計(jì)算機(jī)安全技術(shù)PPT-第九章

第九章防火墻技術(shù)

9.1防火墻技術(shù)概述

隨著Internet的迅速發(fā)展，越來越多的公司或個(gè)人加入到其中，使Internet本身成為了世界上空前龐大以至于無法確切統(tǒng)計(jì)的網(wǎng)絡(luò)系統(tǒng)。當(dāng)一個(gè)機(jī)構(gòu)將其內(nèi)部網(wǎng)絡(luò)與Internet連接之后，所關(guān)心的一個(gè)重要問題就是安全。人們需要一種安全策略，既可以防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源，又可以阻止用戶非法向外傳遞內(nèi)部信息。在這種情況下，防火墻技術(shù)便應(yīng)運(yùn)而生了。防火墻（Firewall）是一種能將內(nèi)部網(wǎng)和公眾網(wǎng)分開的方法。它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)及其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞等操作。在構(gòu)建安全的網(wǎng)絡(luò)環(huán)境過程中，防火墻作為第一道安全防線，正受到越來越多用戶的關(guān)注。

9.1防火墻技術(shù)概述9.1.1防火墻的定義

用于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)中敏感數(shù)據(jù)不被竊取和篡改的計(jì)算機(jī)軟硬件系統(tǒng)叫做“防火墻”。簡單的說,防火墻實(shí)際上是一種訪問控制技術(shù)，它在一個(gè)被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個(gè)被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問,也可以阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。9.1防火墻技術(shù)概述9.1.2防火墻的作用應(yīng)用防火墻的主要目的是要強(qiáng)制執(zhí)行一定的安全策略，能夠過濾掉不安全服務(wù)和非法用戶、控制對(duì)特殊站點(diǎn)的訪問，并提供監(jiān)視系統(tǒng)安全和預(yù)警的方便端點(diǎn)。具體來說，防火墻的作用主要體現(xiàn)在以下幾個(gè)方面：（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）防火墻可以對(duì)網(wǎng)絡(luò)的存取和訪問進(jìn)行監(jiān)控、審計(jì)

（4）防火墻可以防止內(nèi)部信息的外泄

（5）防火墻可以限制網(wǎng)絡(luò)暴露

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。通過VPN，可以將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。9.1防火墻技術(shù)概述9.1.3防火墻的局限性

盡管防火墻有許多防范功能，但由于互連網(wǎng)的開放性，它也有一些力不能及的地方，具體表現(xiàn)在以下幾個(gè)方面：（1）防火墻不能防范不經(jīng)過防火墻的攻擊。

（2）防火墻不能防止感染了病毒的軟件或文件的傳輸。

（3）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。

（4）防火墻不能防止來自內(nèi)部變節(jié)者和用戶帶來的威脅。

總的來說，防火墻只是整體安全防范政策的一部分。整個(gè)網(wǎng)絡(luò)易受攻擊的各個(gè)點(diǎn)必須以相同程度的安全防護(hù)措施加以保護(hù)。在沒有全面的安全政策情況下設(shè)置防火墻，就如同在一頂帳篷上安裝一個(gè)防盜門。9.1防火墻技術(shù)概述9.1.4防火墻技術(shù)的現(xiàn)狀及發(fā)展趨勢

縱觀防火墻技術(shù)的發(fā)展，可將其分為以下四個(gè)階段：第一代防火墻，又稱包過濾防火墻。第二代防火墻，也稱代理防火墻。第三代防火墻，稱為狀態(tài)監(jiān)控功能防火墻。第四代防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇，演變成為了一個(gè)全方位的安全技術(shù)集成系統(tǒng)。

歸納起來，一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下的一些特性：（1）所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都必須經(jīng)過防火墻。（2）只有被授權(quán)的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻。（3）防火墻本身應(yīng)能抵御各種攻擊的影響。（4）防火墻應(yīng)使用目前較先進(jìn)的信息安全技術(shù)。（5）防火墻應(yīng)具有良好的人機(jī)界面，方便用戶配置及管理。9.1防火墻技術(shù)概述從防火墻的發(fā)展趨勢來看，未來的防火墻將變得更加能夠識(shí)別通過的信息，同時(shí)在目前的功能上向“透明”、“低級(jí)”方面發(fā)展。主要有以下的一些發(fā)展趨勢：（１）防火墻的性能將更加優(yōu)良。

