效的的控控制制PING命命令令的的执执行行。。TCP/IP服服务务(cont.)RPC-远程程过过程程调调用用服服务务。。如如NFS-NetworkFileSystem,可可允允许许系系统统共共享享目目录录与与磁磁盘盘。。NIS-NetworkInformationServices,网网络络信信息息服服务务容容许许多多个个系系统统共共享享数数据据库库,如如passwordfile容容许许集集中中管管理理。。XWindowSystem：：一一个个图图形形化化的的窗窗口口系系统统。。Rlogin、、rsh、、及及其其它它““r””服服务务。。运运用用相相互互信信任任的的主主机机的的概概念念，，在在其其它它系系统统上上可可以以执执行行命命令令且且不不要要求求password。。TCP/IP服服务务(cont.)IPIP协议议的的主主要要内内容容包包括括无无连连接接数数据据报报传传送送、、数数据据报报寻寻径径及及差差错错处处理理三三部部分分。。IP层层作作为为通通信信子子网网的的最最高高层层，，屏屏蔽蔽底底层层各各种种物物理理网网络络的的技技术术环环节节，，向向上上（（TCP层层））提提供供一一致致的的、、通通用用性性的的接接口口，，使使得得各各种种物物理理网网络络的的差差异异性性对对上上层层协协议议不不复复存存在在。。IP数数据据报报分分为为报报头头和和数数据据区区两两部部分分，，IP报报头头由由IP协协议议处处理理，，是是IP协协议议的的体体现现；；数数据据体体则则用用于于封封装装传传输输层层数数据据或或差差错错和和控控制制报报文文（（ICMP））数数据据，，由由TCP协协议议或或ICMP协协议议处处理理。。TCPTCP是传输层的重重要协议之一一，提供面向向连接的可靠靠字节流传输输。面向连接接的TCP要要求在进行实实际数据传输输前，必须在在信源端与信信宿端建立一一条连接。且且面向连接的的每一个报文文都需接收端端确认，未确确认报文被认认为是出错报报文，出错的的报文协议要要求出错重传传。TCP采用可可变窗口进行行流量控制和和拥塞控制以以保证可靠性性。分组是TCP传输数据的的基本单元，，分TCP头头和TCP数数据体两大部部分。UDPUDP是传输层的重重要协议之一一；基于UDP的的服务包括NIS、NFS、NTP及DNS等等。UDP不是面面向连接的服服务，几乎不不提供可靠性性措施；因此此，基于UDP的服务具具有较高的风风险。TCP与UDP端口口一个TCP或UDP连接接由下述要素素唯一确定：：源IP地址址、目的地IP地址、源源端口、目的的地端口。TCP或UDP用协议端端口标识通信信进程，端口口是一种抽象象的软件结构构（包括一些些数据结构和和I/O缓冲冲区）。应用用程序（即进进程）通过系系统调用与某某些端口建立立连接后，传传输层传给该该端口的数据据被相应进程程所接收。接口又是进程程访问传输服服务的人口点点。每个端口口拥有一个叫叫端口号的16位整数标标识符，用于于区分不同端端口。TCP和UDP软件分别别可以提供65536个个不同的端口口。端口有两部分分，一部分是是保留端口（（端口号小于于1024，，对应于服务务器进程），，一部分是自自由端口（以以本地方式分分配）。某些服务进程程通常对应于于特定的端口口。如SMTP为25，XWINDOWS为6000。客户使用端口口号及目的地地IP地址初初始化与一个个特定主机或或服务的连接接。TCP与UDP端口口(cont.)协议－－IPV6IETF决定在不久的的将来利用IPV6来代代替IPV4。IPV6既能能适应高速网网络（如ATM），也能能适应低带宽宽环境。扩展地址和路路由规模。主机地址自动动配置。公共子网服务务。安全性加强。。