《防火墻技術(shù)與產(chǎn)品》

防火墻技術(shù)與產(chǎn)品防火墻概念防火墻特征防火墻功能協(xié)議與效勞防火墻技術(shù)內(nèi)容防火墻體系結(jié)構(gòu)防火墻實現(xiàn)策略對防火墻技術(shù)與產(chǎn)品開展的介紹對防火墻技術(shù)的展望內(nèi)容提要ServerClient防火墻〔Firewall〕為什么需要防火墻所有軟件都是有錯的通常情況下99.99%無錯的程序很少會出問題同平安相關(guān)的99.99%無錯的程序可以確信會被人利用那0.01%的錯誤0.01%平安問題等于100%的失敗WhySecurityisHarderthanitLooks內(nèi)部網(wǎng)特點組成結(jié)構(gòu)復(fù)雜各節(jié)點通常自主管理信任邊界復(fù)雜，缺乏有效管理有顯著的內(nèi)外區(qū)別機構(gòu)有整體的平安需求最薄弱環(huán)節(jié)原那么為什么需要防火墻保護(hù)內(nèi)部不受來自Internet的攻擊為了創(chuàng)立平安域為了增強機構(gòu)平安策略防火墻概念 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域〔公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)〕之間的一系列部件的組合。它是不同網(wǎng)絡(luò)〔平安域〕之間的唯一出入口，能根據(jù)企業(yè)的平安政策控制〔允許、拒絕、監(jiān)測〕出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息平安效勞，實現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。防火墻特征保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)效勞集中化的平安管理加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制加強隱私對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)效勞一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的平安性，并通過過濾不平安的效勞而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更平安。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。防火墻特征防火墻特集中化的平安管理通過以防火墻為中心的平安方案配置，能將所有平安軟件〔如口令、加密、身份認(rèn)證、審計等〕配置在防火墻上。與將網(wǎng)絡(luò)平安問題分散到各個主機上相比，防火墻的集中平安管理更經(jīng)濟(jì)。加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制一個防火墻的主要功能是對整個網(wǎng)絡(luò)的訪問控制。比方防火墻可以屏蔽局部主機，使外部網(wǎng)絡(luò)無法訪問，同樣可以屏蔽局部主機的特定效勞，使得外部網(wǎng)絡(luò)可以訪問該主機的其它效勞，但無法訪問該主機的特定效勞。防火墻不應(yīng)向外界提供網(wǎng)絡(luò)中任何不需要效勞的訪問權(quán)，這實際上是平安政策的要求了?？刂茖μ厥庹军c的訪問：如有些主機或效勞能被外部網(wǎng)絡(luò)訪問，而有些那么需被保護(hù)起來，防止不必要的訪問。防火墻特征加強隱私隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題。一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)平安的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些平安漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等效勞。防火墻特征對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻特征協(xié)議－－ISO/OSI協(xié)議分層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層協(xié)議－－ISO/OSI協(xié)議分層物理層：涉及在物理信道上傳輸原始比特，處理與物理傳輸介質(zhì)有關(guān)的機械的、電氣的和過程的接口。數(shù)據(jù)鏈路層：分為介質(zhì)訪問控制〔MAC〕和邏輯鏈路控制〔LLC〕兩個子層。MAC子層解決播送型網(wǎng)絡(luò)中多用戶競爭信道使用權(quán)問題。LLC的主要任務(wù)是將有噪聲的物理信道變成無傳輸過失的通信信道，提供數(shù)據(jù)成幀、過失控制、流量控制和鏈路控制等功能。