電子商務(wù)的安全技術(shù)第5章匯編

第5章防火墻的構(gòu)造與選擇15.1防火墻概述5.2防火墻的原理5.3防火墻的選擇和使用5.4分布式防火墻技術(shù)25.1防火墻概述5.1.1防火墻的概念5.1.2防火墻設(shè)計(jì)的基本原則

3

5.1.1防火墻的概念

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道或一組執(zhí)行控制策略的防御系統(tǒng)。它對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查，以決定通信是否被允許，對(duì)外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運(yùn)行狀況，并提供單一的安全和審計(jì)的安裝控制點(diǎn)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問和過濾不良信息目的。5.1防火墻概述45.1防火墻概述5.1.2防火墻設(shè)計(jì)的基本原則防火墻的姿態(tài)機(jī)構(gòu)的整體安全策略防火墻的費(fèi)用防火墻的基本構(gòu)件和拓?fù)浣Y(jié)構(gòu)防火墻的維護(hù)和管理方案

55.2防火墻的原理

5.2.1防火墻設(shè)計(jì)的基本準(zhǔn)則5.2.2防火墻的組成5.2.3防火墻不能對(duì)付的安全威脅5.2.4防火墻的分類65.2.1防火墻設(shè)計(jì)的基本準(zhǔn)則一切未被允許的就是禁止的。

如果防火墻采取第一個(gè)準(zhǔn)則，那么需要確定所有可以被提供的服務(wù)以及它們的安全性，然后，開放這些服務(wù)，并將所有其他未被列入的服務(wù)排除在外，禁止訪問。優(yōu)點(diǎn)是可以造成一種十分安全的環(huán)境，其缺點(diǎn)在于用戶所能使用的服務(wù)范圍受到很大限制。一切未被禁止的就是允許的。 如果防火墻采取第二個(gè)準(zhǔn)則，需要確定那些被認(rèn)為是不安全的服務(wù)，禁止其訪問；而其他服務(wù)則被認(rèn)為是安全的，允許訪問。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，可以為用戶提供更多的服務(wù)，其缺點(diǎn)在于很難提供可靠的安全防護(hù)。

5.2防火墻的原理75.2.2防火墻的組成

5.2防火墻的原理E-mail處理域名服務(wù)網(wǎng)關(guān)代理認(rèn)證SOCKS過濾器因特網(wǎng)Internet內(nèi)部網(wǎng)Intranet安全操作系統(tǒng)E-mail域名詢問高級(jí)協(xié)議訪問IP級(jí)數(shù)據(jù)

防火墻主要包括五部分:安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名服務(wù)和E-mail處理。

81安全操作系統(tǒng)

防火墻本身必須建立在安全操作系統(tǒng)所提供的安全環(huán)境中,安全操作系統(tǒng)可以保護(hù)防火墻的代碼和文件免遭入侵者攻擊。這些防火墻的代碼只允許在給定的主機(jī)系統(tǒng)上執(zhí)行，這種限制可以減少非法穿越防火墻的可能性。2過濾器