防火墙技术可可根据防范的的方式和侧重重点的不同而而分为很多种类型，但但总体来讲可可分为三大类类：分组过滤、应应用代理、电电路中继分组过滤（Packetfiltering）：作用在网络层层和传输层，，它根据分组组包头源地址，目的的地址和端口口号、协议类类型等标志确确定是否允许许数据包通过过。只有满足足过滤逻辑的的数据包才被被转发到相应应的目的地出出口端，其余余数据包则被被从数据流中中丢弃。防火墙技术内内容应用代理（ApplicationProxy）：也叫应用网关关（ApplicationGateway）,它作用用在应用层，，其特点是完完全“阻隔””了网络通信信流，通过对对每种应用服服务编制专门门的代理程序序，实现监视视和控制应用用层通信流的的作用。实际际中的应用网网关通常由专专用工作站实实现。电路中继(CircuitRelay)：：也叫电路网关关(CircuitGateway)或TCP代理（TCP－－Proxy）,其其工作原理与与应用代理类类似，不同之之处是该代理理程序是专门门为传输层的的TCP协议议编制的。防火墙技术内内容(cont.)防火墙技术内内容－分组过滤应用层表示层会话层传输层网络层数据链路层物理层物理层数据链路层网络层应用层表示层会话层传输层网络层数据链路层物理层外部网络主机机内部网络主机机分组过滤型防防火墙一个分组过滤滤型防火墙通通常能根据IP分组的以下各各项过滤：源IP地址目标IP地址址TCP/UDP源端口TCP/UDP目标端口口协议类型防火墙技术内内容－分组过滤(cont.)防火墙技术内内容－分组过滤(cont.)分组过滤防火火墙应用示例例优点：透明的防火墙墙系统高速的网络性性能易于配置支持网络内部部隐藏防火墙技术内内容－分组过滤(cont.)缺点：易于IP地址假冒记录日志信息息不充分源路由攻击设计和配置一一个真正安全全的分组过滤滤规则比较困困难分组过过滤防防火墙墙并不不能过过滤所所有的的协议议极小分分片设设数据据包攻攻击无法防防止数数据驱驱动式式攻击击防火墙墙技术术内容容－分组过过滤(cont.)防火墙墙技术术内容容－应用代代理应用层层表示层层会话层层传输层层网络层层数据链链路层层物理层层物理层层数据链链路层层网络层层应用层层表示层层会话层层传输层层网络层层数据链链路层层物理层层外部网网络主主机内部网网络主主机应用代代理型型防火火墙应用层层表示层层会话层层传输层层防火墙墙技术术内容容－应用代代理(cont.)外部Telnet服务器器内部Telnet服务器器日志系系统Telnet代理FTP代理认证系系统应用网网关一个Telnet代代理的的例子子一个Telnet应应用代代理的的过程程用户首首先Telnet到到应用用网关关主机机，并并输入入内部部目标标主机机的名名字（（域名名、IP地址））应用网网关检检查用用户的的源IP地地址等等，并并根据据事先先设定定的访访问规规则来来决定定是否否转发发或拒拒绝然后用用户必必须进进行是是否验验证（（如一一次一一密等等高级级认证证设备备）应用网网关中中的代代理服服务器器为用用户建建立在在网关关与内内部主主机之之间的的Telnet连接接代理服服务器器在两两个连连接（（用户户/应应用网网关，，代理理服务务器/内部部主机机）之之间传传送数数据应用网网关对对本次次连接接进行行日志志记录录防火墙墙技术术内容容－应用代代理(cont.)优点：：在网络络连接接建立立之前前可以以对用用户身身份进进行认认证所有通通过防防火墙墙的信信息流流可以以被记记录下下来易于配配置支持内内部网网络的的信息息隐藏藏与分组组过滤滤规则则相比比简单单易于控控制和和管理理防火墙墙技术术内容容－应用代代理(cont.)