網(wǎng)絡(luò)層：負(fù)責(zé)將數(shù)據(jù)從物理連接的一端傳到另一端，即所謂點到點，通信主要功能是尋徑，以及與之相關(guān)的流量控制和擁塞控制等。協(xié)議－－ISO/OSI協(xié)議分層傳輸層：主要目的在于彌補網(wǎng)絡(luò)層效勞與用戶需求之間的差距。傳輸層通過向上提供一個標(biāo)準(zhǔn)、通用的界面，使上層與通信子網(wǎng)〔下三層〕的細(xì)節(jié)相隔離。傳輸層的主要任務(wù)是提供進(jìn)程間通信機制和保證數(shù)據(jù)傳輸?shù)目煽啃浴拰樱褐饕槍h(yuǎn)程終端訪問。主要任務(wù)包括會話管理、傳輸同步以及活動管理等。表示層：主要功能是信息轉(zhuǎn)換，包括信息壓縮、加密、與標(biāo)準(zhǔn)格式的轉(zhuǎn)換〔以及上述各操作的逆操作〕等等。應(yīng)用層：提供最常用且通用的應(yīng)用程序，包括電子郵件〔E-mail〕和文電傳輸?shù)?。?yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它ICMPARPRARPOSI參考模型Internet協(xié)議簇OSI參考模型與Internet協(xié)議簇協(xié)議－－TCP/IP協(xié)議分層應(yīng)用層傳輸層網(wǎng)間網(wǎng)層網(wǎng)絡(luò)接口層協(xié)議－－TCP/IP協(xié)議分層應(yīng)用層：向用戶提供一組常用的應(yīng)用程序，比方文件傳輸訪問、電子郵件、遠(yuǎn)程登錄等。用戶完全可以在“網(wǎng)間網(wǎng)〞之上〔即傳輸層之上〕，建立自己的專用應(yīng)用程序，這些專用應(yīng)用程序要用到TCP/IP，但不屬于TCP/IP。傳輸層〔TCP/UDP〕：提供給用程序間〔即端到端〕的可靠〔TCP〕或高效〔UDP〕的通信。其功能包括：格式化信息流及提供可靠傳輸。傳輸層還要解決不同應(yīng)用程序的識別問題。網(wǎng)間網(wǎng)層〔IP〕：負(fù)責(zé)相鄰計算機之間的通信。其功能包括：處理來自傳輸層的分組發(fā)送請求；處理輸入數(shù)據(jù)包；處理ICMP報文。網(wǎng)絡(luò)接口層：TCP/IP協(xié)議的最低層，負(fù)責(zé)接收IP數(shù)據(jù)報并通過網(wǎng)絡(luò)發(fā)送，或者從網(wǎng)絡(luò)上接收物理幀，抽出IP數(shù)據(jù)包，交給IP層。TCP/IP效勞SMTP-SimpleMailTransferProtocol,用于發(fā)送、接收電子郵件。TELNET-可以遠(yuǎn)程登陸到網(wǎng)絡(luò)的每個主機上，直接使用他的資源。FTP-FileTransferProtocol,用于文件傳輸。DNS-DomainNameService,被TELNET、FTP、WWW及其它效勞所用，可以把主機名字轉(zhuǎn)換為IP地址。WWW-WorldWideWeb,是FTP、gopher、WAIS及其它信息效勞的結(jié)合體,使用超文本傳輸協(xié)議()。TCP/IP效勞RPC-遠(yuǎn)程過程調(diào)用效勞。如NFS-NetworkFileSystem,可允許系統(tǒng)共享目錄與磁盤。NIS-NetworkInformationServices,網(wǎng)絡(luò)信息效勞容許多個系統(tǒng)共享數(shù)據(jù)庫,如passwordfile容許集中管理。XWindowSystem：一個圖形化的窗口系統(tǒng)。Rlogin、rsh、及其它“r〞效勞。運用相互信任的主機的概念，在其它系統(tǒng)上可以執(zhí)行命令且不要求password。TCP/IP效勞IPIP協(xié)議的主要內(nèi)容包括無連接數(shù)據(jù)報傳送、數(shù)據(jù)報尋徑及過失處理三局部。IP層作為通信子網(wǎng)的最高層，屏蔽底層各種物理網(wǎng)絡(luò)的技術(shù)環(huán)節(jié)，向上〔TCP層〕提供一致的、通用性的接口，使得各種物理網(wǎng)絡(luò)的差異性對上層協(xié)議不復(fù)存在。IP數(shù)據(jù)報分為報頭和數(shù)據(jù)區(qū)兩局部，IP報頭由IP協(xié)議處理，是IP協(xié)議的表達(dá)；數(shù)據(jù)體那么用于封裝傳輸層數(shù)據(jù)或過失和控制報文〔ICMP〕數(shù)據(jù)，由TCP協(xié)議或ICMP協(xié)議處理。TCPTCP是傳輸層的重要協(xié)議之一，提供面向連接的可靠字節(jié)流傳輸。面向連接的TCP要求在進(jìn)行實際數(shù)據(jù)傳輸前，必須在信源端與信宿端建立一條連接。且面向連接的每一個報文都需接收端確認(rèn)，未確認(rèn)報文被認(rèn)為是出錯報文，出錯的報文協(xié)議要求出錯重傳。TCP采用可變窗口進(jìn)行流量控制和擁塞控制以保證可靠性。