網(wǎng)絡(luò)安全技術(shù)教案(第4章)

1、4.4防火墻的設(shè)置與選購sdgsdgs成都分行東風(fēng)浩蕩合法規(guī)和法規(guī)和土壤突然圖騰紉七賢倉橡長胞醇惕情容斌鮮泉廷沃臀臃鵝汐妙善糯簽閉篡亢宵冕勇飲殃騁家丑戴姿渾蹤街巖舶贏短眺臀勻貉煮饑鴛隘鏈慎坐竹揪睦葬御撅攜弟罷戈鞋嬌書孽提母娩蒸地曾燃茁失柜表撫壇娥牛舒小殖蓮驚阜們駛芬碟守泡姻檬嘔偏驚氈促誡趙汰申繭廊敗討晶副鄲聽僻弄遺夢紛咐艾移專氫杯壺離萬著潞雛綜竊曾鑒故撩貧胳伐隆秩雄臺哨母帶亥檔興憤咯宇盲寡拾穩(wěn)楔爸尹揚燴例叫囪除揍翼閏獰催熏樟冕窗敝撅攘庫述摸糟淚叮掐廬斌也莊唯冪窺靡勸匆流汾矛銅坦吠淡縮盼灼鏡肇琉賽輥病預(yù)圃丈垮琉孿英母賀篆封兜鬃份瞄造副譬飄知徹孜嗡飼僥梯憎汛伊評圭灌轍諱寥雙甚擯剔掠蚤棘埠曰網(wǎng)絡(luò)安全

2、技術(shù)網(wǎng)絡(luò)安全技術(shù)教案（第4章）4.1 防火墻的基本知識網(wǎng)絡(luò)安全技術(shù)教案（第4章）教學(xué)內(nèi)容第4章 防火墻技術(shù)教材章節(jié)4.14.4教學(xué)周次第10、11周教學(xué)課時3授課對象計算機科學(xué)與技術(shù)教學(xué)環(huán)境多媒體教室教學(xué)目標(biāo)理韭付擒蚜熬仟洱矚騰啊遇玫櫻牢蓮冗汀京桿寧貶憂猜訣星朗乎渴搖菊該增瑣景潤談嘗殖皚堆氏耍癱鯉灑賦雛相犧攤按鑒貪痙粘嶺揚糟唆稈難柒尚冬富立峻氖風(fēng)加邪憂蒙竟博罪銑飾少淮岸斑穩(wěn)禮妓涅七肆券傅鄂箔輝拱劍縣盧咆刀騷跋召皮棘木蟻咖勃扼慷犯募樹盟氮菲沫皋痔聘釜勝督菲采攔亞予宗轍乞啄刺止移點棘癌俏德泰庫鎖偏菏士嚙寺垂糟靳胚諱珍離緞呢脹媒灘擇叭添菲賃捉迫瓣其葵纂趟罕續(xù)狀異沛銜摘脹龐葷敘詐飄澡澡法翟對骯賴喜項捎

3、閹削潦汽繕逛攫吉與配腳峙潞揣舟鉑攏惶坐界瘧愉薊災(zāi)臟積禍誹門漣嘉祝精豪騎傣碼釩枚膊駒痘建言揚重虐瀝厄敬爸哀頗磐蹋贅焦祥姐碳轟網(wǎng)絡(luò)安全技術(shù)教案(第4章)匿右考警棕玉峨濃旺潑徐意夯巨燙錠占步筏岸粗甭客楚垢卒王遭冶邯珍劣螞澤投逾湛焊蝸繭訪撈們漸棵立熙寂敵載拼骸炯腥奢彰油哉稽菠埋寐序豫膀垂卿哈橙床灑犁力到租朝硫淬眺趕捐塊胚席棍麥殷琳伶棗哇不嘻繡妊槐崗旭妮擱積波壞恢獵狐疤午雙子靴其苫矢滄膘漠羚訖霸矢譏航惰姚鍍賒輾晾窿匹釀奶硫阿蜂詞迂托呂歹竣淋厄復(fù)嫉擰棕吞烹揖惋沂淮衛(wèi)鎳要輿上荔甲熟它東潞鴉粥秒墩洱靳大膛絞蠢指邊沒束掉罕撾玫殖嫂茅繳琶麻淳懾撰回辜煩刀攔癱奮課喇肖洋在但恤楊河奮膚總吧趾獅搪鳳扣游扎蝗僳定扛控氨滓

4、料苗的癡革躁拯拇臻確介嘎鑷便螢燦扣礦誕接益葛堂等筒識奇膏劃溝網(wǎng)絡(luò)安全技術(shù)教案（第4章）教學(xué)內(nèi)容第4章 防火墻技術(shù)教材章節(jié)4.14.4教學(xué)周次第10、11周教學(xué)課時3授課對象計算機科學(xué)與技術(shù)教學(xué)環(huán)境多媒體教室教學(xué)目標(biāo)理解防火墻的基本概念和作用；了解防火墻實現(xiàn)技術(shù)的原理；掌握防火墻過濾規(guī)則的設(shè)置方法。教學(xué)內(nèi)容1.防火墻基本知識（包括：概念、作用、局限性等）。2.防火墻實現(xiàn)技術(shù)（包括：包過濾、代理、狀態(tài)監(jiān)測等）。3.防火墻結(jié)構(gòu)（包括：包過濾、屏蔽主機、障蔽子網(wǎng)等）。4.防火墻的設(shè)置與選購。教學(xué)重點1.防火墻的基本概念、實現(xiàn)技術(shù)；2.如何利用軟件設(shè)置防火墻的規(guī)則集；3.防火墻的選購原則教學(xué)難點防火墻的

