防火墻技術(shù)介紹

1、防火墻技術(shù)介紹一、防火墻的概念1防火墻的定義所謂“防火墻”，是指一種將內(nèi)網(wǎng)和外網(wǎng)分開的方法，是在內(nèi)部 網(wǎng)和外部網(wǎng)之間實施安全防范的系統(tǒng)， 它實際上是一種隔離技術(shù)， 同 時也是一種訪問控制機(jī)制，能夠限制用戶進(jìn)入一個被嚴(yán)格控制的點。防火墻是在兩個網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制標(biāo)準(zhǔn)，它能允 許網(wǎng)絡(luò)管理員“同意”的用戶或數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時將“不同意”的 用戶或數(shù)據(jù)拒之門外， 阻止來自外部網(wǎng)絡(luò)的未授權(quán)訪問， 防止黑客對 內(nèi)部網(wǎng)絡(luò)中的電子信息和網(wǎng)絡(luò)實體的攻擊和破壞。防火墻通常安裝在被保護(hù)的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的連接點上，從 互聯(lián)網(wǎng)或內(nèi)部網(wǎng)上產(chǎn)生的內(nèi)部活動都必須經(jīng)過防火墻，如電子郵件、 文件傳輸、 遠(yuǎn)程登陸以及其

2、他網(wǎng)絡(luò)服務(wù)等活動， 但是防火墻不能防止 內(nèi)部發(fā)生的入侵事件， 也就是說，防火墻的防護(hù)功能是對外不對內(nèi)的。 因此，要實現(xiàn)網(wǎng)絡(luò)安全環(huán)境，除了安裝防火墻外，還要有其他的輔助 手段來配合防火墻的使用， 如使用人侵檢測技術(shù)防范網(wǎng)絡(luò)入侵， 用入 侵防護(hù)技術(shù)來對付網(wǎng)絡(luò)攻擊等。2防火墻的組成 防火墻作為訪問控制策略的實施系統(tǒng)，它的組成主要分為以下 四個部分：(1) 網(wǎng)絡(luò)策略。通常，防火墻的設(shè)計有兩個基本策略。 其一，拒絕訪問除陰確許可外的任何一種服務(wù)，是指防火墻只 允許通過在系統(tǒng)中已經(jīng)認(rèn)可合法的服務(wù)， 而拒絕其他所有未做規(guī)定的 服務(wù)；其二，允許訪問除明確拒絕以外的任何一種服務(wù)，指防火墻將 系統(tǒng)中確定為“不許可

3、”的服務(wù)拒絕，而允許其他所有未做規(guī)定的服 務(wù)。前者造成能夠?qū)崿F(xiàn)的服務(wù)種類受到過度限制的不良后果， 后者則 會使得一些有危險可能的服務(wù)未被拒絕， 對這兩種策略的選擇會直接 影響到防火墻系統(tǒng)的設(shè)計、安裝和使用的效果。(2) 身份認(rèn)證工具。由于傳統(tǒng)口令系統(tǒng)的弱點，即使用戶使用了 難于猜想的口令并確保不泄密， 黑客也可以借助于監(jiān)視等手段來獲取 明文傳送的口令。 因此， 必須采用先進(jìn)的認(rèn)證措施克服傳統(tǒng)口令的缺 陷。認(rèn)證技術(shù)雖然各不相同，但都是為了實現(xiàn)保密性強的口令，且要 保證這些口令不能被黑客通過監(jiān)視等手段獲取。 由于防火墻可以集中 并控制網(wǎng)點的訪問， 所以將先進(jìn)的認(rèn)證軟件或硬件安裝在防火墻中是 一個恰

4、當(dāng)?shù)倪x擇， 這種將各種認(rèn)證措施集中到防火墻的做法更切合實 際，便于管理。(3) 包過濾。 lP 包過濾一般是通過包過濾路由器來實現(xiàn)，信息包 在流經(jīng)路由器的接口時被篩選過濾。 包過濾路由器通?？蓪崿F(xiàn)包含有 下列信息組的信息包：源IP地址、目的IP地址、TCP/UDP源端口、 TCP/UDPg的端口，借助包過濾可實現(xiàn)封鎖與特定主機(jī)系統(tǒng)或網(wǎng)絡(luò)的 連接，也可實現(xiàn)封鎖特定端口的連接。(4) 應(yīng)用網(wǎng)關(guān)。由于包過濾路由器有一定的弱點，諸如過濾規(guī)則 復(fù)雜且其正確性難于測試、 不具備記錄能力等， 防火墻需要應(yīng)用軟件 來轉(zhuǎn)發(fā)和過濾類似于Telnet和rrP等服務(wù)連接，這類應(yīng)用稱之為代理 服務(wù)，而運行代理服務(wù)軟件的

