《網(wǎng)絡安全技術》課件第6章

第6章防火墻技術6.1防火墻基本概述

6.2防火墻的作用

6.3防火墻的分類

6.4防火墻的安全標準

6.5在網(wǎng)絡中配置防火墻

6.6防火墻的訪問控制策略

6.7防火墻的選擇原則6.8防火墻技術的展望6.9防火墻實例——天網(wǎng)防火墻

習題

6.1防火墻基本概述

6.1.1防火墻的概念防火墻的英文名為“FireWall”，它是目前最重要的一種網(wǎng)絡防護設備。防火墻的本義是指古代在構筑和使用木制結構房屋的時候，為防止火災的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物就稱為“防火墻”。其實與防火墻一起起作用的還有“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發(fā)生時，這些人又如何逃離現(xiàn)場呢？這個門就相當于我們這里所講的防火墻的“安全策略”，所以在這里我們所說的防火墻實際并不是一堵實心墻，而是帶有一些小孔的墻。這些小孔就是留給那些允許進行的通信用的，在這些小孔中安裝了過濾機制。

我們通常所說的網(wǎng)絡防火墻是借鑒了古代防火墻的喻義，它指的是隔離本地網(wǎng)絡與外界網(wǎng)絡的一道防御系統(tǒng)。防火墻可以使企業(yè)內部局域網(wǎng)(LAN)網(wǎng)絡與Internet之間或者與其他外部網(wǎng)絡互相隔離，限制網(wǎng)絡互訪，從而保護內部網(wǎng)絡。如圖6.1所示為防火墻在網(wǎng)絡中的位置。

圖6.1防火墻在網(wǎng)絡中的位置

6.1.2防火墻的功能防火墻是由管理員為保護自己的網(wǎng)絡免遭外界非授權訪問但又允許與Internet連接而發(fā)展起來的。從網(wǎng)際角度來看，防火墻可以看成是安裝在兩個網(wǎng)絡之間的一道柵欄，它根據(jù)安全計劃和安全策略中的定義來保護其后面的網(wǎng)絡。由軟件和硬件組成的防火墻應該具有以下功能：

(1)所有進出網(wǎng)絡的通信流都應該通過防火墻；

(2)所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權；

(3)從理論上講，防火墻是穿不透的。

需要防火墻防范的基本進攻有三種。

(1)間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。

(2)盜竊：盜竊對象包括數(shù)據(jù)、Web表格、磁盤空間、CPU資源、鏈接等。

(3)破壞系統(tǒng)：通過路由器或主機/服務器蓄意破壞文件系統(tǒng)或阻止授權用戶訪問內部網(wǎng)(外部網(wǎng))和服務器。

6.2防火墻的作用

6.2.1配置防火墻的目的

1．數(shù)據(jù)安全的特征從本質上來說，防火墻是一種保護裝置，用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽。

(1)數(shù)據(jù)。數(shù)據(jù)指用戶保存在計算機里的信息，需要保護的數(shù)據(jù)有3個典型特征?！癖Ｃ苄裕褐赣脩舨幌胱寗e人知道自己的信息；●完整性：指用戶不想讓別人修改自己的信息；●

可用性：指用戶希望自己能夠使用信息。

(2)資源。資源指用戶計算機內的數(shù)據(jù)、文件等。

(3)聲譽。計算機本身并不存在什么聲譽問題，問題在于一個入侵者會冒充別人的身份出現(xiàn)在Internet上，做一些對別人有害的事情或者冒充別人的身份在網(wǎng)上進行消費，這些費用會由正常用戶來負責清算。國內外的資料表明，入侵者一般有這樣幾種類型：尋歡作樂者、破壞者和間諜。

2．防火墻的目的防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻。從理論上講，Internet防火墻服務的原理與其類似，用來防止Internet上的各類危險傳播到內部的網(wǎng)絡中。事實上，防火墻服務的應用具有多個目的：

(1)限定人們從一個特別的節(jié)點進入；

(2)防止入侵者接近用戶的防御設施；

(3)限定人們從一個特別的節(jié)點離開；

(4)有效地阻止破壞者對正常用戶的計算機系統(tǒng)進行破壞。

6.2.2防火墻的特性一個好的防火墻系統(tǒng)應具有以下三方面的特性：

(1)所有在內部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；

(2)只有被授權的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)才可以通過防火墻；

(3)防火墻本身不受各種攻擊的影響。

此外，防火墻還具有一些基本準則。

(1)過濾不安全服務?；谶@個準則，防火墻應封鎖所有信息流，然后對希望提供的安全服務逐項開放，把不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。這是一種非常有效而實用的方法，可以形成十分安全的環(huán)境，因為只有經(jīng)過仔細挑選的服務才能允許用戶使用。

