防火墙工作原理及应用

4.1防火墙概述防火墙的概念防火墙的功能防火墙的历史防火墙的原理防火墙的分类防火墙的组成及位置防火墙的局限性防火墙的发展趋势信息安全技术与应用目前一页\总数五十四页\编于二十点防火墙的概念防火墙（firewall）这个术语来自建筑结构的安全技术。在网络系统中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术，起到内部网与Internet之间的一道防御屏障。信息安全技术与应用目前二页\总数五十四页\编于二十点网络防火墙信息安全技术与应用目前三页\总数五十四页\编于二十点防火墙的功能访问控制防止外部攻击进行网络地址转换提供日志与报警对用户身份认证信息安全技术与应用目前四页\总数五十四页\编于二十点防火墙的历史最早的防火墙技术几乎与路由器同时出现，采用了分组过滤（packetfilter）技术；1989年，贝尔实验室的Dave.Presotto和Howard.Trickey推出了第2代防火墙，即电路级防火墙，同时提出了第3代防火墙——应用层防火墙（代理防火墙）的初步结构；1992年，南加洲大学（UniversityofSouthernCalifornia，USC）信息科学院的Bob.Braden开发出了基于动态分组过滤（dynamicpacketfilter）技术的第4代防火墙，后来演变为状态监视（statefulinspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。1998年，美国的网络联盟公司（networkassociatesinc，NAI）推出了一种自适应代理（adaptiveproxy）技术，并在其产品GauntletFirewallforNT中实现，给代理类型的防火墙赋予了全新的意义，可以称之为第5代防火墙。信息安全技术与应用目前五页\总数五十四页\编于二十点防火墙的原理防火墙的主要目的是为了隔离外部网（Internet）和内部网（Extranet），以保护网络的安全；从TCP/IP参考模型的网络结构来看，防火墙是建立在不同分层结构上的、具有一定安全级别和执行效率的安全通信技术；按照网络分层结构的实现思想，若防火墙所采用的通信协议栈其层次越低，所能检测到的通信资源越少，其安全级别也就越低，但其执行效率却较好。反之，如果防火墙所采用的通信协议栈其层次越高，所能检测到的通信资源越多，其安全级别也就越高，但其执行效率却较差。信息安全技术与应用目前六页\总数五十四页\编于二十点防火墙分类实现技术方式从实现技术方式的不同，防火墙可分为“分组过滤型”防火墙和“应用代理型”防火墙两大体系。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以NAI公司的Gauntlet防火墙为代表。应用对象的不同分为企业级防火墙与个人防火墙；实现形态上的不同分为软件防火墙、硬件防火墙和芯片级放火墙。信息安全技术与应用目前七页\总数五十四页\编于二十点防火墙的组成及位置组成可以由一台路由器、一台PC或者一台主机构成，也可以是由多台主机构成的体系；位置一般将防火墙放置在网络的边界；有时在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护；信息安全技术与应用目前八页\总数五十四页\编于二十点防火墙的局限性防火墙不能防范不经过防火墙的攻击；防火墙不能防止来自内部的攻击。防火墙只能按照对其配置的规则进行有效的工作，一个过于随意的规则可能会减弱防火墙的功效；防火墙不能防止感染了病毒的软件或文件的传输；防火墙不能修复脆弱的管理措施或者设计有问题的安全策略；防火墙可以阻断攻击，但不能消灭攻击源；防火墙不能抵抗最新的未设置策略的攻击漏洞；防火墙的并发连接数限制容易导致拥塞或者溢出；防火墙对服务器合法开放的端口的攻击大多无法阻止；防火墙本身也会出现问题和受到攻击；信息安全技术与应用目前九页\总数五十四页\编于二十点防火墙的发展趋势设计新的防火墙的技术架构是未来发展方向。采用数据加密技术的，使安全地合法访问。混合使用分组过滤技术、代理服务技术和其他的一些新技术。新的IP协议IPv6的应用将对防火墙的建立与运行产生深刻的影响。