計(jì)算機(jī)安全技術(shù)第五講防火墻

第5講防火墻

一、概論

二、防火墻種類

三、防火墻體系結(jié)構(gòu)

四、防火墻技術(shù)回顧

五、防火墻新技術(shù)

■概論

?1、防火墻的提出

?2、防火墻示意圖

?3、防火墻是什么

?4、防火墻概念

?5、防火墻實(shí)現(xiàn)層次

?6、防火墻功能

?7、防火墻的作用

?8、爭(zhēng)議及不足

1、防火墻的提出

【業(yè)上網(wǎng)面臨的安全問題之一:

內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的有效隔離

解答:

防火墻

網(wǎng)絡(luò)間的訪問

一需隔離FIREWALL

2、防火墻示意圖

二一1.企業(yè)內(nèi)聯(lián)網(wǎng)

3、防火墻是

什么(1)

|4W^ut

privileges

,在一個(gè)受保護(hù)的企

業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)

網(wǎng)間，用來強(qiáng)制執(zhí)

行企業(yè)安全策略的

一個(gè)或一組系統(tǒng).

3、防火墻是什么（2）

?防火墻主要用于保護(hù)內(nèi)部安全網(wǎng)絡(luò)免

受外部網(wǎng)不安全網(wǎng)絡(luò)的侵害。

?典型情況：安全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò),

不安全網(wǎng)絡(luò)為因特網(wǎng)。

-但防火墻不只用于因特網(wǎng)，也可用于

Intranet各部門網(wǎng)絡(luò)之間（內(nèi)部防火

墻）。例：財(cái)務(wù)部與市場(chǎng)部之間。

4、防火墻概念（1）

?最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時(shí)侯，人

們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。

這種墻被稱之為防火墻。

?RichKosinski（InternetSecurity公司總裁）：

防火墻是一種訪問控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)

絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息

資源的非法訪問。換句話說，防火墻是一道門

檻，控制進(jìn)/出兩個(gè)方向的通信。

4、防火墻概念(2)

?Wi11iamCheswick和SteveBeilovin

F(1994)：防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的

一組組件，這組組件共同具有下列性質(zhì)：

1.只允許本地安全策略授權(quán)的通信信息通

過

2.雙向通信信息必須通過防火墻

3.防火墻本身不會(huì)影響信息的流通

4、防火墻概念（3）

?簡(jiǎn)單的說，網(wǎng)絡(luò)安全的第一道防線

?防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間

（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬

件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行

控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)

重要信息資源的非法存取和訪問以達(dá)到保護(hù)系

統(tǒng)安全的目的。

5、防火墻實(shí)現(xiàn)層次

應(yīng)用層/網(wǎng)關(guān)級(jí)C

表示層"

會(huì)話層，

傳輸層K電路級(jí)Q

網(wǎng)絡(luò)層一路由器級(jí)”

數(shù)據(jù)鏈路層“網(wǎng)橋級(jí)。

物理層，中繼器級(jí)“

安全區(qū)域防火墻系統(tǒng)非保護(hù)區(qū)

6、防火墻功能（1）基本功能

模塊

內(nèi)容過濾用戶認(rèn)證

應(yīng)用程序代理

包過濾&狀態(tài)檢測(cè)

IDS與報(bào)警

火捻出網(wǎng)絡(luò)的訪問行為

回封堵某些禁止的業(yè)務(wù)

功記縣潮勺網(wǎng)絡(luò)的信息和活動(dòng)

能寸平竺士土'塞行亡測(cè)干一士警

7、防火墻的作用（1）

?Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”

.（要塞點(diǎn)）來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入

內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊

來自各種路線的攻擊。Internet防火墻能夠簡(jiǎn)化安全管理,

網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)

