信息系統(tǒng)安全技術防火墻技術

信息系統(tǒng)安全技術--防火墻技術ServerClient防火墻（Firewall）注解：防火墻類似一堵城墻，將服務器與客戶主機進行物理隔離，并在此基礎上實現(xiàn)服務器與客戶主機之間的授權互訪、互通等功能。防火墻概念防火墻特征防火墻功能協(xié)議與服務防火墻技術內(nèi)容防火墻體系結構防火墻實現(xiàn)策略對防火墻技術與產(chǎn)品發(fā)展的介紹對防火墻技術的展望內(nèi)容提要防火墻概念

防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。防火墻特征保護脆弱和有缺陷的網(wǎng)絡服務集中化的安全管理加強對網(wǎng)絡系統(tǒng)的訪問控制加強隱私對網(wǎng)絡存取和訪問進行監(jiān)控審計保護脆弱和有缺陷的網(wǎng)絡服務一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。防火墻特征(cont.)防火墻特征(cont.)集中化的安全管理通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。加強對網(wǎng)絡系統(tǒng)的訪問控制一個防火墻的主要功能是對整個網(wǎng)絡的訪問控制。比如防火墻可以屏蔽部分主機，使外部網(wǎng)絡無法訪問，同樣可以屏蔽部分主機的特定服務，使得外部網(wǎng)絡可以訪問該主機的其它服務，但無法訪問該主機的特定服務。防火墻不應向外界提供網(wǎng)絡中任何不需要服務的訪問權，這實際上是安全政策的要求了。控制對特殊站點的訪問：如有些主機或服務能被外部網(wǎng)絡訪問，而有些則需被保護起來，防止不必要的訪問。防火墻特征(cont.)加強隱私隱私是內(nèi)部網(wǎng)絡非常關心的問題。一個內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內(nèi)部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。防火墻特征(cont.)對網(wǎng)絡存取和訪問進行監(jiān)控審計如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。防火墻特征(cont.)從總體體上看看，防防火墻墻應具具有以以下五五大基基本功功能：：過濾進進、出出網(wǎng)絡絡的數(shù)數(shù)據(jù)；；管理進進、出出網(wǎng)絡絡的訪訪問行行為；；封堵某某些禁禁止的的業(yè)務務；記錄通通過防防火墻墻的信信息內(nèi)內(nèi)容和和活動動；對網(wǎng)絡絡攻擊擊的檢檢測和和告警警。防火墻墻功能能協(xié)議－－－ISO/OSI協(xié)議分分層應用層層表示層層會話層層傳輸層層數(shù)據(jù)鏈鏈路層層物理層層網(wǎng)絡層層數(shù)據(jù)鏈鏈路層層協(xié)議－－－ISO/OSI協(xié)議分分層(cont.)物理層層：涉及在在物理理信道道上傳傳輸原原始比比特，，處理理與物物理傳傳輸介介質有有關的的機械械的、、電氣氣的和和過程程的接接口。。數(shù)據(jù)鏈鏈路層層：分為介介質訪訪問控控制（（MAC））和邏邏輯鏈鏈路控控制（（LLC））兩個個子層層。MAC子層層解決決廣播播型網(wǎng)網(wǎng)絡中中多用用戶競競爭信信道使使用權權問題題。LLC的主主要任任務是是將有有噪聲聲的物物理信信道變變成無無傳輸輸差錯錯的通通信信信道，，提供供數(shù)據(jù)據(jù)成幀幀、差差錯控控制、、流量量控制制和鏈鏈路控控制等等功能能。網(wǎng)絡層層：負責將將數(shù)據(jù)據(jù)從物物理連連接的的一端端傳到到另一一端，，即所所謂點點到點點，通通信主主要功功能是是尋徑徑，以以及與與之相相關的的流量量控制制和擁擁塞控控制等等。協(xié)議－－－ISO/OSI協(xié)議分分層(cont.)傳輸層層：主要目目的在在于彌彌補網(wǎng)網(wǎng)絡層層服務務與用用戶需需求之之間的的差距距。傳傳輸層層通過過向上上提供供一個個標準準、通通用的的界面面，使使上層層與通通信子子網(wǎng)（（下三三層））的細細節(jié)相相隔離離。傳傳輸層層的主主要任任務是是提供供進程程間通通信機機制和和保證證數(shù)據(jù)據(jù)傳輸輸?shù)目煽煽啃孕?。會話層：：主要針對對遠程終終端訪問問。主要要任務包包括會話話管理、、傳輸同同步以及及活動管管理等。。表示層：：主要功能能是信息息轉換，，包括信信息壓縮縮、加密密、與標標準格式式的轉換換（以及及上述各各操作的的逆操作作）等等等。應用層：：提供最常常用且通通用的應應用程序序，包括括電子郵郵件（E-mail））和文電電傳輸?shù)鹊?。