(2)過濾非法用戶和訪問特殊站點?；谶@個準則，防火墻應先允許所有的用戶和站點對內部網(wǎng)絡進行訪問，然后網(wǎng)絡管理員按照IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。這種方法構成了一種更為靈活的應用環(huán)境，即網(wǎng)絡管理員可以針對不同的服務面向不同的用戶開放，也就是能自由地設置各個用戶的不同訪問權限。

6.2.3防火墻的優(yōu)點防火墻具有如下優(yōu)點。

(1)防火墻能強化安全策略。因為在Internet上每天都有上百萬人瀏覽和交換信息，所以不可避免地會出現(xiàn)個別品德不良或違反Internet規(guī)則的人。防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行網(wǎng)絡的安全策略，僅僅允許經(jīng)許可的、符合規(guī)則的請求通過。

(2)防火墻能有效地記錄Internet上的活動。因為所有進出內部網(wǎng)的信息都必須通過防火墻，所以防火墻非常適于收集網(wǎng)絡信息，作為網(wǎng)間訪問的惟一通路，防火墻能夠記錄內部網(wǎng)絡和外部網(wǎng)絡之間發(fā)生的所有事件。

(3)防火墻可以實現(xiàn)網(wǎng)段控制。防火墻能夠用來隔開網(wǎng)絡中的某一個網(wǎng)段，這樣它就能夠有效地控制這個網(wǎng)段中的問題以防止其在整個網(wǎng)絡中的傳播。

(4)防火墻是一個安全策略的檢查站。所有進出網(wǎng)絡的信息都必須通過防火墻，這樣防火墻便成為一個安全檢查點，把所有可疑的訪問拒之門外。

6.2.4防火墻的缺點防火墻也有一些缺點，下面我們來進行簡單介紹。

(1)防火墻不能防范惡意的知情者。防火墻可以禁止用戶通過網(wǎng)絡傳輸機密信息，但用戶可以不通過網(wǎng)絡，比如將數(shù)據(jù)復制到磁盤或磁帶上，然后放在公文包中帶出去。如果入侵者是在防火墻內部，那么它也是無能為力的。內部用戶可以不通過防火墻而偷竊數(shù)據(jù)、破壞硬件和軟件等等。對于內部的威脅只能通過加強管理來防范，如主機安全防范和用戶教育等。

(2)防火墻不能防范不通過它的連接。防火墻能夠有效地防止通過它進行信息傳輸，但它不能防止不通過它的信息傳輸。例如，如果允許對防火墻后面的內部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。

(3)防火墻不能防備全部的威脅。防火墻可用來防備已知的威脅，一個很好的防火墻設計方案可以防備新的威脅，但沒有一個防火墻能自動防御所有新的威脅。

(4)防火墻不能防范病毒。防火墻不能防范網(wǎng)絡上或PC機中的病毒。雖然許多防火墻可以掃描所有通過它的信息，以決定是否允許其通過，但這種掃描是針對源地址、目標地址和端口號而言的，并不是數(shù)據(jù)的具體內容。即使是先進的數(shù)據(jù)包過濾系統(tǒng)，也難以防范病毒，因為病毒的種類太多，而且病毒可以通過許多手段隱藏在數(shù)據(jù)中。防火墻要檢測隨機數(shù)據(jù)中的病毒十分困難，它要求：●確認數(shù)據(jù)包是程序的一部分；●確定程序的功能；●

確定病毒引起的改變。

6.3防火墻的分類

6.3.1包過濾路由器包過濾路由器(PacketFilters)在一般路由器的基礎上增加了一些新的安全控制功能，是一個檢查通過它的數(shù)據(jù)包的路由器。包過濾路由器的標準由網(wǎng)絡管理員在網(wǎng)絡訪問控制表(AccessControlList)中設定，以檢查包的源地址、目的地址及每個IP包的端口。它是在7層協(xié)議的下3層中實現(xiàn)的，包的類型可以攔截和登錄，因此，此類防火墻易于實現(xiàn)對用戶進行透明的訪問，且費用較低，如圖6.2所示。但包過濾路由器無法有效區(qū)分同一IP地址的不同用戶，因此安全性較差。