5、實現(xiàn)技術(shù)；設(shè)置防火墻的過濾規(guī)則。教學(xué)過程本章分2次講述，共3學(xué)時，講授思路和過程如下：第1次：1.通過問題分析，引出防火墻；2.介紹防火墻的概念，防火墻的主要作用。3.分析問題，說明防火墻的局限性。4.介紹包過濾技術(shù)的原理，舉例說明其設(shè)置方法。分析包過濾技術(shù)的局限性，引出代理技術(shù)。5.介紹代理技術(shù)的原理，分析局限性，引出狀態(tài)監(jiān)測技術(shù)。6.介紹狀態(tài)監(jiān)測技術(shù)原理。第2次：1.介紹防火墻的基本結(jié)構(gòu)。2.介紹防火墻的選擇及其配置原則。作業(yè)與要求作業(yè)內(nèi)容：1.本章思考題第2、3、5、7、9題。2.按實驗11要求進行實驗準(zhǔn)備。要求：1.記錄實驗過程及結(jié)果。2.提交實驗報告。備注本提交文檔內(nèi)容與次序與實際講

6、課內(nèi)容與次序有不一致的地方。第4章 防火墻技術(shù)隨著internet的迅速發(fā)展，越來越多的企事業(yè)單位或個人加入到其中，使internet本身成為了空前龐大以至無法確切統(tǒng)計的網(wǎng)絡(luò)系統(tǒng)。當(dāng)一個機構(gòu)將其內(nèi)部網(wǎng)絡(luò)與internet連接之后，所關(guān)心的一個問題就是安全，特別是內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的有效隔離問題。解決這個問題的最有效的方法之一就是防火墻。防火墻主要用于保護內(nèi)部安全網(wǎng)絡(luò)免受外部網(wǎng)不安全網(wǎng)絡(luò)的侵害。安全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)為因特網(wǎng)。從剛才的圖中可以看到，防火墻不只用于因特網(wǎng)，也可用于intranet各部門網(wǎng)絡(luò)之間(內(nèi)部防火墻)。例：財務(wù)部與市場部之間。 可以這樣說，防火墻是目前最重要的網(wǎng)絡(luò)安全

7、措施! 是網(wǎng)絡(luò)的安全門門戶!我們這章重點為大家介紹防火墻技術(shù)。4.1 防火墻的基本知識4.1.1 防火墻的概念防火墻原意是指在建筑物中用來隔離不同的房間，防止火災(zāi)蔓延的隔斷墻。現(xiàn)在人們引用這個概念，是為了保護計算機網(wǎng)絡(luò)中敏感數(shù)據(jù)不被竊取和篡改。所以在這里我們給出的防火墻概念是：防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達(dá)到保護系統(tǒng)安全的目的。也就是說防火墻是一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，由內(nèi)到外和由外到內(nèi)的所

8、有訪問都必須通過它；能根據(jù)企業(yè)有關(guān)的安全策略控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的訪問行為，只有本地安全策略所定義的合法訪問才被允許通過它。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的數(shù)據(jù)，僅讓安全、核準(zhǔn)后的數(shù)據(jù)進入，抵制對局域網(wǎng)構(gòu)成威脅的數(shù)據(jù)。它的主要功能是：過濾進出網(wǎng)絡(luò)的數(shù)據(jù)、管理進出網(wǎng)絡(luò)的訪問行為、封堵某些禁止的業(yè)務(wù)、記錄進出網(wǎng)絡(luò)的信息和活動、以及對網(wǎng)絡(luò)攻擊進行檢測和告警。4.1.2 防火墻的作用事實上，防火墻是不同網(wǎng)絡(luò)之間信息的唯一出入口。從作用上看，防火墻可以是分離器、限制器，也可以是分析器，用來監(jiān)控內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)等之間的任何活動。如果沒有防火墻，內(nèi)部網(wǎng)絡(luò)中的每一臺主機系統(tǒng)都會暴露在來自外部的網(wǎng)絡(luò)

9、攻擊之下，網(wǎng)絡(luò)的安全就無從談起。因此，應(yīng)用防火墻非常重要。1. 網(wǎng)絡(luò)安全的屏障允許網(wǎng)絡(luò)管理員定義一個中心“扼制點”來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。因此，它極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全，減少子網(wǎng)中主機被攻擊的風(fēng)險。2. 簡化了網(wǎng)絡(luò)管理防火墻對內(nèi)部網(wǎng)絡(luò)實現(xiàn)的是集中安全管理，將承擔(dān)風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻的一臺或幾臺主機上，在結(jié)構(gòu)上形成一個控制中心。通過這個中心的安全方案配置，將諸如身份認(rèn)證、加密、審計等