分組是TCP傳輸數(shù)據(jù)的根本單元，分TCP頭和TCP數(shù)據(jù)體兩大局部。UDPUDP是傳輸層的重要協(xié)議之一；基于UDP的效勞包括NIS、NFS、NTP及DNS等。UDP不是面向連接的效勞，幾乎不提供可靠性措施；因此，基于UDP的效勞具有較高的風(fēng)險。TCP與UDP端口一個TCP或UDP連接由下述要素唯一確定：源IP地址、目的地IP地址、源端口、目的地端口。TCP或UDP用協(xié)議端口標(biāo)識通信進(jìn)程，端口是一種抽象的軟件結(jié)構(gòu)〔包括一些數(shù)據(jù)結(jié)構(gòu)和I/O緩沖區(qū)〕。應(yīng)用程序〔即進(jìn)程〕通過系統(tǒng)調(diào)用與某些端口建立連接后，傳輸層傳給該端口的數(shù)據(jù)被相應(yīng)進(jìn)程所接收。接口又是進(jìn)程訪問傳輸效勞的人口點。每個端口擁有一個叫端口號的16位整數(shù)標(biāo)識符，用于區(qū)分不同端口。TCP和UDP軟件分別可以提供65536個不同的端口。端口有兩局部，一局部是保存端口〔端口號小于1024，對應(yīng)于效勞器進(jìn)程〕，一局部是自由端口〔以本地方式分配〕。某些效勞進(jìn)程通常對應(yīng)于特定的端口。如SMTP為25，XWINDOWS為6000。客戶使用端口號及目的地IP地址初始化與一個特定主機或效勞的連接。TCP與UDP端口

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型,總體來講可分為三大類：分組過濾應(yīng)用代理電路中繼防火墻技術(shù)內(nèi)容分組過濾〔Packetfiltering〕：作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包那么被從數(shù)據(jù)流中丟棄。應(yīng)用代理〔ApplicationProxy〕：也叫應(yīng)用網(wǎng)關(guān)〔ApplicationGateway〕,它作用在應(yīng)用層，其特點是完全“阻隔〞了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用效勞編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。電路中繼(CircuitRelay)也叫電路網(wǎng)關(guān)(CircuitGateway)或TCP代理〔TCP－Proxy〕,其工作原理與應(yīng)用代理類似，不同之處是該代理程序是專門為傳輸層的TCP協(xié)議編制的。防火墻技術(shù)內(nèi)容防火墻技術(shù)內(nèi)容－分組過濾應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機內(nèi)部網(wǎng)絡(luò)主機分組過濾型防火墻

一個分組過濾型防火墻通常能根據(jù)IP分組的以下各項過濾：源IP地址目標(biāo)IP地址TCP/UDP源端口TCP/UDP目標(biāo)端口協(xié)議類型防火墻技術(shù)內(nèi)容－分組過濾防火墻技術(shù)內(nèi)容－分組過濾分組過濾防火墻應(yīng)用例如優(yōu)點：透明的防火墻系統(tǒng)高速的網(wǎng)絡(luò)性能易于配置支持網(wǎng)絡(luò)內(nèi)部隱藏防火墻技術(shù)內(nèi)容－分組過濾 缺點：易于IP地址假冒記錄日志信息不充分源路由攻擊設(shè)計和配置一個真正平安的分組過濾規(guī)那么比較困難分組過濾防火墻并不能過濾所有的協(xié)議極小分片設(shè)數(shù)據(jù)包攻擊無法防止數(shù)據(jù)驅(qū)動式攻擊防火墻技術(shù)內(nèi)容－分組過濾防火墻技術(shù)內(nèi)容－應(yīng)用代理應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機內(nèi)部網(wǎng)絡(luò)主機應(yīng)用代理型防火墻應(yīng)用層表示層會話層傳輸層防火墻技術(shù)內(nèi)容－應(yīng)用代理外部Telnet效勞器內(nèi)部Telnet效勞器日志系統(tǒng)Telnet代理FTP代理認(rèn)證系統(tǒng)應(yīng)用網(wǎng)關(guān)一個Telnet代理的例子一個Telnet應(yīng)用代理的過程用戶首先Telnet到應(yīng)用網(wǎng)關(guān)主機，并輸入內(nèi)部目標(biāo)主機的名字〔域名、IP地址〕應(yīng)用網(wǎng)關(guān)檢查用戶的源IP地址等，并根據(jù)事先設(shè)定的訪問規(guī)那么來決定是否轉(zhuǎn)發(fā)或拒絕然后用戶必須進(jìn)行是否驗證〔如一次一密等高級認(rèn)證設(shè)備〕應(yīng)用網(wǎng)關(guān)中的代理效勞器為用戶建立在網(wǎng)關(guān)與內(nèi)部主機之間的Telnet連接代理效勞器在兩個連接〔用戶/應(yīng)用網(wǎng)關(guān)，代理效勞器/內(nèi)部主機〕之間傳送數(shù)據(jù)應(yīng)用網(wǎng)關(guān)對本次連接進(jìn)行日志記錄防火墻技術(shù)內(nèi)容－應(yīng)用代理優(yōu)點：在網(wǎng)絡(luò)連接建立之前可以對用戶身份進(jìn)行認(rèn)證所有通過防火墻的信息流可以被記錄下來易于配置支持內(nèi)部網(wǎng)絡(luò)的信息隱藏與分組過濾規(guī)那么相比簡單易于控制和管理防火墻技術(shù)內(nèi)容－應(yīng)用代理 