防火墻的體系結(jié)構(gòu)及原理(正式版)

1、濱江學(xué)院論文 學(xué)年學(xué)期 2014-2015學(xué)年第二學(xué)期 課程名稱 網(wǎng) 絡(luò) 安 全 院 系 計(jì)算機(jī)系專 業(yè) 網(wǎng)絡(luò)工程指導(dǎo)教師 朱節(jié)中 姓 名 學(xué) 號(hào) 二一五 年 六 月 十五 日防火墻的體系結(jié)構(gòu)及原理姓名南京信息工程大學(xué)濱江學(xué)院計(jì)算機(jī)系，江蘇 南京 內(nèi) 容 摘 要我們都知道計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。防火墻是一種廣泛使用的網(wǎng)絡(luò)安全技術(shù)，其核心思想是在不安全的網(wǎng)際中網(wǎng)絡(luò)環(huán)境中構(gòu)造相對(duì)安全的子網(wǎng)環(huán)境防火墻是實(shí)

2、施網(wǎng)絡(luò)安全控制得一種必要技術(shù)。本文介紹了防火墻的概念和他們的優(yōu)缺點(diǎn)，研究防火墻技術(shù)的功能作用，討論了信息安全的現(xiàn)狀中分析了我國(guó)信息安全管理的現(xiàn)狀，以及存在的問題，現(xiàn)階段對(duì)問提提出的對(duì)策，防火墻的結(jié)構(gòu)體系，以及討論防火墻技術(shù)與現(xiàn)有網(wǎng)絡(luò)的關(guān)系。關(guān)鍵詞：結(jié)構(gòu)體系，防火墻技術(shù)，安全現(xiàn)狀 digestwe all know the rapid development of computer network technology, especially the application of the Internet becomes more and more widely, have brought th

3、e unprecedented in the mass information at the same time, the network of openness and freedom also produced a private information and data were damaged or the possibility of infringement, information of the network security becomes more and more important up, has been information all aspects of soci

4、al value. A firewall is a widely used network security technology, its core thought is not safe in the network environment in the relative safety of tectonic environment is a firewall subnet implementing network security control to a necessary technology. This paper introduces the concept of the fir

5、ewall and their advantages and disadvantages, and study the function of their firewall technology, discussed the present situation of information security in China is analyzed in the present situation of information security management, as well as the problems and to carry forward at ask countermeas

6、ures, firewall structure system, and discuss with existing network firewall technology of the relationship keywords: structure system, firewall technology, safety situation1 防火墻的概念我們所說的防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)絡(luò)（

7、Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。 在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無(wú)法訪問Internet

8、，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。2防火墻的作用及功能作用：防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。功能：防火墻的功能防火墻的建立是為了防止內(nèi)部網(wǎng)絡(luò)免受來自網(wǎng)絡(luò)以外的干擾、破壞，其主要功能有：（1）訪問控制功能。（2）內(nèi)容控制功能。（3）全面的日志功能。（4）集中管理功能。（5）自身的安全和可用性。（6）其他安全控制，各組織機(jī)構(gòu)可以根據(jù)本單位的特殊要求來配置防火墻系統(tǒng)，從而實(shí)現(xiàn)其他安全控制。3防火墻的實(shí)現(xiàn)技術(shù)原理防火墻技術(shù)就

9、是通過在Internet與本地子網(wǎng)之間建立一個(gè)信息傳輸控制檢查的管理屏障,保護(hù)本地子網(wǎng)免受外部Internet網(wǎng)絡(luò)用戶的攻擊和本地子網(wǎng)私有信息的外泄。從技術(shù)角度上講,防火墻是單個(gè)或一群用于加強(qiáng)Internet與本地子網(wǎng)到Internet的信息傳輸?shù)臋z查與控制,僅允許系統(tǒng)授權(quán)訪問的信息通過。從實(shí)現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級(jí)防火墻（也叫包過濾型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長(zhǎng)，具體使用哪一種或是否混合使用，要看具體需要。4防火墻體系架構(gòu)4.1、包過濾防火墻 圖(8)包過濾型防火墻，往往可以用一臺(tái)過濾路由器(Screened Router)來實(shí)現(xiàn)，對(duì)所