圖6.2使用包過濾路由器進行數(shù)據(jù)包過濾

防火墻常常就是一個具備包過濾功能的簡單路由器，它支持Internet安全，是使Internet連接更加安全的一種簡單方法，因為包過濾是路由器的固有屬性。包是網(wǎng)絡上信息流動的單位，在網(wǎng)上傳輸?shù)奈募话阍诎l(fā)出端被劃分成一串數(shù)據(jù)包，經(jīng)過網(wǎng)上的中間站點，最終傳到目的地，然后將這些數(shù)據(jù)包中的數(shù)據(jù)重新組成原來的文件。每個數(shù)據(jù)包有兩個部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目標地址等信息。包過濾一直是一種簡單而有效的方法，通過攔截數(shù)據(jù)包，可讀出并拒絕那些不符合標準的包頭，過濾掉不應入站的信息。

包過濾的一個重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的數(shù)據(jù)包和壞的數(shù)據(jù)包。包過濾只能工作在有黑白分明安全策略的網(wǎng)絡中，即內部人是好的，外部人是可疑的。不幸的是，包過濾不能有效到足以保證站點的安全。當站點受到許多新的協(xié)議的威脅時，它們將毫不費力地通過那些過濾器。例如，對于FTP協(xié)議包過濾就不十分有效，因為為完成數(shù)據(jù)傳輸，F(xiàn)TP允許連接外部服務器并使連接返回到端口20。這甚至成為一條規(guī)則附加在路由器上，即內部網(wǎng)絡機器上的端口20可用于探查外部情況。黑客們很容易“欺騙”這些路由器。而防火墻則使這些“欺騙”變得困難，并且?guī)缀醪豢赡軐崿F(xiàn)。在決定實施防火墻計劃之前，先要決定使用哪種類型的防火墻及其設計。

6.3.2應用型防火墻應用型防火墻(ApplicationGateway)又稱雙宿主網(wǎng)關或應用層網(wǎng)關，其物理位置與包過濾路由器一樣，但它的邏輯位置在OSI的7層協(xié)議的應用層上，所以主要采用協(xié)議代理服務(ProxyServices)，即在運行防火墻軟件的堡壘主機(BastionHost)上運行代理服務程序Proxy。應用型防火墻不允許網(wǎng)絡間的直接業(yè)務聯(lián)系，而是以堡壘主機作為數(shù)據(jù)轉發(fā)的中轉站。堡壘主機是一個具有兩個網(wǎng)絡界面的主機，每一個網(wǎng)絡界面都與它所對應的網(wǎng)絡進行通信。堡壘主機既能作為服務器接收外來請求，又能作為客戶轉發(fā)請求。如果認為信息是安全的，那么代理服務就會將信息轉發(fā)到相應的主機上，用戶只能夠使用代理服務器支持的服務。

在業(yè)務進行時，堡壘主機監(jiān)控全過程并完成詳細的日志(Log)和審計(Audit)，這就大大提高了網(wǎng)絡的安全性。應用型防火墻易于建立和維護，造價較低，比包過濾路由器更安全，但缺少透明性。應用型防火墻控制對應用程序的訪問，即允許訪問某些應用程序而阻止訪問其他應用程序。采用的方法是在應用層網(wǎng)關上安裝代理(Proxy)軟件，每個代理模塊分別針對不同的應用。例如，遠程登錄代理TelnetProxy負責Telnet在防火墻上的轉發(fā)，文件傳輸代理FTPProxy負責FTP等等。管理員可以根據(jù)需要安裝相應的代理，用于控制對應應用程序的訪問。各個代理模塊相互無關，即使某個代理模塊的工作發(fā)生問題，只需將其拆卸即可，不會影響其他代理模塊的正常工作，從而保證了防火墻的安全性。

管理員通過配置訪問控制表中的規(guī)則可決定內、外部網(wǎng)絡的哪些用戶可以使用應用層網(wǎng)關中的哪個代理模塊連接到哪個目的站點。實際上，應用型防火墻是運行服務器代理軟件的計算機，通常叫做堡壘主機(BastionBost)，由于它采用了一系列安全措施，因而能拆卸各種攻擊。應用層網(wǎng)關運行的是一個安全的操作系統(tǒng)，從而避免了一般操作系統(tǒng)的脆弱性。

除安裝代理模塊外，應用型防火墻還安裝了用戶認證模塊，能對用戶的身份進行認證。一般采用客戶機/服務器的方式，根據(jù)用戶所在網(wǎng)絡的安全級別采用不同的認證方法，可卸掉一切多余的服務。應用層網(wǎng)關除安裝代理模塊外，還維持自己的用戶庫和對象庫。用戶庫保存了用戶名、用戶的認證方式和用戶的管理級別等信息，對象庫則保存有管理員定義的主機名、主機組、網(wǎng)絡和網(wǎng)關等信息。應用網(wǎng)關能記錄通過它的一些信息，如什么樣的用戶在什么時間連接了什么站點。這樣就為識別網(wǎng)絡間諜提供了有價值的信息。