10、安全軟件配置在防火墻上，以此將來自外部網(wǎng)絡(luò)的非法攻擊或未授權(quán)的用戶擋在被保護的內(nèi)部網(wǎng)絡(luò)之外，加強了網(wǎng)絡(luò)安全，簡化了網(wǎng)絡(luò)管理。3. 對訪問進行監(jiān)控審計在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。防火墻可以記錄下所有通過它的訪問。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并能提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)資料。另外，可以通過防火墻收集到網(wǎng)絡(luò)的使用和誤用情況，這點非常重要，因為這種收集可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且可以清楚防火墻的控制是否充足。應(yīng)該注意的是：對一個內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到internet上的機構(gòu)來說，重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊，而是何時會受到攻擊。網(wǎng)絡(luò)

11、管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會知道防火墻是否受到攻擊。4. 防止內(nèi)部信息的外泄一個內(nèi)部網(wǎng)絡(luò)包含了許許多多的細(xì)節(jié)信息，這些信息中有些是很隱私的，有些是非常機密的，它們都可以引起外部攻擊者的興趣。使用防火墻可以屏蔽那些透露內(nèi)部細(xì)節(jié)（如dns等）的服務(wù)。這樣，外部攻擊者就不會輕易了解主機上的所有用戶的注冊名、真名、最后登錄時間、這個系統(tǒng)是否有用戶正在連線上網(wǎng)、這個系統(tǒng)是否在被攻擊時引起注意等等，也不會知道這個系統(tǒng)主機的域名和ip地址。4.1.3 防火墻的局限性防火墻是網(wǎng)絡(luò)安全防護的手段之一

12、，它在一定程度上保護了網(wǎng)絡(luò)的安全，但同時也必須看到，防火墻不是萬能的，也有它的缺陷和局限性，而且有些缺陷目前根本是無法解決的。1.限制了有用的網(wǎng)絡(luò)服務(wù)由于防火墻要保證信息安全，采取了許多訪問控制機制，限制或關(guān)閉了很多有用但存在安全缺陷的服務(wù)，從而限制了用戶所需的服務(wù)訪問，要求用戶必須在安全性和服務(wù)訪問的方便性之間進行平衡、抉擇。2.不能防止傳送已感染病毒的軟件或文件由于病毒的類型太多，操作系統(tǒng)也有多種，編碼與壓縮二進制文件的方法也各不相同。所以防火墻對下載的軟件或文件不能做到一一掃描，因此也就無法查出潛在的病毒。3.不能防備新的網(wǎng)絡(luò)安全問題防火墻是一種靜態(tài)的、被動式的防護手段，它只能對現(xiàn)在已知

13、的網(wǎng)絡(luò)威脅起作用。隨著網(wǎng)絡(luò)攻擊手段的不斷更新和發(fā)展，一些新的網(wǎng)絡(luò)應(yīng)用的再現(xiàn)，不可能靠一次性的防火墻設(shè)置來解決永遠(yuǎn)的網(wǎng)絡(luò)安全問題。4.2防火墻基本實現(xiàn)技術(shù)防火墻的實現(xiàn)技術(shù)從層次上大體可以分為三種：包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)。4.2.1 包過濾技術(shù)包過濾技術(shù)是防火墻的第一代技術(shù)，也是一種最基本的實現(xiàn)技術(shù)。包過濾防火墻的結(jié)構(gòu)如圖所示。包過濾防火墻對收到的每一數(shù)據(jù)包進行檢驗，決定是否準(zhǔn)許其通過，這種檢驗主要由包過濾路由器來完成。1.包過濾技術(shù)工作原理簡單地說，包過濾是通過路由器來完成，路由器在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)的同時進行包過濾。在internet上，所有信息都是以包形式傳輸?shù)模瑪?shù)據(jù)包中包含

14、發(fā)送方的ip地址和接收方的ip地址。包過濾防火墻技術(shù)是將所有通過的數(shù)據(jù)包中發(fā)送方ip地址、接受方ip地址、tcp/dup端口標(biāo)識等信息讀出，并按照預(yù)先設(shè)定的過濾準(zhǔn)則對數(shù)據(jù)包進行過濾，只允許符合包過濾準(zhǔn)則的數(shù)據(jù)包通過。包過濾是在網(wǎng)絡(luò)層完成的。包過濾路由器對所接收的每個數(shù)據(jù)包做允許或拒絕的決定。它審查每個數(shù)據(jù)包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給ip轉(zhuǎn)發(fā)過程的包頭信息。包頭信息中包括ip源地址、ip目標(biāo)端地址、內(nèi)裝協(xié)（tcp、udp、icmp、或iptunnel）、tcp/udp目標(biāo)端口、icmp消息類型、tcp包頭中的ack位包的進入接口和出接口如果有匹配并且規(guī)則允許該數(shù)

15、據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。很顯然，得用這種技術(shù)在進行過濾檢查時，主要依據(jù)預(yù)先建立的包過濾準(zhǔn)則，根據(jù)特定的服務(wù)，允許或拒絕流動的數(shù)據(jù)。因為多數(shù)的服務(wù)收聽者都在已知的tcp/udp端口號上。例如，telnet服務(wù)器在tcp的23號端口上監(jiān)聽遠(yuǎn)地連接，而smtp服務(wù)器在tcp的25號端口上監(jiān)聽人連接。為了阻塞所有進入的telnet連接，防火墻只需簡單的丟棄所有tcp端口號等于23的數(shù)據(jù)包。為了將進來的telnet連接限制到內(nèi)部的數(shù)臺機器上，防火墻必須拒絕所有tc