分布式防火墙。信息安全技术与应用目前十页\总数五十四页\编于二十点4.2防火墙技术分组过滤技术代理服务器技术应用网关技术电路级网关技术状态监测技术网络地址转换技术信息安全技术与应用目前十一页\总数五十四页\编于二十点分组过滤技术分组过滤（packetfilter）是所有防火墙中最核心的功能，进行分组过滤的标准是根据安全策略制定的；分组过滤型防火墙工作在TCP/IP网络参考模型的网络层和传输层；信息安全技术与应用目前十二页\总数五十四页\编于二十点分组过滤技术分组过滤原理分组过滤通常安装在路由器上，并且大多数商用路由器都提供了分组过滤的功能。分组过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。通常情况下靠网络管理员在防火墙设备的ACL中设定。信息安全技术与应用目前十三页\总数五十四页\编于二十点分组过滤技术分组过滤技术的特点因为CPU用来处理分组过滤的时间相对很少，且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。因为分组过滤技术不保留前后连接信息，所以很容易实现允许或禁止访问。因为分组过滤技术是在TCP/IP层实现的，所以分组过滤的一个很大的弱点是不能在应用层级别上进行过滤，所以防护方式比较单一。信息安全技术与应用目前十四页\总数五十四页\编于二十点分组过滤技术发展阶段第一代静态分组过滤类型防火墙第二代动态分组过滤类型防火墙动态分组过滤（dynamicpacketfilter）也叫状态分组检查（statefulpacketinspection，SPI）或者有状态分组过滤；信息安全技术与应用目前十五页\总数五十四页\编于二十点代理服务器技术早先代理服务器用于将常用的页面存储在缓冲区中，以便提高网络通信的速度。后来代理服务器逐渐发展为能够提供强大安全功能的一种技术。代理服务器防火墙作用在应用层，针对每一个特定应用都有一个程序，通过代理可以实现比分组过滤更严格的安全策略。信息安全技术与应用目前十六页\总数五十四页\编于二十点应用级网关技术应用级网关（applicationgateway）型防火墙主要工作在OSI参考模型的最高层，即应用层;其特点是完全“隔离”了网络的通信，通过对每一种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用;信息安全技术与应用目前十七页\总数五十四页\编于二十点应用级网关技术工作原理应用网关接受内、外部网络的通信数据包，并根据自己的安全策略进行过滤，不符合安全协议的信息被拒绝或丢弃；通过自身（网关）复制传递数据，防止在内部网主机与Internet主机间直接建立联系；能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和审核；信息安全技术与应用目前十八页\总数五十四页\编于二十点电路级网关技术电路级网关也被称为线路级网关，它工作在会话层。它在两个主机首次建立TCP连接时创建一个电子屏障。工作原理电路级网关通过在TCP三次握手建立连接的过程中，监视两主机建立连接时的握手信息，检查双方的SYN、ASK和序列号是否合乎逻辑，来判断该请求的会话是否合法。一旦网关认为会话是合法的，就为双方建立连接，并维护一张合法会话连接表，当会话信息与表中的条目匹配时才允许数据通过，会话结束后，表中的条目就被删除；信息安全技术与应用目前十九页\总数五十四页\编于二十点电路级网关技术工作过程电路级网关依靠特定的逻辑来判断是否允许数据包通过，但其不允许内、外网的计算机直接建立连接，也就是不允许TCP端到端的连接，通常需要建立两个连接；其中一个连接是网关到内部主机，另一个是网关到外部主机；一旦两个连接被建立，网关只简单地进行数据中转；信息安全技术与应用目前二十页\总数五十四页\编于二十点状态检测技术状态检测防火墙是在有状态分组过滤防火墙基础上发展起来的一种新的防火墙技术，是分组过滤器和应用级网关的一种折中方案；既具有分组过滤防火墙的速度和灵活，也有应用网关防火墙的安全优点；信息安全技术与应用目前二十一页\总数五十四页\编于二十点状态监测技术状态检测防火墙工作原理状态检测技术首先由CheckPoint