《網(wǎng)絡(luò)安全技術(shù)》課件第5章

第5章防火墻技術(shù)5.1防火墻概述5.2防火墻體系結(jié)構(gòu)5.3防火墻技術(shù)5.4防火墻產(chǎn)品及選購5.5防火墻技術(shù)實例習(xí)題

5.1防?火?墻?概?述

防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間建立起的安全保護屏障，從而保護內(nèi)部網(wǎng)免受外部網(wǎng)非法用戶的侵入。防火墻可以是純硬件的，也可以是純軟件的，還可以是軟、硬件結(jié)合的。防火墻允許用戶“同意”的人和數(shù)據(jù)進入自己的網(wǎng)絡(luò)，同時將未經(jīng)認(rèn)可的訪問者和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客入侵行為，防止自己的信息被更改、拷貝和毀壞。防火墻技術(shù)在網(wǎng)絡(luò)中的應(yīng)用如圖5.1所示。圖5.1防火墻示意圖5.1.1防火墻的作用與局限性

防火墻通常有兩種基本的設(shè)計策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種的特點是好用但不安全，即對用戶使用服務(wù)限制少導(dǎo)致對某些安全服務(wù)威脅的漏報；第二種是安全但不好用，即能夠最大程度地保護系統(tǒng)安全但限制了多數(shù)的服務(wù)使用戶感覺不便。通常采用第二種類型的設(shè)計策略，而多數(shù)防火墻是在兩種之間采取折衷。

1.防火墻的作用

防火墻的作用主要包括以下幾個方面。

1)防火墻是網(wǎng)絡(luò)安全的屏障

防火墻是信息進出網(wǎng)絡(luò)的必經(jīng)之路。它可以檢測所有經(jīng)過數(shù)據(jù)的細節(jié)，并根據(jù)事先定義好的策略允許或禁止這些數(shù)據(jù)通過。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，外部的攻擊者不可能利用脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)，所以網(wǎng)絡(luò)環(huán)境變得更加安全。

2)防火墻可以強化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證及審計等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如，在網(wǎng)絡(luò)訪問時，一次性加密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機上，而是集中在防火墻上。

3)對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計

防火墻能夠記錄所有經(jīng)過它的訪問，并將這些訪問添加到日志記錄中，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。防火墻還能對可疑動作進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，防火墻還能收集網(wǎng)絡(luò)使用和誤用情況，為網(wǎng)絡(luò)安全管理提供依據(jù)。

4)防止內(nèi)部信息外泄

利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)絡(luò)重點網(wǎng)段的隔離，從而限制局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。防火墻可以隱蔽那些透露內(nèi)部細節(jié)服務(wù)，如Finger、DNS等，使攻擊者不能得到內(nèi)部網(wǎng)絡(luò)的有關(guān)信息。

2.防火墻的局限性

防火墻技術(shù)雖然是內(nèi)部網(wǎng)絡(luò)最重要的安全技術(shù)之一，可使內(nèi)部網(wǎng)在很大程度上免受攻擊，但不能認(rèn)為配置了防火墻之后所有的網(wǎng)絡(luò)安全問題都迎刃而解了。防火墻也有其明顯的局限性，許多危險是防火墻無能為力的。

1)防火墻不能防范內(nèi)部人員的攻擊

防火墻只能提供周邊防護，并不能控制內(nèi)部用戶對內(nèi)部網(wǎng)絡(luò)濫用授權(quán)的訪問。內(nèi)部用戶可竊取數(shù)據(jù)、破壞硬件和軟件，并可巧妙地修改程序而不接近防火墻。內(nèi)部用戶攻擊網(wǎng)絡(luò)正是網(wǎng)絡(luò)安全最大的威脅。

2)防火墻不能防范繞過它的連接

防火墻可有效地檢查經(jīng)由它進行傳輸?shù)男畔ⅲ荒芊乐估@過它傳輸?shù)男畔?。比如，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問，那么防火墻就沒有辦法阻止攻擊者進行的撥號入侵。

3)防火墻不能防御全部威脅

防火墻能夠防御已知的威脅。如果是一個很好的防火墻設(shè)計方案，可以防御新的威脅，但沒有一個防火墻能夠防御所有的威脅。

4)防火墻難于管理和配置，容易造成安全漏洞

防火墻的管理及配置相當(dāng)復(fù)雜，要想成功維護防火墻，就要求防火墻管理員對網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深入的了解。防火墻的安全策略無法進行集中管理，一般來說，由多個系統(tǒng)(路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機)組成的防火墻，是難于管理的。

5)防火墻不能防御惡意程序和病毒

雖然許多防火墻能掃描所有通過的信息，以決定是否允許它們通過防火墻進入內(nèi)部網(wǎng)絡(luò)，但掃描是針對源、目標(biāo)地址和端口號的，而不掃描數(shù)據(jù)的確切內(nèi)容。因為在網(wǎng)絡(luò)上傳輸二進制文件的編碼方式很多，并且有太多的不同結(jié)構(gòu)的病毒，因此防火墻不可能查找出所有的病毒，也就不能有效地防范病毒類程序的入侵。目前已經(jīng)有一些防火墻廠商將病毒檢測模塊集成到防火墻系統(tǒng)中，并通過一些技術(shù)手段解決由此而產(chǎn)生的效率和性能問題。5.1.2防火墻的類型

目前市場上的防火墻產(chǎn)品非常多，形式多樣。有以軟件形式運行在普通計算機之上的，也有以固件形式設(shè)計在路由器之中的。防火墻主要分類如下：

1．從軟、硬件形式上分類

以防火墻的軟、硬件形式來分，防火墻可以分為軟件防火墻和硬件防火墻兩類。

(1)軟件防火墻運行于特定的計算機上，它需要客戶預(yù)先安裝的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)，俗稱“個人防火墻”。軟件防火墻就像其他的軟件產(chǎn)品一樣需要在計算機上進行安裝和設(shè)置才可以使用。網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Check-point。使用這類防火墻，需要網(wǎng)管對相應(yīng)的操作系統(tǒng)平臺比較熟悉。

(2)硬件防火墻一般分傳統(tǒng)硬件防火墻和芯片級防火墻兩類，它們最大的差別在于是否基于專用的硬件平臺。傳統(tǒng)硬件防火墻是在PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)構(gòu)成的，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。由于此類防火墻依然采用非自己的內(nèi)核，因此會受到操作系統(tǒng)本身的安全性影響。芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片使它們比其他種類的防火墻速度更快，處理能力更強，性能更高，如NetScreen、Cisco的硬件防火墻產(chǎn)品基于專用操作系統(tǒng)，因此防火墻本身的漏洞比較少，不過價格相對比較高。