5、主系統(tǒng)就是應(yīng)用網(wǎng)關(guān)。一般情況下，應(yīng) 用網(wǎng)關(guān)與包過濾路由器的結(jié)合使用， 能夠獲得大大高于單獨使用兩者 時的安全性和靈活性。3構(gòu)建防火墻的作用和目的構(gòu)建網(wǎng)絡(luò)防火墻的主要目的是：(1) 限制訪問者進(jìn)人一個被嚴(yán)格控制的點。(2) 防止進(jìn)攻者接近防御設(shè)備。(3) 限制訪問者離開一個被嚴(yán)格控制的點。(4) 檢查、篩選、過濾和屏蔽信息流中的有害服務(wù)，防止對計算機(jī)系統(tǒng)進(jìn)行蓄意破壞。網(wǎng)絡(luò)防火墻的主要作用有以下幾個：(1) 有效地收集和記錄互聯(lián)網(wǎng)上的活動和網(wǎng)絡(luò)誤用情況。(2) 能有效隔離網(wǎng)絡(luò)中的多個網(wǎng)段，防止一個網(wǎng)段的問題傳播到 另外網(wǎng)段。(3) 防火墻作為一個安全檢查站，能有效地過濾、篩選和屏蔽有 害的信息和服

6、務(wù)。(4) 防火墻作為一個防止不良現(xiàn)象發(fā)生的“警察” ，能執(zhí)行和強化 網(wǎng)絡(luò)的安全策略。二、防火墻的基本功能 防火墻的基本功能是對網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問進(jìn)出計算機(jī)網(wǎng)絡(luò)，簡單的概括就是對網(wǎng)絡(luò)進(jìn)行訪問控制。絕大部分的防火 墻都是放置在可信任網(wǎng)絡(luò)(I。ternal)和不可信任網(wǎng)絡(luò)(Internet)之間。具體來說，防火墻的主要功能有下面幾點：1訪問控制在訪問控制方面具有的功能有以下幾點： 限制未經(jīng)授權(quán)的用戶訪問本企業(yè)的網(wǎng)絡(luò)和信息資源的措施，訪 問者必須要能適用現(xiàn)行所有的服務(wù)和應(yīng)用。提供基于狀態(tài)檢測技術(shù)的 lP 地址、端口、用戶和時間的管理控 制。訪問控制對象的多種定義方式支持多種方式定

7、義訪問控制對象：IP/Mask(如 202. 100.100.0/24), IP區(qū)間(如 202. 100. 100. 1-202. 100.100. 254)， IP/Mask 與通配符， lP 區(qū)間與通配符等，使配置防火墻的 安全策略極為方便。高效的URL和文件級細(xì)粒度應(yīng)用層管理控制：雙向NAT，提供lP地址轉(zhuǎn)換和lP及TCP/UDP端口映射，實現(xiàn)IP 復(fù)用和隱藏網(wǎng)絡(luò)結(jié)構(gòu)。用戶策略：可以根據(jù)企業(yè)安全策略，將一次性口令認(rèn)證與防火 墻其他安全機(jī)制結(jié)合使用，實現(xiàn)對用戶訪問權(quán)限的控制。接口策略：防止外部機(jī)器盜用內(nèi)部機(jī)器的 IP 地址，這是通過防 火墻的接口策略實現(xiàn)。lP與MAC地址綁定：防止防火墻

8、廣播域內(nèi)主機(jī)的IP地址不被另 一臺機(jī)器盜用?？蓴U(kuò)展支持計費功能：計費功能可以定義內(nèi)部網(wǎng)絡(luò) IP,記錄內(nèi) 部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的方向性通信流量，并可依據(jù) lP 及用戶統(tǒng)計查詢 計費信息。基于優(yōu)先級的帶寬管理：用戶帶寬最大用量限制,用戶帶竟用 量保障,多級用戶優(yōu)先級設(shè)置流量控制功能為用戶提供全部監(jiān)測和管 理網(wǎng)絡(luò)的信息。2防御功能 防火墻具有的防御功能是： 防TCP UDP等端口掃描?？笵oS/DDoS攻擊?？煞烙绰酚晒簟P碎片包攻擊、DNS/RIP/ICMP攻擊、SYN 等多種攻擊。阻止 ActiveX、Java JavaScript等侵入。提供實時監(jiān)控、審計和告警功能。可擴(kuò)展支持第三方IDS入

9、侵檢測系統(tǒng)，實現(xiàn)協(xié)同工作。3用戶認(rèn)證 因為企業(yè)網(wǎng)絡(luò)為本地用戶、移動用戶和各種遠(yuǎn)程用戶提供信息 資源,所以為了保護(hù)網(wǎng)絡(luò)和信息安全, 必須對訪問連接用戶采用有效 的權(quán)限控制和身份識別,以確保系統(tǒng)安全。提供高安全強度的一次性口令用戶認(rèn)證：一次性口令認(rèn)證機(jī)制 是高強度的認(rèn)證機(jī)制, 能極大地提高了訪問控制的安全性, 有效阻止 非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)系統(tǒng)的合法使用?？蓴U(kuò)展支持第三方認(rèn)證和支持智能IC卡、KEY等硬件方式認(rèn)證： 網(wǎng)絡(luò)防火墻有很好的擴(kuò)展性， 可擴(kuò)展支持 radius 等認(rèn)證，提供撥號用 戶等安全訪問。也可通過擴(kuò)展支持支持智能IC卡、KEY等硬件方式認(rèn) 證。4安全管理在安全管理方面，防火墻