代理工作時，用戶首先與代理服務器建立連接，然后將目的站點告知代理，對于合法的請求。代理以應用層網(wǎng)關的身份與目的站建立連接，而代理則在這兩個連接上轉發(fā)數(shù)據(jù)。由以上所述可見，應用型防火墻能針對各種服務進行全面控制，支持身份認證，提供詳細的審計功能和方便的日志分析工具，比分組過濾路由器更容易配置和測試。但是不透明，要求用戶改變使用習慣。

6.3.3主機屏蔽防火墻包過濾路由器雖有較好的透明性，但無法有效地區(qū)分同一IP地址的不同用戶；應用型防火墻可以提供詳細的日志及身份驗證，但又缺少透明性。因此，在實際應用中，往往將兩種防火墻技術結合起來，以取長補短，主機屏蔽防火墻(ScreenedHostFirewall)就是其中的一種。主機屏蔽防火墻由一個只需單個網(wǎng)絡端口的應用型防火墻和一個包過濾路由器組成。將它物理地連接在網(wǎng)絡總線上，其邏輯功能仍工作在應用層，所有業(yè)務通過它代理服務。Intranet不能直接通過路由器和Internet相聯(lián)系，數(shù)據(jù)包要通過路由器和堡壘主機兩道防線。

統(tǒng)的第一個安全設施是過濾路由器，對到來的數(shù)據(jù)包而言，首先要經(jīng)過包過濾路由器的過濾，過濾后的數(shù)據(jù)包被轉發(fā)到堡壘主機上，然后在堡壘主機上應用服務代理對這些數(shù)據(jù)包進行分析，將合法的信息轉發(fā)到Intranet的主機上。外出的數(shù)據(jù)包首先經(jīng)過堡壘主機上的應用服務代理檢查，然后被轉發(fā)到過濾路由器，最后由包過濾路由器轉發(fā)到外部網(wǎng)絡上。主機屏蔽防火墻設置了兩層安全保護，因此相對比較安全。另外，主機屏蔽防火墻也容易配置，但它對路由器的路由表要求較高。

6.3.4子網(wǎng)屏蔽防火墻子網(wǎng)屏蔽防火墻(ScreenedSubnetFirewall)的保護作用比主機屏蔽防火墻更進了一步，它在被保護的Intranet與Internet之間加入了一個由兩個包過濾路由器和一臺堡壘主機組成的子網(wǎng)。被保護的Intranet與Internet不能直接通信，但能夠通過各自的路由器和堡壘主機打交道。兩臺路由器也不能直接交換信息。

子網(wǎng)屏蔽防火墻是最安全的一種防火墻體系結構，它具有主機屏蔽防火墻的所有優(yōu)點，并且比之更加優(yōu)越。它與主機屏蔽防火墻不同，如果堡壘主機受到破壞的話，入侵者只能訪問到子網(wǎng)。由于子網(wǎng)和Intranet之間還存在一個包過濾路由器，因此，入侵者只能有限地訪問Intranet。雖然子網(wǎng)屏蔽防火墻很優(yōu)越，但其實現(xiàn)的代價也很高。它不易配置而且增加了堡壘主機轉發(fā)數(shù)據(jù)的復雜性，同時，網(wǎng)絡的訪問速度也會減慢，其費用也明顯高于以上幾種防火墻。

6.4防火墻的安全標準

防火墻技術發(fā)展很快，但是現(xiàn)在的標準尚不健全，因而導致各大防火墻產(chǎn)品供應商生產(chǎn)的防火墻產(chǎn)品兼容性差，給不同廠商的防火墻產(chǎn)品的互聯(lián)帶來了困難。為了解決這個問題，目前已提出了兩個標準。

(1)RSA數(shù)據(jù)安全公司與一些防火墻生產(chǎn)廠商(如SunMicrosystem公司、Checkpoint公司、TIS公司等)以及一些TCP/IP協(xié)議開發(fā)商(如FTP公司)共同提出了Secure/WAN(S/WAN)標準。這個標準能使在IP層上由支持數(shù)據(jù)加密技術的不同廠家生產(chǎn)的防火墻和TCP/IP協(xié)議具有互操作性，從而解決了建立虛擬專用網(wǎng)(VPN)的一個主要障礙，此標準包含以下兩個部分：