缺点：：对每种种类型型的服服务都都需要要一个个代理理网络性性能不不高防火墙墙对用用户不不透明明客户应应用可可能需需要修修改需要多多个防防火墙墙主机机防火墙墙技术术内容容－应用代代理(cont.)防火墙墙体系系结构构分组过过滤防防火墙墙结构构分组过过滤＋＋应用用网关关（I）分组过过滤＋＋应用用网关关（II））屏蔽子子网防防火墙墙结构构分组过过滤防防火墙墙适合于于较小小的、、简单单的系系统如规则则复杂杂，则则难于于管理理分组过过滤＋＋应用用网关关（I）简化路路由配配置加强隐隐私双重保保护花费高高一些些只有网关上上的代理服服务支持的的应用才能能通过分组过滤＋＋应用网关关（II））路由器过滤滤应用网关关不支持的的危险协议议应用网关仅仅需一个网网络接口，，不要求在在应用网关关与路由器器之间有一一个分离的的子网路由器允许许转发可信信服务到网网关周围和和直接到内内部网络分组过滤＋＋应用网关关（II））也叫屏蔽主主机防火墙墙结构，屏屏蔽路由器器使用分组组过滤技术术，堡垒主主机运行应应用网关程程序，为内内部主机提提供代理服服务。路由过滤器器根据以下下规则来路路由内外部部通信路由从Internet外部部访问应用用网关的通通信拒绝来自任任何Internet外部的的其它访问问拒绝路由任任何内部网网络访问Internet外外部的请求求，除非来来自内部的的应用代理理。适于需要灵灵活性的网网络，但安安全性降低低。屏蔽子网防防火墙结构构适于通信量量很大或高高速网络通通信的内部部网络强化安全，，但配置较较为复杂屏蔽子网防防火墙结构构(cont.)屏蔽子网防防火墙结构构(cont.)防火墙实现现策略(cont.)对防火墙系系统而言，，共有两层层网络安全全策略：网络服务访访问策略：：是高层策策略，定义义了受保护护网络明确确允许和明明确拒绝的的网络服务务，分析网网络服务的的可用性（（包括可用用条件）、、风险性等等。防火墙设计计策略：是是低层策略略，描述了了防火墙如如何根据高高层的网络络服务访问问策略中定定义的策略略来具体地地限制访问问和过滤服服务。网络服务访访问策略不允许外部部网络或Internet访访问内部网网络，但允允许内部网网络访问外外部网络或或Internet。允许外部网网络或Internet访问问部分内部部网络，这这些特定的的网络服务务是经过严严格选择和和控制的，，如一些信信息服务器器、电子邮邮件服务器器或域名服服务器等等等。防火墙实现现策略(cont.)防火墙设计计策略防火墙设计计策略必须须针对具体体的防火墙墙，它定义义过滤规则则等，以实实现高层的的网络服务务策略。这这个策略在在设计时必必须考虑到到防火墙本本身的性能能、限制及及具体协议议如TCP/IP。。常用的两两种基本防防火墙设计计策略是：：允许所有除除明确拒绝绝之外的通通信或服务务（很少考考虑，因为为这样的防防火墙可能能带来许多多风险和安安全问题。。攻击者完完全可以使使用一种拒拒绝策略中中没有定义义的服务而而被允许并并攻击网络络）拒绝所有除除明确允许许之外的通通信或服务务（常用，，但操作困困难，并有有可能拒绝绝网络用户户的正常需需求与合法法服务）防火墙实现现策略(cont.)作为一个安安全策略的的设计者，，应懂得以以下问题的的要点：哪些Internet服务是是本网络系系统打算使使用或提供供的？（如如TELNET、FTP、HTTP））这些Internet服务在在哪或哪个个范围内使使用？（如如在本地网网内、整个个Internet或拨号服服务等）可能有哪些些额外或临临时的服务务或需求？？（如加密密、拨入服服务等）提供这些服服务和访问问有哪些风风险和总的的花费？防火墙实现现策略(cont.)