部網(wǎng)絡(luò)的所有王機(jī)上。

?在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。

應(yīng)該注意的是：對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的

機(jī)構(gòu)來說，重要的問題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是

何時(shí)會(huì)受到攻擊。網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過防

火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審

查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管

理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。

7、防火墻的作用（2）

?Internet防火墻可以作為部署NAT（Network

.AddressTranslator,網(wǎng)絡(luò)地址變換）的邏輯地

址。因此防火墻可以用來緩解地址空間短缺的問

題，并消除機(jī)構(gòu)在變換ISP時(shí)帶來的重新編址的麻

煩。

?Internet防火墻是審計(jì)和記錄Internet使用量的

一個(gè)最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門

提供Internet連接的費(fèi)用情況，查出潛在的帶寬

瓶頸的位置，并能夠根據(jù)機(jī)構(gòu)的核算模式提供部

門級(jí)的記費(fèi)。

?Internet防火墻也可以成為向客戶發(fā)布信息的地

點(diǎn)。Internet防火墻作為部署WWW服務(wù)器和FTP服

務(wù)器的地點(diǎn)非常理想。還可以對(duì)防火墻進(jìn)行配置,

允許Internet訪問上述服務(wù)，而禁止外部對(duì)受保護(hù)的

內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問。

7、防火墻的作用（3）示意圖

8、爭(zhēng)議及不足

?使用不便，認(rèn)為防火墻給人虛假的安全感

?對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸

及單點(diǎn)失效

?不能替代墻內(nèi)的安全措施

-不能防范惡意的知情者

-不能防范不通過它的連接（大量潛在的后門）

-不能防范全新的威脅

-不能有效地防范數(shù)據(jù)驅(qū)動(dòng)式的攻擊

-當(dāng)使用端-端加密時(shí)，其作用會(huì)受到很大的限制

?限制有用的網(wǎng)絡(luò)服務(wù)

?不能防備病毒，被動(dòng)防護(hù)

-一,二、防火墻種類

?1、防火墻的種類

?2、包過濾防火墻

?3、代理服務(wù)器

?4、電路級(jí)網(wǎng)關(guān)技術(shù)

?5、全狀態(tài)檢查

1、防火墻的種類

■防火墻的存在形式：軟件、硬件。

?根據(jù)防范方式和側(cè)重點(diǎn)的不同可分為四

類：

-包過濾

-應(yīng)用層代理

-電路層代理

-狀態(tài)檢查

?2「包過濾防，Q墻⑴.

Inte:…m…et1

■V-T'""

_,—/

根據(jù)站點(diǎn)的安全策

包過濾路由器“

略來決定是否轉(zhuǎn)發(fā)

數(shù)據(jù)包

一

—、

Jf*

\內(nèi)部。網(wǎng)絡(luò)”:

一-_—_一

I---------------------------------

2、包過濾防火墻（2）

-.包過濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。防火墻審查

每個(gè)數(shù)據(jù)報(bào)以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于

可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息。

?包頭信息中包括IP源地址、IP目標(biāo)端地址、內(nèi)裝協(xié)（TCP、UDP、

ICMP、或IPTimnel）、TCP/UDP目標(biāo)端口、ICMP消息類型、TCP包頭

中的ACK位

-包的進(jìn)入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)

據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)

包，那么該數(shù)據(jù)包就會(huì)被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省

參數(shù)會(huì)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。

-包過濾防火墻使得防火墻能夠根據(jù)特定的服務(wù)允許或拒絕流動(dòng)的數(shù)據(jù)，

因?yàn)槎鄶?shù)的服務(wù)收聽者都在已知的TCP/UDP端口號(hào)上。例如，Telnet服

務(wù)器在TCP的23號(hào)端口上監(jiān)聽遠(yuǎn)地連接，而SMTP服務(wù)器在TCP的25號(hào)

端口上監(jiān)聽人連接。為了阻塞所有進(jìn)入的Telnet連接，防火墻只需簡(jiǎn)單

的丟棄所有TCP端口號(hào)等于23的數(shù)據(jù)包。為了將進(jìn)來的Telnet連接限制

到內(nèi)部的數(shù)臺(tái)機(jī)器上，防火墻必須拒絕所有TCP端口號(hào)等于23并且目標(biāo)