●防火墻中采用的信息加密技術一致，即加密算法、安全協(xié)議一致，使得遵循此標準生產(chǎn)的防火墻產(chǎn)品能夠實現(xiàn)無縫互聯(lián)，但又不會失去加密功能。●

安全控制策略的規(guī)范性以及邏輯的正確合理性，避免了由于各大防火墻廠商推出的防火墻產(chǎn)品在安全策略上的漏洞對整個內部保護網(wǎng)絡產(chǎn)生危害。

(2)美國國家計算機安全協(xié)會(NationalComputerSecurityAssociation，NCSA)成立的防火墻開發(fā)商(FirewallProductDeveloper，F(xiàn)WPO)聯(lián)盟制定了防火墻測試標準。

6.5在網(wǎng)絡中配置防火墻

防火墻作為網(wǎng)絡安全的一種防護手段，有多種實現(xiàn)方式。建立合理的防護系統(tǒng)，配置有效的防火墻應遵循如下4個基本步驟。(1)風險分析；(2)需求分析；(3)確立安全政策；(4)選擇準確的防護手段，并使之與安全政策保持一致。

6.5.1包過濾路由器的配置與實現(xiàn)包(分組)過濾路由器是最簡單也最常見的防火墻，它位于外部網(wǎng)絡和內部網(wǎng)絡之間，除具有路由器的功能外，裝上分組過濾軟件后，利用分組過濾規(guī)則可完成基本的防火墻功能。這種配置具有如下一些優(yōu)點。

(1)容易實現(xiàn)，費用少，如果被保護網(wǎng)絡與外界之間已經(jīng)有一個獨立的路由器，那么，只需要簡單地加一個分組過濾軟件便可保護整個網(wǎng)絡。

(2)分組過濾在網(wǎng)絡層實現(xiàn)，不要求改動應用程序，也不要求用戶學習任何新的東西，用戶感覺不到過濾服務器的存在，因而使用起來方便易行。

包過濾路由器的配置也有一些缺點。

(1)沒有或很少有日志記錄能力，因此網(wǎng)絡管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。

(2)規(guī)則表隨著應用的深化會迅速變得很大而且復雜，這樣不僅規(guī)則難以測試，而且規(guī)則結構出現(xiàn)漏洞的可能性也會增加。

(3)這種防火墻的最大弱點是依靠一個單一的部件來保護系統(tǒng)，一旦部件出現(xiàn)問題，將會使網(wǎng)絡的大門敞開，而用戶可能還不知道。

當前，幾乎所有的分組過濾裝置(篩選路由器或分組過濾網(wǎng)關)都按如下方式進行操作。

(1)對于分組過濾裝置的有關端口必須設置分組過濾準則，也稱為分組過濾規(guī)則。

(2)當一個分組到達過濾端口時，將對該分組的頭部進行分析。大多數(shù)分組過濾裝置只是檢查IP、TCP或UDP頭部的字段。

(3)分組過濾規(guī)則按一定的順序存儲。當一個分組到達時，將按分組規(guī)則的存儲順序依次運用每條規(guī)則來對分組進行檢查。

(4)如果一條規(guī)則阻塞傳遞或接收一個分組，則不允許該分組通過。

(5)如果一條規(guī)則允許傳遞或接收一個分組，則允許該分組通過。

(6)如果一個分組不滿足任何規(guī)則，則該分組被阻塞。從規(guī)則(4)和(5)可以看到，將規(guī)則按適當?shù)捻樞蚺帕惺欠浅Ｖ匾?。在配置分組過濾規(guī)則時，一個常犯的錯誤就是將分組過濾規(guī)則按錯誤的順序排列。如果一個分組過濾規(guī)則排序有錯，那么就有可能拒絕進行某些合法的訪問，而又允許訪問本想拒絕的服務。規(guī)則(6)遵循的原則為：未被明確允許的就將被禁止。

這是一個在設計安全可靠的網(wǎng)絡時應該遵循的失效安全原則，與之相對應的是一種寬容的原則，即：沒有被明確禁止的就是允許的。如果采用后一種思想來設計分組過濾規(guī)則，就必須仔細考慮分組過濾規(guī)則所沒有包括的每一種可能的情況，以確保網(wǎng)絡的安全。當一個新的服務被加入到網(wǎng)絡中時，很容易遇到?jīng)]有規(guī)則與之相匹配的情況。在這種情況下，不是先阻塞該服務，而是先聽取用戶因為合法的服務被阻塞而發(fā)出的抱怨，然后再允許訪問該服務，也可以以網(wǎng)絡安全風險為代價來允許用戶自由地訪問該服務，直到制定了相應的安全規(guī)則為止。