缺點：對每種類型的效勞都需要一個代理網(wǎng)絡(luò)性能不高防火墻對用戶不透明客戶應(yīng)用可能需要修改需要多個防火墻主機防火墻技術(shù)內(nèi)容－應(yīng)用代理防火墻技術(shù)內(nèi)容－電路中繼拓?fù)浣Y(jié)構(gòu)同應(yīng)用程序網(wǎng)關(guān)相同接收客戶端連接請求，代理客戶端完成網(wǎng)絡(luò)連接在客戶和效勞器間中轉(zhuǎn)數(shù)據(jù)通用性強防火墻幾種典型配置方案雙宿主方案屏蔽主機方案單宿主堡壘主機雙宿主堡壘主機屏蔽子網(wǎng)方案防火墻的配置幾個概念堡壘主機(BastionHost)：對外部網(wǎng)絡(luò)暴露，同時也是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點雙宿主主機(dual-homedhost)：至少有兩個網(wǎng)絡(luò)接口的通用計算機系統(tǒng)DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng)配置方案一雙宿主堡壘主機方案所有的流量都通過堡壘主機優(yōu)點：簡單配置方案二屏蔽主機方案：單宿主堡壘主機只允許堡壘主機可以與外界直接通訊優(yōu)點：兩層保護(hù)：包過濾+應(yīng)用層網(wǎng)關(guān)；靈活配置缺點：一旦包過濾路由器被攻破，那么內(nèi)部網(wǎng)絡(luò)被暴露配置方案三屏蔽主機方案：雙宿主堡壘主機從物理上把內(nèi)部網(wǎng)絡(luò)和Internet隔開，必須通過兩層屏障優(yōu)點：兩層保護(hù)：包過濾+應(yīng)用層網(wǎng)關(guān)；配置靈活配置方案四屏蔽子網(wǎng)防火墻優(yōu)點：三層防護(hù)，用來阻止入侵者外面的router只向Internet暴露屏蔽子網(wǎng)中的主機內(nèi)部的router只向內(nèi)部私有網(wǎng)暴露屏蔽子網(wǎng)中的主機防火墻實現(xiàn)策略對防火墻系統(tǒng)而言，共有兩層網(wǎng)絡(luò)平安策略：網(wǎng)絡(luò)效勞訪問策略：是高層策略，定義了受保護(hù)網(wǎng)絡(luò)明確允許和明確拒絕的網(wǎng)絡(luò)效勞，分析網(wǎng)絡(luò)效勞的可用性〔包括可用條件〕、風(fēng)險性等。防火墻設(shè)計策略：是低層策略，描述了防火墻如何根據(jù)高層的網(wǎng)絡(luò)效勞訪問策略中定義的策略來具體地限制訪問和過濾效勞。網(wǎng)絡(luò)效勞訪問策略不允許外部網(wǎng)絡(luò)或Internet訪問內(nèi)部網(wǎng)絡(luò)，但允許內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)或Internet。允許外部網(wǎng)絡(luò)或Internet訪問局部內(nèi)部網(wǎng)絡(luò)，這些特定的網(wǎng)絡(luò)效勞是經(jīng)過嚴(yán)格選擇和控制的，如一些信息效勞器、電子郵件效勞器或域名效勞器等等。防火墻實現(xiàn)策略防火墻設(shè)計策略防火墻設(shè)計策略必須針對具體的防火墻，它定義過濾規(guī)那么等，以實現(xiàn)高層的網(wǎng)絡(luò)效勞策略。這個策略在設(shè)計時必須考慮到防火墻本身的性能、限制及具體協(xié)議如TCP/IP。常用的兩種根本防火墻設(shè)計策略是：允許所有除明確拒絕之外的通信或效勞〔很少考慮，因為這樣的防火墻可能帶來許多風(fēng)險和平安問題。攻擊者完全可以使用一種拒絕策略中沒有定義的效勞而被允許并攻擊網(wǎng)絡(luò)〕拒絕所有除明確允許之外的通信或效勞〔常用，但操作困難，并有可能拒絕網(wǎng)絡(luò)用戶的正常需求與合法效勞〕防火墻實現(xiàn)策略作為一個平安策略的設(shè)計者，應(yīng)懂得以下問題的要點：哪些Internet效勞是本網(wǎng)絡(luò)系統(tǒng)打算使用或提供的？〔如TELNET、FTP、HTTP〕這些Internet效勞在哪或哪個范圍內(nèi)使用？〔如在本地網(wǎng)內(nèi)、整個Internet或撥號效勞等〕可能有哪些額外或臨時的效勞或需求？〔如加密、撥入效勞等〕提供這些效勞和訪問有哪些風(fēng)險和總的花費？