應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路路層物理層FTP、、TELNETNFSSMTP、SNMPXDRRPCTCP、、UDPIPEthernet、PDN、IEEE802.3、、IEEE802.4、IEEE802.5及其它ICMPARPRARPOSI參考模型型Internet協(xié)議議簇OSI參考模型型與Internet協(xié)議簇簇注解：通通過對每每一個協(xié)協(xié)議簇中中各種協(xié)協(xié)議結構構的詳細細了解，，就可以以非常輕輕松的針針對包過過濾型、、應用代代理型等等防火墻墻的ACL（訪訪問控制制列表））進行制制定和理理解，并并有助于于了解防防火墻的的架構體體系。協(xié)議－－TCP/IP協(xié)議議分層應用層傳輸層網(wǎng)間網(wǎng)層層網(wǎng)絡接口口層協(xié)議－－TCP/IP協(xié)議議分層應用層：：向用戶提提供一組組常用的的應用程程序，比比如文件件傳輸訪訪問、電電子郵件件、遠程程登錄等等。用戶戶完全可可以在““網(wǎng)間網(wǎng)網(wǎng)”之上上（即傳傳輸層之之上），，建立自自己的專專用應用用程序，，這些專專用應用用程序要要用到TCP/IP，，但不屬屬于TCP/IP。傳輸層（（TCP/UDP）：：提供應用用程序間間（即端端到端））的可靠靠（TCP）或或高效（（UDP）的通通信。其其功能包包括：格格式化信信息流及及提供可可靠傳輸輸。傳輸輸層還要要解決不不同應用用程序的的識別問問題。網(wǎng)間網(wǎng)層層（IP）：負責相鄰鄰計算機機之間的的通信。。其功能能包括：：處理來來自傳輸輸層的分分組發(fā)送送請求；；處理理輸入數(shù)數(shù)據(jù)包；；處理ICMP報文。。網(wǎng)絡接口口層：TCP/IP協(xié)協(xié)議的最最低層，，負責接接收IP數(shù)據(jù)報報并通過過網(wǎng)絡發(fā)發(fā)送，或或者從網(wǎng)網(wǎng)絡上接接收物理理幀，抽抽出IP數(shù)據(jù)包包，交給給IP層層。TCP/IP服服務注解：通通過該服服務體系系的理解解，大家家一定要要了解清清楚IP包過濾濾型防火火墻中的的TCP協(xié)議簇簇包括那那些具體體協(xié)議、、UDP協(xié)議簇簇包括那那些具體體協(xié)議，，并要特特別注意意怎樣通通過防火火墻的ICMP協(xié)議去去安全有有效的控控制PING命命令的執(zhí)執(zhí)行。TCP/IP服服務(cont.)RPC-遠程過程程調(diào)用服服務。如如NFS-NetworkFileSystem,可允允許系統(tǒng)統(tǒng)共享目目錄與磁磁盤。NIS-NetworkInformationServices,網(wǎng)網(wǎng)絡信息息服務容容許多個個系統(tǒng)共共享數(shù)據(jù)據(jù)庫,如如passwordfile容容許集中中管理。。XWindowSystem：：一個個圖形化化的窗口口系統(tǒng)。。Rlogin、、rsh、及及其它它“r”服務務。運運用相互互信任的的主機的的概念，，在其它它系統(tǒng)上上可以執(zhí)執(zhí)行命令令且不要要求password。TCP/IP服服務(cont.)IPIP協(xié)議的主主要內(nèi)容容包括無無連接數(shù)數(shù)據(jù)報傳傳送、數(shù)數(shù)據(jù)報尋尋徑及差差錯處理理三部分分。IP層作作為通信信子網(wǎng)的的最高層層，屏蔽蔽底層各各種物理理網(wǎng)絡的的技術環(huán)環(huán)節(jié)，向向上（TCP層層）提供供一致的的、通用用性的接接口，使使得各種種物理網(wǎng)網(wǎng)絡的差差異性對對上層協(xié)協(xié)議不復復存在。。IP數(shù)據(jù)據(jù)報分為為報頭和和數(shù)據(jù)區(qū)區(qū)兩部分分，IP報頭由由IP協(xié)協(xié)議處理理，是IP協(xié)議議的體現(xiàn)現(xiàn)；數(shù)據(jù)據(jù)體則用用于封裝裝傳輸層層數(shù)據(jù)或或差錯和和控制報報文（ICMP）數(shù)據(jù)據(jù)，由TCP協(xié)協(xié)議或ICMP協(xié)議處處理。TCPTCP是傳輸層層的重要要協(xié)議之之一，提提供面向向連接的的可靠字字節(jié)流傳傳輸。面面向連接接的TCP要求求在進行行實際數(shù)數(shù)據(jù)傳輸輸前，必必須在信信源端與與信宿端端建立一一條連接接。且面面向連接接的每一一個報文文都需接接收端確確認，未未確認報報文被認認為是出出錯報文文，出錯錯的報文文協(xié)議要要求出錯錯重傳。。TCP采采用可變變窗口進進行流量量控制和和擁塞控控制以保保證可靠靠性。分組是TCP傳傳輸數(shù)據(jù)據(jù)的基本本單元，，分TCP頭和和TCP數(shù)據(jù)體體兩大部部分。UDPUDP是傳輸輸層的重重要協(xié)議議之一；；基于UDP的服服務包括括NIS、NFS、NTP及及DNS等。