（２）防火墻具有可擴(kuò)展的結(jié)構(gòu)和功能。

（３）防火墻要有簡化的安裝與管理。

（４）防火墻要有主動(dòng)過濾的能力。

（５）防火墻應(yīng)有防病毒與黑客的能力。最終防火墻將成為一個(gè)快速注冊(cè)稽查系統(tǒng)，可保護(hù)數(shù)據(jù)以加密方式通過，使所有組織可以放心地在節(jié)點(diǎn)間傳送數(shù)據(jù)。

９.２防火墻技術(shù)的分類

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型。按照防火墻對(duì)數(shù)據(jù)的處理方法，大致分為二大類：包過濾防火墻和代理防火墻。９.２.１包過濾防火墻技術(shù)數(shù)據(jù)包過濾技術(shù)作為防火墻的應(yīng)用有三種。

第一種是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)的同時(shí)進(jìn)行包過濾。第二種是在工作站上使用軟件進(jìn)行包過濾。第三種是在一種稱為屏蔽路由器的路由設(shè)備上啟動(dòng)包過濾功能。目前較常用的方式是第一種。

包過濾作用在網(wǎng)絡(luò)層和傳輸層，以IP包信息為基礎(chǔ)，對(duì)通過防火墻的IP包的源、目的地址、TCP/UDP的端口標(biāo)識(shí)符及ICMP等進(jìn)行檢查。

包過濾規(guī)則檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)規(guī)則來確定是否允許數(shù)據(jù)包通過，其核心是過濾算法的設(shè)計(jì)。

數(shù)據(jù)包過濾在網(wǎng)絡(luò)中起著舉足輕重的作用，它允許你在某個(gè)地方為整個(gè)網(wǎng)絡(luò)提供特別的保護(hù)。

包過濾的操作可以在路由器上進(jìn)行，也可以在網(wǎng)橋，甚至在一個(gè)單獨(dú)的主機(jī)上進(jìn)行。大多數(shù)數(shù)據(jù)包過濾系統(tǒng)不處理數(shù)據(jù)本身，它們不根據(jù)數(shù)據(jù)包的內(nèi)容做決定。９.２防火墻技術(shù)的分類９.２.２包過濾防火墻技術(shù)的優(yōu)缺點(diǎn)

數(shù)據(jù)包過濾防火墻技術(shù)有很多優(yōu)點(diǎn)，主要體現(xiàn)在以下幾點(diǎn)：（１）應(yīng)用包過濾技術(shù)不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)檫^濾發(fā)生在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。（２）一個(gè)單獨(dú)的、放置恰當(dāng)?shù)臄?shù)據(jù)包過濾路由器有助于保護(hù)整個(gè)網(wǎng)絡(luò)。（３）數(shù)據(jù)包過濾技術(shù)對(duì)用戶沒有特別的要求。（４）大多數(shù)路由器都具有數(shù)據(jù)包過濾功能。

雖然數(shù)據(jù)包過濾有很多優(yōu)點(diǎn)，但同時(shí)它也存在著一些缺陷。

（１）在過濾過程中判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，而不能在用戶級(jí)別上進(jìn)行過濾，不能識(shí)別不同的用戶和防止ＩＰ地址的盜用，因而各種安全要求不可能充分滿足。（２）在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的。（３）當(dāng)前的過濾工具并不完善，或多或少的存在著一些局限性。（４）由于缺少上下文關(guān)聯(lián)信息，數(shù)據(jù)包過濾路由器不能有效地過濾諸如UDP、RPC、FTP一類的協(xié)議.（５）大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，且管理方式和用戶界面較差。（６）數(shù)據(jù)包過濾技術(shù)對(duì)安全管理人員素質(zhì)要求較高。

由于數(shù)據(jù)包過濾技術(shù)本身的缺陷，在實(shí)際應(yīng)用中，很少把數(shù)據(jù)包過濾技術(shù)當(dāng)作單獨(dú)的安全解決方案。過濾路由器通常是和應(yīng)用網(wǎng)關(guān)配合或是與其他防火墻技術(shù)揉和使用，共同組成防火墻系統(tǒng)。９.２防火墻技術(shù)的分類９.２.３代理防火墻技術(shù)代理防火墻作用在應(yīng)用層，用來提供應(yīng)用層服務(wù)的控制。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。所以代理防火墻又被稱為應(yīng)用代理或應(yīng)用層網(wǎng)關(guān)型防火墻。