公司提出并实现；状态检测防火墙利用一个检测模块从网络层捕获数据包，并抽取与应用层状态有关的信息，并以此作为决定对该连接是接受还是拒绝依据；检测模块维护一个动态的状态信息表，当数据到达防火墙的接口时，防火墙判断数据包是不是一个已经存在的连接，如果是就对数据包进行特征检测，并依据策略是否允许通过，如果允许就转发到目的端口并记录日志，否则就丢弃；信息安全技术与应用目前二十二页\总数五十四页\编于二十点网络地址转换技术网络地址转换（NAT）技术是Internet网络应用中一项非常实用的技术，也就是说一种将一个IP地址域映射到另一个IP地址域的技术，从而为终端主机提供透明路由。

信息安全技术与应用目前二十三页\总数五十四页\编于二十点4.3防火墙体系结构目前，最常见的防火墙体系结构有以下4种。分组过滤路由器体系结构；双宿主主机体系结构；堡垒主机过滤体系结构；被屏蔽子网体系结构；信息安全技术与应用目前二十四页\总数五十四页\编于二十点相关术语堡垒主机“堡垒”一词来源于中世纪，得名于古代战争中用于防守的坚固堡垒，用于发现和抵御攻击者的进攻；在网络中堡垒主机（bastionhost）是经过加固，配置了安全防范措施，但没有IP转发功能的计算机，为网络之间的通信提供了一个阻塞点；在防火墙体系结构中，堡垒主机应该位于内部网的边缘，且高度暴露于外部网络用户面前；信息安全技术与应用目前二十五页\总数五十四页\编于二十点非军事区为了配置和管理方便，通常将内部网中需要向外部提供服务的服务器设置在单独的网段，这个网段被称为非军事区（demilitarizedzone，DMZ），也被称为停火区或周边网络。DMZ是防火墙的重要概念，在实际应用中经常用到。DMZ位于内部网之外，使用与内部网不同的网络号连接到防火墙，并对外提供公共服务。DMZ通过隔离内外网络，并为内、外网之间的通信起到缓冲作用。信息安全技术与应用目前二十六页\总数五十四页\编于二十点创建DMZ的方法使用三脚防火墙将DMZ置于公网和防火墙之间将DMZ置于防火墙之外，但不在公网和防火墙之间的通道上两个防火墙，一个DMZ“脏”DMZ信息安全技术与应用目前二十七页\总数五十四页\编于二十点三脚防火墙创建DMZ信息安全技术与应用目前二十八页\总数五十四页\编于二十点DMZ置于公网和防火墙之间信息安全技术与应用目前二十九页\总数五十四页\编于二十点DMZ置于防火墙之外

不在公网和防火墙之间的通道上信息安全技术与应用目前三十页\总数五十四页\编于二十点两个防火墙一个DMZ信息安全技术与应用目前三十一页\总数五十四页\编于二十点“脏”DMZ信息安全技术与应用目前三十二页\总数五十四页\编于二十点分组过滤路由器体系结构分组过滤路由器（packetfilteringrouter）又称屏蔽路由器（screeningrouter）或筛选路由器，是最简单、最常见的防火墙。工作模式分组过滤路由器通过在Internet和内部网之间放置一个路由器。在路由器上安装分组过滤软件，实现分组过滤功能。分组过滤路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。信息安全技术与应用目前三十三页\总数五十四页\编于二十点双宿主主机体系结构双宿主主机体系结构（dualhomedhost）又称双重宿主主机体系结构，是围绕双宿主的堡垒主机构筑的，其双宿主主机至少有两个网络接口。工作模式用一台装有两块网卡的堡垒主机做防火墙，两块网卡各自与内部网和Internet相连；内、外部网之间的通信必须经过堡垒主机；必须禁用路由选择功能，这样防火墙两边的网络才可以只与双宿主主机通信；内外网之间不能直接通信；信息安全技术与应用目前三十四页\总数五十四页\编于二十点双宿主主机体系结构优缺点优点网络结构简单，由于内、外网络之间没有直接的数据通信，网络较为安全；双宿主主机体系结构相对于分组过滤路由器来说，堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程管理日志；采用应用层代理机制，可以方便形成应用层的数据与信息过滤；由于存在内部用户账号，可以保证对外资源进行有效控制；信息安全技术与应用目前三十五页\总数五十四页\编于二十点堡垒主机过滤体系结构堡垒主机过滤（screenedhost）体系结构也称作屏蔽主机体系结构或者筛选主机体系结构，由一个单独屏蔽路由器和内部网络上的堡垒主机共同构筑防火墙，主要通过数据分组过滤技术实现内、外网的隔离和对内部网络的保护。