2．按防火墻的部署位置分類

按照防火墻在網(wǎng)絡(luò)中部署的位置可以分為邊界防火墻、個人防火墻和混合防火墻三類。

(1)邊界防火墻是最傳統(tǒng)的一種，它們部署在內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用是對內(nèi)、外部網(wǎng)絡(luò)實施隔離，保護內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都是硬件類型的，價格較貴，性能

較好。

(2)個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應(yīng)用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

(3)混合式防火墻即“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個軟、硬件組成，分布在內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機之間，既對內(nèi)、外部網(wǎng)絡(luò)之間的通信進行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機間的通信進行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價格也最貴。

3．按技術(shù)分類

防火墻按技術(shù)可分為包過濾技術(shù)、代理技術(shù)和狀態(tài)檢測技術(shù)三類。

(1)包過濾技術(shù)對通過防火墻的數(shù)據(jù)包進行檢測，只有符合過濾規(guī)則的數(shù)據(jù)包才允許穿過防火墻。

(2)代理技術(shù)是通過在一臺特殊的主機上安裝代理軟件，使只有合法的用戶和數(shù)據(jù)才能通過防火墻對網(wǎng)絡(luò)進行訪問。

(3)狀態(tài)檢測技術(shù)是在包過濾的基礎(chǔ)上對進出的數(shù)據(jù)包的狀態(tài)進行檢測，使只有合法的數(shù)據(jù)才能通過防火墻。5.1.3防火墻技術(shù)的發(fā)展趨勢

從目前的防火墻市場來看，國內(nèi)外防火墻廠商基本上都可以很好地支持防火墻的基本功能，包括訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理認(rèn)證、日志審計等。但是隨著網(wǎng)絡(luò)攻擊的增加，以及用戶對網(wǎng)絡(luò)安全要求的日益提高，防火墻必須有進一步的發(fā)展。

從應(yīng)用和技術(shù)發(fā)展趨勢來看，如何增強防火墻的安全性，提高防火墻的性能，豐富防火墻的功能，將成為防火墻廠商下一步所必須面對和解決的問題。防火墻將從目前的靜態(tài)防御策略向智能化方向發(fā)展。未來智能化的防火墻應(yīng)能實現(xiàn)自動識別并防御各種黑客攻擊手法及其相應(yīng)變種攻擊手法；在網(wǎng)絡(luò)出口發(fā)生異常時能自動調(diào)整與外網(wǎng)的連接端口；能夠根據(jù)信息流量自動分配、調(diào)整網(wǎng)絡(luò)信息流量及協(xié)同多臺物理設(shè)備工作；自動檢測防火墻本身的故障并能自動修復(fù)，具備自主學(xué)習(xí)并制定識別與防御方法。多功能也是防火墻的發(fā)展方向之一。鑒于目前路由器和防火墻價格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。未來網(wǎng)絡(luò)防火墻將在現(xiàn)有的基礎(chǔ)上繼續(xù)完善其功能并不斷增加新的功能。如保證傳輸數(shù)據(jù)安全的VPN、隱藏內(nèi)部網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)、雙重DNS功能、防病毒功能、內(nèi)容掃描功能等。

綜上所述，未來的防火墻會全面考慮網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用程序安全、用戶安全和數(shù)據(jù)安全的綜合應(yīng)用，將是智能化、高速度、低成本和功能更加完善、管理更加人性化的網(wǎng)絡(luò)安全產(chǎn)品。

5.2防火墻體系結(jié)構(gòu)

通常，防火墻是路由器、計算機和配有適當(dāng)軟件的網(wǎng)絡(luò)設(shè)備的多種組合。由于網(wǎng)絡(luò)結(jié)構(gòu)多種多樣，各站點的安全要求不盡相同，故目前還沒有一種統(tǒng)一的防火墻設(shè)計標(biāo)準(zhǔn)。防火墻的體系結(jié)構(gòu)也有很多種，防火墻具體采用何種結(jié)構(gòu)取決于防火墻設(shè)計的思想和網(wǎng)絡(luò)的實際情況，不同結(jié)構(gòu)的防火墻帶給網(wǎng)絡(luò)的安全保障和影響是不同的。根據(jù)結(jié)構(gòu)的不同，防火墻系統(tǒng)可分為傳統(tǒng)防火墻系統(tǒng)、分布式防火墻系統(tǒng)和混合式防火墻系統(tǒng)三種。5.2.1傳統(tǒng)防火墻系統(tǒng)

傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企業(yè)網(wǎng)和外部互聯(lián)網(wǎng)之間構(gòu)成一個屏障，進行網(wǎng)絡(luò)存取控制，我們可稱之為邊界防火墻(PerimeterFirewall)。邊界防火墻基本體系結(jié)構(gòu)有四種類型：包過濾防火墻、雙宿主主機體系結(jié)構(gòu)防火墻、屏蔽主機體系結(jié)構(gòu)防火墻和屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻。

1.包過濾防火墻

包過濾防火墻是通過在路由器上根據(jù)某些規(guī)則對數(shù)據(jù)包進行過濾來實現(xiàn)對網(wǎng)絡(luò)的安全保護，其體系結(jié)構(gòu)如圖5.2所示。圖5.2包過濾防火墻體系結(jié)構(gòu)包過濾路由器首先以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)建立一定數(shù)量的信息過濾表。數(shù)據(jù)包頭信息含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型(TCP，UDP，ICMP等)、協(xié)議源端口號、協(xié)議目的端口號、連接請求方向、ICMP報文類型等。當(dāng)一個數(shù)據(jù)包滿足過濾表中的規(guī)則時允許數(shù)據(jù)包通過，否則禁止通過。包過濾防火墻可以用于禁止外部不合法用戶對內(nèi)部的訪問，也可以用來禁止訪問某些服務(wù)類型，且對用戶透明。但包過濾技術(shù)不能識別危險的信息包，無法實施對應(yīng)用級協(xié)議的處理，如無法區(qū)分同一個IP的不同用戶，也無法處理UDP、RPC或動態(tài)的協(xié)議。

2.雙宿主主機體系結(jié)構(gòu)