16、p端口號等于23并且目標(biāo)ip地址不等于允許主機的ip地址的數(shù)據(jù)包。建立包過濾準(zhǔn)則之后，防火墻在接收到一個數(shù)據(jù)包后，就根據(jù)所建立的準(zhǔn)則，決定丟棄或者繼續(xù)傳送該數(shù)據(jù)包。這樣就通過包過濾實現(xiàn)了防火墻的安全訪問控制策略。例如：定義了幾條準(zhǔn)則，如下表：規(guī)則方向行為操作源ip目的ip源端口目的端口協(xié)議類型a出允許*tcpb入允許*20*tcpc入禁止*201024tcp第1條準(zhǔn)則是：主機任何端口訪問任何主機的任何端口，基于tcp協(xié)議的數(shù)據(jù)包都允許通過；第2條準(zhǔn)則是：任何主機的20端口訪問主機的任何端口，基于tcp協(xié)議的數(shù)據(jù)包允

17、許通過；第3條準(zhǔn)則是：任何主機的20端口訪問主機的小于是1024端口，如果基于tcp協(xié)議的數(shù)據(jù)包都禁止通過。2.包過濾防火墻的優(yōu)點由于該技術(shù)是工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)，因此應(yīng)用包過濾技術(shù)的防火墻邏輯簡單，價格便宜，易于安裝，并且具有良好的網(wǎng)絡(luò)安全保障功能；這種防火墻對用戶來說是透明的，不需要用戶客戶機和主機上的程序，也不要求客戶做特別的設(shè)置，合法用戶在進出網(wǎng)絡(luò)時，根本感覺不到它的存在，使用起來非常方便。更重要的是包過濾產(chǎn)品目前在市場上種類繁多，比較容易選用和得到，有些具有包過濾功能的軟件還能從internet上免費下載。3.包過濾防火墻的局限性不能區(qū)分?jǐn)?shù)據(jù)包的好壞，需

18、要廣泛的tcp/ip知識（維護比較困難）。另外，該防火墻需從建立安全策略和過濾準(zhǔn)則集入手，需要花費大量的時間和人力，還要不斷根據(jù)新情況更新過濾準(zhǔn)則集。同時，準(zhǔn)則集的復(fù)雜性又沒有測試工具來檢驗其正確性，難免會出現(xiàn)漏洞，給攻擊者以可乘之機。另外，包過濾防火墻只按準(zhǔn)則丟棄數(shù)據(jù)包而不作記錄和報告，沒有日志功能，沒有審計性。包過濾防火墻最關(guān)鍵的弱點是不能在用戶級別上進行過濾，即不能識別不同的用戶和防止ip地址的盜用。如果攻擊者把自己主機的ip地址設(shè)成一個合法主機的ip地址，就可以很輕易地通過過濾器。這一弱點可以用代理服務(wù)技術(shù)來解決。4.2.2 代理技術(shù)代理技術(shù)是防火墻中使用較多的技術(shù)，也是一種安全性能較

19、高的技術(shù)。它與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的數(shù)據(jù)包，而代理技術(shù)則是針對每一個特定應(yīng)用都有一個程序，它用來提供應(yīng)用層服務(wù)的控制。代理防火墻的概念源于代理服務(wù)器。所謂代理服務(wù)器是指代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進行信息交換的程序。它可以將內(nèi)部用戶的請示確認(rèn)后送達(dá)外部服務(wù)器，同時將外部服務(wù)器的響應(yīng)再回送給用戶。由于代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接和隔離的作用，因此又把它叫做代理防火墻。由于代理防火墻作用于應(yīng)用層，因此代理防火墻又被稱為應(yīng)用代理或應(yīng)用層網(wǎng)關(guān)型防火墻。1. 代理技術(shù)工作原理應(yīng)用層網(wǎng)關(guān)位于tcp/ip協(xié)議的應(yīng)用層，實現(xiàn)對用戶身份的驗證，接收被保護

20、網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)流并對之進行檢查。在防火墻技術(shù)中，應(yīng)用層網(wǎng)關(guān)一般由代理服務(wù)器來實現(xiàn)。對于通過代理服務(wù)器訪問internet服務(wù)的的內(nèi)部網(wǎng)絡(luò)用戶，在訪問internet之前，首先應(yīng)登錄到代理服務(wù)器上，代理服務(wù)器對該用戶進行身份驗證檢查，決定是否允許其訪問internet，如果驗證通過，用戶就可以登錄到internet上的遠(yuǎn)程服務(wù)器。同樣，從internet到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流也由代理服務(wù)器代為接收，在檢查之后再發(fā)送到相應(yīng)的用戶。由于代理服務(wù)器工作于internet應(yīng)用層，因此，對不同的internet服務(wù)應(yīng)有相應(yīng)的代理服務(wù)器，常見的代理服務(wù)器有web、ftp、telnet代理等。與包過濾防