6.5.2應用型防火墻的配置與實現(xiàn)應用型防火墻又稱為雙宿主機網(wǎng)關，采用雙宿主主機來實現(xiàn)。雙宿主網(wǎng)關僅用一個代理服務器，代理服務器是安裝于雙宿主主機的代理服務器軟件。雙宿主主機是一臺有兩塊接口卡(NIC)的計算機，每一塊接口卡有一個IP地址，如圖6.3所示。如果Internet上的一臺計算機想與Intranet上的一個工作站通信，則它必須與雙宿主主機上能“看到”的IP地址聯(lián)系，代理服務器軟件將通過另一塊網(wǎng)卡(NIC)啟動到對方網(wǎng)絡的連接。應該指出的是，在建立雙宿主主機時，應該關閉操作系統(tǒng)的路由能力，否則從一塊網(wǎng)卡(NIC)到另一塊網(wǎng)卡的通信會繞過代理服務器軟件，進而會使雙宿主網(wǎng)關失去“防火”作用。SmartWall網(wǎng)關就是一個雙宿主主機。

雙宿主網(wǎng)關具有如下優(yōu)點。

(1)網(wǎng)關將保護網(wǎng)絡與外界完全隔離。

(2)代理服務器提供日志，有助于發(fā)現(xiàn)入侵。

(3)由于它本身是一臺主機，因此可以用于諸如身份驗證服務器及代理服務器，使其具有多種功能。

(4)由于域名系統(tǒng)(DNS)的信息不會通過受保護系統(tǒng)傳到外界，因此站點系統(tǒng)的名字和IP地址對Internet是隱藏的。

雙宿主網(wǎng)關也有一些不足之處。

(1)每項服務必須使用專門設計的代理服務器，即使較新的代理服務器(如AltaVistaFirewall)能處理幾種服務，但也不能同時服務。

(2)如果防火墻只采用雙宿主網(wǎng)關的一個部件，則一旦該部件出現(xiàn)問題，將會使網(wǎng)絡安全受到危害。如果重新安裝操作系統(tǒng)而忘記關掉路由器，將失去安全性。

圖6.3應用型防火墻的配置

6.5.3主機屏蔽防火墻的配置與實現(xiàn)主機屏蔽防火墻由分組過濾路由器和應用層網(wǎng)關組成。在內部網(wǎng)絡和外部網(wǎng)絡之間建立了兩道安全屏障，既實現(xiàn)了網(wǎng)絡層安全(包過濾)，又實現(xiàn)了應用層安全(代理服務器)。來自Internet的所有通信都直接到達過濾路由器，它根據(jù)所設置的規(guī)則過濾這些通信。在多數(shù)情況下，與應用層網(wǎng)關之外的機器的通信都將被拒絕。網(wǎng)關的代理服務器軟件采用自己的規(guī)則，將被允許的通信傳送到受保護的網(wǎng)絡上。在這種情況下，應用層網(wǎng)關只有一塊網(wǎng)絡接口卡，因此它不是雙宿主網(wǎng)關。如圖6.4所示為主機屏蔽防火墻的配置。

圖6.4主機屏蔽防火墻的配置

6.5.4子網(wǎng)屏蔽防火墻的配置與實現(xiàn)子網(wǎng)屏蔽防火墻是在主機屏蔽防火墻的配置上再加一個路由器，形成一個被稱為非軍事區(qū)的子網(wǎng)，這個子網(wǎng)還可能被用于信息服務器和其他要求嚴格控制的系統(tǒng)，從而形成三道防線，如圖6.5所示。外部過濾路由器和應用層網(wǎng)關的功能與其在主機屏蔽防火墻中的功能相同。內部過濾路由器在應用層網(wǎng)關與受保護網(wǎng)絡之間提供附加保護，萬一入侵者通過了外部路由器和應用網(wǎng)關，內部路由器還可以起到最后一級防御。因此，一個入侵者要進入受保護的網(wǎng)絡比主機過濾防火墻更加困難。但是，它要求的設備和軟件模塊最多，其配置最貴且相當復雜。

圖6.5子網(wǎng)屏蔽防火墻的配置

6.5.5防火墻與Web服務器之間的配置策略

1．Web服務器置于防火墻之內如圖6.6所示，在此模式中，Web服務器置于防火墻之內。將Web服務器裝在防火墻內的好處是它得到了安全保護，不容易被黑客闖入，但不易被外界所用。當Web站點主要用于宣傳企業(yè)形象時，顯然這不是好的配制，這時應當將Web服務器放在防火墻之外。