雙宿主主機(Dual-HomedHost)位于內(nèi)部網(wǎng)和因特網(wǎng)之間，實際上是一臺擁有兩個IP地址的PC機或服務(wù)器，它同時屬于內(nèi)、外兩個網(wǎng)段所共有，起到了隔離內(nèi)、外網(wǎng)段的作用。一般來說，這臺機器上需要安裝兩塊網(wǎng)卡，分別對應(yīng)屬于內(nèi)外不同網(wǎng)段的兩個IP地址。雙宿主主機體系結(jié)構(gòu)如圖5.3所示。圖5.3雙宿主主機體系結(jié)構(gòu)防火墻內(nèi)部的系統(tǒng)能與雙宿主主機通信，防火墻外部的系統(tǒng)也能與雙宿主主機通信，但是內(nèi)部與外部系統(tǒng)之間不能直接相互通信。這種體系結(jié)構(gòu)非常簡單，一般通過安裝能夠轉(zhuǎn)發(fā)服務(wù)請求的代理程序來實現(xiàn)，或者通過用戶直接登錄到該主機來提供服務(wù)，能提供級別很高的控制。安裝了代理程序的主機又被稱為堡壘主機(BastionHost)。雙宿主主機體系結(jié)構(gòu)也存在一些缺點，即用戶帳號本身會帶來很多的安全問題，而登錄過程也會讓用戶感到麻煩。

3.屏蔽主機體系結(jié)構(gòu)

屏蔽主機體系結(jié)構(gòu)由一臺包過濾路由器和一臺堡壘主機組成，其中堡壘主機被安排在內(nèi)部局域網(wǎng)中，同時在內(nèi)部網(wǎng)和外部網(wǎng)之間配備了屏蔽路由器。在這種體系結(jié)構(gòu)中，外部網(wǎng)絡(luò)必須通過堡壘主機才能訪問內(nèi)部網(wǎng)絡(luò)中的資源，而內(nèi)部網(wǎng)絡(luò)中的計算機則可以通過屏蔽路由器訪問外部網(wǎng)絡(luò)中的資源。屏蔽主機體系結(jié)構(gòu)如圖5.4所示。圖5.4屏蔽主機體系結(jié)構(gòu)在這種方式的防火墻中，堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機成為從外部網(wǎng)絡(luò)唯一可直接到達的主機，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。堡壘主機與其他主機在同一個子網(wǎng)中，一旦堡壘主機被攻破或被越過，整個內(nèi)部網(wǎng)絡(luò)和堡壘主機之間就再也沒有任何阻擋了，它完全暴露在Internet之上。因此堡壘主機必須是高度安全的計算機系統(tǒng)。

屏蔽主機防火墻實現(xiàn)了網(wǎng)絡(luò)層和應(yīng)用層的安全，因而比單純的包過濾或應(yīng)用網(wǎng)關(guān)代理更安全。在這一方式下，過濾路由器是否配置正確是這種防火墻安全與否的關(guān)鍵，如果路由器遭到破壞，堡壘主機就可能被越過，使內(nèi)部網(wǎng)完全暴露。在屏蔽路由器和防火墻上應(yīng)設(shè)置數(shù)據(jù)包過濾功能，過濾原則可為下列之一：

允許除堡壘主機外的其他主機與外部網(wǎng)絡(luò)連接，這些連接只是相對于某些服務(wù)的，并在路由器中設(shè)置了過濾。

不允許來自內(nèi)部主機的所有連接，即其他主機只能通過堡壘主機使用代理服務(wù)。

4.屏蔽子網(wǎng)體系結(jié)構(gòu)

與屏蔽主機體系結(jié)構(gòu)相比，屏蔽子網(wǎng)體系結(jié)構(gòu)添加了周邊網(wǎng)絡(luò)，在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間加上了額外的安全層。屏蔽子網(wǎng)體系結(jié)構(gòu)如圖5.5所示。圖5.5屏蔽子網(wǎng)體系結(jié)構(gòu)在這種體系結(jié)構(gòu)中，有內(nèi)外兩個路由器，每一個都連接著周邊網(wǎng)絡(luò)，稱為非軍事化區(qū)(DeMilitarizedZone，DMZ)，一般對外的公共服務(wù)器、堡壘主機放在該子網(wǎng)中，并使子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。在這一配置中，即使堡壘主機被入侵者控制，內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部包過濾路由器的保護，而且可以設(shè)置多個堡壘主機運行各種代理服務(wù)。在屏蔽子網(wǎng)體系結(jié)構(gòu)中，堡壘主機和屏蔽路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。如果黑客想入侵由這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，則必須通過兩個路由器，這就增加了難度。建造防火墻時，一般很少采用單一的技術(shù)，通常是解決不同問題的多種技術(shù)的組合。其他結(jié)構(gòu)的防火墻系統(tǒng)都是上述幾種結(jié)構(gòu)的變形，目的都是通過設(shè)定過濾和代理的層次使得檢測層次增多，從而增加安全性。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級的風(fēng)險。采用哪種技術(shù)主要取決于經(jīng)費、投資的大小或技術(shù)人員的技術(shù)、時間等因素。5.2.2分布式防火墻系統(tǒng)

邊界防火墻部署在內(nèi)網(wǎng)與外網(wǎng)的邊界上，通過一個或一組設(shè)備即可保護網(wǎng)絡(luò)內(nèi)部安全。但隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，邊界防火墻已不能滿足越來越復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)的需求，出現(xiàn)了不能抵御來自內(nèi)部網(wǎng)絡(luò)的攻擊、在網(wǎng)絡(luò)邊界造成訪問瓶頸、效率不高、故障點多等不足。針對邊界防火墻存在的缺陷，專家提出了分布式防火墻方案，其最大的特點是將內(nèi)網(wǎng)中的各子網(wǎng)看成和外網(wǎng)一樣的不安全，從而保護各內(nèi)網(wǎng)安全，堵住內(nèi)網(wǎng)攻擊漏洞。分布式防火墻一般包括網(wǎng)絡(luò)防火墻、主機防火墻和中心管理三部分。網(wǎng)絡(luò)防火墻部署于內(nèi)部網(wǎng)與外部網(wǎng)之間以及內(nèi)網(wǎng)的子網(wǎng)之間，支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議，不僅保護內(nèi)網(wǎng)不受外網(wǎng)的安全威脅，而且也能保護內(nèi)網(wǎng)各子網(wǎng)之間的訪問安全。主機防火墻對網(wǎng)絡(luò)中的服務(wù)器和桌面系統(tǒng)進行防護。中心管理是一個防火墻管理軟件，能夠?qū)W(wǎng)絡(luò)中的所有防火墻進行統(tǒng)一管理，安全策略的分發(fā)及日志的匯總都是中心管理具備的功能。分布式防火墻采用了軟件形式(有的采用了軟件+硬件形式)，所以功能配置更加靈活，具備充分的智能管理能力，其優(yōu)點是：