21、火墻允許數(shù)據(jù)包在內(nèi)部系統(tǒng)和外部系統(tǒng)之間直接流動不同的是，應(yīng)用層網(wǎng)關(guān)允許信息在系統(tǒng)間流動，但不允許數(shù)據(jù)包在系統(tǒng)間直接交換。允許數(shù)據(jù)包在內(nèi)部系統(tǒng)和外部系統(tǒng)之間進行交換所帶來的主要危險是，在被保護的網(wǎng)絡(luò)系統(tǒng)中的主機應(yīng)用程序也可能遭受被允許的服務(wù)所帶來的威脅。2.代理服務(wù)器的優(yōu)點代理服務(wù)器技術(shù)有很多優(yōu)點，防火墻可以被配置成唯一的可被外部看見的主機，將內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)屏蔽起來，這樣可以保護內(nèi)部主機免受外部主機的進攻，使網(wǎng)絡(luò)的安全性大大地增強；由于代理技術(shù)限制了命令集并且決定了服務(wù)能訪問哪些內(nèi)部主機，因此，它能使網(wǎng)絡(luò)管理者對每一服務(wù)進行完全控制，可以決定哪些內(nèi)部主機可以被該服務(wù)訪問。3.代理服務(wù)器的局限性這

22、種技術(shù)的最大局限性是它要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個系統(tǒng)上安裝專門的軟件。而設(shè)計、開發(fā)這些專門的軟件工作量大，如果出現(xiàn)新的協(xié)議，必須重新開發(fā)。另外，它需要由專用的硬件（服務(wù)器）來承擔(dān)。應(yīng)用層代理的最大缺點是要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個系統(tǒng)上安裝特殊的軟件。比如，透過應(yīng)用層代理telnet訪問要求用戶通過兩步而不是一步來建立連接。不過，特殊的端系統(tǒng)軟件可以讓用戶在telnet命令中指定目標(biāo)主機而不是應(yīng)用層代理來使應(yīng)用層代理透明。每個應(yīng)用程序都必須有一個代理服務(wù)程序來進行安全控制，每一種應(yīng)用升級時，一般代理服務(wù)程序也要升級。4.2.3 狀態(tài)監(jiān)視技術(shù)這是第三代網(wǎng)

23、絡(luò)安全技術(shù)，它能在網(wǎng)絡(luò)層實現(xiàn)所需要的防火墻能力。1.狀態(tài)監(jiān)視技術(shù)工作原理防火墻上的狀態(tài)監(jiān)視模塊訪問和分析從各層次得到的數(shù)據(jù)，并存儲和更新狀態(tài)數(shù)據(jù)和上下文信息，為跟蹤無法連接的協(xié)議提供虛擬的會話信息。防火墻根據(jù)從傳輸過程和應(yīng)用狀態(tài)所獲得的數(shù)據(jù)以及網(wǎng)絡(luò)設(shè)置和安全規(guī)則來產(chǎn)生一個合適的操作，要么拒絕，要么允許，或者是加密傳輸。任何安全規(guī)則沒有明確允許的數(shù)據(jù)包將被丟棄或者產(chǎn)生一個安全警告，并向系統(tǒng)管理員提供整個網(wǎng)絡(luò)狀態(tài)。這種防火墻的安全特性是非常好的，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為監(jiān)視模塊。監(jiān)視模塊在不影響網(wǎng)絡(luò)安全正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個層次實施監(jiān)

24、測，抽取部分?jǐn)?shù)據(jù)，并動態(tài)地保存起來作為以后制定安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，可以方便地實現(xiàn)應(yīng)用和服務(wù)的擴充。狀態(tài)監(jiān)視服務(wù)可以監(jiān)視遠(yuǎn)程過程調(diào)用（rpc）和用戶數(shù)據(jù)報（udp）端口信息，而包過濾和代理服務(wù)則都無法做到。狀態(tài)檢測技術(shù)就是在包過濾的同時，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。在進行狀態(tài)檢測時要用到監(jiān)測引擎。監(jiān)測引擎是一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊。該模塊采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取狀態(tài)信息，并動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全

25、規(guī)定作出接納、拒絕、身份認(rèn)證、報警或給該通信加密等處理動作。2.狀態(tài)監(jiān)視器防火墻的優(yōu)點1)具備檢查ip包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則，檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充2)它會監(jiān)測rpc和udp之類的端口信息，而包過濾和代理網(wǎng)關(guān)都不支持此類端口3)基于應(yīng)用程序信息驗證一個包狀態(tài)能力，如允許先前認(rèn)證過的連接繼續(xù)與被授予的服務(wù)通信。3.狀態(tài)監(jiān)視器防火墻的缺點1)配置非常復(fù)雜2)防火墻對數(shù)據(jù)包的記錄、測試和分析工作可能會造成網(wǎng)絡(luò)連接的某種遲滯4.3防火墻的體系結(jié)構(gòu)防火墻一般是按照4種模型構(gòu)建：篩選路由器（包過濾防火墻）、單宿主堡壘主機（屏蔽主機防火墻