10、的主要功能是：提供基于OTP機(jī)制的管理員認(rèn)證。提供分權(quán)管理安全機(jī)制。遠(yuǎn)程管理提供加密機(jī)制。遠(yuǎn)程管理安全措施。提供安全策略檢測機(jī)制。提供豐富完整的審計機(jī)制。提供日志下載、備份和查詢功能。可擴(kuò)展支持計費功能。5操作管理在操作管理方面， 防火墻要能提供靈活的本地、 遠(yuǎn)程管理方式， 支持 CUI 和命令行等多種操作方式的管理，以及提供基于命令行和 CUI的本地和遠(yuǎn)程配置管理等。三、防火墻的基本類型 從所采用的技術(shù)上看，防火墻可以分為包過濾型、代理服務(wù)器 型、電路層網(wǎng)關(guān)、 混合型、應(yīng)用層網(wǎng)關(guān)以及自適應(yīng)代理技術(shù)六種基本類型。1包過濾型防火墻包過濾型防火墻( Packet Filter Firewal)l

11、中的包過濾器一般安裝 在路由器上，工作在網(wǎng)絡(luò)層(IP)。它基于單個包實施網(wǎng)絡(luò)控制，根據(jù) 所收到的數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號及目的端口號、包出人接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與用 戶預(yù)定的訪問控制表進(jìn)行比較， 決定數(shù)據(jù)是否符合預(yù)先制定的安全策 略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即實施信息過濾。實際上，它一般允 許網(wǎng)絡(luò)內(nèi)部的主機(jī)直接訪問外部網(wǎng)絡(luò)， 而外部網(wǎng)絡(luò)上的主機(jī)對內(nèi)部網(wǎng) 絡(luò)的訪問則要受到限制。2代理服務(wù)器型防火墻代理服務(wù)器型防火墻(Proxy Service Firewall)通過在主機(jī)上運行 的服務(wù)程序，直接面對特定的應(yīng)用層服務(wù)， 因此也稱為應(yīng)用型防火墻。 其核

12、心是運行于防火墻主機(jī)上的代理服務(wù)進(jìn)程， 該進(jìn)程代理用戶完成 TCP/IP功能，實際上是為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。對每 種不同的應(yīng)用( E-mail、rrP、Telnet、WWW 等)都應(yīng)用一個相應(yīng)的代 理服務(wù)。外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間想要建立連接， 首先必須通過代理 服務(wù)器的中間轉(zhuǎn)換， 內(nèi)部網(wǎng)絡(luò)只接受代理服務(wù)器提出的要求， 拒絕外 部網(wǎng)絡(luò)的直接請求。代理服務(wù)可以實施用戶論證、詳細(xì)日志、審計跟 蹤和數(shù)據(jù)加密等功能和對具體協(xié)議及應(yīng)用的過濾，如阻塞 Java 或 JavaScript等。3電路層網(wǎng)關(guān)電路層網(wǎng)關(guān)(Circuit Cateway在網(wǎng)絡(luò)的傳輸層上實施訪問控制策 略，是在內(nèi)、外網(wǎng)絡(luò)主

13、機(jī)之間建立一個虛擬電路進(jìn)行通信，相當(dāng)于在 防火墻上直接開了個口子進(jìn)行傳輸， 不像應(yīng)用層防火墻那樣能嚴(yán)密地 控制應(yīng)用層的信息。4混合型防火墻混合型防火墻(Hybrid Firewall)把包過濾和代理服務(wù)等功能結(jié)合 起來，形成新的防火墻結(jié)構(gòu)，所用主機(jī)稱堡壘主機(jī)，負(fù)責(zé)代理服務(wù)。 各種類型的防火墻，各有其優(yōu)缺點。當(dāng)前的防火墻產(chǎn)品，已不是單一 的包過濾型或代理服務(wù)型防火墻， 而是將各種安全技術(shù)結(jié)合起來， 形 成一個混合的多級的防火墻系統(tǒng)，以提高防火墻的靈活型和安全性。5應(yīng)用層網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)(Application Cateway)使用專用軟件轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，如T和FTP等服務(wù)連接。這是一種代理服務(wù)，代理服務(wù) 技術(shù)適應(yīng)于應(yīng)用層， 它由一個高層的應(yīng)用網(wǎng)關(guān)作為代理器， 通常白專 門的硬件來承擔(dān)。 代理服務(wù)器在接受外來的應(yīng)用控制的前提下使用內(nèi) 部網(wǎng)絡(luò)提供的服務(wù)。也就是說，它只允許代理的服務(wù)通過，即只有那 些被認(rèn)為“可依賴的”服務(wù)才允許通過防火墻。應(yīng)用層網(wǎng)關(guān)有登記、 日志、統(tǒng)計和報告等功能， 并有很好的審計功能和嚴(yán)格的用戶認(rèn)證功 能，應(yīng)用層網(wǎng)關(guān)的安全性高， 但它要為每種應(yīng)用提供專門的代理服務(wù) 程序