UDP不不是面向向連接的的服務，，幾乎不不提供可可靠性措措施；因因此，基基于UDP的服服務具有有較高的的風險。。TCP與UDP端口一個TCP或UDP連接由由下述要要素唯一一確定：：源IP地址、、目的地地IP地地址、源源端口、、目的地地端口。。TCP或或UDP用協(xié)議議端口標標識通信信進程，，端口是是一種抽抽象的軟軟件結構構（包括括一些數(shù)數(shù)據(jù)結構構和I/O緩沖沖區(qū)）。。應用程程序（即即進程））通過系系統(tǒng)調(diào)用用與某些些端口建建立連接接后，傳傳輸層傳傳給該端端口的數(shù)數(shù)據(jù)被相相應進程程所接收收。接口又是是進程訪訪問傳輸輸服務的的人口點點。每個個端口擁擁有一個個叫端口口號的16位整整數(shù)標識識符，用用于區(qū)分分不同端端口。TCP和和UDP軟件分分別可以以提供65536個不不同的端端口。端口有兩兩部分，，一部分分是保留留端口（（端口號號小于1024，對應應于服務務器進程程），一一部分是是自由端端口（以以本地方方式分配配）。某些服務務進程通通常對應應于特定定的端口口。如SMTP為25，，XWINDOWS為6000。?？蛻羰褂糜枚丝谔柼柤澳康牡牡豂P地址初初始化與與一個特特定主機機或服務務的連接接。TCP與UDP端口(cont.)協(xié)議－－－IPV6IETF決定在不不久的將將來利用用IPV6來代代替IPV4。。IPV6既能適適應高速速網(wǎng)絡（（如ATM），，也能適適應低帶帶寬環(huán)境境。擴展地址址和路由由規(guī)模。。主機地址址自動配配置。公共子網(wǎng)網(wǎng)服務。。安全性加加強。防火墻技技術可根根據(jù)防范范的方式式和側重重點的不不同而分分為很多種類型型，但總總體來講講可分為為三大類類：分組過濾濾、應用用代理、、電路中中繼分組過濾濾（Packetfiltering）：：作用在網(wǎng)網(wǎng)絡層和和傳輸層層，它根根據(jù)分組組包頭源地址，，目的地地址和端端口號、、協(xié)議類類型等標標志確定定是否允允許數(shù)據(jù)據(jù)包通過過。只有有滿足過過濾邏輯輯的數(shù)據(jù)據(jù)包才被被轉發(fā)到到相應的的目的地地出口端端，其余余數(shù)據(jù)包包則被從從數(shù)據(jù)流流中丟棄棄。防火墻技技術內(nèi)容容應用代理理（ApplicationProxy））：也叫應用用網(wǎng)關（（ApplicationGateway）,它作用用在應用用層，其其特點是是完全““阻隔””了網(wǎng)絡絡通信流流，通過過對每種種應用服服務編制制專門的的代理程程序，實實現(xiàn)監(jiān)視視和控制制應用層層通信流流的作用用。實際際中的應應用網(wǎng)關關通常由由專用工工作站實實現(xiàn)。電路中繼繼(CircuitRelay)：：也叫電路路網(wǎng)關(CircuitGateway)或TCP代代理（TCP－－Proxy）,其其工作原原理與應應用代理理類似，，不同之之處是該該代理程程序是專專門為傳傳輸層的的TCP協(xié)議編編制的。。防火墻技技術內(nèi)容容(cont.)防火墻技技術內(nèi)容容－分組過濾濾應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路路層物理層物理層數(shù)據(jù)鏈路路層網(wǎng)絡層應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路路層物理層外部網(wǎng)絡絡主機內(nèi)部網(wǎng)絡絡主機分組過濾濾型防火火墻一個分組組過濾型型防火墻墻通常能能根據(jù)IP分組的以以下各項項過濾：：源IP地地址目標IP地址TCP/UDP源端口口TCP/UDP目標端端口協(xié)議類型型防火墻技技術內(nèi)容容－分組過濾濾(cont.)防火墻技技術內(nèi)容容－分組過濾濾(cont.)分組過濾濾防火墻墻應用示示例優(yōu)點：透明的防防火墻系系統(tǒng)高速的網(wǎng)網(wǎng)絡性能能易于配置置支持網(wǎng)絡絡內(nèi)部隱隱藏防火墻技技術內(nèi)容容－分組過濾濾(cont.)缺點：易于IP地址假冒冒記錄日志志信息不不充分源路由攻攻擊設計和配配置一個個真正安安全的分分組過濾濾規(guī)則比比較困難難分組過濾濾防火墻墻并不能能過濾所所有的協(xié)協(xié)議極小分片片設數(shù)據(jù)據(jù)包攻擊擊無法防止止數(shù)據(jù)驅驅動式攻攻擊防火墻技技術內(nèi)容容－分組過濾濾(cont.)防火墻技技術內(nèi)容容－應用代理理應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路路層物理層物理層數(shù)據(jù)鏈路路層網(wǎng)絡層應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路路層物理層外部網(wǎng)絡絡主機內(nèi)部網(wǎng)絡絡主機應用代理理型防火火墻應用層表示層會話層傳輸層防火墻技技術內(nèi)容容－應用代理理(cont.)