防火墻實現(xiàn)策略對防火墻技術(shù)與產(chǎn)品開展的介紹防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息平安技術(shù)根底上的應(yīng)用性平安技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為最甚。Internet的迅猛開展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)：據(jù)不完全統(tǒng)計，在國際上防火墻產(chǎn)品銷售從1995年的不到1萬套，猛增到1997年底的10萬套。據(jù)國際權(quán)威商業(yè)調(diào)查機構(gòu)的預(yù)測,防火墻市場將以173％的復(fù)合增長率增長，到2000年將達(dá)150萬套，市場營業(yè)額將從1995年的1.6億美元上升到2000年的9.8億美元。防火墻開展歷程第一階段：基于路由器的防火墻第二階段：用戶化的防火墻工具套第三階段：建立在通用操作系統(tǒng)上的防火墻第四階段：具有平安操作系統(tǒng)的防火墻對防火墻技術(shù)與產(chǎn)品開展的介紹第一代防火墻產(chǎn)品的特點是：利用路由器本身對分組的解析,以訪問控制表〔accesslist〕方式實現(xiàn)對分組的過濾；過濾判決的依據(jù)可以是：地址、端口號、IP旗標(biāo)及其它網(wǎng)絡(luò)特征；只有分組過濾的功能，且防火墻與路由器是一體的，對平安要求低的網(wǎng)絡(luò)可采用路由器附帶防火墻功能的方法，對平安性要求高的網(wǎng)絡(luò)那么可單獨利用一臺路由器作防火墻。第一階段：基于路由器的防火墻第一階段：基于路由器的防火墻第一代防火墻產(chǎn)品的缺乏之處為：路由協(xié)議十分靈活，本身具有平安漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。路由器上的分組過濾規(guī)那么的設(shè)置和配置存在平安隱患。攻擊者可以“假冒〞地址，由于信息在網(wǎng)絡(luò)上是以明文傳送的，黑客可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。防火墻的規(guī)那么設(shè)置會大大降低路由器的性能。第二階段：用戶化的防火墻工具套作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：將過濾功能從路由器中獨立出來，并加上審計和告警功能；針對用戶需求，提供模塊化的軟件包；軟件可通過網(wǎng)絡(luò)發(fā)送，用戶可根據(jù)需要構(gòu)造防火墻；與第一代防火墻相比，平安性提高了，價格降低了。第二階段：用戶化的防火墻工具套缺乏之處：配置和維護(hù)過程復(fù)雜、費時；對用戶的技術(shù)要求高；全軟件實現(xiàn)，平安性和處理速度均有局限；實踐說明，使用中出現(xiàn)過失的情況很多。第三階段：建立在通用操作系統(tǒng)上的防火墻具有以下特點：是批量上市的專用防火墻產(chǎn)品；包括分組過濾或者借用路由器的分組過濾功能；裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；平安性和速度大為提高。第三階段：建立在通用操作系統(tǒng)上的防火墻存在的問題：作為根底的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于原碼的保密，其平安性無從保證；由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的平安性負(fù)責(zé)；從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊。用戶必須依賴兩方面的平安支持：一是防火墻廠商、一是操作系統(tǒng)廠商。第四階段：具有平安操作系統(tǒng)的防火墻具有以下特點：防火墻廠商具有操作系統(tǒng)的源代碼，并可實現(xiàn)平安內(nèi)核；對平安內(nèi)核實現(xiàn)加固處理:即去掉不必要的系統(tǒng)特性，加固內(nèi)核，強化平安保護(hù)；對每個效勞器、子系統(tǒng)都作了平安處理，一旦黑客攻破了一個效勞器，它將會被隔離在此效勞器內(nèi)，不會對網(wǎng)絡(luò)的其它部份構(gòu)成威脅；在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)，且具有加密與鑒別功能；透明性好，易于使用。第四代防火墻的主要技術(shù)與功能第四代防火墻產(chǎn)品將網(wǎng)關(guān)與平安系統(tǒng)合二為一，具有以下技術(shù)與功能特點：雙端口或三端口的結(jié)構(gòu)透明的訪問方式靈活的代理系統(tǒng)多級的過濾技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)Internet網(wǎng)關(guān)技術(shù)平安效勞器網(wǎng)絡(luò)〔SSN〕用戶鑒別與加密用戶定制效勞審計和告警雙端口或三端口的結(jié)構(gòu)新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對效勞器的平安保護(hù)。