对防火墙技技术与产品品发展的介介绍防火墙技术术是建立在在现代通信信网络技术术和信息安安全技术基础上的的应用性安安全技术，，越来越多多地应用于于专用网络与公用用网络的互互联环境之之中，尤其其以接入Internet网网络为最甚甚。Internet的的迅猛发展展，使得防防火墙产品品在短短的的几年内异异军突起，，很快形成成了一个产产业：据不不完全统计计，在国际际上防火墙墙产品销售售从1995年的不不到1万套套，猛增增到1997年底的的10万套套。据国际权威威商业调查查机构的预预测,防火火墙市场将将以173％的复合合增长率增增长，到2000年年将达150万套，，市场营业业额将从1995年年的1.6亿美元上上升到2000年的的9.8亿亿美元。防火墙发展展历程第一阶段：：基于路由由器的防火火墙第二阶段：：用户化的的防火墙工工具套第三阶段：：建立在通通用操作系系统上的防防火墙第四阶段：：具有安全全操作系统统的防火墙墙对防火墙技技术与产品品发展的介介绍(cont.)第一代防火火墙产品的的特点是：：利用路由器器本身对分分组的解析析,以访问问控制表（（accesslist））方式实现现对分组的的过滤；过滤判决的的依据可以以是：地址址、端口号号、IP旗旗标及其它它网络特征；；只有分组过过滤的功能能，且防火火墙与路由由器是一体体的，对安全要求低低的网络可可采用路由由器附带防防火墙功能能的方法，，对安全性要要求高的网网络则可单单独利用一一台路由器器作防火墙墙。第一阶段：：基于路由由器的防火火墙第一阶段：：基于路由由器的防火火墙(cont.)第一代防火火墙产品的的不足之处处为：路由协议十十分灵活，，本身具有有安全漏洞洞，外部网网络要探寻寻内部网络络十分容易易。路由器上的的分组过滤滤规则的设设置和配置置存在安全全隐患。攻击者可以以“假冒””地址，由由于信息在在网络上是是以明文传传送的，黑黑客可以在在网络上伪伪造假的路路由信息欺欺骗防火墙墙。防火墙的规规则设置会会大大降低低路由器的的性能。第二阶段：：用户化的的防火墙工工具套作为第二代代防火墙产产品，用户户化的防火火墙工具套具有以以下特征：：将过滤功能能从路由器器中独立出出来，并加加上审计和和告警功能能；针对用户需需求，提供供模块化的的软件包；；软件可通过过网络发送送，用户可可根据需要要构造防火火墙；与第一代防防火墙相比比，安全性性提高了，，价格降低低了。第二阶段段：用户户化的防防火墙工工具套(cont.)不足之处处：配置和维维护过程程复杂、、费时；；对用户的的技术要要求高；；全软件实实现，安安全性和和处理速速度均有有局限；；实践表明明，使用用中出现现差错的的情况很很多。第三阶段段：建立立在通用用操作系系统上的的防火墙墙具有以下下特点：：是批量上上市的专专用防火火墙产品品；包括分组组过滤或或者借用用路由器器的分组组过滤功功能；装有专用用的代理理系统，，监控所所有协议议的数据据和指令令；保护用户户编程空空间和用用户可配配置内核核参数的的设置；；安全性和和速度大大为提高高。第三阶段段：建立立在通用用操作系系统上的的防火墙墙(cont.)存在的问问题：作为基础础的操作作系统及及其内核核往往不不为防火火墙管理理者所知知，由于于原码的的保密，，其安全全性无从从保证；；由于大多多数防火火墙厂商商并非通通用操作作系统的的厂商，，通用操操作系统统厂商不不会对操操作系统统的安全全性负责责；从本质上上看，第第三代防防火墙既既要防止止来自外外部网络络的攻击击，还要要防止来来自操作作系统厂厂商的攻攻击。用户必须须依赖两两方面的的安全支支持：一一是防火火墙厂商商、一是是操作系系统厂商商。