外部Telnet服務器內(nèi)部Telnet服務器日志系統(tǒng)統(tǒng)Telnet代理FTP代理認證系統(tǒng)統(tǒng)應用網(wǎng)關關一個Telnet代理理的例子子一個Telnet應用用代理的的過程用戶首先先Telnet到應用用網(wǎng)關主主機，并并輸入內(nèi)內(nèi)部目標標主機的的名字（（域名、、IP地址）應用網(wǎng)關關檢查用用戶的源源IP地地址等，，并根據(jù)據(jù)事先設設定的訪訪問規(guī)則則來決定定是否轉轉發(fā)或拒拒絕然后用戶戶必須進進行是否否驗證（（如一次次一密等等高級認認證設備備）應用網(wǎng)關關中的代代理服務務器為用用戶建立立在網(wǎng)關關與內(nèi)部部主機之之間的Telnet連連接代理服務務器在兩兩個連接接（用戶戶/應用用網(wǎng)關，，代理服服務器/內(nèi)部主主機）之之間傳送送數(shù)據(jù)應用網(wǎng)關關對本次次連接進進行日志志記錄防火墻技技術內(nèi)容容－應用代理理(cont.)優(yōu)點：在網(wǎng)絡連連接建立立之前可可以對用用戶身份份進行認認證所有通過過防火墻墻的信息息流可以以被記錄錄下來易于配置置支持內(nèi)部部網(wǎng)絡的的信息隱隱藏與分組過過濾規(guī)則則相比簡簡單易于控制制和管理理防火墻技技術內(nèi)容容－應用代理理(cont.)缺點：對每種類類型的服服務都需需要一個個代理網(wǎng)絡性能能不高防火墻對對用戶不不透明客戶應用用可能需需要修改改需要多個個防火墻墻主機防火墻技技術內(nèi)容容－應用代理理(cont.)防火墻體體系結構構分組過濾濾防火墻墻結構分組過濾濾＋應用用網(wǎng)關（（I）分組過濾濾＋應用用網(wǎng)關（（II））屏蔽子網(wǎng)網(wǎng)防火墻墻結構分組過濾濾防火墻墻適合于較較小的、、簡單的的系統(tǒng)如規(guī)則復復雜，則則難于管管理分組過濾濾＋應用用網(wǎng)關（（I）簡化路由由配置加強隱私私雙重保護護花費高一一些只有網(wǎng)關關上的代代理服務務支持的的應用才才能通過過分組過濾濾＋應用用網(wǎng)關（（II））路由器過過濾應用用網(wǎng)關不不支持的的危險協(xié)協(xié)議應用網(wǎng)關關僅需一一個網(wǎng)絡絡接口，，不要求求在應用用網(wǎng)關與與路由器器之間有有一個分分離的子子網(wǎng)路由器允允許轉發(fā)發(fā)可信服服務到網(wǎng)網(wǎng)關周圍圍和直接接到內(nèi)部部網(wǎng)絡分組過濾濾＋應用用網(wǎng)關（（II））也叫屏蔽蔽主機防防火墻結結構，屏屏蔽路由由器使用用分組過過濾技術術，堡壘壘主機運運行應用用網(wǎng)關程程序，為為內(nèi)部主主機提供供代理服服務。路由過濾濾器根據(jù)據(jù)以下規(guī)規(guī)則來路路由內(nèi)外外部通信信路由從Internet外部部訪問應應用網(wǎng)關關的通信信拒絕來自自任何Internet外部部的其它它訪問拒絕路由由任何內(nèi)內(nèi)部網(wǎng)絡絡訪問Internet外部部的請求求，除非非來自內(nèi)內(nèi)部的應應用代理理。適于需要要靈活性性的網(wǎng)絡絡，但安安全性降降低。屏蔽子網(wǎng)網(wǎng)防火墻墻結構適于通信信量很大大或高速速網(wǎng)絡通通信的內(nèi)內(nèi)部網(wǎng)絡絡強化安全全，但配配置較為為復雜屏蔽子網(wǎng)網(wǎng)防火墻墻結構(cont.)屏蔽子網(wǎng)網(wǎng)防火墻墻結構(cont.)防火墻實實現(xiàn)策略略(cont.)對防火墻墻系統(tǒng)而而言，共共有兩層層網(wǎng)絡安安全策略略：網(wǎng)絡服務務訪問策策略：是是高層策策略，定定義了受受保護網(wǎng)網(wǎng)絡明確確允許和和明確拒拒絕的網(wǎng)網(wǎng)絡服務務，分析析網(wǎng)絡服服務的可可用性（（包括可可用條件件）、風風險性等等。防火墻設設計策略略：是低低層策略略，描述述了防火火墻如何何根據(jù)高高層的網(wǎng)網(wǎng)絡服務務訪問策策略中定定義的策策略來具具體地限限制訪問問和過濾濾服務。。網(wǎng)絡服務務訪問策策略不允許外外部網(wǎng)絡絡或Internet訪問內(nèi)內(nèi)部網(wǎng)絡絡，但允允許內(nèi)部部網(wǎng)絡訪訪問外部部網(wǎng)絡或或Internet。。允許外部部網(wǎng)絡或或Internet訪訪問部分分內(nèi)部網(wǎng)網(wǎng)絡，這這些特定定的網(wǎng)絡絡服務是是經(jīng)過嚴嚴格選擇擇和控制制的，如如一些信信息服務務器、電電子郵件件服務器器或域名名服務器器等等。。防火墻實實現(xiàn)策略略(cont.)