IP地址不等于允許主機(jī)的IP地址的數(shù)據(jù)包。

2、包過濾防火墻（3）

靜態(tài)包過濾

?根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息，決定是否

允許該數(shù)據(jù)包通過

?判斷依據(jù)有（只考慮IP包）：

-數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等

-源、目的IP地址

-源、目的端口：FTP、HTTP、DNS等

-IP選項(xiàng)：源路由、記錄路由等

-TCP選項(xiàng)：SYN、ACK、FIN、RST等

-其它協(xié)議選項(xiàng)：ICMPECHO、ICMPECHOREPLY等

-數(shù)據(jù)包流向：in或out

-數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：ethO>ethl

二2、包過濾防火墻（4）

,動(dòng)態(tài)包過濾

?Checkpoint一項(xiàng)稱為StatefulInspection^

的技術(shù)

?可動(dòng)態(tài)生成/刪除規(guī)則

■分析高層協(xié)議

2、包過濾防火墻（5）

481632bit

VersionIHLTypeofserviceTotallength

IdentificationFlagsFragmentoffset

TimetoliveProtocolHeaderchecksum

Sourceaddress

Destinationaddress

Option+Padding

Data

?IP數(shù)據(jù)包格式

?有關(guān)IP分段的拒絕服務(wù)攻擊

-2、包過濾防火墻（6）檢查內(nèi)容

?數(shù)據(jù)包過濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層

的頭：

-IP源地址

-IP目標(biāo)地址

-協(xié)議類型（TCP包、UDP包和ICMP包）

-TCP或UDP包的目的端口

-TCP或UDP包的源端口

-ICMP消息類型

-TCP包頭的ACK位

-TCP包的序列號(hào)、IP校驗(yàn)和等

2、包過濾防火墻（8）優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：

應(yīng)用層

應(yīng)用層?速度快，性能高

表示層表ZF層?對(duì)用戶透明

會(huì)話層會(huì)話層

傳輸層傳輸層

一網(wǎng)絡(luò)層_缺點(diǎn)：

網(wǎng)絡(luò)層V_網(wǎng)絡(luò)層

?維護(hù)比較困難（需要對(duì)TCP/IP了解）

數(shù)據(jù)鏈路層

數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層?安全性低（IP欺騙等）

物理層物理?不提供有用的日志，或根本就不提供

物理層層

互連的物理介質(zhì)?不防范數(shù)據(jù)驅(qū)動(dòng)型攻擊

?不能根據(jù)狀態(tài)信息進(jìn)行控制

?不能處理網(wǎng)絡(luò)層以上的信息

?無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的

控制

2、包過濾防火墻（9）透明模

式包過濾:網(wǎng)橋形式

PublicAddress

ToInternet

3、代理服務(wù)器（1）

?代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用

程序或者服務(wù)器程序。不允許通信直接經(jīng)過外

部網(wǎng)和內(nèi)部網(wǎng)。

?將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。

?防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，

由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)

3、代理服務(wù)器（2）

1.網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度的訪問

控制

2.對(duì)每一類應(yīng)用，都需要一個(gè)專門的代理

3.靈活性不夠

F

3、代理服務(wù)器(3)Telnet

代理服務(wù)器

3、代理服務(wù)器（4）代理服務(wù)

的分類

?代理服務(wù)分類：代理服務(wù)可分為應(yīng)用級(jí)代理與

電路級(jí)代理：

?應(yīng)用級(jí)代理是已知代理服務(wù)向哪一應(yīng)用提供的

代理，它在應(yīng)用協(xié)議中理解并解釋命令。應(yīng)用

級(jí)代理的優(yōu)點(diǎn)為它能解釋應(yīng)用協(xié)議從而獲得更

多的信息，缺點(diǎn)為只適用于單一協(xié)議。

?電路級(jí)代理是在客戶和服務(wù)器之間不解釋應(yīng)用

協(xié)議即建立回路。電路級(jí)代理的優(yōu)點(diǎn)在于它能

對(duì)各種不同的協(xié)議提供服務(wù)，缺點(diǎn)在于它對(duì)因

代理而發(fā)生的情況幾乎不加控制。

3、代理服務(wù)器（5）應(yīng)用層

代理的優(yōu)點(diǎn)