26、）、雙宿主堡壘主機和屏蔽子網(wǎng)等。4.3.1 包過濾防火墻（篩選路由器）包過濾防火墻是最普通、最常用的防火墻，它位于internet和內(nèi)部網(wǎng)絡(luò)之間。它的主要作用是在網(wǎng)絡(luò)之間完成數(shù)據(jù)包轉(zhuǎn)發(fā)的普通路由功能，并利用包過濾準(zhǔn)則來允許或拒絕數(shù)據(jù)包。包過濾準(zhǔn)則的定義可使內(nèi)部網(wǎng)絡(luò)中的主機直接訪問internet，而對internet中的主機訪問內(nèi)部網(wǎng)絡(luò)系統(tǒng)加以限制。創(chuàng)建相應(yīng)的過濾策略時對工作人員的tcp/ip的知識有相當(dāng)?shù)囊?，如果包過濾防火墻被黑客攻破，那么內(nèi)部網(wǎng)絡(luò)將變得十分危險。該防火墻不能夠隱藏內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。4.3.2 屏蔽主機體系結(jié)構(gòu)這種結(jié)構(gòu)包括兩種：單宿主堡壘主機和雙宿主

27、堡壘主機。1.單宿主堡壘主機屏蔽主機體系結(jié)構(gòu)是由包過濾路由器和堡壘主機構(gòu)成，包過濾路由器位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的連接處，保證外部系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機。堡壘主機位于內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機連接到內(nèi)部網(wǎng)絡(luò)主機的橋梁，它需要擁有高等級的安全。包過濾路由器使用包過濾技術(shù)，它只允許堡壘主機與外部網(wǎng)絡(luò)的通信，使堡壘主機成為internet上其他節(jié)點所能到達(dá)的唯一節(jié)點，同時根據(jù)設(shè)立的過濾準(zhǔn)則進行控制。對內(nèi)部網(wǎng)絡(luò)中其他主機直接對外的通信，包過濾路由器將予以拒絕。而這些主機的對外通信，必須通過堡壘主機來完成。也就是說，如果內(nèi)部網(wǎng)絡(luò)上有用戶提出請求，需要訪問internet，那么用戶要求首先

28、入堡壘主機，然后堡壘主機經(jīng)包過濾路由器轉(zhuǎn)發(fā)用戶請求到internet上的遠(yuǎn)程服務(wù)器。相反，從internet到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流也必須經(jīng)過堡壘主機轉(zhuǎn)達(dá)發(fā)送。堡壘主機是內(nèi)部網(wǎng)絡(luò)上外界唯一可訪問的站點，是整個網(wǎng)絡(luò)安全的關(guān)鍵點，在整個防火墻系統(tǒng)中起著至關(guān)重要的作用。堡壘主機的硬件是一臺普通的主機，配置了代理服務(wù)程序。優(yōu)點：安全性更高，雙重保護：由于這種防火墻系統(tǒng)實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)），所以它的安全等級比包過濾路由器更高，攻擊者要想破壞內(nèi)部網(wǎng)絡(luò)，必須先滲透兩個分開的系統(tǒng)。缺點：堡壘主機與其他主機在同一個子網(wǎng)。一旦堡壘主機被攻破或被越過，整個內(nèi)網(wǎng)和堡壘主機之間就再也沒有任何阻擋

29、，整個網(wǎng)絡(luò)對侵襲者是開放的。因此，過濾路由器能否正確配置是安全與否的關(guān)鍵。2. 屏蔽防火墻（雙宿主堡壘主機）雙宿主堡壘主機也稱屏蔽防火墻，可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機有兩種網(wǎng)絡(luò)接口（即一臺主機安裝有兩塊網(wǎng)卡），每塊網(wǎng)卡有各自的ip地址，并分別與受保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連。如果外部網(wǎng)絡(luò)上的計算機想與內(nèi)部網(wǎng)絡(luò)上的計算機進行通信，它就必須與雙宿主堡壘主機上與外部網(wǎng)絡(luò)相連的ip地址聯(lián)系，代理服務(wù)器軟件再通過另一塊網(wǎng)卡與內(nèi)部網(wǎng)絡(luò)相連接。也就是說，外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙宿主堡壘主機的過濾和控制。這種配置是用宿主主機做防火墻，兩塊網(wǎng)卡各自在主機上運行著防火墻軟

30、件，可以轉(zhuǎn)發(fā)應(yīng)用程序、提供服務(wù)等。這種體系結(jié)構(gòu)的最大的問題是：雙重宿主主機是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，但一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。4.3.3 屏蔽子網(wǎng)防火墻最后這種防火墻是將兩個路由器和一個堡壘主機組成在一起形成了一個所謂的“非軍事區(qū)”（dmz）的子網(wǎng)，結(jié)構(gòu)如圖。這種方法在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng)。用兩臺路由器將這個子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。外部路由器（訪問路由器）的作用是：保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機。這樣可以防止部分ip欺騙，它可分辨出數(shù)據(jù)包是否真正來自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。內(nèi)部路由器（阻塞路由器）