防火墻設設計策略略防火墻設設計策略略必須針針對具體體的防火火墻，它它定義過過濾規(guī)則則等，以以實現(xiàn)高高層的網(wǎng)網(wǎng)絡服務務策略。。這個策策略在設設計時必必須考慮慮到防火火墻本身身的性能能、限制制及具體體協(xié)議如如TCP/IP。常用用的兩種種基本防防火墻設設計策略略是：允許所有有除明確確拒絕之之外的通通信或服服務（很很少考慮慮，因為為這樣的的防火墻墻可能帶帶來許多多風險和和安全問問題。攻攻擊者完完全可以以使用一一種拒絕絕策略中中沒有定定義的服服務而被被允許并并攻擊網(wǎng)網(wǎng)絡）拒絕所有有除明確確允許之之外的通通信或服服務（常常用，但但操作困困難，并并有可能能拒絕網(wǎng)網(wǎng)絡用戶戶的正常常需求與與合法服服務）防火墻實實現(xiàn)策略略(cont.)作為一個個安全策策略的設設計者，，應懂得得以下問問題的要要點：哪些Internet服務是是本網(wǎng)絡絡系統(tǒng)打打算使用用或提供供的？（（如TELNET、FTP、、HTTP）這些Internet服務在在哪或哪哪個范圍圍內(nèi)使用用？（如如在本地地網(wǎng)內(nèi)、、整個Internet或撥撥號服務務等）可能有哪哪些額外外或臨時時的服務務或需求求？（如如加密、、撥入服服務等））提供這些些服務和和訪問有有哪些風風險和總總的花費費？防火墻實實現(xiàn)策略略(cont.)對防火墻墻技術與與產(chǎn)品發(fā)發(fā)展的介介紹防火墻技技術是建建立在現(xiàn)現(xiàn)代通信信網(wǎng)絡技技術和信信息安全全技術基礎上上的應用用性安全全技術，，越來越越多地應應用于專專用網(wǎng)絡與公公用網(wǎng)絡絡的互聯(lián)聯(lián)環(huán)境之之中，尤尤其以接接入Internet網(wǎng)絡為為最甚。。Internet的迅迅猛發(fā)展展，使得得防火墻墻產(chǎn)品在在短短的的幾年內(nèi)內(nèi)異軍突突起，很很快形成成了一個個產(chǎn)業(yè)：：據(jù)不完完全統(tǒng)計計，在國國際上防防火墻產(chǎn)產(chǎn)品銷售售從1995年年的不到到1萬套套，猛猛增到1997年底的的10萬萬套。據(jù)國際權權威商業(yè)業(yè)調(diào)查機機構的預預測,防防火墻市市場將以以173％的復復合增長長率增長長，到2000年將達達150萬套，，市場營營業(yè)額將將從1995年年的1.6億美美元上升升到2000年年的9.8億美美元。防火墻發(fā)發(fā)展歷程程第一階段段：基于于路由器器的防火火墻第二階段段：用戶戶化的防防火墻工工具套第三階段段：建立立在通用用操作系系統(tǒng)上的的防火墻墻第四階段段：具有有安全操操作系統(tǒng)統(tǒng)的防火火墻對防火墻墻技術與與產(chǎn)品發(fā)發(fā)展的介介紹(cont.)第一代防防火墻產(chǎn)產(chǎn)品的特特點是：：利用路由由器本身身對分組組的解析析,以訪訪問控制制表（accesslist）方方式實現(xiàn)現(xiàn)對分組組的過濾濾；過濾判決決的依據(jù)據(jù)可以是是：地址址、端口口號、IP旗標標及其它它網(wǎng)絡特征征；只有分組組過濾的的功能，，且防火火墻與路路由器是是一體的的，對安全要求求低的網(wǎng)網(wǎng)絡可采采用路由由器附帶帶防火墻墻功能的的方法，，對安全性性要求高高的網(wǎng)絡絡則可單單獨利用用一臺路路由器作作防火墻墻。第一階段段：基于于路由器器的防火火墻第一階段段：基于于路由器器的防火火墻(cont.)第一代防防火墻產(chǎn)產(chǎn)品的不不足之處處為：路由協(xié)議議十分靈靈活，本本身具有有安全漏漏洞，外外部網(wǎng)絡絡要探尋尋內(nèi)部網(wǎng)網(wǎng)絡十分分容易。。路由器上上的分組組過濾規(guī)規(guī)則的設設置和配配置存在在安全隱隱患。攻擊者可可以“假假冒”地地址，由由于信息息在網(wǎng)絡絡上是以以明文傳傳送的，，黑客可可以在網(wǎng)網(wǎng)絡上偽偽造假的的路由信信息欺騙騙防火墻墻。防火墻的的規(guī)則設設置會大大大降低低路由器器的性能能。第二階段段：用戶戶化的防防火墻工工具套作為第二二代防火火墻產(chǎn)品品，用戶戶化的防防火墻工工具套具有有以下特特征：將過濾功功能從路路由器中中獨立出出來，并并加上審審計和告告警功能能；針對用戶戶需求，，提供模模塊化的的軟件包包；軟件可通通過網(wǎng)絡絡發(fā)送，，用戶可可根據(jù)需需要構造造防火墻墻；與第一代代防火墻墻相比，，安全性性提高了了，價格格降低了了。第二階段：：用戶化的的防火墻工工具套(cont.)不足之處：：配置和維護護過程復雜雜、費時；；對用戶的技技術要求高高；全軟件實現(xiàn)現(xiàn)，安全性性和處理速速度均有局局限；實踐表明，，使用中出出現(xiàn)差錯的的情況很多多。