增強了系統(tǒng)安全性：增加了針對主機的入侵的檢測和防護功能，加強了對來自內(nèi)部攻擊的防范，可以實施全方位的安全策略。

提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。

系統(tǒng)的擴展性：隨系統(tǒng)擴充提供了安全防護無限擴充的能力。

實施主機策略：對網(wǎng)絡(luò)中的各節(jié)點可以起到更安全的防護。

應(yīng)用更為廣泛，支持VPN通信。分布式防火墻系統(tǒng)的不足之處在于：

分布式防火墻系統(tǒng)的實現(xiàn)還存在著較大的問題，如果采用軟件防火墻則與其要保護的操作系統(tǒng)之間存在著“功能悖論”；而采用硬件防火墻的成本極其可觀，且必將對現(xiàn)有的生產(chǎn)技術(shù)和運行標(biāo)準(zhǔn)產(chǎn)生極大的沖擊。

安全數(shù)據(jù)的處理是一個難題。系統(tǒng)將安全策略的執(zhí)行權(quán)交給了各個防火墻，而對各點的安全數(shù)據(jù)如何存儲以及何時、以何種方式進行收集則很難進行處理，從而很難及時掌握網(wǎng)絡(luò)整體的運行情況。

網(wǎng)絡(luò)安全中心負責(zé)向所有的主機發(fā)送安全策略并處理它們返回的信息。這對于安全中心服務(wù)器來說是極為繁重的工作。尤其是主機很多、安全事件頻發(fā)的時候，會極大地影響網(wǎng)絡(luò)的運行效率。

依據(jù)2001年美國國防部國防高級研究計劃局資助的網(wǎng)絡(luò)安全研究計劃報告，美國當(dāng)時的分布式防火墻系統(tǒng)通過新的網(wǎng)絡(luò)管理技術(shù)的應(yīng)用，最多可以支持近1500臺接入網(wǎng)絡(luò)的主機。而時隔多年后，雖然支持的主機數(shù)目多了一些，但并沒有質(zhì)的飛越。而且對于以上問題的解決還處在研究階段，沒有什么重大的突破?？梢哉f，分布式防火墻系統(tǒng)的思想是好的，但受制于現(xiàn)階段的計算機技術(shù)，還很難承擔(dān)與其過于理想化的設(shè)想相當(dāng)?shù)闹厝巍?.2.3混合型防火墻系統(tǒng)

混合型防火墻力圖結(jié)合傳統(tǒng)防火墻和分布式防火墻的特點，利用分布式防火墻的一些技術(shù)對傳統(tǒng)的防火墻技術(shù)加以改造，依賴于地址策略將安全策略分發(fā)給各個站點，由各個站點實施這些規(guī)則?；旌闲头阑饓Φ拇硎荂heckPoint公司的firewall-1防火墻。它通過裝載到網(wǎng)絡(luò)操作中心上的多域服務(wù)器來控制多個防火墻用戶模塊。多域服務(wù)器有多個用戶管理加載模塊，每個模塊都有一個虛擬IP地址，對應(yīng)著若干防火墻用戶模塊。安全策略通過多域服務(wù)器上的用戶管理加載模塊下發(fā)到各個防火墻用戶模塊。防火墻用戶模塊執(zhí)行安全規(guī)則，并將數(shù)據(jù)存放到對應(yīng)的用戶管理加載模塊的目錄下。多域服務(wù)器可以共享這些數(shù)據(jù)，使得防火墻多點接入成為可能?；旌闲头阑饓ο到y(tǒng)融合了傳統(tǒng)和分布式防火墻系統(tǒng)的特點，將網(wǎng)絡(luò)流量分配給多個接入點，降低了單點工作強度，安全性、管理性更強，因此比傳統(tǒng)和分布式防火墻系統(tǒng)效能都高。但其網(wǎng)絡(luò)操作中心是一個明顯的系統(tǒng)瓶頸，一旦它發(fā)生了故障，整個防火墻也將停止運作，因此同傳統(tǒng)防火墻系統(tǒng)一樣存在著單失效點的問題。

5.3防?火?墻?技?術(shù)

防火墻最基本的技術(shù)是包過濾技術(shù)和代理技術(shù)，后來在代理技術(shù)基礎(chǔ)上發(fā)展了自適應(yīng)代理技術(shù)，而在包過濾技術(shù)基礎(chǔ)上又發(fā)展了狀態(tài)檢測技術(shù)，即動態(tài)包過濾技術(shù)。5.3.1包過濾技術(shù)

包過濾類型防火墻是應(yīng)用包過濾技術(shù)(PacketFilter)來抵御網(wǎng)絡(luò)攻擊的。包過濾又稱“報文過濾”，它是防火墻最傳統(tǒng)、最基本的過濾技術(shù)。防火墻的包過濾技術(shù)就是對通信過程中的數(shù)據(jù)進行過濾(又稱篩選)，使符合事先規(guī)定的安全規(guī)則(或稱“安全策略”)的數(shù)據(jù)包通過，而使那些不符合安全規(guī)則的數(shù)據(jù)包丟棄，這個安全規(guī)則就是防火墻技術(shù)的根本。它是通過對各種網(wǎng)絡(luò)應(yīng)用、通信類型和端口的使用來規(guī)定的。

數(shù)據(jù)包過濾流程如圖5.6所示。圖5.6數(shù)據(jù)包過濾流程包過濾防火墻首先根據(jù)安全策略設(shè)計并存儲包過濾規(guī)則，然后讀取每一個到達防火墻的數(shù)據(jù)包包頭信息并按順序與規(guī)則表中的每一條規(guī)則進行比較，直至發(fā)現(xiàn)包頭中的控制信息與某條規(guī)則相符合，然后按照規(guī)則對數(shù)據(jù)包進行處理，允許或阻塞數(shù)據(jù)包通過。如果沒有任何一條規(guī)則符合，防火墻則使用默認(rèn)規(guī)則(一般默認(rèn)規(guī)則是禁止該數(shù)據(jù)包通過)。

【例5.1】假設(shè)網(wǎng)絡(luò)策略安全規(guī)則確定：外部主機發(fā)來的Web訪問在內(nèi)部主機中被接收；拒絕從IP地址為的外部主機發(fā)來的數(shù)據(jù)流；允許內(nèi)部主機訪問外部Web站點。請設(shè)計一個包過濾規(guī)則表。