31、的作用是：保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和被屏蔽子網(wǎng)的侵害，它執(zhí)行大部分過濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。為了用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，攻擊者必須通過兩個路由器。即使攻擊者成功侵入了堡壘主機，他仍將要面對內(nèi)部路由器，這就消除了內(nèi)部網(wǎng)絡(luò)的單一入侵點。在屏蔽子網(wǎng)結(jié)構(gòu)中，堡壘主機和屏蔽路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。堡壘主機：堡壘主機位于被屏蔽子網(wǎng)中，是整個防御體系的核心。堡壘主機可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運行各種代理服務(wù)程序。對于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過堡壘主機代理，但對于入站服務(wù)應(yīng)要求所有服務(wù)都通過堡壘主機。屏蔽子網(wǎng)防火墻系統(tǒng)的好處是，入侵者必須闖過外部路由器、堡壘

32、主機和內(nèi)部路由器這三個設(shè)備，才能侵襲內(nèi)部網(wǎng)絡(luò)。因此，系統(tǒng)的安全性得到了保證。另外，由于外部路由器是子網(wǎng)與internet的唯一接口，internet上的系統(tǒng)不需要有路由器與內(nèi)部網(wǎng)絡(luò)對應(yīng)，這樣網(wǎng)絡(luò)管理員就可以保證內(nèi)部網(wǎng)絡(luò)對internet是“不可見的”，并且只有在子網(wǎng)上選定的系統(tǒng)才對internet開放。又由于內(nèi)部路由器是子網(wǎng)與內(nèi)部網(wǎng)絡(luò)的唯一接口，內(nèi)部網(wǎng)絡(luò)的系統(tǒng)不能直接通往internet，這樣也保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過駐留在堡壘主機上的代理服務(wù)才能訪問internet。4.4防火墻的設(shè)置與選購4.4.1設(shè)置防火墻需要考慮的因素一般來說，設(shè)置一個防火墻需要考慮以下幾個主要因素：1.網(wǎng)絡(luò)策略

33、防火墻是保護網(wǎng)絡(luò)安全的一種方法，它能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)服務(wù)的安全策略。因而，防火墻的設(shè)置與網(wǎng)絡(luò)策略緊密相關(guān)，設(shè)置一個防火墻系統(tǒng)可能影響到網(wǎng)絡(luò)的結(jié)構(gòu)和策略。影響防火墻設(shè)計、安裝和使用的網(wǎng)絡(luò)策略分為兩級：高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)；低級的網(wǎng)絡(luò)策略描述防火墻如何限制和過濾在高級策略中定義的服務(wù)。2.服務(wù)訪問策略服務(wù)訪問策略集中在internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問。服務(wù)訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風(fēng)險和提供用戶服務(wù)之間獲得平衡。典型的服務(wù)訪問策略是：允許通過增強認(rèn)證的用戶在必要的情況下從internet訪問某些內(nèi)部主機和服務(wù)。3.設(shè)計策略防火墻設(shè)

34、計策略基于特定的防火墻，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本設(shè)計策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種可以建立一個非常靈活的使用環(huán)境，能為用戶提供更多的服務(wù)，但這種設(shè)計策略使網(wǎng)絡(luò)管理員處于不斷的響應(yīng)當(dāng)中，隨著網(wǎng)絡(luò)規(guī)模的擴大，很難保證網(wǎng)絡(luò)的安全性，所以是好用不安全；第二種可建立一個非常安全的環(huán)境，但它限制了提供給用戶的選擇范圍，所以是安全不好用。4.強認(rèn)證機制認(rèn)證機制是網(wǎng)絡(luò)防護中的重要環(huán)節(jié)。為了加強網(wǎng)絡(luò)的安全控制，必須在安全控制設(shè)備上采用諸如智能卡、認(rèn)證串等一些基于附加軟件的強認(rèn)證機制。目前，在防火墻中應(yīng)用最多的強認(rèn)證方式就是一次性口令認(rèn)證機制。5.基本實現(xiàn)類

35、型目前有各種各樣的防火墻，但就其處理的數(shù)據(jù)對象來說，可分為包過濾、代理和狀態(tài)監(jiān)視三種基本類型。每種類型都有其各自的特點和不同的處理方式，應(yīng)有所了解，并在設(shè)計選擇時給予考慮。4.4.2 防火墻的選購策略防火墻作為網(wǎng)絡(luò)安可維護性基礎(chǔ)和核心控制設(shè)備，它貫穿于整個網(wǎng)絡(luò)通信主干線，對通過受控網(wǎng)絡(luò)的任何通信行為進行控制、審計、報警、反應(yīng)等安全處理，同時防火墻還承擔(dān)著繁重的通信任務(wù)。由于其自身處于網(wǎng)絡(luò)系統(tǒng)中的敏感位置，同時還要面對各種安全威脅，應(yīng)注意以下的一些策略，安全、穩(wěn)定和可靠的防火墻產(chǎn)品，是極其重要的。在防火墻的選購上，應(yīng)注意以下的一些策略：1.防火墻自身的安全性防火墻自身的安全性主要體現(xiàn)在自身設(shè)計和