第三階段：：建立在通通用操作系系統(tǒng)上的防防火墻具有以下特特點：是批量上市市的專用防防火墻產(chǎn)品品；包括分組過過濾或者借借用路由器器的分組過過濾功能；；裝有專用的的代理系統(tǒng)統(tǒng)，監(jiān)控所所有協(xié)議的的數(shù)據(jù)和指指令；保護用戶編編程空間和和用戶可配配置內(nèi)核參參數(shù)的設置置；安全性和速速度大為提提高。第三階段：：建立在通通用操作系系統(tǒng)上的防防火墻(cont.)存在的問題題：作為基礎的的操作系統(tǒng)統(tǒng)及其內(nèi)核核往往不為為防火墻管管理者所知知，由于原原碼的保密密，其安全全性無從保保證；由于大多數(shù)數(shù)防火墻廠廠商并非通通用操作系系統(tǒng)的廠商商，通用操操作系統(tǒng)廠廠商不會對對操作系統(tǒng)統(tǒng)的安全性性負責；從本質上看看，第三代代防火墻既既要防止來來自外部網(wǎng)網(wǎng)絡的攻擊擊，還要防防止來自操操作系統(tǒng)廠廠商的攻擊擊。用戶必須依依賴兩方面面的安全支支持：一是是防火墻廠廠商、一是是操作系統(tǒng)統(tǒng)廠商。第四階段：：具有安全全操作系統(tǒng)統(tǒng)的防火墻墻具有以下特特點：防火墻廠商商具有操作作系統(tǒng)的源源代碼，并并可實現(xiàn)安安全內(nèi)核；；對安全內(nèi)核核實現(xiàn)加固固處理:即即去掉不必必要的系統(tǒng)統(tǒng)特性，加加固內(nèi)核，，強化安全全保護；對每個服務務器、子系系統(tǒng)都作了了安全處理理，一旦黑黑客攻破了了一個服務務器，它將將會被隔離離在此服務務器內(nèi)，不不會對網(wǎng)絡絡的其它部部份構成威威脅；在功能上包包括了分組組過濾、應應用網(wǎng)關、、電路級網(wǎng)網(wǎng)關，且具具有加密與與鑒別功能能；透明性好，，易于使用用。第四代防火火墻的主要要技術與功功能第四代防火火墻產(chǎn)品將將網(wǎng)關與安安全系統(tǒng)合合二為一，，具有以下下技術與功功能特點：：雙端口或三三端口的結結構透明的訪問問方式靈活的代理理系統(tǒng)多級的過濾濾技術網(wǎng)絡地址轉轉換技術Internet網(wǎng)網(wǎng)關技術安全服務器器網(wǎng)絡（SSN）用戶鑒別與與加密用戶定制服服務審計和告警警雙端口或三三端口的結結構新一代防火火墻產(chǎn)品具具有兩個或或三個獨立立的網(wǎng)卡卡，內(nèi)外兩兩個網(wǎng)卡可可不作IP轉化而串接接于內(nèi)部網(wǎng)網(wǎng)與外部網(wǎng)網(wǎng)之間，另另一個網(wǎng)卡卡可專用于于對服務器器的安全保保護。透明的訪問問方式以前的防火火墻在訪問問方式上要要么要求用用戶作系統(tǒng)登錄，，要么需要要通過SOCKS等庫路徑修修改客戶機的應用用。第四代代防火墻利利用了透明明的代理系系統(tǒng)技術，從從而降低了了系統(tǒng)登錄錄固有的安安全風險和和出錯概率。。靈活的代理理系統(tǒng)代理系統(tǒng)是是一種將信信息從防火火墻的一側側傳送到另另一側的軟軟件模塊。。第四代防防火墻采用用了兩種代代理機制，，一種用于于代理從內(nèi)內(nèi)部網(wǎng)絡到到外部網(wǎng)絡絡的連接，，采用網(wǎng)絡絡地址轉換換(NAT)技術來解決決，另一種種用于代理理從外部網(wǎng)網(wǎng)絡到內(nèi)部部網(wǎng)絡的連連接。采用用非保密的的用戶定制制代理或保保密的代理理系統(tǒng)技術術來解決。。多級的過濾濾技術為保證系統(tǒng)統(tǒng)的安全性性和防護水水平，第四四代防火墻墻采用了三三級過濾措措施，并輔輔以鑒別手手段。在分分組過濾一一級，能過過濾掉所有有的源路由由分組和假假冒的IP源地址；在在應用級網(wǎng)網(wǎng)關一級,能利用FTP、SMTP等各種網(wǎng)關關，控制和和監(jiān)測Internet提供的所有有通用服務務；在電路路網(wǎng)關一級級，實現(xiàn)內(nèi)內(nèi)部主機與與外部站點點的透明連連接，并對對服務的通通行實行嚴嚴格控制。。網(wǎng)絡地址轉轉換技術第四代防火火墻利用NAT技術能透明明地對所有有內(nèi)部地址址作轉換，，使外部網(wǎng)網(wǎng)絡無法了了解內(nèi)部網(wǎng)網(wǎng)絡的內(nèi)部部結構，同同時允許內(nèi)內(nèi)部網(wǎng)絡使使用自己編編的IP地址和專用用網(wǎng)絡，防防火墻能詳詳盡記錄每每一個主機機的通信，，確保每個個分組送往往正確的地地址。Internet網(wǎng)關技術安全服務器器網(wǎng)絡（SSN）為適應越來來越多的用用戶向Internet上提供服務務時對服務務器保護的的需要,第第四代防火火墻采用特特別保護的的策略對用用戶上網(wǎng)的的對外服務務器實施保保護，它利利用一張網(wǎng)網(wǎng)卡將對外外服務器作作為一個獨獨立網(wǎng)絡處處理，對外外服務器既既是內(nèi)部網(wǎng)網(wǎng)的一部份份，又與內(nèi)內(nèi)部網(wǎng)關完完全隔離。。