解：首先根據(jù)要求按次序?qū)踩?guī)則翻譯成過濾器規(guī)則，未具體指明的主機或服務(wù)端口均用*表示。注：最后一條規(guī)則為默認(rèn)規(guī)則，所有外部主機發(fā)往內(nèi)部主機的數(shù)據(jù)被禁止。初始設(shè)計的包過濾規(guī)則表如表5.1所示。表5.1初始設(shè)計的包過濾規(guī)則表接下來要驗證上面的包過濾規(guī)則是否能滿足題目要求。假設(shè)現(xiàn)在有外部主機要訪問內(nèi)部主機的Web站點，按照包過濾流程，防火墻提取發(fā)往內(nèi)網(wǎng)的數(shù)據(jù)包包頭信息，然后與包過濾規(guī)則表的第一條包過濾規(guī)則進行比較，發(fā)現(xiàn)外部主機的IP地址包含在規(guī)則中的所有外部主機范圍中，且符合訪問內(nèi)部主機Web服務(wù)，因此符合第一條包過濾規(guī)則，根據(jù)處理結(jié)果，數(shù)據(jù)包被放行。但是題目要求從的外部主機發(fā)來的數(shù)據(jù)應(yīng)該是全部被拒絕的，因此，按照這個包過濾規(guī)則處理會有不符合要求的數(shù)據(jù)包進入，其根本原因是由包過濾規(guī)則的特性引起的。數(shù)據(jù)包過濾流程決定了只要有一條規(guī)則與數(shù)據(jù)包相符合即進行處理，允許數(shù)據(jù)包通過或阻塞數(shù)據(jù)包，對后面的包過濾規(guī)則不再進行判斷，即使有更嚴(yán)格的規(guī)則在后面的規(guī)則表中也沒有用處，所以數(shù)據(jù)包過濾規(guī)則的次序是非常重要的。一般將最嚴(yán)厲的規(guī)則放在規(guī)則表的最前面。

經(jīng)過調(diào)整以后，真正的規(guī)則表如表5.2所示。表5.2調(diào)整后的包過濾規(guī)則表規(guī)則表設(shè)計好以后，就可以在防火墻上進行實施了。以天網(wǎng)防火墻個人版Athena2006為例，包過濾規(guī)則界面如圖5.7所示。

其中：

應(yīng)用程序規(guī)則：對經(jīng)過防火墻的應(yīng)用程序數(shù)據(jù)進行檢查，根據(jù)規(guī)則決定是否允許數(shù)據(jù)通過。

?IP規(guī)則管理：通過修改、添加、刪除IP規(guī)則，對包過濾規(guī)則表進行配置。

系統(tǒng)設(shè)置：包括對防火墻的基本設(shè)置、管理權(quán)限設(shè)置、日志管理設(shè)置等功能。當(dāng)前系統(tǒng)中所有應(yīng)用程序網(wǎng)絡(luò)使用狀況：包括每個程序的協(xié)議和端口狀態(tài)等信息。

日志：如果有規(guī)則設(shè)定的事件發(fā)生則在此界面顯示事件發(fā)生日志。

?增加IP規(guī)則：如果原默認(rèn)規(guī)則中沒有符合要求的，則可以在規(guī)則表中添加新的IP規(guī)則。

修改IP規(guī)則：對某一條已經(jīng)存在的IP規(guī)則進行參數(shù)修改。

刪除IP規(guī)則：對不需要的IP規(guī)則可以選中后進行刪除。

保存IP規(guī)則：修改或添加IP規(guī)則后要保存IP規(guī)則，否則新的IP規(guī)則表不起作用。規(guī)則向上移：調(diào)整規(guī)則次序，使選中的IP規(guī)則次序上移。

規(guī)則向下移：調(diào)整規(guī)則次序，使選中的IP規(guī)則次序下移。

導(dǎo)出規(guī)則：將選擇的一些規(guī)則導(dǎo)出到一個?.dat文件中。

導(dǎo)入規(guī)則：將一個?.dat文件中的規(guī)則導(dǎo)入到防火墻規(guī)則表中。

雙擊其中的任一條規(guī)則都可按照安全策略對數(shù)據(jù)包方向、對方IP地址、數(shù)據(jù)包協(xié)議類型、數(shù)據(jù)包處理結(jié)果以及是否將此事件記錄進行設(shè)定。圖5.7包過濾規(guī)則表設(shè)置界面配置設(shè)計好的規(guī)則表中的第一條規(guī)則“拒絕從IP地址為的外部主機發(fā)來的數(shù)據(jù)流”，如圖5.8所示。

其中：

“數(shù)據(jù)包方向”：表示數(shù)據(jù)流經(jīng)防火墻的方向，有“接收”、“發(fā)送”、“接收或發(fā)送”三個選項。

“對方IP地址”：表示通信另一方的IP地址，有“任何地址”、“局域網(wǎng)的網(wǎng)絡(luò)地址”、“指定地址”、“指定網(wǎng)絡(luò)地址”四個選項?！皵?shù)據(jù)包協(xié)議類型”：表示通過防火墻的數(shù)據(jù)包協(xié)議類型，有“IP”、“TCP”、“UDP”、“ICMP”、“IGMP”五種協(xié)議類型，具體每一個協(xié)議對應(yīng)不同的參數(shù)設(shè)置。如TCP協(xié)議包除了端口設(shè)置以外，還可設(shè)置TCP的標(biāo)記，如SYN(同步)、ACK(應(yīng)答)、FIN(結(jié)束)、RST(重設(shè))、URG(緊急)、PSH(送入)等，從而根據(jù)不同的TCP標(biāo)記來判定數(shù)據(jù)包的安全。

“當(dāng)滿足上面條件時”：表示防火墻對滿足規(guī)則的數(shù)據(jù)包的處理結(jié)果，有“攔截”、“通行”、“繼續(xù)下一規(guī)則”三個選項。

“同時還”：定義符合包過濾規(guī)則的數(shù)據(jù)包在處理后的結(jié)果，防火墻是記錄日志還是顯示警告信息或發(fā)聲提示用戶。

包過濾技術(shù)的優(yōu)缺點如表5.3所示。圖5.8IP規(guī)則設(shè)計界面表5.3包過濾優(yōu)缺點列表5.3.2代理技術(shù)