圖6.6Web服務器置于防火墻之內

2．Web服務器置于防火墻之外如圖6.7所示為Web服務器置于防火墻之外。

圖6.7Web服務器置于防火墻之外

3．Web服務器置于防火墻之上一些管理者試圖在防火墻機器上運行Web服務器，以此增強Web站點的安全性。這種配置的缺點是：一旦服務器有一點毛病，整個組織和Web站點就全部處于危險之中。如圖6.8所示為Web服務器置于防火墻之上。

圖6.8Web服務器置于防火墻之上

這種基本配置有多種變化，包括利用代理服務器，雙重防火墻，利用成對的“入”、“出”服務器提供對公眾信息的訪問以及內部網(wǎng)絡對私人文檔的訪問。一些防火墻的結構不允許將Web服務器設置其外，在這種情況下將不得不打通防火墻。

(1)允許防火墻傳遞對端口80的請求，訪問請求將被限制到Web站點或從Web站點返回(假定正使用的是“ScreenedHost”型防火墻)。

(2)可在防火墻機器上安裝代理服務器，但需要一個“雙宿主網(wǎng)關”類型的防火墻。來自Web服務器的所有訪問請求在被代理服務器截獲之后才傳給服務器，對訪問請求的回答將直接返回給請求者。

6.6防火墻的訪問控制策略

訪問控制策略可用來說明允許使用用戶網(wǎng)絡設備進行的訪問類型。例如，用戶防火墻的策略可以是“內部用戶可以訪問Internet、Web站點和FTP站點或發(fā)送SMTP電子郵件，但只允許來自Internet的SMTP郵件進入內部網(wǎng)絡”。內容清楚的訪問控制策略有助于保證正確選擇防火墻產(chǎn)品。

一個內部網(wǎng)絡的不同部分也可能使用訪問控制策略。例如，用戶可能具有WAN連接，以支持商業(yè)伙伴的活動。這樣，用戶可能希望限制通過此連接進行訪問的范圍，以保證它們確實被用于工作目的。訪問控制策略規(guī)定了網(wǎng)絡不同部分允許的數(shù)據(jù)流向，還指定了哪些類型的傳輸是允許的，哪些類型的傳輸將被阻塞。在指定訪問控制策略時，用戶可以使用許多不同的參數(shù)來說明傳輸流。

表6.1訪問控制描述符

6.7防火墻的選擇原則

1．防火墻自身安全性的考慮大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務上，但往往忽略了一點，防火墻是網(wǎng)絡上的主機設備，也可能存在安全問題。防火墻如果不能確保自身安全，則防火墻的控制功能再強，也終究不能完成保護內部網(wǎng)絡的任務。大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、NT系統(tǒng)等。在防火墻主機上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心也大多來自于操作系統(tǒng)本身的原有程序。

當防火墻上所執(zhí)行的軟件出現(xiàn)安全漏洞時，防火墻本身也將受到威脅。此時，任何防火墻控制機制都可能失效，因為當一個黑客取得了防火墻的控制權以后，黑客幾乎可以為所欲為地修改防火墻上的存取規(guī)則，進而侵入更多的系統(tǒng)。因此，防火墻自身應具有相當高的安全保護。

2．防火墻選擇須知當在規(guī)劃網(wǎng)絡時，不能不考慮整體網(wǎng)絡的安全性。而談到網(wǎng)絡安全，就不能忽略防火墻的功能。防火墻產(chǎn)品往往有上千種，如何在其中選擇最符合需要的產(chǎn)品是用戶最關心的事。在選購防火墻軟件時，應該考慮以下幾點。

(1)一個好的防火墻應該是一個整體網(wǎng)絡的保護者。一個好的防火墻應該以整體網(wǎng)絡保護者自居，它所保護的對象應該是全部的Intranet，并不是那些通過防火墻的使用者。

(2)一個好的防火墻必須能彌補其他操作系統(tǒng)的不足。一個好的防火墻必須是建立在操作系統(tǒng)之前而不是在操作系統(tǒng)之上，所以操作系統(tǒng)有的漏洞可能并不會影響到一個好的防火墻系統(tǒng)的安全性。由于硬件平臺的普及以及執(zhí)行效率的因素，大部分企業(yè)都把對外提供各種服務的服務器分散到許多操作平臺上，因此在無法保證所有主機安全的情況下，選擇防火墻作為整體安全的保護者是非常明智的。這正說明了操作系統(tǒng)提供的安全級別并不一定會直接對整體安全造成影響，因為一個好的防火墻必須能彌補操作系統(tǒng)的不足。