這就是安安全服務器器網(wǎng)絡(SSN)技術，對對SSN上的主機既既可單獨管管理，也可可設置成通通過FTP、Telnet等方式從內(nèi)內(nèi)部網(wǎng)上管管理。用戶鑒別與與加密為了降低防防火墻產(chǎn)品品在Telnet、FTP等服務和遠程管理理上的安全全風險，鑒鑒別功能必必不可少，，第四代防火火墻采用一一次性使用用的口令字字系統(tǒng)來作作為用戶的鑒鑒別手段，，并實現(xiàn)了了對郵件的的加密。用戶定制服服務為滿足特定定用戶的特特定需求，，第四代防防火墻在提供眾多多服務的同同時,還為為用戶定制制提供支持持，這類選選項有：通通用TCP，出站UDP、FTP、SMTP等類,如果果某一用戶戶需要建立立一個數(shù)據(jù)據(jù)庫的代理理，便可利利用這些支支持，方便便設置。審計和告警警第四代防火火墻產(chǎn)品的的審計和告告警功能十十分健全，日志文文件包括：：一般信息息、內(nèi)核信信息、核心心信息、接收收郵件、郵郵件路徑、、發(fā)送郵件件、已收消消息、已發(fā)消消息、連接接請求、已已鑒別的訪訪問、告警警條件、管理理日志、進進站代理、、FTP代理、出站站代理、郵件服服務器、域域名服務器器等。告警警功能會守守住每一個TCP或UDP探尋，并能能以發(fā)出郵郵件、聲響等多種方方式報警。。第四代防火火墻技術實實現(xiàn)在第四代防防火墻產(chǎn)品品的設計與與開發(fā)中，，關鍵在于于：安全內(nèi)核代理系統(tǒng)多級過濾安全服務器器鑒別與加密密安全內(nèi)核的的實現(xiàn)對安全操作作系統(tǒng)內(nèi)核核的固化與與改造主要要從以下幾方面進進行：取消危險的的系統(tǒng)調(diào)用用；限制命令的的執(zhí)行權限限；取消IP的的轉發(fā)功能能；檢查每個分分組的接口口；采用隨機連連接序號；；駐留分組過過濾模塊；；取消動態(tài)路路由功能；；采用多個安安全內(nèi)核。。代理系統(tǒng)的的建立在所有的連連接通過防防火墻前，，所有的代代理要檢查已定義義的訪問規(guī)規(guī)則，這些些規(guī)則控制制代理的服服務并根據(jù)以以下內(nèi)容處處理分組：：源地址；目的地址；；時間；同類服務的的最大數(shù)量量。代理系統(tǒng)的的建立（cont.)所有外部網(wǎng)網(wǎng)絡到防火火墻內(nèi)部或或SSN的連接由進進站代理處理，進站站代理要保保證內(nèi)部主主機能了解解外部主機機的所有信息，而而外部主機機只能看到到防火墻之之外或SSN的地址。所有從內(nèi)部部網(wǎng)絡或SSN通過防火墻墻與外部網(wǎng)網(wǎng)絡建立的的連接由出站站代理處理理，出站代代理必須確確保完全由由它代表內(nèi)部網(wǎng)絡絡與外部地地址相連，，防止內(nèi)部部網(wǎng)址與外外部網(wǎng)址的直接連連接,同時時還要處理理內(nèi)部網(wǎng)絡絡到SSN的連接。分組過濾器器的設計分組過濾器器包括以下下參數(shù):進站接口；；出站接口；；IP協(xié)議特特征；允許的連接接；源端口范圍圍；源地址；目的地址；；目的端口的的范圍等。。安全服務器器的設計安全服務器器的設計有有兩個要點點：第一，所有有SSN的流量都要要隔離處理理，即從內(nèi)內(nèi)部網(wǎng)和外部網(wǎng)而來來的路由信信息流在機機制上是分分離的；第二，SSN的作用類似似于兩個網(wǎng)網(wǎng)絡，它看看上去象是是內(nèi)部網(wǎng)，因為為它對外透透明，同時時又象是外外部網(wǎng)絡，，因為它從內(nèi)部網(wǎng)網(wǎng)絡對外訪訪問的方式式十分有限限。安全服務器器的設計（（cont.)SSN上的每一個個服務器都都是隱蔽于于Inter-net，SSN提供的服務務對外部網(wǎng)網(wǎng)絡而言好好象防火墻的功能，，由于地址址轉換已是是透明的,對各種網(wǎng)網(wǎng)絡應用沒有有限制。實現(xiàn)SSN的關鍵在于于：解決分組過過濾器與SSN的連連接；支持通過防防火墻對SSN的訪訪問；支持代理服服務。鑒別與加密密的考慮鑒別與加密密是防火墻墻識別用戶戶，驗證訪訪問和保護護信息的有效手手段，鑒別別機制除了了提供安全全保護而外外，還有安全管理的的功能，目目前國外防防火墻產(chǎn)品品中廣泛使使用令牌鑒別方式，，具體方法法有兩種，，一種是加加密卡（CryptoCard）；另一種種是SecureID，這兩種都都是一次性性口令的生成工具具。對信息內(nèi)容容的加密與與鑒別則涉涉及加密算算法和數(shù)字字簽名技術，除除PEM、PGP和Kerberos外，目前國國外防火墻墻產(chǎn)品中尚沒沒有更好的的機制出現(xiàn)現(xiàn)，由于加加密算法涉涉及國家信息安全全和主權，，各國有不不同的要求求。