第四阶段段：具有有安全操操作系统统的防火火墙具有以下下特点：：防火墙厂厂商具有有操作系系统的源源代码，，并可实实现安全全内核；；对安全内内核实现现加固处处理:即即去掉不不必要的的系统特特性，加加固内核核，强化化安全保保护；对每个服服务器、、子系统统都作了了安全处处理，一一旦黑客客攻破了了一个服服务器，，它将会会被隔离离在此服服务器内内，不会会对网络络的其它它部份构构成威胁胁；在功能上上包括了了分组过过滤、应应用网关关、电路路级网关关，且具具有加密密与鉴别别功能；；透明性好好，易于于使用。。第四代防防火墙的的主要技技术与功功能第四代防防火墙产产品将网网关与安安全系统统合二为为一，具具有以下下技术与与功能特特点：双端口或或三端口口的结构构透明的访访问方式式灵活的代代理系统统多级的过过滤技术术网络地址址转换技技术Internet网关关技术安全服务务器网络络（SSN）用户鉴别别与加密密用户定制制服务审计和告告警双端口或或三端口口的结构构新一代防防火墙产产品具有有两个或或三个独独立的的网卡，，内外两两个网卡卡可不作作IP转化而串串接于内内部网与与外部网网之间，，另一个个网卡可可专用于于对服务务器的安安全保护护。透明的访访问方式式以前的防防火墙在在访问方方式上要要么要求求用户作作系统登录录，要么么需要通通过SOCKS等库路径径修改客客户机的应应用。第第四代防防火墙利利用了透透明的代代理系统技术，，从而降降低了系系统登录录固有的的安全风风险和出错概率率。灵活的代代理系统统代理系统统是一种种将信息息从防火火墙的一一侧传送送到另一一侧的软软件模块块。第四四代防火火墙采用用了两种种代理机机制，一一种用于于代理从从内部网网络到外外部网络络的连接接，采用用网络地地址转换换(NAT)技术来解解决，另另一种用用于代理理从外部部网络到到内部网网络的连连接。采采用非保保密的用用户定制制代理或或保密的的代理系系统技术术来解决决。多级的过过滤技术术为保证系系统的安安全性和和防护水水平，第第四代防防火墙采采用了三三级过滤滤措施，，并辅以以鉴别手手段。在在分组过过滤一级级，能过过滤掉所所有的源源路由分分组和假假冒的IP源地址；；在应用用级网关关一级,能利用用FTP、SMTP等各种网网关，控控制和监监测Internet提供的所所有通用用服务；；在电路路网关一一级，实实现内部部主机与与外部站站点的透透明连接接，并对对服务的的通行实实行严格格控制。。网络地址转换换技术第四代防火墙墙利用NAT技术能透明地地对所有内部部地址作转换换，使外部网网络无法了解解内部网络的的内部结构，，同时允许内内部网络使用用自己编的IP地址和专用网网络，防火墙墙能详尽记录录每一个主机机的通信，确确保每个分组组送往正确的的地址。Internet网关技术安全服务器网网络（SSN）为适应越来越越多的用户向向Internet上提供服务时时对服务器保保护的需要,第四代防火火墙采用特别别保护的策略略对用户上网网的对外服务务器实施保护护，它利用一一张网卡将对对外服务器作作为一个独立立网络处理，，对外服务器器既是内部网网的一部份，，又与内部网网关完全隔离离。这就是安安全服务器网网络(SSN)技术，对SSN上的主机既可可单独管理，，也可设置成成通过FTP、Telnet等方式从内部部网上管理。。用户鉴别与加加密为了降低防火火墙产品在Telnet、FTP等服务和远程管理上上的安全风险险，鉴别功能能必不可少，，第四代防火墙墙采用一次性性使用的口令令字系统来作作为用户的鉴别别手段，并实实现了对邮件件的加密。用户定制服务务为满足特定用用户的特定需需求，第四代代防火墙在提供众多服服务的同时,还为用户定定制提供支持持，这类选项项有：通用TCP，出站UDP、FTP、SMTP等类,如果某某一用户需要要建立一个数数据库的代理理，便可利用用这些支持，，方便设置。。