第1代：代理防火墻。

為了克服包過濾技術(shù)的缺點，防火墻需要一些服務(wù)的轉(zhuǎn)發(fā)功能，這樣的技術(shù)稱為代理技術(shù)(Proxy)。傳統(tǒng)代理防火墻網(wǎng)絡(luò)數(shù)據(jù)通信過程如圖5.9所示。圖5.9傳統(tǒng)代理型防火墻代理技術(shù)作用于網(wǎng)絡(luò)的應(yīng)用層，負責(zé)接收Internet服務(wù)請求再把它們轉(zhuǎn)發(fā)到具體的服務(wù)器。代理提供替代性連接，其行為就好像是一個網(wǎng)關(guān)，因此人們也把代理稱為應(yīng)用級網(wǎng)關(guān)(ApplicationGateway)。代理服務(wù)器位于內(nèi)部網(wǎng)絡(luò)上的用戶和Internet上的服務(wù)這二者之間，其技術(shù)原理如圖5.10所示。圖5.10代理服務(wù)原理客戶機與目標(biāo)網(wǎng)絡(luò)之間沒有直接相連，而是通過代理客戶程序與代理防火墻相連，所有的服務(wù)請求都發(fā)給代理服務(wù)器，代理服務(wù)器對客戶程序進行分析，然后做出“同意”或“拒絕”的決定。如果請求被批準(zhǔn)，代理服務(wù)器代表客戶程序與真正的目標(biāo)服務(wù)器聯(lián)系，以后發(fā)生的一切從代理客戶程序到目標(biāo)服務(wù)器的請求和從目標(biāo)服務(wù)器對代理客戶程序的響應(yīng)，都要經(jīng)過代理服務(wù)器的中轉(zhuǎn)。代理防火墻最突出的優(yōu)點就是安全。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)如Http編寫的安全化的應(yīng)用程序進行處理，然后由防火墻本身提交請求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計算機以任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。另外，代理服務(wù)器由于是軟件實現(xiàn)，因此配置容易，各種日志記錄齊備且能靈活控制進出信息。

代理防火墻的最大缺點就是速度相對比較慢，當(dāng)用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(比如要求達到75～100Mb/s時)，代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。另外，代理客戶端及每項服務(wù)都需要配置，工作量較大，并且也不能改變底層協(xié)議的安全性。第2代：自適應(yīng)代理防火墻。

自適應(yīng)代理技術(shù)(AdaptiveProxy)結(jié)合了代理防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎(chǔ)之上將代理防火墻的性能提高十倍以上。組成這種類型防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器(AdaptiveProxyServer)與動態(tài)包過濾器(DynamicPacketfilter)，如圖5.11所示。圖5.11自適應(yīng)代理防火墻在自適應(yīng)代理與動態(tài)包過濾器之間存在著一個控制通道。在對防火墻進行配置時，用戶僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)Proxy的管理界面進行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增/減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求。

代理技術(shù)克服了包過濾技術(shù)的缺點，可以對通信過程進行深入的監(jiān)控，使被保護網(wǎng)絡(luò)的安全性大為提高。但因為每一個信息包從內(nèi)網(wǎng)到外網(wǎng)的傳遞都要經(jīng)過代理的轉(zhuǎn)發(fā)，這使得防火墻的速率大大降低。為了提高防火墻的性能，又發(fā)展了防火墻狀態(tài)檢測技術(shù)。5.3.3狀態(tài)檢測技術(shù)

狀態(tài)檢測技術(shù)是最近幾年發(fā)展起來的新技術(shù)，是包過濾技術(shù)的延伸，被稱為動態(tài)包過濾。傳統(tǒng)的包過濾防火墻只是通過檢測IP包包頭的相關(guān)信息來決定數(shù)據(jù)通過還是拒絕，而狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表(StateTable)，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。具有狀態(tài)檢測功能的防火墻使用狀態(tài)表追蹤活躍的TCP會話和UDP偽會話，只有與活躍會話相關(guān)聯(lián)的信息包才能穿過防火墻。例如：防火墻可能根據(jù)一個外發(fā)的UDP信息包創(chuàng)建一條臨時的規(guī)則，與之相應(yīng)的UDP應(yīng)答信息包才能回到防火墻里，這樣可以防止黑客將攻擊數(shù)據(jù)包偽裝成內(nèi)部數(shù)據(jù)包的應(yīng)答信息而進入網(wǎng)絡(luò)。

狀態(tài)檢測防火墻克服了前兩種防火墻技術(shù)的限制，在不斷開客戶機/服務(wù)器連接的前提下，提供了一個完全的應(yīng)用層感知。與前兩種防火墻技術(shù)相比，狀態(tài)檢測技術(shù)的優(yōu)點非常多，它代表了防火墻技術(shù)發(fā)展的趨勢。

1.高安全性

狀態(tài)檢測工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間，并從中截取信息包。由于數(shù)據(jù)鏈路層是網(wǎng)卡工作的真正位置，網(wǎng)絡(luò)層也是協(xié)議棧的第一層，所以狀態(tài)檢測防火墻保證了對所有通過網(wǎng)絡(luò)的原始信息包的截取和檢查，安全范圍大為提高。

2.高效性

一方面，信息包在低層處理，并對非法包進行攔截，因而不用任何上層協(xié)議再進行處理，從而提高了執(zhí)行效率；另一方面，防火墻中以連接作為基本獨立單位進行設(shè)置和處理，當(dāng)一個連接在防火墻中建立起來后就不用再對該連接作更多的處理，系統(tǒng)的執(zhí)行效率進一步提高了。

3.可伸縮性和擴展性

應(yīng)用網(wǎng)關(guān)采用的是一個應(yīng)用對應(yīng)一個服務(wù)程序的方式，這種方法提供的服務(wù)是有限的。狀態(tài)檢測防火墻不區(qū)分每一個具體的應(yīng)用，只從信息包提取安全策略所需的狀態(tài)信息，并根據(jù)過濾規(guī)則來處理信息包。當(dāng)增加一個新應(yīng)用時，只需在防火墻里增加一條新規(guī)則，而不需要像在代理技術(shù)中那樣還要編寫應(yīng)用轉(zhuǎn)換程序，因而具有很好的可伸縮性和擴展性。

4.應(yīng)用范圍廣

狀態(tài)檢測技術(shù)不僅支持TCP應(yīng)用，而且支持其他基于無連接協(xié)議的應(yīng)用，如RPC、NS、WAIS以及ARCHIE等。包過濾技術(shù)對此類應(yīng)用或者不支持，或者開放一個大范圍的UDP端口，使得內(nèi)部網(wǎng)絡(luò)暴露在外，降低了網(wǎng)絡(luò)的安全性。