第四代防火火墻的抗攻攻擊能力作為一種安安全防護設設備，防火火墻在網(wǎng)絡絡中自然是是眾多攻擊擊者的目標標，故抗攻攻擊能力也也是防火墻墻的必備功功能，在Internet環(huán)境中針對對防火墻的的攻擊方法法主要有：：抗IP假冒攻擊抗特洛伊木木馬攻擊抗口令字探探尋攻擊抗網(wǎng)絡安全全性分析抗郵件詐騙騙攻擊抗IP假冒冒攻擊IP假冒是是指一個非非法的主機機假冒內(nèi)部部的主機地地址，騙取取服務器的的“信任””，從而達達到對網(wǎng)絡絡的攻擊目目的。由于于第四代防防火墻知道道網(wǎng)絡內(nèi)外外的IP地地址，它會會丟棄所有有來自網(wǎng)絡絡外部但卻卻有內(nèi)部地地址的分組組，再之防防火墻已將將網(wǎng)內(nèi)的實實際地址隱隱蔽起來，，外部用戶戶很難知道道內(nèi)部的IP地址，，因而難以以攻擊。第四代防火火墻的抗攻攻擊能力(cont.)抗特洛伊木木馬攻擊特洛伊木馬馬能將病毒毒或破壞性性程序傳入入計算機網(wǎng)網(wǎng)絡，且通通常是將這這些惡意程程序隱蔽在在正常的程程序，尤其其是熱門程程序或游戲戲之中，一一些用戶下下載并執(zhí)行行這一程序序，其中的的病毒便會會發(fā)作。第第四代防火火墻是建立立在安全的的操作系統(tǒng)統(tǒng)之上的，，其安全內(nèi)內(nèi)核中不能能執(zhí)行下載載的程序，，故而可防防止特洛伊伊木馬的發(fā)發(fā)生。必須須指出的是是，防火墻墻能抗特洛洛伊木馬的的攻擊并不不表明受其其保護的某某個主機也也能防止這這類攻擊。。事實上，，內(nèi)部用戶戶可通過防防火墻下載載程序，并并執(zhí)行下載載的程序。。第四代防火火墻的抗攻攻擊能力(cont.)抗口令字探探尋攻擊在網(wǎng)絡中探探尋口令字字的方法很很多，最常常見的是口口令字嗅探探和口令字字解密。嗅嗅探是通過過監(jiān)測網(wǎng)絡絡通信，截截獲用戶傳傳給服務器器的口令字字，記錄下下來，以便便使用；解解密是指采采用強力攻攻擊、猜測測或截獲含含有加密口口令字的文文件，并設設法解密。。此外，攻攻擊者還常常常利用一一些常用口口令字直接接登錄。第四代防火火墻采用了了一次性口口令字和禁禁止直接登登錄防火墻墻的措施，，能有效防防止對口令令字的攻擊擊。第四代防火火墻的抗攻攻擊能力(cont.)抗網(wǎng)絡安全全性分析網(wǎng)絡安全性性分析工具具本是供管管理人員分分析網(wǎng)絡安安全性之用用的，一旦旦這類工具具用作攻擊擊網(wǎng)絡的手手段，則能能較方便地地探測到內(nèi)內(nèi)部網(wǎng)絡的的安全缺陷陷和弱點所所在，目前前，SATAN軟件件可以從網(wǎng)網(wǎng)上免費獲獲得，InternetScanner可可從市面上上購買，這這些分析工工具給網(wǎng)絡絡安全構成成了直接威威脅。第四四代防火墻墻采用了地地址轉換技技術，將內(nèi)內(nèi)部網(wǎng)絡隱隱蔽起來，，使網(wǎng)絡安安全分析工工具無法從從外部對內(nèi)內(nèi)部網(wǎng)作分分析。第四代防火火墻的抗攻攻擊能力(cont.)抗郵件詐騙騙攻擊郵件詐騙也也是越來越越突出的攻攻擊方式，，第四代防防火墻不接接收任何郵郵件，故難難以采用這這種方式對對它攻擊，，同樣值得得一提的是是，防火墻墻不接受郵郵件，并不不表示它不不讓郵件通通過，實際際上用戶仍仍可收發(fā)郵郵件，內(nèi)部部用戶要防防郵件詐騙騙，最終的的解決辦法法是對郵件件加密。第四代防火火墻的抗攻攻擊能力(cont.)對防火墻技技術的展望望：幾點趨勢防火墻將從從目前對子子網(wǎng)或內(nèi)部部網(wǎng)管理的的方式向遠遠程上網(wǎng)集集中管理的的方式發(fā)展展；過濾濾深深度度不不斷斷加加強強,從從目目前前的的地地址址、、服服務務過過濾濾，，發(fā)發(fā)展展到到URL（頁頁面面））過過濾濾，，關關鍵鍵字字過過濾濾和和對對ActiveX、Java等的的過過濾濾，，并并逐逐漸漸有有病病毒毒掃掃除除功功能能。。單向向防防火火墻墻（（又又叫叫網(wǎng)網(wǎng)絡絡二二極極管管））將將作作為為一一種種產(chǎn)產(chǎn)品品門門類類而而出出現(xiàn)現(xiàn)；利用用防防火火墻墻建建立立專專用用網(wǎng)網(wǎng)(VPN)是是較較長長一一段段時時間間的的用用戶戶使使用用的的主主流流，，IP的加加密密需需求求越越來來越越強強，，安安全全協(xié)協(xié)議議的的開開發(fā)發(fā)是是一一大大熱熱點點；；對網(wǎng)網(wǎng)絡絡攻攻擊擊的的檢檢測測和和告告警警將將成成為為防防火火墻墻的的重重要要功功能能；；安全全管管理理工工具具不不斷斷完完善善，，特特別別是是可可疑疑活活動動的的日日志志分分析析工工具具等等將將成成為為防防火火墻墻產(chǎn)產(chǎn)品品中中的的一一部部分分。對防防火火墻墻技技術術的的展展望望：：幾點點趨趨勢勢(cont.)對防防火火墻墻技技術術的的展展望望：：需