审计和告警第四代防火墙墙产品的审计计和告警功能能十分健全，日志文件件包括：一般般信息、内核核信息、核心心信息、接收邮邮件、邮件路路径、发送邮邮件、已收消消息、已发消息息、连接请求求、已鉴别的的访问、告警警条件、管理日日志、进站代代理、FTP代理、出站代代理、邮件服务务器、域名服服务器等。告告警功能会守守住每一个TCP或UDP探寻，并能以以发出邮件、、声响等多种方式式报警。第四代防火墙墙技术实现在第四代防火火墙产品的设设计与开发中中，关键在于于：安全内核代理系统多级过滤安全服务器鉴别与加密安全内核的实实现对安全操作系系统内核的固固化与改造主主要从以下几方面进行行：取消危险的系系统调用；限制命令的执执行权限；取消IP的转转发功能；检查每个分组组的接口；采用随机连接接序号；驻留分组过滤滤模块；取消动态路由由功能；采用多个安全全内核。代理系统的建建立在所有的连接接通过防火墙墙前，所有的的代理要检查已定义的的访问规则，，这些规则控控制代理的服服务并根据以下下内容处理分分组：源地址；目的地址；时间；同类服务的最最大数量。代理系统的建建立（cont.)所有外部网络络到防火墙内内部或SSN的连接由进站站代理处理，进站代代理要保证内内部主机能了了解外部主机机的所有信息，而外外部主机只能能看到防火墙墙之外或SSN的地址。所有从内部网网络或SSN通过防火墙与与外部网络建建立的连接由出站代代理处理，出出站代理必须须确保完全由由它代表内部网络与与外部地址相相连，防止内内部网址与外外部网址的直接连接接,同时还要要处理内部网网络到SSN的连接。分组过滤器的的设计分组过滤器包包括以下参数数:进站接口；出站接口；IP协议特征征；允许的连接；；源端口范围；；源地址；目的地址；目的端口的范范围等。安全服务器的的设计安全服务器的的设计有两个个要点：第一，所有SSN的流量都要隔隔离处理，即即从内部网和和外部网而来的的路由信息流流在机制上是是分离的；第二，SSN的作用类似于于两个网络，，它看上去象象是内部网，因为它它对外透明，，同时又象是是外部网络，，因为它从内部网络络对外访问的的方式十分有有限。安全服务器的的设计（cont.)SSN上的每一个服服务器都是隐隐蔽于Inter-net，SSN提供的服务务对外部网网络而言好好象防火墙的功能，，由于地址址转换已是是透明的,对各种网网络应用没有有限制。实现SSN的关键在于于：解决分组过过滤器与SSN的连连接；支持通过防防火墙对SSN的访访问；支持代理服服务。鉴别与加密密的考虑鉴别与加密密是防火墙墙识别用户户，验证访访问和保护护信息的有效手手段，鉴别别机制除了了提供安全全保护而外外，还有安全管理的的功能，目目前国外防防火墙产品品中广泛使使用令牌鉴别方式，，具体方法法有两种，，一种是加加密卡（CryptoCard）；另一种种是SecureID，这两种都都是一次性性口令的生成工具具。对信息内容容的加密与与鉴别则涉涉及加密算算法和数字字签名技术，除除PEM、PGP和Kerberos外，目前国国外防火墙墙产品中尚没没有更好的的机制出现现，由于加加密算法涉涉及国家信息安全全和主权，，各国有不不同的要求求。第四代防火火墙的抗攻攻击能力作为一种安安全防护设设备，防火火墙在网络络中自然是是众多攻击击者的目标标，故抗攻攻击能力也也是防火墙墙的必备功功能，在Internet环境中针对防防火墙的攻击击方法主要有有：抗IP假冒攻击抗特洛伊木马马攻击抗口令字探寻寻攻击抗网络安全性性分析抗邮件诈骗攻攻击抗IP假冒攻攻击IP假冒是指指一个非法的的主机假冒内内部的主机地地址，骗取服服务器的“信信任”，从而而达到对网络络的攻击目的的。