透明的訪問方式以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的平安風(fēng)險和出錯概率。靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。第四代防火墻采用了兩種代理機制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，采用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)來解決，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。多級的過濾技術(shù)為保證系統(tǒng)的平安性和防護(hù)水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用級網(wǎng)關(guān)一級,能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所有通用效勞；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對效勞的通行實行嚴(yán)格控制。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。Internet網(wǎng)關(guān)技術(shù)由于是直接串連在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互連的所有效勞，同時還要防止與Internet效勞有關(guān)的平安漏洞。故它要能以多種平安的應(yīng)用效勞器(包括FTP、Finger、mail、Ident、News、WWW等)來實現(xiàn)網(wǎng)關(guān)功能。在域名效勞方面，第四代防火墻采用兩種獨立的域名效勞器。在匿名FTP方面，效勞器只提供對有限的受保護(hù)的部份目錄的只讀訪問。平安效勞器網(wǎng)絡(luò)〔SSN〕為適應(yīng)越來越多的用戶向Internet上提供效勞時對效勞器保護(hù)的需要,第四代防火墻采用特別保護(hù)的策略對用戶上網(wǎng)的對外效勞器實施保護(hù)，它利用一張網(wǎng)卡將對外效勞器作為一個獨立網(wǎng)絡(luò)處理，對外效勞器既是內(nèi)部網(wǎng)的一部份，又與內(nèi)部網(wǎng)關(guān)完全隔離。這就是平安效勞器網(wǎng)絡(luò)(SSN)技術(shù)，對SSN上的主機既可單獨管理，也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。用戶鑒別與加密為了降低防火墻產(chǎn)品在Telnet、FTP等效勞和遠(yuǎn)程管理上的平安風(fēng)險，鑒別功能必不可少，第四代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段。用戶定制效勞為滿足特定用戶的特定需求，第四代防火墻在提供眾多效勞的同時,還為用戶定制提供支持，這類選項有：通用TCP，出站UDP、FTP、SMTP等類,如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可利用這些支持，方便設(shè)置。審計和告警第四代防火墻產(chǎn)品的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接請求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件效勞器、域名效勞器等。告警功能會守住每一個TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。第四代防火墻的抗攻擊能力作為一種平安防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能，在Internet環(huán)境中針對防火墻的攻擊方法主要有：抗IP假冒攻擊抗特洛伊木馬攻擊抗口令字探尋攻擊抗網(wǎng)絡(luò)平安性分析抗郵件詐騙攻擊抗IP假冒攻擊