10、接收的每個(gè)數(shù)據(jù)包做允許/拒絕的決定包過濾型防火墻一般作用在網(wǎng)絡(luò)層，故也稱網(wǎng)絡(luò)層防火墻或IP過濾器圖(9)路由器審查每個(gè)數(shù)據(jù)包，確定其是否與某一條包過濾規(guī)則匹配過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息，包頭信息中包括：源IP地址、目標(biāo)IP地址協(xié)議類型(TCP、UDP、ICMP等等)TCP/UDP源端口、目標(biāo)端口ICMP消息類型TCP包頭中的ACK位等規(guī)則允許該數(shù)據(jù)包通過，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄如果沒有匹配規(guī)則，根據(jù)系統(tǒng)的設(shè)計(jì)策略(缺省禁止/缺省允許)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包如：阻塞所有進(jìn)入的Telnet連接路由器只需簡(jiǎn)單地丟棄所有TC

11、P端口號(hào)等于23的數(shù)據(jù)包將進(jìn)來的Telnet連接限制到內(nèi)部的數(shù)臺(tái)機(jī)器上TCP端口號(hào)等于23并且目標(biāo)IP地址不等于允許主機(jī)的IP地址的數(shù)據(jù)包 優(yōu)點(diǎn)：處理數(shù)據(jù)包的速度比較快(與代理服務(wù)器相比)，實(shí)現(xiàn)包過濾幾乎不再需要費(fèi)用，包過濾路由器對(duì)用戶和應(yīng)用來講是透明的缺點(diǎn)：包過濾防火墻的維護(hù)比較困難，只能阻止一種類型的IP欺騙，任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用做數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)，一些包過濾路由器不支持有效的用戶認(rèn)證，因?yàn)镮P地址是可以偽造的，因此如果沒有基于用戶的認(rèn)證，僅通過IP地址來判斷是不安全的，不能提供有用的日志，或根本不提供日志，隨著過濾器數(shù)目的增加，路由器的吞吐量會(huì)下降，IP包過濾器可能

12、無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制應(yīng)用場(chǎng)合(1)機(jī)構(gòu)是非集中化管理(2)機(jī)構(gòu)沒有強(qiáng)大的集中安全策略(3)網(wǎng)絡(luò)的主機(jī)數(shù)非常少(4)主要依賴于主機(jī)安全來防止入侵，但是當(dāng)主機(jī)數(shù)增加到一定的程度的時(shí)候，僅靠主機(jī)安全是不夠的(5)沒有使用DHCP這樣的動(dòng)態(tài)IP地址分配協(xié)議4.2、雙宿/多宿主機(jī)防火墻雙穴主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩塊雙宿/多宿主機(jī)：有兩個(gè)或多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng)，可以連接多個(gè)網(wǎng)絡(luò)，實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)之間的訪問控制特點(diǎn)：IP層通信被阻止圖(10)上圖：網(wǎng)絡(luò)層路由功能未被禁止，數(shù)據(jù)包繞過防火墻兩個(gè)網(wǎng)絡(luò)之間的通信方式：應(yīng)用層數(shù)據(jù)共享，用戶直接登錄應(yīng)用層代理服務(wù)，在雙宿主機(jī)上運(yùn)行代理服務(wù)器用戶直接登錄的

13、不足：1、支持用戶賬號(hào)會(huì)降低機(jī)器本身的穩(wěn)定性和可靠性2、如果雙宿主機(jī)上有很多賬號(hào)，管理員維護(hù)困難優(yōu)點(diǎn):可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來，增強(qiáng)網(wǎng)絡(luò)的安全性,可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等缺點(diǎn):使訪問速度變慢,提供服務(wù)相對(duì)滯后,有些服務(wù)無(wú)法提供4.3、被屏蔽主機(jī)防火墻圖(11)專門設(shè)置一個(gè)過濾路由器，把所有外部到內(nèi)部的連接都路由到堡壘主機(jī)上，強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連，而不讓它們直接與內(nèi)部主機(jī)相連過濾路由器連接Internet和內(nèi)部網(wǎng)絡(luò)，它是內(nèi)部網(wǎng)絡(luò)的第一道防線過濾路由器需要進(jìn)行適當(dāng)?shù)呐渲茫顾械耐獠窟B接被路由到堡壘主機(jī)上過濾路由器的重要性：是否正確配置是這種防火墻安