應(yīng)用層網(wǎng)關(guān)型防火墻控制的內(nèi)部網(wǎng)絡(luò)只接受代理服務(wù)器提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)其它接點(diǎn)的直接請(qǐng)求。它同時(shí)提供了多種方法認(rèn)證用戶。當(dāng)確認(rèn)了用戶名和口令后，服務(wù)器根據(jù)系統(tǒng)的設(shè)置對(duì)用戶進(jìn)行進(jìn)一步的檢查，驗(yàn)證其是否可以訪問本服務(wù)器。應(yīng)用層網(wǎng)關(guān)型防火墻還對(duì)進(jìn)出防火墻的信息進(jìn)行記錄，并可由網(wǎng)絡(luò)管理員用來監(jiān)視和管理防火墻的使用情況。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用代理服務(wù)器實(shí)現(xiàn)。９.２防火墻技術(shù)的分類９.２.４代理防火墻技術(shù)的優(yōu)缺點(diǎn)

代理防火墻技術(shù)的優(yōu)點(diǎn)主要有：（１）代理易于配置。

（２）代理能生成各項(xiàng)記錄。

（３）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。

（４）代理能過濾數(shù)據(jù)內(nèi)容。

（５）代理能為用戶提供透明的加密機(jī)制。

（６）代理可以方便地與其它安全手段集成。代理防火墻技術(shù)的缺點(diǎn)主要有：（１）代理速度較路由器慢。（２）代理對(duì)用戶不透明。（３）對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器。（４）代理服務(wù)通常要求對(duì)客戶、過程之一或兩者進(jìn)行限制。（５）代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制。（６）代理不能改進(jìn)底層協(xié)議的安全性。在實(shí)際應(yīng)用當(dāng)中，構(gòu)筑防火墻的解決方案很少采用單一的技術(shù)，大多數(shù)防火墻是將數(shù)據(jù)包過濾和代理服務(wù)器結(jié)合起來使用的。

９.３防火墻的體系結(jié)構(gòu)

出于對(duì)更高安全性的要求，通常的防火墻體系是多種解決不同問題的技術(shù)的有機(jī)組合。例如，把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，就形成了復(fù)合型防火墻產(chǎn)品。目前常見的配置有以下幾種：（１）屏蔽路由器（ScreeningRouter）屏蔽路由器是防火墻最基本的構(gòu)件，是最簡單也是最常見的防火墻。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。路由器上可以安裝基于IP層的報(bào)文過濾軟件，實(shí)現(xiàn)報(bào)文過濾功能。許多路由器本身帶有報(bào)文過濾配置選項(xiàng)，但一般比較簡單。

（２）雙宿主主機(jī)網(wǎng)關(guān)（DualHomedGateway）雙宿主主機(jī)是一臺(tái)安裝有兩塊網(wǎng)卡的計(jì)算機(jī)，每塊網(wǎng)卡有各自的IP地址，并分別與受保護(hù)網(wǎng)和外部網(wǎng)相連。如果外部網(wǎng)絡(luò)上的計(jì)算機(jī)想與內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)進(jìn)行通信，它就必須與雙宿主主機(jī)上與外部網(wǎng)絡(luò)相連的IP地址聯(lián)系，代理服務(wù)器軟件再通過另一塊網(wǎng)卡與內(nèi)部網(wǎng)絡(luò)相連接。也就是說，外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙宿主主機(jī)的過濾和控制。９.３防火墻的體系結(jié)構(gòu)

（３）屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostGateway）屏蔽主機(jī)網(wǎng)關(guān)由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)。這樣，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實(shí)現(xiàn)了網(wǎng)絡(luò)層安全，有實(shí)現(xiàn)了應(yīng)用層安全。來自外部網(wǎng)絡(luò)的所有通信都會(huì)連接到屏蔽路由器，它根據(jù)所設(shè)置的規(guī)則過濾這些通信。９.３防火墻的體系結(jié)構(gòu)

（４）屏蔽子網(wǎng)