IP假冒是指一個非法的主機假冒內(nèi)部的主機地址，騙取效勞器的“信任〞，從而到達(dá)對網(wǎng)絡(luò)的攻擊目的。由于第四代防火墻知道網(wǎng)絡(luò)內(nèi)外的IP地址，它會丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的分組，再之防火墻已將網(wǎng)內(nèi)的實際地址隱蔽起來，外部用戶很難知道內(nèi)部的IP地址，因而難以攻擊。第四代防火墻的抗攻擊能力抗特洛伊木馬攻擊 特洛伊木馬能將病毒或破壞性程序傳入計算機網(wǎng)絡(luò)，且通常是將這些惡意程序隱蔽在正常的程序，尤其是熱門程序或游戲之中，一些用戶下載并執(zhí)行這一程序，其中的病毒便會發(fā)作。第四代防火墻是建立在平安的操作系統(tǒng)之上的，其平安內(nèi)核中不能執(zhí)行下載的程序，故而可防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不說明受其保護(hù)的某個主機也能防止這類攻擊。事實上，內(nèi)部用戶可通過防火墻下載程序，并執(zhí)行下載的程序。第四代防火墻的抗攻擊能力抗口令字探尋攻擊 在網(wǎng)絡(luò)中探尋口令字的方法很多，最常見的是口令字嗅探和口令字解密。嗅探是通過監(jiān)測網(wǎng)絡(luò)通信，截獲用戶傳給效勞器的口令字，記錄下來，以便使用；解密是指采用強力攻擊、猜測或截獲含有加密口令字的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。第四代防火墻采用了一次性口令字和禁止直接登錄防火墻的措施，能有效防止對口令字的攻擊。第四代防火墻的抗攻擊能力抗網(wǎng)絡(luò)平安性分析 網(wǎng)絡(luò)平安性分析工具本是供管理人員分析網(wǎng)絡(luò)平安性之用的，一旦這類工具用作攻擊網(wǎng)絡(luò)的手段，那么能較方便地探測到內(nèi)部網(wǎng)絡(luò)的平安缺陷和弱點所在，目前，SATAN軟件可以從網(wǎng)上免費獲得，InternetScanner可從市面上購置，這些分析工具給網(wǎng)絡(luò)平安構(gòu)成了直接威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)平安分析工具無法從外部對內(nèi)部網(wǎng)作分析。第四代防火墻的抗攻擊能力抗郵件詐騙攻擊

郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對它攻擊，同樣值得一提的是，防火墻不接受郵件，并不表示它不讓郵件通過，實際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決方法是對郵件加密。第四代防火墻的抗攻擊能力防火墻的缺乏之處不能對繞過防火墻的攻擊提供保護(hù)不能防范內(nèi)部的攻擊不能對病毒感染的程序和文件的傳輸提供保護(hù)不能防范全新的威脅當(dāng)使用端加密時其作用會受到很大的限制對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效。對防火墻技術(shù)的展望：幾點趨勢防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式開展；過濾深度不斷加強,從目前的地址、效勞過濾，開展到URL〔頁面〕過濾，關(guān)鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃除功能。單向防火墻〔又叫網(wǎng)絡(luò)二極管〕將作為一種產(chǎn)品門類而出現(xiàn)；

利用防火墻建立專用網(wǎng)(VPN)是較長一段時間的用戶使用的主流，IP的加密需求越來越強，平安協(xié)議的開發(fā)是一大熱點；對網(wǎng)絡(luò)攻擊的檢測和告警將成為防火墻的重要功能；平安管理工具不斷完善，特別是可疑活動的日志分析工具等將成為防火墻產(chǎn)品中的一局部。對防火墻技術(shù)的展望：幾點趨勢對防火墻技術(shù)的展望：需求的變化根據(jù)上述趨勢，人們選擇防火墻的標(biāo)準(zhǔn)將集中在以下幾個方面：易于管理性；應(yīng)用透明性；鑒別與加密功能；操作環(huán)境和硬件要求；VPN的功能與CA的功能；接口的數(shù)量；本錢。對防火墻技術(shù)的展望：平安應(yīng)用網(wǎng)關(guān)作為企業(yè)內(nèi)部集中的平安應(yīng)用網(wǎng)關(guān)，集成了以下功能防火墻VPN內(nèi)容過濾防病毒入侵檢測防火墻設(shè)計的一般原那么確定平安策略明確企業(yè)的出口：Internet，合作伙伴，上下級單位；明確各出口的主要應(yīng)用內(nèi)部網(wǎng)平安級別的劃分內(nèi)部網(wǎng)需要保護(hù)的網(wǎng)段和數(shù)據(jù)，并明確其級別假設(shè)與Internet相連，那么明確主要目的；是否有信息發(fā)布明確威脅的主要來源：外部、內(nèi)部平安方案的選擇防火墻產(chǎn)品選型防火墻配置策略的根本準(zhǔn)那么一切未被允許的就是禁止的。防火墻缺省封鎖所有的信息流，然后對希望提供的效勞逐項開放。優(yōu)點:實用,平安，可靠性高。