14、全與否的關(guān)鍵過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，否則如果路由表遭到破壞，數(shù)據(jù)包就不會(huì)被路由到堡壘主機(jī)上，使堡壘主機(jī)被繞過堡壘主機(jī)(Bastion Host)位于內(nèi)部網(wǎng)絡(luò)，是一臺(tái)安全性很高的主機(jī)，其上沒有任何入侵者可以利用的工具，不能作為黑客進(jìn)一步入侵的基地堡壘主機(jī)上一般安裝的是代理服務(wù)器程序，即外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的時(shí)候，首先經(jīng)過外部路由器的過濾，然后通過代理服務(wù)器代理后才能進(jìn)入內(nèi)部網(wǎng)絡(luò)堡壘主機(jī)在應(yīng)用層對(duì)客戶的請(qǐng)求做判斷，允許或禁止某種服務(wù)。如果該請(qǐng)求被允許，堡壘主機(jī)就把數(shù)據(jù)包發(fā)送到某一內(nèi)部主機(jī)或屏蔽路由器上，否則拋棄該數(shù)據(jù)包對(duì)于入站連接，根據(jù)安全策略，屏蔽路由器可以：允許某種服務(wù)的數(shù)據(jù)包先

15、到達(dá)堡壘主機(jī)，然后與內(nèi)部主機(jī)連接，直接禁止某種服務(wù)的數(shù)據(jù)包入站連接對(duì)于出站連接，根據(jù)安全策略：對(duì)于一些服務(wù)(Telnet)，可以允許它直接通過屏蔽路由器連接到外部網(wǎng)絡(luò)，而不通過堡壘主機(jī)，其它服務(wù)(WWW和SMTP等)，必須經(jīng)過堡壘主機(jī)才能連接到Internet，并在堡壘主機(jī)上運(yùn)行該服務(wù)的代理服務(wù)器屏蔽主機(jī)防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的過程 圖(12)與包過濾型防火墻的比較：其提供的安全等級(jí)比包過濾防火墻系統(tǒng)要高，實(shí)現(xiàn)了網(wǎng)絡(luò)層安全(包過濾)和應(yīng)用層安全(代理服務(wù))，入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)，即使入侵者進(jìn)入了內(nèi)部網(wǎng)絡(luò)，也必須和堡壘主機(jī)競(jìng)爭(zhēng)，堡壘主機(jī)是一臺(tái)安全性很高的主機(jī)

16、路由器不被正常路由的例子：正常路由情況：內(nèi)部網(wǎng)絡(luò)地址：，堡壘主機(jī)地址：，路由表內(nèi)容，所有流量發(fā)到堡壘主機(jī)上圖(13)路由表被破壞的情況：堡壘主機(jī)的路由項(xiàng)目被從路由表中刪除，進(jìn)入屏蔽路由器的流量不會(huì)被轉(zhuǎn)發(fā)到堡壘主機(jī)上，可能被轉(zhuǎn)發(fā)到另一主機(jī)上，外部主機(jī)直接訪問了內(nèi)部主機(jī)，繞過了防火墻，過濾路由器成為唯一一道防線，入侵者很容易突破屏蔽路由器，內(nèi)部網(wǎng)絡(luò)不再安全。圖(14)本質(zhì)上同屏蔽主機(jī)防火墻一樣，但增加了一層保護(hù)體系周邊網(wǎng)絡(luò)(DMZ)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部屏蔽路由器分開圖(15)4.4、被屏蔽子網(wǎng)(ScreenedSub

17、net)被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)DNS，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為惟一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個(gè)網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時(shí)又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問它，則攻擊會(huì)變得很困難。在這種情況下，攻擊者得