?能夠讓網(wǎng)絡(luò)管理員對(duì)服務(wù)進(jìn)行全面的控制，包

括控制提供那些服務(wù)。因?yàn)榇響?yīng)用限制了命

令集并決定哪些內(nèi)部主機(jī)可以被該服務(wù)訪問。

沒有特定服務(wù)的代理就表示該服務(wù)不提供。

?易于配置和測(cè)試

■防火墻可以被配置成唯一的可被外部看見的主

機(jī)，這樣可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)

攻。

?應(yīng)用層代理有能力支持可靠的用戶認(rèn)證并提供

詳細(xì)的注冊(cè)信息。另外，用于應(yīng)用層的過濾規(guī)

則相對(duì)于包過濾防火墻來說更容易配置和測(cè)試。

?代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控

制會(huì)話，所以可以提供很詳細(xì)的日志和安全審

計(jì)功能C

3、代理服務(wù)器（6）應(yīng)用層代理的缺點(diǎn)

?應(yīng)用層代理的最大缺點(diǎn)是要求用戶改變自己的行為，

或者在訪問代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的軟件。比

如，透過應(yīng)用層代理Telnet訪問要求用戶通過兩步而不是

一步來建立連接。不過，特殊的端系統(tǒng)軟件可以讓用戶

在Telnet命令中指定目標(biāo)主機(jī)而不是應(yīng)用層代理來使應(yīng)用

層代理透明。

?每個(gè)應(yīng)用程序都必須有一個(gè)代理服務(wù)程序來進(jìn)行安全

控制，每一種應(yīng)用升級(jí)時(shí)，一般代理服務(wù)程序也要升級(jí)。

一3、代理服務(wù)器(7)一些實(shí)現(xiàn)

?商業(yè)版防火墻產(chǎn)品

?商業(yè)版代理(cache)服務(wù)器

?OpenSource

-TISFWTK(Firewalltoolkit)

-Apache

-Squid

4、電路級(jí)網(wǎng)關(guān)技術(shù)（1）

?拓?fù)浣Y(jié)構(gòu)同應(yīng)用程序網(wǎng)關(guān)相同

?接收客戶端連接請(qǐng)求，代理客戶端完成網(wǎng)絡(luò)連

接

?在客戶和服務(wù)器間中轉(zhuǎn)數(shù)據(jù)

?通用性強(qiáng)

4、電路級(jí)網(wǎng)關(guān)技術(shù)（2）

?實(shí)現(xiàn)方式：簡(jiǎn)單重定向

-根據(jù)客戶的地址及所請(qǐng)求端口，將該連接重定向到

指定的服務(wù)器地址及端口上

-對(duì)客戶端應(yīng)用完全透明

?實(shí)現(xiàn)方式：在轉(zhuǎn)發(fā)前同客戶端交換連接信息

-需對(duì)客戶端應(yīng)用作適當(dāng)修改

,Sockify

?一些實(shí)現(xiàn)：Socks>Winsock、Dante

5、全狀態(tài)檢查（1）

?狀態(tài)檢測(cè)技術(shù)：在包過濾的同時(shí)，檢察數(shù)據(jù)包

之間的關(guān)聯(lián)性，數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。

?監(jiān)測(cè)引擎：一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的

軟件模塊。

?監(jiān)測(cè)引擎采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信

的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保

存起來作為以后執(zhí)行安全策略的參考。

?當(dāng)用戶訪問請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)

監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配

置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)

警或給該通信加密等處理動(dòng)作。

5、全狀態(tài)檢查（2）狀態(tài)檢測(cè)

「F的優(yōu)缺點(diǎn)