按規(guī)那么鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進(jìn)行匹配從頭到尾的匹配方式匹配成功馬上停止立刻使用該規(guī)那么的〞接受、禁止、拒絕……〞防火墻的選型－功能產(chǎn)品類型包過濾、基于通用操作系統(tǒng)的防火墻、基于專用操作系統(tǒng)的防火墻LAN接口防火墻能保護(hù)的網(wǎng)絡(luò)類型，如ethernet、fastethernet…支持的最大LAN接口數(shù)效勞器平臺：防火墻運行的平臺協(xié)議支持支持的非IP協(xié)議VPN防火墻的選型－功能訪問控制通過防火墻的包過濾設(shè)置在應(yīng)用層提供代理支持在傳輸層提供代理支持用戶操作的代理類型支持網(wǎng)絡(luò)地址轉(zhuǎn)換〔NAT〕支持硬件口令、智能卡防御功能內(nèi)容過濾，病毒掃描，防DOS攻擊，阻止ActiveX、Java、Cookie、JavaScript入侵……加密支持認(rèn)證支持平安特性提供入侵實時報警及防范識別/記錄/防止企圖進(jìn)行IP地址欺騙管理功能防火墻的選型－性能吞吐量〔Throughput〕--指以待測設(shè)備不丟棄數(shù)據(jù)幀位前提的最大速率；時延〔Latency〕----根據(jù)設(shè)備類型不同有不同的定義；丟包率〔Framelossrate〕----指在穩(wěn)定負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源缺乏而被丟棄的幀的百分比；緩沖能力〔背對背Back-to-backFrame〕----指從空閑狀態(tài)開始，以到達(dá)傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀，當(dāng)出現(xiàn)第一個幀喪失時，發(fā)送的幀數(shù)；系統(tǒng)恢復(fù)能力〔Systemrecovery〕復(fù)位〔Reset〕對防火墻的更高要求高性能軟件操作系統(tǒng)和應(yīng)用系統(tǒng)的體系結(jié)構(gòu)上國外設(shè)計專用系統(tǒng)，比較精小，效率高硬件軟件運算硬件化，將主要的運算〔查表運算是防火墻的主要運算工作〕做成芯片提高系統(tǒng)CPU的處理能力，增大內(nèi)存容量高穩(wěn)定可靠性比較重要，主要表達(dá)在軟件和硬件上；國外在硬件方面有很好的經(jīng)驗和配套能力，系統(tǒng)在硬件方面的可靠性比較高；國內(nèi)：硬件方面使用PC機和工控機，使用比較低端的網(wǎng)卡，沒有獨立專用的硬件平臺對防火墻的更高要求高應(yīng)用適應(yīng)能力即表達(dá)在產(chǎn)品使用的靈活性方面支持SNMP網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)應(yīng)用方面，國外比較好的防火墻可以支持上千種網(wǎng)絡(luò)應(yīng)用；防火墻的配置模式Internet/公網(wǎng)內(nèi)部網(wǎng)路由器NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源控制臺效勞器效勞器效勞器主機主機內(nèi)外網(wǎng)絡(luò)隔離截取IP包，根據(jù)平安策略控制其進(jìn)/出雙向網(wǎng)絡(luò)地址轉(zhuǎn)換〔NAT〕基于一次性口令對移動訪問進(jìn)行身份識別和控制IPMAC捆綁，防止IP地址的濫用平安記錄通信事件記錄操作事件記錄違規(guī)事件記錄異常情況告警移動用戶撥號用戶局域網(wǎng)用戶防火墻〔內(nèi)部地址〕〔內(nèi)部地址〕路由器HTTP效勞器DNS效勞器Email效勞器防火墻DMZ區(qū)〔DemilitarizedZone〕內(nèi)部專用網(wǎng)絡(luò)InternetDDNPSTNATMISDNX.25幀中繼防火墻管理器外部網(wǎng)絡(luò)安裝方式之一防火墻防火墻管理工作站分支機構(gòu)受保護(hù)局域網(wǎng)防火墻防火墻資源子網(wǎng)路由器路由器路由器分支機構(gòu)受保護(hù)局域網(wǎng)公共網(wǎng)絡(luò)總部路由器路由器安裝方式之二安裝方式之三4GbpsSW14GbpsSW12GbpsSW1Active/ActiveActive/Active/FullMesh2Gbps2GbpsActive/Passive安裝方式之四防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換6內(nèi)部網(wǎng)絡(luò)地址192.168.0.x外部網(wǎng)絡(luò)/Internet地址網(wǎng)絡(luò)地址轉(zhuǎn)換Internet01內(nèi)部網(wǎng)/WWWServerE_MailServerFTPServer23/24SFH02FW

Alarm2035968?E1E0Power防火墻6/24重定向〔反向NAT〕/24/248800:88:CC:A0:2C:4D8888:88:88:88:88:88PASSNOIP包IP包IP/MAC地址對應(yīng)平安日志記錄用戶訪問的開始和終止時間記錄用戶的通信事件，例如主機