防火墻的主要目的是控制數(shù)據(jù)包,只允許合法流通過，它要對(duì)專用網(wǎng)和Internet之間傳送的每一數(shù)據(jù)組進(jìn)行干預(yù)。過濾器則執(zhí)行由防火墻管理機(jī)構(gòu)制定的一組規(guī)則，檢驗(yàn)各數(shù)據(jù)組，決定是否允許放行。這些規(guī)則按IP地址、端口號(hào)碼和各類應(yīng)用等參數(shù)確定。5.2防火墻的原理95.2防火墻的原理3網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)(ApplicationGateway)可以在TCP/IP應(yīng)用級(jí)上控制信息流和認(rèn)證用戶。應(yīng)用網(wǎng)關(guān)的功能常常由代理服務(wù)器提供。在專用網(wǎng)中的一個(gè)用戶聯(lián)機(jī)到一個(gè)代理服務(wù)器，代理服務(wù)器對(duì)用戶認(rèn)證，而后使用戶和Internet中遠(yuǎn)端服務(wù)器聯(lián)機(jī)。 SOCKS（套接層）服務(wù)器也對(duì)通過防火墻提供網(wǎng)關(guān)支持，代理服務(wù)器和SOCKS服務(wù)器之間的主要差別是前者要求改變用戶接入Internet服務(wù)器的方式，但不需要修正客戶機(jī)的軟件；而后者則相反。4域名服務(wù)和函件處理 防火墻還可能包括有域名服務(wù)和函件處理。域名服務(wù)使專用網(wǎng)的域名與Internet相隔離，專用網(wǎng)中主機(jī)的內(nèi)部IP地址不至于暴露給Internet中的用戶。函件處理能力保證專用網(wǎng)中用戶和Internet用戶之間的任何函件交換都必須經(jīng)過防火墻處理。105.2防火墻的原理5.2.3防火墻不能對(duì)付的安全威脅1防火墻不能防范來自內(nèi)部的攻擊2防火墻不能防范不經(jīng)由防火墻的攻擊3防火墻不能防止受到病毒感染的軟件或文件的傳輸4防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊

115.2防火墻的原理

5.2.4防火墻的分類1包過濾型防火墻是最簡(jiǎn)單的防火墻。它的處理對(duì)象IP包,其功能是處理通過網(wǎng)絡(luò)的IP包的信息,實(shí)現(xiàn)進(jìn)出網(wǎng)絡(luò)的安全控制。應(yīng)用數(shù)據(jù)包過濾（packetfiltering）技術(shù)在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，只有通過檢查的IP包才能正常轉(zhuǎn)發(fā)出去。其選擇的依據(jù)是訪問控制表ACL（AccessControlList），通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或通過檢查它們的組合來決定是否允許該數(shù)據(jù)包通過。實(shí)現(xiàn)原理如圖所示。12

5.2防火墻的原理包過濾型防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用網(wǎng)絡(luò)性能和透明性好。缺點(diǎn)：數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，易被竊聽或假冒，形成各種安全漏洞。大多過濾器中過濾規(guī)則的數(shù)目有限制，且隨著規(guī)則數(shù)目的增加，性能受影響。包過濾的規(guī)則可能比較復(fù)雜，且不易驗(yàn)證其正確性。由于缺少上下文關(guān)聯(lián)信息，不能有效過濾某些協(xié)議。大多不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。大多對(duì)安全管理人員素質(zhì)要求高13

5.2防火墻的原理2應(yīng)用網(wǎng)關(guān)型防火墻應(yīng)用級(jí)網(wǎng)關(guān)（ApplicationLevelGateways）是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常裝在專用工作站系統(tǒng)上，其實(shí)現(xiàn)原理如圖所示。145.2防火墻的原理3代理服務(wù)型防火墻代理服務(wù)型防火墻是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信線路分為兩段。

代理服務(wù)器代理客戶機(jī)器客戶機(jī)服務(wù)器請(qǐng)求轉(zhuǎn)發(fā)應(yīng)答應(yīng)答防火墻代理轉(zhuǎn)發(fā)請(qǐng)求間代理獲得客戶機(jī)和服務(wù)器之間通信的全部控制權(quán)155.2防火墻的原理代理服務(wù)型防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。缺點(diǎn)：最大缺點(diǎn)就是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。大多是基于主機(jī)的，價(jià)格比較貴，安裝和使用比數(shù)據(jù)包過濾的防火墻復(fù)雜。165.3防火墻的選擇和使用

5.3.1防火墻的選擇原則

5.3.2防火墻產(chǎn)品的分類

5.3.3防火墻產(chǎn)品的介紹175.3.1防火墻的選擇原則網(wǎng)絡(luò)的安全性主要是指網(wǎng)絡(luò)信息的安全性和網(wǎng)絡(luò)路由的安全性。網(wǎng)絡(luò)路由的安全性保障了網(wǎng)絡(luò)信息的安全性，而網(wǎng)絡(luò)路由的安全性通?？捎煞阑饓?shí)現(xiàn)。所以選擇防火墻首先要確定網(wǎng)絡(luò)信息的保護(hù)策略，然后對(duì)防火墻進(jìn)行評(píng)價(jià)、分析，最后決定采用什么樣的防火墻。