信息安全技术与应用目前三十六页\总数五十四页\编于二十点堡垒主机过滤体系结构工作模式使用一个路由器把内部网和外部网隔离，其有两道防线，一道是屏蔽路由器，另一道是堡垒主机；屏蔽路由器位于网络的最边缘，负责与外网进行连接，并参与外网的的路由计算，仅提供路由和数据分组过滤功能，不提供任何服务，本身比较安全；堡垒主机安置在内部网络中，是内部网络系统连接到外部网络系统主机的唯一通道，同时也是外部用户访问内部网络资源必须经过的主机设备；内部用户只能通过应用层代理来访问外部网络，堡垒主机就成为外部用户唯一可以访问内部的主机；信息安全技术与应用目前三十七页\总数五十四页\编于二十点被屏蔽子网体系结构被屏蔽子网（screenedsubnet）体系结构也称为子网过滤体系结构或者筛选子网体系结构，是在堡垒主机过滤体系结构的基础上再加一个路由器，两个屏蔽路由器分别放在子网的两端，形成一个被称为周边网络或非军事区（DMZ）的子网，即在内部网络和外部网络之间建立一个被隔离的子网。信息安全技术与应用目前三十八页\总数五十四页\编于二十点组合体系结构构造防火墙时，针对不同问题可以采用多种技术的的组合。多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台外部路由器使用多个周边网络信息安全技术与应用目前三十九页\总数五十四页\编于二十点多堡垒主机信息安全技术与应用目前四十页\总数五十四页\编于二十点合并内部路由器与外部路由器信息安全技术与应用目前四十一页\总数五十四页\编于二十点合并堡垒主机与外部路由器信息安全技术与应用目前四十二页\总数五十四页\编于二十点合并堡垒主机与内部路由器信息安全技术与应用目前四十三页\总数五十四页\编于二十点使用多台外部路由器信息安全技术与应用目前四十四页\总数五十四页\编于二十点使用多个周边网络信息安全技术与应用目前四十五页\总数五十四页\编于二十点4.4防火墙选型与产品简介防火墙技术发展到现在，其争的焦点主要是在以下四个方面：防火墙的管理——网络安全的关键；防火墙的功能——防火墙应用的基础；防火墙的性能——提高网络传输效率的条件；防火墙的抗攻击能力——网络安全的保证；信息安全技术与应用目前四十六页\总数五十四页\编于二十点防火墙的安全策略一个有效的防火墙依赖于一个明确的、清楚的、全面的安全策略。设计安全系统时，首先应该考虑的是安全策略而不是防火墙；安全策略建立了全方位的防御体系来保护机构的信息资源。所有可能受到网络攻击的地方都必须以同样的安全级别加以保护；国际标准化组织（internationalstandardizationorganization，ISO）和国际电工委员会（internationalelectrotechnicalcommission，IEC）颁布的ISO17799是一套常用的策略及指导过程，从可以获得；信息安全技术与应用目前四十七页\总数五十四页\编于二十点防火墙的选型原则市场上防火墙的售价极为悬殊，从数万元到数十万元，甚至到百万元不等，各种防火墙的技术性能指标相差甚远；首先，应该明确选择防火墙目的是什么？哪些数据需要保护？想要如何操作这个系统；其次，想要达到什么安全等级的的监测和控制；第三，要考虑费用问题。安全性越高，实现越复杂，费用也相应的越高，费用与安全性的折中是不可避免。信息安全技术与应用目前四十八页\总数五十四页\编于二十点典型防火墙产品介绍CheckpointFireWall-1CheckPoint软件技术有限公司成立于1993年，国际总部在以色列的莱莫干（Ramant-gan）市，美国总部位于加利福尼亚州红木城（Redwood）；CheckPoint已经成为防火墙软件的代名词，它推出并持有专利的状态监测技术是网络安全性技术的事实标准CheckPoint的成名部分原因归功于它的安全性开放式平台（openplatformforsecurity，OPSEC）；FireWall-1是CheckPoint网络安全性产品线中最重要的产品，也是