網(wǎng)絡(luò)防火墻技術(shù)概述

1、網(wǎng)絡(luò)防火墻技術(shù)概述1防火墻的定義、作用2防火墻的類型、特征3防火墻的優(yōu)點(diǎn)、功能4防火墻的構(gòu)架、配置5防火墻的發(fā)展史6防火墻的工作原理、注意事項(xiàng)目錄CONTENTS防火墻(英文：firewall)是一項(xiàng)協(xié)助確保信息安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。定義防火墻的定義網(wǎng)絡(luò)防火墻的定義所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（S

2、ecurity Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。作用網(wǎng)絡(luò)防火墻的作用類型網(wǎng)絡(luò)層防火墻應(yīng)用層防火墻類型網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器，運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管

3、理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源 IP地址、來源端口號(hào)、目的 IP 地址或端口號(hào)、服務(wù)類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段.等屬性來進(jìn)行過濾。網(wǎng)絡(luò)層文本框類型用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作，您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里?；饓栌杀O(jiān)測(cè)所有的封包并找出不符

4、規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實(shí)現(xiàn)而言，這個(gè)方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。XML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。應(yīng)用層文本框特征一二三基本特征內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力優(yōu)點(diǎn)防火墻能有效地記錄Internet上的活動(dòng)。防火墻能強(qiáng)化安全策略。防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。防火墻限制暴露用戶點(diǎn)。防火墻能夠用來隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一

5、個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播。功能ACBD網(wǎng)絡(luò)安全的屏障強(qiáng)化網(wǎng)絡(luò)安全策略監(jiān)控網(wǎng)絡(luò)存取和訪問防止內(nèi)部信息的外泄其他功能除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。通用CPU架構(gòu)ASIC架構(gòu)網(wǎng)絡(luò)處理器架構(gòu)通用CPU架構(gòu)最常見的是基于Intel X86架構(gòu)的防火墻，高靈活性和擴(kuò)展性倍受青睞，但是在實(shí)際應(yīng)用中，尤其是在小包情況下，遠(yuǎn)遠(yuǎn)達(dá)不到標(biāo)稱性能，處理能力也很有限。

6、ASIC（Application Specific Integrated Circuit，專用集成電路）架構(gòu)防火墻解決了帶寬容量和性能不足的問題，穩(wěn)定性也得到了很好的保證。由于網(wǎng)絡(luò)處理器所使用的微碼編寫有一定技術(shù)難度，難以實(shí)現(xiàn)產(chǎn)品的最優(yōu)性能，因此網(wǎng)絡(luò)處理器架構(gòu)的防火墻產(chǎn)品難以占有大量的市場(chǎng)份額。防火墻的硬件體系結(jié)構(gòu)曾經(jīng)歷過通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器架構(gòu)，他們各自的特點(diǎn)分別如下：構(gòu)架防火墻的三種配置Dual-homed方式Screened- host方式Screened-subnet方式這種結(jié)構(gòu)成本低，但是它有單點(diǎn)失敗的問題。這種結(jié)構(gòu)沒有增加網(wǎng)絡(luò)安全的自我防衛(wèi)能力，而它往往是受“黑

7、客”攻擊的首選目標(biāo)，它自己一旦被攻破，整個(gè)網(wǎng)絡(luò)也就暴露了。Screened-host方式中的Screeningrouter為保護(hù)Bastionhost的安全建立了一道屏障。它將所有進(jìn)入的信息先送往Bastionhost，并且只接受來自Bastionhost的數(shù)據(jù)作為出去的數(shù)據(jù)。這種結(jié)構(gòu)依賴Screeningrouter和Bastionhost，只要有一個(gè)失敗，整個(gè)網(wǎng)絡(luò)就暴露了Screened-subnet包含兩個(gè)Screeningrouter和兩個(gè)Bastionhost。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一個(gè)隔離網(wǎng)，稱之為”?；饏^(qū)”（DMZ，即DemilitarizedZone）,Bastionh

