计算机网络安全管理作业-防火墙技术

计算机网络安全作业

——防火墙技术防火墙技术简要回答防火墙的定义和发展简史。设置防火墙目的是什么？防火墙的功能和局限性各有哪些？简述防火墙的发展动态和趋势。试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别？试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别？防火墙的主要技术及实现方式有哪些？防火墙的常见体系结构有哪几种？屏蔽路由器防火墙和屏蔽主机网关防火墙各如何实现？一、防火墙的定义和发展简史

防火墙的定义防火墙：一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。

发展简史第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。下图表示了防火墙技术的简单发展历史。第二、三代防火墙1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第四代防火墙1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的第四代防火墙，后来演变为目前所说的状态监视（Statefulinspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代防火墙1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。一体化安全网关UTMUTM统一威胁管理，在防火墙基础上发展起来的，具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能，因此主要用于对性能要求不高的中低端领域。在中低端领域，UTM已经出现了代替防火墙的趋势，因为在不开启附加功能的情况下，UTM本身就是一个防火墙，而附加功能又为用户的应用提供了更多选择。在高端应用领域，比如电信、金融等行业，仍然以专用的高性能防火墙、IPS为主流。二、设置防火墙的目的、防火墙的功能和局限性

设置防火墙的目的（1）强化安全策略。（2）有效地记录Internet上的活动。（3）限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。防火墙的功能应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤基本功能（1）基本功能（2）防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。Internet防火墙可以作为部署NAT(NetworkAddressTranslator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。防火墙局限性（1）防火墙不能防范不通过它的连接如果网络具有其他联接方式，比如一台WindowsPC使用一台调制解调器通过ISP联到Internet上，因为连接不经过防火墙，因此绕过了防火墙提供的安全控制。（2）防火墙不能防备全部的威胁防火墙不能防止许多常见的Internet问题，如病毒和特洛伊木马。

三、防火墙的发展动态和趋势（1）优良的性能（2）可扩展的结构和功能（3）简化的安装与管理（4）主动过滤（5）防病毒与防黑客四、包过滤防火墙的原理及特点静态包过滤和动态包过滤的区别包过滤防火墙的原理简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱包过滤操作流程图包过滤防火墙的特点

包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差；数据包工具存在很多局限性。

包过滤防火墙具有根本的缺陷：

1．不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些IP是可信网络，哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源IP包改成合法IP即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行IP地址欺骗。

2．不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用HTTP协议），不允许去外网下载电影（一般使用FTP协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。

3．不能处理新的安全威胁。它不能跟踪TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。

综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。

静态包过滤和动态包过滤的区别静态包过滤：一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员可以修改，是静态存在的，称为静态规则，利用静态包过滤规则建立的防火墙叫做静态包过滤防火墙。动态包过滤：这种防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态的在过滤规则中增加或更新条目。五、代理防火墙的原理及特点

应用层网关和电路层网关的区别代理防火墙的原理代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终端代理服务器上的“链接”来实现。外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。

代理防火墙的特点代理技术的优点（1）代理易于配置（2）代理能生成各项记录（3）代理能灵活、完全地控制进出流量、内容（4）代理能过滤数据内容（5）代理能为用户提供透明的加密机制（6）代理可以方便地与其他安全手段集成

代理技术的缺点（1）代理速度较路由器慢（2）代理对用户不透明（3）对于每项服务代理可能要求不同的服务器（4）代理服务不能保证免受所有协议弱点的限制（5）代理不能改进底层协议的安全性

应用层网关和电路层网关的区别应用层网关型防火墙主要保存Internet上那些最常用和最近访问过的内容：在Web上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。为用户提供了更快的访问速度，并且提高了网络安全性。应用层网关防火墙最突出的优点就是安全，缺点就是速度相对比较慢。电路层网关防火墙在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包。电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。

六、防火墙的主要技术及实现方式先进的防火墙产品将网关与安全系统合二为一，具有以下技术与功能。双端口或三端口的结构新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。透明的访问方式以前的防火墙在访问方式上要么要求用户作系统登录，要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。灵活的代理系统代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换（NAT）技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。

多级的过滤技术为保证系统的安全性和防护水平，新一代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。网络地址转换技术（NAT）新一代防火墙利用NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。NAT的另一个显而易见的用途是解决IP地址匮乏问题。Internet网关技术由于是直接串连在网络之中，新一代防火墙必须支持用户在Internet互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、Finger、mail、Ident、News、WWW等）来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用"改变根系统调用（chroot）"作物理上的隔离。在域名服务方面，新一代防火墙采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部份DNS信息。在匿名FTP方面，服务器只提供对有限的受保护的部份目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行，在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境，Ident服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。七、防火墙的常见体系结构有四种常用的防火墙设计,每一个都提供了一个确定的安全级别。这四个选择是:

1．屏蔽路由器2．双穴主机网关3．屏蔽主机网关4．被屏蔽子网屏蔽路由器是防火墙的基本构件；双穴主机网关是在一台主机上配置了两块网卡，分别与内外网络相连接；屏蔽主机网关由一个路由连接外部网络，同时一个堡垒主机安装在内部网络上；被屏蔽子网方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开；多重防火墙组合就是在内外网络之间设置一个周边网络，它只是一个小的单段网络，是外部世界和内部网络之间的安全缓冲区。不同的防火墙体系结构具有不同的优缺点。

八、屏蔽路由器防火墙和屏蔽主机网关防火墙各如何实现？屏蔽路由器屏蔽路由器(screeningrouter)被认为是出色的首道防线屏蔽路由器的选择是最简