綜上所述，狀態(tài)檢測技術(shù)由于在速度和性能上取得了很好的平衡，因此逐漸成為計算機網(wǎng)絡(luò)邊界安全防護采用的主要技術(shù)。并且隨著狀態(tài)檢測技術(shù)的成熟，其適用的網(wǎng)絡(luò)類型也將越來越廣泛。對于狀態(tài)檢測技術(shù)的研究現(xiàn)在已成為計算機安全領(lǐng)域的一個重要課題。

5.4防火墻產(chǎn)品及選購

在市場上，防火墻的售價極為懸殊，從幾萬元到數(shù)十萬元，甚至到百萬元。因為各企業(yè)用戶使用的安全程度不盡相同，因此廠商所推出的產(chǎn)品也有所區(qū)分，甚至有些公司還推出類似模塊化的功能產(chǎn)品，以符合各種不同企業(yè)的安全要求。

當(dāng)一個企業(yè)或組織決定采用防火墻來實施保衛(wèi)自己內(nèi)部網(wǎng)絡(luò)的安全策略之后，下一步要做的就是選擇一個安全、實惠、合適的防火墻。5.4.1防火墻產(chǎn)品介紹

防火墻是一種綜合性的技術(shù)，涉及到計算機網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議等多方面，國外主要產(chǎn)品有CheckPoint公司的Firewall-1；Cisco公司的PIX；Microsoft公司的ISA；SunMicrosystems公司的Sunscreen；Milkway公司的BlackHole；IBM公司的TivoliSecureWayFirewall等。國內(nèi)品牌有東方龍馬、清華紫光、聯(lián)想網(wǎng)御、華堂、華依、ADNS恒宇視野等。下面簡單介紹幾種防火墻。

1.?Cisco的PIX防火墻

PIX防火墻是一款基于硬件的企業(yè)級防火墻，由美國Cisco公司推出，其內(nèi)核采用的是基于自適應(yīng)安全算法(AdaptiveSecurityAlgorithm)的保護機制，把內(nèi)部網(wǎng)絡(luò)與未經(jīng)認(rèn)證的用戶完全隔離。每當(dāng)一個內(nèi)部網(wǎng)絡(luò)的用戶訪問Internet時，PIX防火墻從用戶的IP數(shù)據(jù)包中卸下IP地址，用一個存儲在PIX防火墻內(nèi)已登記的有效IP地址代替它，把真正的IP地址隱藏起來。PIX防火墻還具有審計日志功能，并支持SNMP協(xié)議，用戶可以利用防火墻系統(tǒng)包含的具有實時報警功能的網(wǎng)絡(luò)瀏覽器產(chǎn)生報警報告。

PIX防火墻最大的特點是速度快，它的包轉(zhuǎn)換速度高達170Mb/s，同時可處理6萬多個連接。如果在Cisco路由器的IOS中集成防火墻技術(shù)，用戶則無須另外購置防火墻，可降低網(wǎng)絡(luò)建設(shè)的總成本。而且它還可以通過網(wǎng)絡(luò)遠程下載，提供一種動態(tài)的網(wǎng)絡(luò)安全保護。

2.?CheckPoint的Firewall-1

CheckPoint是美國的一家大型軟件公司，曾經(jīng)率先提出安全企業(yè)連接開放平臺(OPSEC)概念，為計算機提供了第一個企業(yè)級安全結(jié)構(gòu)。CheckPointFirewall-1是一個老牌的軟件防火墻產(chǎn)品。目前的最新產(chǎn)品CheckPointFirewall1v4.1，是一款優(yōu)秀的企業(yè)級防火墻。

CheckPointFirewall采用集中管理下的分布式客戶機/服務(wù)器結(jié)構(gòu)和狀態(tài)檢測技術(shù)，能夠為遠程訪問提供安全保障，為遠程的使用者提供多種安全的認(rèn)證機制以存取企業(yè)資源。在通信被允許進行之前，F(xiàn)irewall-1認(rèn)證服務(wù)可安全地確認(rèn)它們身份的有效性，而不需要修改本地客戶端的應(yīng)用軟件。認(rèn)證服務(wù)是完全地被集成到企業(yè)整體的安全策略內(nèi)，并能由Firewall-1的圖形界面為使用者提供集中管理。所有的認(rèn)證都能由防火墻日志瀏覽(LogViewer)來監(jiān)視和追蹤。新版本的Firewall-1主要增強的功能是在安全區(qū)域支持Entrust技術(shù)的數(shù)字證書(DigitalCertificate)解決方案，以公用密鑰為基礎(chǔ)，使用X.509的認(rèn)證機制IKE。Firewall-1支持LDAP目錄管理，可幫助使用者定義包羅廣泛的安全政策。

目前該產(chǎn)品支持的平臺有WindowsNT、Windows9X/2000、SunSolaris、IBMAIX、HP-UX等，并且能通過HPOpenView等大型網(wǎng)絡(luò)管理軟件集中管理。

3.?Microsoft的ISA

MicrosoftInternetSecurity&AccelerationServer(ISA)是微軟公司推出的應(yīng)用級軟件防火墻，可與Windows系統(tǒng)無縫銜接，具備良好的數(shù)據(jù)識別、IP包過濾、代理功能、NAT功能，并且能支持VPN、身份認(rèn)證、病毒掃描功能。

4.國產(chǎn)防火墻

國產(chǎn)防火墻品牌眾多，如清華紫光、東軟、東方龍馬、聯(lián)想網(wǎng)御、華堂、華依、ADNS恒宇視野等，多數(shù)品牌具有10M/100M防火墻和千兆防火墻以適應(yīng)中小企業(yè)和大型企業(yè)的網(wǎng)絡(luò)安全需求。一般都是通過對國外防火墻產(chǎn)品的綜合分析，針對我國的具體應(yīng)用環(huán)境，結(jié)合國內(nèi)外防火墻領(lǐng)域里的最新發(fā)展開發(fā)，并通過公安部檢測和認(rèn)證，具備包過濾、雙向地址轉(zhuǎn)換、實施入侵檢測等功能，能夠提供良好的網(wǎng)絡(luò)管理界面對內(nèi)網(wǎng)、外網(wǎng)和DMS區(qū)進行管理，并可對防火墻用戶進行認(rèn)證以保證防火墻本身的安全。國產(chǎn)防火墻的優(yōu)點是本土化，服務(wù)方便，能夠根據(jù)企業(yè)具體情況進行定制開發(fā)，使產(chǎn)品更符合企業(yè)需求，性價比高，常用在政府、教育、制造業(yè)領(lǐng)域。5.4.2防火墻選購原則