?優(yōu)點(diǎn)：

-一旦某個(gè)訪問違反安全規(guī)定，就會(huì)拒絕該訪

問，并報(bào)告有關(guān)狀態(tài)作日志記錄。

-它會(huì)監(jiān)測(cè)無連接狀態(tài)的遠(yuǎn)程過程調(diào)用（RPC）

和用戶數(shù)據(jù)報(bào)（UDP）之類的端口信息。

?缺點(diǎn)：

-降低網(wǎng)絡(luò)速度

-配置比較復(fù)雜

6、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)

.(1)

?解決方法：網(wǎng)絡(luò)地址轉(zhuǎn)換器就是在防火墻上裝

一個(gè)合法IP地址集。

-當(dāng)內(nèi)部某一用戶要訪問Internet時(shí)，防火墻動(dòng)態(tài)地從

地址集中選一個(gè)未分配的地址分配給該用戶；

-同時(shí)，對(duì)于內(nèi)部的某些服務(wù)器如Web服務(wù)器，網(wǎng)絡(luò)

地址轉(zhuǎn)換器允許為其分配一個(gè)固定的合法地址。

?好處：

-緩解IP地址匱乏問題；

-對(duì)外隱藏了內(nèi)部主機(jī)的IP地址，提高了安全性。

、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)(2)

源IP瑁的IPI源IP目的IP

10.0.202.112.202.112.202.112.

108.50|

0.108108.3108.50

防火墻網(wǎng)關(guān)

源IP目的IP/源IP目的IP

202.112.10.0.202.112.202.112.

108.500.108108.50108.3

NAT技術(shù)中將不合法IP轉(zhuǎn)換

為合法IP

6、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）

問題：所有返回?cái)?shù)據(jù)包目的IP都是,

防火墻如何識(shí)別并送回真正主機(jī)？

方法：1、防火墻記住所有發(fā)送包的目的端口；

2、防火墻記住所有發(fā)送包的TCP序列號(hào)

三、防火墻體系結(jié)構(gòu)

?1、雙重宿主主機(jī)體系結(jié)構(gòu)

?2、屏蔽主機(jī)體系結(jié)構(gòu)

?3、屏蔽子網(wǎng)體系結(jié)構(gòu)

?4、其它的防火墻結(jié)構(gòu)

1＞雙重宿主主機(jī)體系結(jié)構(gòu)（1）

?雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)

筑的。

?雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)

部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機(jī)可以充當(dāng)

與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從

一個(gè)網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。

然而實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止

這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP

通信。

?兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享和

應(yīng)用層代理服務(wù)的方法實(shí)現(xiàn)。一般情況下采用

代理服務(wù)的方法。

1、雙重宿主主機(jī)體系結(jié)構(gòu)（2）

，?

防火墻許

雙重宿.主主機(jī)

□|/能即,甌期a0

內(nèi)部網(wǎng)絡(luò)

*:I

■

-「

雙重宿主主機(jī)體系結(jié)構(gòu)

1＞雙重宿主主機(jī)體系結(jié)構(gòu)（3）

?雙重宿主主機(jī)的特性：

-安全至關(guān)重要（唯一通道），其用戶口令控

制安全是關(guān)鍵。

-必須支持很多用戶的訪問（中轉(zhuǎn)站），其性

能非常重要。

?缺點(diǎn)：雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的

唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便

向入侵者敞開大門。

2、屏蔽主機(jī)體系結(jié)構(gòu)（1）

?屏蔽主機(jī)體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘

主機(jī)承擔(dān)安全責(zé)任。一般這種防火墻較簡(jiǎn)單，

可能就是簡(jiǎn)單的路由器。

?典型構(gòu)成：包過濾路由器+堡壘主機(jī)。

-包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外

部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機(jī)。

-堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)連接

到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需要擁有高等級(jí)的安全。

2＞屏蔽主機(jī)體系結(jié)構(gòu)（2）

?屏蔽路由器可按如下規(guī)則之一進(jìn)行配置：

-允許內(nèi)部主機(jī)為了某些服務(wù)請(qǐng)求與外部網(wǎng)上的主機(jī)