由于第四四代防火墙知知道网络内外外的IP地址址，它会丢弃弃所有来自网网络外部但却却有内部地址址的分组，再再之防火墙已已将网内的实实际地址隐蔽蔽起来，外部部用户很难知知道内部的IP地址，因因而难以攻击击。第四代防火墙墙的抗攻击能能力(cont.)抗特洛伊木马马攻击特洛伊木马能能将病毒或破破坏性程序传传入计算机网网络，且通常常是将这些恶恶意程序隐蔽蔽在正常的程程序，尤其是是热门程序或或游戏之中，，一些用户下下载并执行这这一程序，其其中的病毒便便会发作。第第四代防火墙墙是建立在安安全的操作系系统之上的，，其安全内核核中不能执行行下载的程序序，故而可防防止特洛伊木木马的发生。。必须指出的的是，防火墙墙能抗特洛伊伊木马的攻击击并不表明受受其保护的某某个主机也能能防止这类攻攻击。事实上上，内部用户户可通过防火火墙下载程序序，并执行下下载的程序。。第四代防火墙墙的抗攻击能能力(cont.)抗口令字探寻寻攻击在网络中探寻寻口令字的方方法很多，最最常见的是口口令字嗅探和和口令字解密密。嗅探是通通过监测网络络通信，截获获用户传给服服务器的口令令字，记录下下来，以便使使用；解密是是指采用强力力攻击、猜测测或截获含有有加密口令字字的文件，并并设法解密。。此外，攻击击者还常常利利用一些常用用口令字直接接登录。第四代防火墙墙采用了一次次性口令字和和禁止直接登登录防火墙的的措施，能有有效防止对口口令字的攻击击。第四代防火墙墙的抗攻击能能力(cont.)抗网络安全性性分析网络安全性分分析工具本是是供管理人员员分析网络安安全性之用的的，一旦这类类工具用作攻攻击网络的手手段，则能较较方便地探测测到内部网络络的安全缺陷陷和弱点所在在，目前，SATAN软软件可以从网网上免费获得得，InternetScanner可从从市面上购买买，这些分析析工具给网络络安全构成了了直接威胁。。第四代防火火墙采用了地地址转换技术术，将内部网网络隐蔽起来来，使网络安安全分析工具具无法从外部部对内部网作作分析。第四代防火墙墙的抗攻击能能力(cont.)抗邮件诈骗攻攻击邮件诈骗也是是越来越突出出的攻击方式式，第四代防防火墙不接收收任何邮件，，故难以采用用这种方式对对它攻击，同同样值得一提提的是，防火火墙不接受邮邮件，并不表表示它不让邮邮件通过，实实际上用户仍仍可收发邮件件，内部用户户要防邮件诈诈骗，最终的的解决办法是是对邮件加密密。第四代防火墙墙的抗攻击能能力(cont.)对防火墙技术术的展望：几点趋势防火墙将从目目前对子网或或内部网管理理的方式向远远程上网集中中管理的方式式发展；过滤深度不断断加强,从目目前的地址、、服务过滤，，发展到URL（页面）过滤滤，关键字过过滤和对ActiveX、Java等的过滤，并并逐渐有病毒毒扫除功能。。单向防火墙（（又叫网络二二极管）将作作为一种产品品门类而出现现；利用防火墙建建立专用网(VPN)是较长一段段时间的用户户使用的主流流，IP的加密需求越越来越强，安安全协议的开开发是一大热热点；对网络攻击的的检测和告警警将成为防火火墙的重要功功能；安全管理工具具不断完善，，特别是可疑疑活动的日志志分析工具等等将成为防火火墙产品中的的一部分。对防火墙技术术的展望：几点趋势(cont.)对防火墙技术术的展望：需求的变化根据上述趋势势，人们选择择防火墙的标标准将集中在以下几个个方面：易于管理性；；应用透明性；；鉴别与加密功功能；操作环境和硬硬件要求；VPN的功能能与CA的功功能；接口的数量；；成本。LinuxIP防火墙墙及其原理简简介常见防火墙的的配置模式常见防火墙的的基本工作总总结Internet/公网内部网路由器NEsec300FW2035968?告警内网接口外网接口电源控制台服务器服务器服务