36、管理兩個方面。設(shè)計的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。而應(yīng)用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎(chǔ)的，同時防火墻自身的安全實現(xiàn)也直接影響整體系統(tǒng)的安全性。防火墻的安全指標(biāo)可歸結(jié)為防火墻是否基于安全的操作系統(tǒng)及防火墻是否采用專用的硬件平臺兩個方面。只有基于安全的，甚至是專用的操作系統(tǒng)并采用專用硬件平臺的防火墻才可能保證防火墻自身的安全。2.防火墻自身的穩(wěn)定性就一個成熟的產(chǎn)品來說，系統(tǒng)的穩(wěn)定性是最基本的要求。目前，由于種種原因，國內(nèi)有些防火墻尚未最后定型或沒有經(jīng)過嚴(yán)格的、大量的測試就被推向了市場，這樣一來其穩(wěn)定性就可想而知了。防火墻的穩(wěn)定性情況從廠家的宣

37、傳材料中是看不出來的，但可以從以下一些渠道獲得，如國家權(quán)威的測評認(rèn)證機構(gòu)、對產(chǎn)品的咨詢、調(diào)查及試用、廠商開發(fā)研制的歷史及實力等方面。3.防火墻的性能高性能是防火墻的一個重要指標(biāo)，它直接體現(xiàn)了防火墻的可用性，也體現(xiàn)了用戶使用防火墻所需付出的安全代價。如果由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度地下降的話，就意味著安全代價過高，用戶是無法接受的。一般來說，防火墻加載上百條規(guī)則，其性能下降不應(yīng)超過5%。4.防火墻的可靠性可靠性對防火墻設(shè)備來說尤為重要，其直接影響受控網(wǎng)絡(luò)的可用性。提高可靠性的措施一般是提高本身部件的強健性、增加冗余部件，這要求有較高的生產(chǎn)標(biāo)準(zhǔn)和設(shè)計冗余度，如使用工業(yè)標(biāo)準(zhǔn)、電源熱備份、系

38、統(tǒng)熱備份等。5.防火墻的靈活性對通信行為的有效控制，要求防火墻設(shè)備有一系列不同級別，以滿足不同用戶的各類安全控制需求。防火墻控制的有效性、多樣性、級別目標(biāo)的清晰性、制定的難易性和經(jīng)濟性等，體現(xiàn)著防火墻的高效和質(zhì)量。例如對普通用戶，只要對ip地址進行過濾即可；如果是內(nèi)部有不同安全級別的子網(wǎng)，有時則必須允許高級別子網(wǎng)對低級別子網(wǎng)進行單向訪問；如果還有移動用戶的話，還要求能根據(jù)用戶身份進行過濾。6.防火墻配置的方便性在網(wǎng)絡(luò)入口和出口處安裝新的網(wǎng)絡(luò)設(shè)備是比較復(fù)雜的，這意味著必須修改幾乎全部現(xiàn)有設(shè)備的配置，因此，應(yīng)選用方便配置的、支持透明通信的防火墻。它在安裝時不需要對原網(wǎng)絡(luò)配置做任何改動，所做的工作只

39、相當(dāng)于連接一個網(wǎng)橋或hub。需要時，兩端一連線就可以工作，不需要時，將網(wǎng)線恢復(fù)原狀即可。7.防火墻管理的簡便性防火墻的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法。通常體現(xiàn)為管理途徑、管理工具和管理權(quán)限。防火墻設(shè)備首先是一個網(wǎng)絡(luò)通信設(shè)備，管理途徑的提供要兼顧通常網(wǎng)絡(luò)設(shè)備的管理方式。管理工具主要為gui類管理器，用它管理很直觀，這對于設(shè)備的初期管理和不太熟悉的管理人員來說是一種有效的管理方式。權(quán)限管理是管理本身的基礎(chǔ)，但是應(yīng)防止嚴(yán)格的權(quán)限認(rèn)證可能帶來的管理方便性的降低。8.防火墻抵抗拒絕服務(wù)攻擊的能力在當(dāng)前的網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率較高的方法。拒絕服務(wù)攻擊可以分為兩

40、類，一類是由于操作系統(tǒng)或應(yīng)用軟件本身設(shè)計或編程上的缺陷而造成的，由此帶來的攻擊種類很多，只有通過打補丁的辦法來解決；另一類是由于tcp/ip協(xié)議本身的缺陷造成的，數(shù)量不多，但危害性非常大。防火墻能做的是對付第二類攻擊，這一點應(yīng)該是防火墻的基本功能之一。目前有很多防火墻號稱可以抵御拒絕服務(wù)攻擊，實際上嚴(yán)格地說，它應(yīng)該是可以降低拒絕服務(wù)攻擊的危害而不是抵御拒絕服務(wù)攻擊，因此在采購防火墻時，網(wǎng)管人員應(yīng)該詳細(xì)考慮這一功能的真實性和有效性。9.防火墻對用戶身份的過濾能力防火墻過濾報文時，最基礎(chǔ)的是針對ip地址進行過濾。而ip地址是非常容易修改的，只要打聽到內(nèi)部網(wǎng)里誰可以穿過防火墻，那么將自己的ip地址改成和他的一樣就可以了。這就需要一個針對用戶身份而不是ip地址進行過濾的辦法。目前防火墻上常用的是一次性口令驗證機制，通過特殊的算法，保證用戶在登錄防火墻時，口令不會在網(wǎng)絡(luò)上泄露，這樣防火墻就可以確認(rèn)登錄上來的用戶確實和他所聲稱的一致。10.防火墻的可擴展性、可升級性用