8、ost放置在“停火區(qū)”內(nèi)。這種結(jié)構(gòu)安全性好，只有當(dāng)兩個(gè)安全單元被破壞后，網(wǎng)絡(luò)才被暴露，但是成本也很昂貴。第二、三代防火墻第四代防火墻第五代防火墻一體化安全網(wǎng)關(guān)UTM第一代防火墻防火墻的發(fā)展史防火墻的工作原理所有的防火墻都具有IP地址過濾功能。兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。僅僅依靠地址進(jìn)行數(shù)據(jù)過濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù)，比方說，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用SMTP/POP郵件服務(wù)器吧？所以說，在地址之外我們還要對(duì)服務(wù)器的TCP/ U

9、DP端口進(jìn)行過濾。當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。工作原理服務(wù)器TCP/UDP 端口過濾工作原理客戶機(jī)也有TCP/UDP端口 僅僅依靠地址進(jìn)行數(shù)據(jù)過濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù)，比方說，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用SMTP/POP郵件服務(wù)器吧？所以說，在地址之外我們還要對(duì)服務(wù)器的TCP

10、/ UDP端口進(jìn)行過濾。防火墻工作原理雙向過濾 給防火墻這樣下命令：已知服務(wù)的數(shù)據(jù)包可以進(jìn)來，其他的全部擋在防火墻之外。比如，如果你知道用戶要訪問Web服務(wù)器，那就只讓具有源端口號(hào)80的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)：不過新問題又出現(xiàn)了。首先，你怎么知道你要訪問的服務(wù)器具有哪些正在運(yùn)行的端口號(hào)呢？ 象HTTP這樣的服務(wù)器本來就是可以任意配置的，所采用的端口也可以隨意配置。如果你這樣設(shè)置防火墻，你就沒法訪問哪些沒采用標(biāo)準(zhǔn)端口號(hào)的的網(wǎng)絡(luò)站點(diǎn)了！反過來，你也沒法保證進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包中具有端口號(hào)80的就一定來自Web服務(wù)器。防火墻工作原理檢查ACK位PC向遠(yuǎn)端的Web服務(wù)器發(fā)起一個(gè)連接，它生成一個(gè)沒有設(shè)置ACK位的連

11、接請(qǐng)求包。當(dāng)服務(wù)器響應(yīng)該請(qǐng)求時(shí)，服務(wù)器就發(fā)回一個(gè)設(shè)置了ACK位的數(shù)據(jù)包，同時(shí)在包里標(biāo)記從客戶機(jī)所收到的字節(jié)數(shù)。然后客戶機(jī)就用自己的響應(yīng)包再響應(yīng)該數(shù)據(jù)包，這個(gè)數(shù)據(jù)包也設(shè)置了ACK位并標(biāo)記了從服務(wù)器收到的字節(jié)數(shù)。通過監(jiān)視ACK位，我們就可以將進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)限制在響應(yīng)包的范圍之內(nèi)。UDP包沒有ACK位所以不能進(jìn)行ACK位過濾。UDP 是發(fā)出去不管的“不可靠”通信，這種類型的服務(wù)通常用于廣播、路由、多媒體等廣播形式的通信任務(wù)。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。有些新型路由器可以通過“記憶”出站UDP包來解決這個(gè)問題：如果入站UDP包匹配最近出站UDP包的目標(biāo)地址和端口號(hào)就讓它進(jìn)來。如果在內(nèi)存中找不到匹配的UDP包就只好拒絕它了！防火墻工作原理UDP端口過濾 最簡(jiǎn)單的可行辦法就是不允許建立入站UDP連接。防火墻設(shè)置為只許轉(zhuǎn)發(fā)來自內(nèi)部接口的UDP包，來自外部接口的UDP包則不轉(zhuǎn)發(fā)。防火墻工作原理UDP端口過濾有些新型路由器可以通過“記憶”出站UDP包來解決這個(gè)問題：如果入站UDP包匹配最近出站UDP包的目標(biāo)地址和端口號(hào)就讓它進(jìn)來。如果在內(nèi)存中找不到匹配的UDP包就只好拒絕它了！防火墻工作原理UDP端口過濾1防火墻實(shí)現(xiàn)了你的安全政策，要想有一個(gè)好的防火墻，你需要好