1要考慮網(wǎng)絡(luò)結(jié)構(gòu)2要考慮到業(yè)務(wù)應(yīng)用系統(tǒng)需求3要考慮用戶及通信流量規(guī)模方面的需求4要考慮到可靠性、可用性、易用性等方面的需求5.3防火墻的選擇和使用18

5.3.2防火墻產(chǎn)品的分類按組成結(jié)構(gòu)而言，將防火墻產(chǎn)品分為以下三種：軟件防火墻軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。

硬件防火墻硬件防火墻是指所謂的硬件防火墻。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)。

芯片級(jí)防火墻

基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。

5.3防火墻的選擇和使用

195.3.3防火墻產(chǎn)品的介紹1CheckpointFirewall-1防火墻2SonicWALL系列防火墻3NetScreen防火墻4AlkatelInternetDevices系列防火墻5北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻6NAIGauntlet防火墻7CiscoPIX防火墻5.3防火墻的選擇和使用

20CheckpointFirewall-1防火墻是一個(gè)綜合的、模塊化的安全套件，它是一個(gè)基于策略的解決方案。CPFirewall-1套件提供單一的、集中的分布式安全策略，跨越Unix、NT、路由器、交換機(jī)和其他外圍設(shè)備，提供大量的API，有100多個(gè)解決方案和OEM廠商的支持。由3個(gè)交互操作的組件構(gòu)成：控制組件、加強(qiáng)組件和可選組件。這些組件既可以運(yùn)行在單機(jī)上，也可以部署在跨平臺(tái)系統(tǒng)上。操作在操作系統(tǒng)的核心層進(jìn)行，而不是在應(yīng)用程序?qū)?，這樣可以使系統(tǒng)達(dá)到最高性能的擴(kuò)展和升級(jí)。支持基于Web的多媒體和基于UDP的應(yīng)用程序，并采用多重驗(yàn)證模板和方法。支持幾乎所有平臺(tái)，但價(jià)格偏高。5.3防火墻的選擇和使用21SonicWALL系列防火墻SonicWALL系列防火墻是在NASDAQ上市的美國(guó)SONICWALL公司的著名網(wǎng)絡(luò)安全產(chǎn)品，是目前全球銷量最大的硬件防火墻和市場(chǎng)占有率最高的硬件VPN產(chǎn)品。SonicWALL采用軟硬件一體化設(shè)計(jì)，在高性能硬件平臺(tái)上，利用先進(jìn)的防火墻技術(shù)和SonicWALL專有的安全高效的實(shí)時(shí)操作系統(tǒng)。采用世界領(lǐng)先的加密算法、身份認(rèn)證技術(shù)以及網(wǎng)絡(luò)防病毒技術(shù)，是一個(gè)強(qiáng)大的，集應(yīng)用級(jí)防火墻、入侵報(bào)警、內(nèi)容過濾、VPN、網(wǎng)絡(luò)防病毒等多種安全策略為一體的，穩(wěn)定可靠的高性能網(wǎng)絡(luò)安全系統(tǒng)。具有優(yōu)秀的性價(jià)比。5.3防火墻的選擇和使用

22NetScreen

防火墻是NetScreen科技公司推出的一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品，具有Trusted（可信端口）、Untrusted（非信任端口）、Optional（可選端口）三個(gè)J-45網(wǎng)絡(luò)接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快閃存儲(chǔ)器。優(yōu)勢(shì)之一是采用了新的體系結(jié)構(gòu)，可以有效地消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加盟時(shí)的性能瓶頸，能實(shí)現(xiàn)最高級(jí)別的IP安全保護(hù)。在執(zhí)行效率和帶寬處理的能力上性能優(yōu)越。