建立直接連接（即允許那些經(jīng)過過濾的服務(wù)）。

-不允許所有來自外部主機(jī)的直接連接。

?安全性更高，雙重保護(hù)：實(shí)現(xiàn)了網(wǎng)絡(luò)層安全

（包過濾）和應(yīng)用層安全（代理服務(wù)）。

?缺點(diǎn)：過濾路由器能否正確配置是安全與否的

關(guān)鍵。如果路由器被損害，堡壘主機(jī)將被穿過,

整個(gè)網(wǎng)絡(luò)對(duì)侵襲者是開放的。

2,屏蔽主機(jī)體系結(jié)構(gòu)(3)

___-vx><?_

因特網(wǎng)

防火墻

r-r

??

□□

3、屏蔽子網(wǎng)體系結(jié)構(gòu)（1）

?屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)

構(gòu)一樣，但添加了額外的一層保護(hù)體系——周

邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)

和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。

?原因：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的

機(jī)器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減

少在堡壘主機(jī)被侵入的影響。

3＞屏蔽子網(wǎng)體系結(jié)構(gòu)(3)

?周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置

一些信息服務(wù)器，它們是犧牲主機(jī)，可

能會(huì)受到攻擊，因此又被稱為非軍事區(qū)

(DMZ)o

?周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵

者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽。

例：netxray等的工作原理。

3＞屏蔽子網(wǎng)體系結(jié)構(gòu)（4）

?堡壘主機(jī)

-堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個(gè)防御體系的

核心。

-堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運(yùn)行

各種代理服務(wù)程序。

-對(duì)于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過堡

壘主機(jī)代理，但對(duì)于入站服務(wù)應(yīng)要求所有服

務(wù)都通過堡壘主機(jī)。

3＞屏蔽子網(wǎng)體系結(jié)構(gòu)（5）

?外部路由器（訪問路由器）

-作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵

犯。

?它把入站的數(shù)據(jù)包路由到堡壘主機(jī)。

?防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來自周邊網(wǎng)

絡(luò)，而內(nèi)部路由器不可。

?內(nèi)部路由器（阻塞路由器）

-作用：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵

害，它執(zhí)行大部分過濾工作。

-外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。

7

4＞其它的防火墻結(jié)構(gòu)（1）

Outside—Z一|r

PublicAccessServer一

Demilitarized

Zones(DMZs)PublicAccessServer

4、其它的防火墻結(jié)構(gòu)（2）

?一個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)示意圖

蛀業(yè)［夕俎遠(yuǎn)用■，卜在1、

4、幫聯(lián)的腳施廨有翻遍）

夕卜部堡壘主機(jī)

內(nèi)部DMZ

內(nèi)部堡壘主機(jī)

內(nèi)吾日網(wǎng)