(3)一個好的防火墻應該為使用者提供不同平臺的選擇。由于防火墻并非完全由硬件構成，因此軟件(操作系統(tǒng))所提供的功能以及執(zhí)行效率一定會影響到整體的表現(xiàn)，而使用者的操作意愿及熟悉程度也是必須考慮的重點。所以一個好的防火墻不但本身要有良好的執(zhí)行效率，而且應該提供多平臺的執(zhí)行方式供使用者選擇，畢竟使用者才是完全的控制者。使用者應該選擇一套符合現(xiàn)有環(huán)境需求的軟件，而非為了軟件的限制而改變現(xiàn)有環(huán)境。

(4)一個好的防火墻應能向使用者提供完善的售后服務。由于有新的產(chǎn)品出現(xiàn)，就會有人研究新的破解方法，因此，一個好的防火墻提供者必須有一個龐大的組織作為使用者的安全后盾，也應該有眾多的使用者所建立的口碑為防火墻作見證。防火墻安裝和投入使用后，并非萬事大吉。要想充分發(fā)揮它的安全防護功能，必須對它進行跟蹤和維護，要與商家保持密切的聯(lián)系，時刻注視商家的動態(tài)。因為商家一旦發(fā)現(xiàn)其產(chǎn)品存在安全漏洞，那么就會發(fā)布補救產(chǎn)品，此時應盡快確認真?zhèn)?防止特洛伊木馬等病毒侵入)，并對防火墻軟件進行更新。

6.8防火墻技術的展望

1．防火墻的發(fā)展趨勢考慮到Internet發(fā)展的迅猛勢頭和防火墻產(chǎn)品的更新步伐，要全面展望防火墻技術的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動向和趨勢，下面諸點可能是下一步的走向和選擇。

(1)防火墻將從目前的子網(wǎng)或內部網(wǎng)管理方式向遠程上網(wǎng)集中管理方式發(fā)展。

(2)過濾深度不斷加強，從目前的地址、服務過濾，發(fā)展到URL(頁面)過濾，關鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃除功能。

(3)利用防火墻建立專用網(wǎng)(VPN將在較長一段時間內仍然是用戶使用的主流)。IP加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。

(4)單向防火墻(又叫網(wǎng)絡二極管)將作為一種產(chǎn)品門類而出現(xiàn)。

(5)對網(wǎng)絡攻擊的檢測和各地告警將成為防火墻的重要功能。

(6)安全管理工具不斷完善，特別是可疑活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分。

2．防火墻需求的變化根據(jù)防火墻的發(fā)展趨勢，選擇防火墻的標準將集中在以下幾個方面：(1)易于管理性；(2)應用透明性；(3)鑒別與加密功能；(4)操作環(huán)境和硬件要求；(5)VPN的功能；(6)接口的數(shù)量；(7)成本。

6.9防火墻實例－天網(wǎng)防火墻

6.9.1天網(wǎng)防火墻簡介天網(wǎng)防火墻個人版(簡稱天網(wǎng)防火墻)是由天網(wǎng)安全實驗室研發(fā)制作的用于個人計算機的網(wǎng)絡安全工具。它根據(jù)系統(tǒng)管理者設定的安全規(guī)則(SecurityRules)把守網(wǎng)絡，能夠提供強大的訪問控制、應用選通、信息過濾等功能。它可以幫助用戶抵擋網(wǎng)絡入侵和攻擊，防止信息泄露，從而保障用戶機器的網(wǎng)絡安全。天網(wǎng)防火墻把網(wǎng)絡分為本地網(wǎng)和互聯(lián)網(wǎng)兩種，針對來自不同網(wǎng)絡的信息設置不同的安全方案，它適合于以任何方式連接上網(wǎng)的個人用戶。

6.9.2天網(wǎng)防火墻的安裝

(1)雙擊已經(jīng)下載好的天網(wǎng)V2.73版安裝程序，出現(xiàn)如圖6.9所示的安裝界面。

圖6.9天網(wǎng)防火墻安裝界面

(2)在出現(xiàn)如圖6.9所示的授權協(xié)議后，請仔細閱讀協(xié)議，如果用戶同意協(xié)議中的所有條款，請選擇“我接受此協(xié)議”，并單擊“下一步”繼續(xù)安裝。如果用戶對協(xié)議有任何異議，可以單擊取消，安裝程序將會關閉。必須接受授權協(xié)議才可以繼續(xù)安裝天網(wǎng)防火墻。如果同意協(xié)議，單擊“下一步”將會出現(xiàn)如圖6.1