AlkatelInternetDevices系列防火墻采用獨(dú)有的ASIC設(shè)計(jì)和基于Intel的FreeBSDUnix平臺(tái)，使用簡(jiǎn)單易行，配置簡(jiǎn)單。率先提供了100MB的吞吐能力和無用戶數(shù)限制，并支持64000個(gè)并發(fā)會(huì)話，有效地消除了軟件防火墻的性能瓶頸，達(dá)到了安全和性能的統(tǒng)一。5.3防火墻的選擇和使用

23北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻是我國(guó)第一套自主版權(quán)的防火墻系統(tǒng)，目前在我國(guó)電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。其中，防火墻由多個(gè)模塊組成，包括包過濾、應(yīng)用代理、NAT、VPN、防攻擊等功能模塊，各模塊可分離、裁剪和升級(jí)，以滿足不同用戶的需求。在體系結(jié)構(gòu)上，網(wǎng)絡(luò)衛(wèi)士采用了集中控制下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu)，性能好、配置靈活。采用了領(lǐng)先一步的SSN（安全服務(wù)器網(wǎng)絡(luò)）技術(shù)，安全性高于其他防火墻普遍采用的DMZ（隔離區(qū)）技術(shù)。NAIGauntlet防火墻使用完全的代理服務(wù)方式提供廣泛的協(xié)議支持以及高速的吞吐能力，很好地解決了安全、性能及靈活性之間的協(xié)調(diào)問題。Gauntlet防火墻的新型自適應(yīng)代理技術(shù)還允許單個(gè)安全產(chǎn)品，如安全脆弱性掃描器、病毒安全掃描器和入侵防護(hù)傳感器之間實(shí)現(xiàn)更加靈活的集成。5.3防火墻的選擇和使用

24CiscoPIX防火墻是最具代表性的硬件防火墻，屬狀態(tài)檢測(cè)型。由于它采用了自有的實(shí)時(shí)嵌入式操作系統(tǒng)，因此減少了黑客利用操作系統(tǒng)BUG攻擊的可能性。就性能而言，CiscoPIX是同類硬件防火墻產(chǎn)品中最好的，對(duì)100BaseT可達(dá)線速。但是，其優(yōu)勢(shì)在軟件防火墻面前便不呈現(xiàn)不明顯了。其缺陷主要有三：其一價(jià)格昂貴，其二升級(jí)困難，其三是管理煩瑣復(fù)雜。5.3防火墻的選擇和使用

255.4分布式防火墻技術(shù)

5.4.1分布式防火墻的產(chǎn)生5.4.2傳統(tǒng)邊界式防火墻的固有欠缺5.4.3分布式防火墻的主要特點(diǎn)5.4.4分布式防火墻的主要優(yōu)勢(shì)5.4.5分布式防火墻的基本原理5.4.6分布式防火墻的主要功能

265.4.1分布式防火墻的產(chǎn)生

傳統(tǒng)意義上的邊界防火墻用于限制被保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）之間相互進(jìn)行信息存取、傳遞操作。分布式防火墻是一種主機(jī)駐留式的安全系統(tǒng)，用以保護(hù)企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點(diǎn)服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為“不友好的”。分布式防火墻克服了操作系統(tǒng)所具有的已知及未知的安全漏洞，如DoS(拒絕服務(wù))、應(yīng)用及口令攻擊。從而使操作系統(tǒng)得到強(qiáng)化。分布式防火墻對(duì)每個(gè)服務(wù)器都能進(jìn)行專門的保護(hù)。5.4分布式防火墻技術(shù)27

5.4.2傳統(tǒng)邊界式防火墻的固有欠缺

網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制內(nèi)部安全隱患仍在效率較低和故障率高5.4分布式防火墻技術(shù)28

5.4.3分布式防火墻的主要特點(diǎn)主機(jī)駐留嵌入操作系統(tǒng)內(nèi)核類似于個(gè)人防火墻適用于服務(wù)器托管5.4分布式防火墻技術(shù)295.4.4分布式防火墻的主要優(yōu)勢(shì)更強(qiáng)的