防火墻是目前使用最為廣泛的網(wǎng)絡(luò)安全產(chǎn)品之一，選用一個安全、穩(wěn)定和可靠的防火墻產(chǎn)品非常重要。在選購防火墻時應(yīng)該注意的事項如表5.4所示。表5.4防火墻性能表在具體的操作中，可以將主要的產(chǎn)品參數(shù)列表比較，再根據(jù)主要參數(shù)性能比較和價格分析選出最合適的防火墻產(chǎn)品。主要防火墻參數(shù)如表5.5所示。表5.5防火墻參數(shù)表總之，用戶在選擇防火墻產(chǎn)品時應(yīng)依據(jù)企業(yè)的業(yè)務(wù)和數(shù)據(jù)安全需求來確定所選的防火墻必備功能并根據(jù)預(yù)算選擇一款適合自己的防火墻產(chǎn)品。防火墻選購參考如表5.6所示。表5.6防火墻選購參考

5.5防火墻技術(shù)實例

5.5.1包過濾防火墻實例

【實驗背景】

包過濾是防火墻最基本的功能，通過對防火墻包過濾規(guī)則的配置可以防止外網(wǎng)主機對內(nèi)網(wǎng)主機進行探測和入侵。本實驗以天網(wǎng)防火墻個人版Athena2006為例，設(shè)計包過濾規(guī)則并檢驗。由于本實驗中實驗結(jié)果的出現(xiàn)可能是由不同的包過濾規(guī)則組合形成的，因此不做統(tǒng)一的配置實驗指導(dǎo)，僅給出日志記錄以供參考。指導(dǎo)教師需根據(jù)學(xué)生實際配置的規(guī)則組合進行分析，判斷其合理性以及是否有安全隱患。天網(wǎng)防火墻個人版Athena2006試用版可以從/下載。

【實驗?zāi)康摹?/p>

依據(jù)包過濾防火墻原理，學(xué)習(xí)設(shè)計包過濾規(guī)則并驗證。

【實驗條件】

(1)天網(wǎng)防火墻個人版Athena2006試用版。

(2)基于Windows的PC機2臺。

A主機：作為防火墻主機，安裝WindowsServer2003系統(tǒng)，IP地址設(shè)為/24。配置一個共享文件夾，一個Web服務(wù)器，一個FTP服務(wù)器。

B主機：作為外部訪問主機，安裝Windows2000/XP/2003系統(tǒng)，IP地址設(shè)為00/24。

【實驗任務(wù)】

(1)在未安裝防火墻之前，測試防火墻主機提供的網(wǎng)絡(luò)、共享、Web及FTP各項服務(wù)是否正常。

(2)安裝天網(wǎng)防火墻，并根據(jù)安全策略設(shè)計包過濾規(guī)則。

(3)在天網(wǎng)防火墻上配置包過濾規(guī)則并進行分析和驗證。

【實驗內(nèi)容】

從網(wǎng)上下載天網(wǎng)防火墻個人版Athena2006試用版并運行，安裝成功后在操作系統(tǒng)右下角任務(wù)欄出現(xiàn)圖標(biāo)，雙擊打開防火墻管理界面，在系統(tǒng)設(shè)置界面中對主機局域網(wǎng)地址進行刷新，確認(rèn)本主機的IP地址，如圖5.12所示。圖5.12防火墻基本設(shè)置在如圖5.7和圖5.8中設(shè)定IP規(guī)則各選項，完成以下功能。

1.?Ping測試

(1)按默認(rèn)安裝，A機器安裝了防火墻，B機器沒有安裝，這時APingB成功，但BPingA顯示為：“Timeout”，且A的日志中有四個數(shù)據(jù)包探測信息。(注：若規(guī)則修改后一定要保存，按“磁盤”按鈕。)

(2)修改相關(guān)IP規(guī)則并保存規(guī)則，使B機器PingA機器顯示允許記錄。

IP規(guī)則修改前后的參考日志如圖5.13所示。圖5.13防火墻Ping測試日志

2.資源共享

(1)設(shè)置IP規(guī)則禁止B機器共享A資源并記錄，設(shè)置后保存規(guī)則，在B機器上單擊“開始”→“運行”，輸入“\\”嘗試連接機器A上設(shè)置的共享資源夾。在防火墻日志中可以看到“139”端口操作被拒絕。

(2)將相關(guān)IP規(guī)則設(shè)置的“攔截”改為“通行”，保存規(guī)則后再測試。此時日志中有“139”端口操作被允許。

IP規(guī)則修改前后的參考日志如圖5.14所示。

(3)其他IP規(guī)則設(shè)置。實現(xiàn)5.3.1節(jié)【例5.1】中的表5.2包過濾規(guī)則配置。

(4)系統(tǒng)設(shè)置。學(xué)會設(shè)置、更改。圖5.14防火墻共享測試日志5.5.2代理防火墻應(yīng)用實例

【實驗背景】

代理技術(shù)是最常用的防火墻技術(shù)之一，通過對防火墻代理服務(wù)的配置可以使局域網(wǎng)內(nèi)部的主機通過一臺代理服務(wù)器訪問外網(wǎng)，也可以使外網(wǎng)對內(nèi)網(wǎng)的訪問受到防火墻的限制。安裝了代理軟件的主機即為應(yīng)用型防火墻主機。本實驗僅以NetProxy4.0為例，通過對其代理服務(wù)功能的配置實現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)服務(wù)器。NetProx4.0試用版由GrokDevelopments提供，可以從http://www.grok.co.uk/下載。

【實驗?zāi)康摹?/p>

依據(jù)代理技術(shù)原理，學(xué)習(xí)配置代理服務(wù)器并驗證。

【實驗條件】

(1)?NetProx4.0試用版。

(2)基于Windows的PC機2～3臺(如果有一臺機器可以連接到外網(wǎng)，則只需要另一臺機器做內(nèi)網(wǎng)主機即可；如果沒有連接外網(wǎng)的主機，則需要將一臺主機配置成外網(wǎng)主機，一臺做防火墻主機，一臺做內(nèi)網(wǎng)主機)。

【實驗任務(wù)】

(1)在未安裝防火墻之前，在防火墻主機上測試外網(wǎng)主機提供的Web及FTP各項服務(wù)是否正常。

(2)安裝NetProx4.0，并根據(jù)訪問需求配置代理服務(wù)。

(3)驗證內(nèi)網(wǎng)主機通過代理服務(wù)器訪問外