（ScreenedSubnet）屏蔽子網(wǎng)體系結(jié)構(gòu)是在屏蔽主機(jī)網(wǎng)關(guān)的基礎(chǔ)上再添加一個(gè)屏蔽路由器，兩個(gè)路由器放在子網(wǎng)的兩端，三者形成了一個(gè)被稱為“非軍事區(qū)”的子網(wǎng).９.３防火墻的體系結(jié)構(gòu)

這種方法在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)。用兩臺(tái)屏蔽路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信。外部屏蔽路由器和應(yīng)用網(wǎng)關(guān)與在屏蔽主機(jī)網(wǎng)關(guān)中的功能相同，內(nèi)部屏蔽路由器在應(yīng)用網(wǎng)關(guān)和受保護(hù)網(wǎng)絡(luò)之間提供附加保護(hù)。

9.4防火墻的選購策略

防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，它貫穿于整個(gè)網(wǎng)絡(luò)通信主干線，對(duì)通過受控網(wǎng)絡(luò)的任何通信行為進(jìn)行控制、審計(jì)、報(bào)警、反應(yīng)等安全處理，同時(shí)防火墻還承擔(dān)著繁重的通信任務(wù)。由于其自身處于網(wǎng)絡(luò)系統(tǒng)中的敏感位置，同時(shí)還要面對(duì)各種安全威脅，因此，選用一個(gè)安全、穩(wěn)定和可靠的防火墻產(chǎn)品，是極其重要的。在防火墻的選購上，應(yīng)注意以下的一些策略：（1）防火墻自身的安全性（2）防火墻系統(tǒng)的穩(wěn)定性（3）防火墻的性能（4）防火墻的可靠性（5）防火墻的靈活性（6）防火墻配置的方便性（7）防火墻管理的簡便性（8）防火墻抵抗拒絕服務(wù)攻擊的能力（9）防火墻對(duì)用戶身份的過濾能力（10）防火墻的可擴(kuò)展性、可升級(jí)性總之，防火墻作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，可以在很大程度上提高網(wǎng)絡(luò)安全。但網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí)等等。9.5防火墻實(shí)例

9.5.1瑞星個(gè)人防火墻簡介

瑞星個(gè)人防火墻是一套由瑞星公司制作的給個(gè)人計(jì)算機(jī)使用的網(wǎng)絡(luò)安全程序,是為解決網(wǎng)絡(luò)上黑客攻擊問題而研制的個(gè)人信息安全產(chǎn)品，具有完備的規(guī)則設(shè)置，能有效的監(jiān)控任何網(wǎng)絡(luò)連接，保護(hù)網(wǎng)絡(luò)不受黑客的攻擊。它可以根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（SecurityRules）提供強(qiáng)大的訪問控制、應(yīng)用選通、信息過濾等功能，使網(wǎng)絡(luò)保護(hù)更加智能，阻擋了黑客攻擊、木馬程序等網(wǎng)絡(luò)危險(xiǎn)，保護(hù)用戶上網(wǎng)帳號(hào)、QQ密碼等信息不被竊取，極大地提高了用戶計(jì)算機(jī)的上網(wǎng)安全。瑞星個(gè)人防火墻安裝方便，使用簡單，界面簡易清晰，用戶只需購買其安裝程序，在計(jì)算機(jī)上直接運(yùn)行即可。目前最新版本是2008版。9.5防火墻實(shí)例9.5.2瑞星個(gè)人防火墻的使用

（1）安裝和啟動(dòng)瑞星個(gè)人防火墻的安裝非常簡單，用戶只需將瑞星殺毒軟件光盤放入光驅(qū)，系統(tǒng)會(huì)自動(dòng)顯示安裝界面，選擇“安裝瑞星個(gè)人防火墻”。如果沒有自動(dòng)顯示安裝界面，用戶可以瀏覽光盤，運(yùn)行光盤根目錄下的Autorun.exe

程序，然后在彈出的安裝界面中選擇“安裝瑞星個(gè)人防火墻”。（2）升級(jí)

在升級(jí)之前首先要進(jìn)行網(wǎng)絡(luò)配置，以便于訪問網(wǎng)絡(luò)進(jìn)行在線升級(jí)。點(diǎn)擊“設(shè)置”菜單的“設(shè)置網(wǎng)絡(luò)]”命令（如圖9-9），彈出網(wǎng)絡(luò)環(huán)境設(shè)置窗口,如下圖：

9.5防火墻實(shí)例

9.5防火墻實(shí)例程序默認(rèn)的是“使用I