斗My%田&”：-，3\

5＞防火墻的安全標(biāo)準(zhǔn)（1）

?防火墻技術(shù)發(fā)展很快，但是現(xiàn)在標(biāo)準(zhǔn)尚不健全,

導(dǎo)致不同的防火墻產(chǎn)品兼容性差，給不同廠商

的防火墻產(chǎn)品的互聯(lián)帶來了困難。

?為了解決這個(gè)問題目前已提出了2個(gè)標(biāo)準(zhǔn)：

-1、RSA數(shù)據(jù)安全公司與一些防火墻的生產(chǎn)廠

商（如Checkpoint公司、TIS公司等）以及一些

TCP/IP協(xié)議開發(fā)商（如FTP公司等）提出了

Secure/WAN（S/WAN）標(biāo)準(zhǔn)，它能使在IP

層上由支持?jǐn)?shù)據(jù)加密技術(shù)的不同廠家生產(chǎn)的防

火墻和TCP/IP協(xié)議具有互操作性，從而解決

了建立虛擬專用網(wǎng)（VPN）的一個(gè)主要障礙。

5＞防火墻的安全標(biāo)準(zhǔn)（2）

?此標(biāo)準(zhǔn)包含兩個(gè)部分：

?①防火墻中采用的信息加密技術(shù)一致，即加密

算法、安全協(xié)議一致，使得遵循此標(biāo)準(zhǔn)生產(chǎn)的

防火墻產(chǎn)品能夠?qū)崿F(xiàn)無縫互聯(lián)，但又不失去加

密功能；

?②安全控制策略的規(guī)范性、邏輯上的正確合理

性，避免了各大防火墻廠商推出的防火墻產(chǎn)品

由于安全策略上的漏洞而對(duì)整個(gè)內(nèi)部保護(hù)網(wǎng)絡(luò)

產(chǎn)生危害。

5＞防火墻的安全標(biāo)準(zhǔn)(3)

?2、美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)NCSA(National

ComputerSecurityAssociation)成立的防火墻

開發(fā)商FWPD(FirewallProductDeveloper)聯(lián)

盟制訂的防火墻測(cè)試標(biāo)準(zhǔn)。

?3、我國(guó)質(zhì)量技術(shù)監(jiān)督局1999.11.11發(fā)布,

200051開始實(shí)施:

-包過濾防火墻安全技術(shù)要求

-應(yīng)用級(jí)防火墻安全技術(shù)要求

-網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求

四、防火墻技術(shù)回顧

?1、防火墻技術(shù)與產(chǎn)品發(fā)展回顧

■防火墻產(chǎn)品目前已形成一個(gè)產(chǎn)業(yè)，年增

長(zhǎng)率達(dá)173%。

?五大基本功能：

-過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；

-管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；

-封堵某些禁止的業(yè)務(wù)；

-記錄通過防火墻的信息內(nèi)容和活動(dòng)；

-對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警。

一2、防火墻產(chǎn)品發(fā)展的四個(gè)階段

?基于路由器的防火墻

?用戶化的防火墻工具套件

?建立在通用操作系統(tǒng)上的防火墻

-具有安全操作系統(tǒng)的防火墻

3、第三代：基于路由器的包過

濾防火墻(1)-

(Internet

X,………’….5

箕略來饕決定譬是否轉(zhuǎn)梵發(fā)包過濾路由器“

數(shù)據(jù)包“

\內(nèi)部網(wǎng)絡(luò)n

包過濾型防火墻

3、第一代：基于路由器的包過

,濾防火墻（2）

■特征：

?以訪問控制表方式實(shí)現(xiàn)分組過濾

-過濾的依據(jù)是IP地址、端口號(hào)和其它網(wǎng)絡(luò)特征

?只有分組過濾功能，且防火墻與路由器一體

?缺點(diǎn)：

?路由協(xié)議本身具有安全漏洞

-路由器上的分組過濾規(guī)則的設(shè)置和配置復(fù)雜

?攻擊者可假冒地址

?本質(zhì)缺陷：一對(duì)矛盾，防火墻的設(shè)置會(huì)大大降低路由器的

性能。

-路由器：為網(wǎng)絡(luò)訪問提供動(dòng)態(tài)靈活的路由

-防火墻：對(duì)訪問行為實(shí)施靜態(tài)固定的控制

4、第二代:用戶化的防火墻工

具套件（1）

4、第二代:用戶化的防火墻工

具套件（2）

■特征：

-將過濾功能從路由器中獨(dú)立出來，并加上審計(jì)和告

警功能；

-針對(duì)用戶需求提供模塊化的軟件包；

-安全性提高，價(jià)格降低；

-純軟件產(chǎn)品，實(shí)現(xiàn)維護(hù)復(fù)雜。

?缺點(diǎn)：

-配置和維護(hù)過程復(fù)雜費(fèi)時(shí)；

-對(duì)用戶技術(shù)要求高；

-全軟件實(shí)現(xiàn)，安全性和處理速度均有局限；

5、第三代：建立在通用操作系

統(tǒng)上的防火墻（1）

?是近年來在市場(chǎng)上廣泛可用的一代產(chǎn)品。

?特征

-包括分組過濾或借用路由器的分組過濾功能;

-裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)

和指令；

-保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的

設(shè)置；

-安全性和速度大為提高。

5、第三代：建立在通用操作系

統(tǒng)上的防火墻（2）

?實(shí)現(xiàn)方式：軟件、硬件、軟硬結(jié)合。

?問題：

-作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核的安全性無從保證。

-通用操作系統(tǒng)廠商不會(huì)對(duì)防火墻的安全性負(fù)責(zé)；

-從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)

的攻擊，還要防止來自操作系統(tǒng)漏洞的攻擊。

-用戶必須依賴兩方面的安全支持：防火墻廠商和操

作系統(tǒng)廠商。

?上述問題在基于WindowsNT開發(fā)的防火墻產(chǎn)

品中表現(xiàn)得十分明顯。

6、第四代：具有安全操作系統(tǒng)

的防火墻（1）

?1997年初，此類產(chǎn)品面市。

黑全性有質(zhì)的提高。

?獲得安全操作系統(tǒng)的方法：

?通過許可證方式獲得操作系統(tǒng)的源碼；

?通過固化操作系統(tǒng)內(nèi)核來提高可靠性。

16、第四代：具有安全操作系統(tǒng)

的防火墻（2）

?特點(diǎn)：

■防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安

全內(nèi)核；

?對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理：即去掉不必要的系統(tǒng)

特性，強(qiáng)化安全保護(hù)；

?對(duì)每個(gè)服務(wù)器、子系統(tǒng)都作了安全處理；

?在功能上包括了分組過濾、代理服務(wù)，且具有加

密與鑒別功能；

■透明性好，易于使用。

6、第四代：具有安全操作系統(tǒng)

的防火墻（3）

?第四代防火墻的主要技術(shù)與功能：

-靈活的代理系統(tǒng)：兩種代理機(jī)制，一種用于

從內(nèi)部網(wǎng)到外部網(wǎng)的連接，另一種用于此外

部網(wǎng)到內(nèi)部網(wǎng)的連接；

—雙端口或三端口結(jié)構(gòu)；

-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）

-虛擬專網(wǎng)技術(shù)（VPN）

6、第四代：具有安全操作系統(tǒng)

的防火墻（4）

?安全服務(wù)器網(wǎng)絡(luò)（SSN）：對(duì)外服務(wù)器既是內(nèi)

部網(wǎng)的一部分，又與內(nèi)部網(wǎng)完全隔離。第四代

防火墻采用分別保護(hù)的策略對(duì)向外提供服務(wù)的

網(wǎng)絡(luò)提供保護(hù)，它利用一張網(wǎng)卡將對(duì)外服務(wù)器

作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理。

?用戶鑒別與加密

?用戶定制服務(wù)

?審計(jì)和告警

?一五、防火墻新技術(shù)

?1、關(guān)于防火墻技術(shù)的一些觀點(diǎn)

?2、PC防火墻

?3、病毒防火墻

?4、安全增強(qiáng)方面

?5、安全網(wǎng)關(guān)

?6、分布式防火墻

…1、關(guān)于防火墻技術(shù)的一些觀點(diǎn)

?防火墻技術(shù)是一項(xiàng)已成熟的技術(shù)

?目前更需要的是提高性能，尤其是將它

集成到更大的安全環(huán)境中去時(shí)：

-用戶界面和管理

-互操作性

-標(biāo)準(zhǔn)化

2、PC防火墻

?基于內(nèi)部網(wǎng)的主機(jī)或其它形式上網(wǎng)的主機(jī)的防

火墻（我們稱之為PC防火墻）正是在這種意義

上提出的。由于PC防火墻的對(duì)象是網(wǎng)絡(luò)上的最

終主機(jī)，所以PC防火墻的操作系統(tǒng)平臺(tái)不如傳

統(tǒng)意義上的防火墻那樣靈活，幾乎沒有選擇的

余地，完全由用戶選擇，這就決定了PC防火墻