《網(wǎng)絡(luò)安全技術(shù)》課件第6章

第6章防火墻技術(shù)6.1防火墻基本概述

6.2防火墻的作用

6.3防火墻的分類

6.4防火墻的安全標(biāo)準(zhǔn)

6.5在網(wǎng)絡(luò)中配置防火墻

6.6防火墻的訪問控制策略

6.7防火墻的選擇原則6.8防火墻技術(shù)的展望6.9防火墻實(shí)例——天網(wǎng)防火墻

習(xí)題

6.1防火墻基本概述

6.1.1防火墻的概念防火墻的英文名為“FireWall”，它是目前最重要的一種網(wǎng)絡(luò)防護(hù)設(shè)備。防火墻的本義是指古代在構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物就稱為“防火墻”。其實(shí)與防火墻一起起作用的還有“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進(jìn)去呢？當(dāng)火災(zāi)發(fā)生時(shí)，這些人又如何逃離現(xiàn)場(chǎng)呢？這個(gè)門就相當(dāng)于我們這里所講的防火墻的“安全策略”，所以在這里我們所說的防火墻實(shí)際并不是一堵實(shí)心墻，而是帶有一些小孔的墻。這些小孔就是留給那些允許進(jìn)行的通信用的，在這些小孔中安裝了過濾機(jī)制。

我們通常所說的網(wǎng)絡(luò)防火墻是借鑒了古代防火墻的喻義，它指的是隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的一道防御系統(tǒng)。防火墻可以使企業(yè)內(nèi)部局域網(wǎng)(LAN)網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，從而保護(hù)內(nèi)部網(wǎng)絡(luò)。如圖6.1所示為防火墻在網(wǎng)絡(luò)中的位置。

圖6.1防火墻在網(wǎng)絡(luò)中的位置

6.1.2防火墻的功能防火墻是由管理員為保護(hù)自己的網(wǎng)絡(luò)免遭外界非授權(quán)訪問但又允許與Internet連接而發(fā)展起來的。從網(wǎng)際角度來看，防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄，它根據(jù)安全計(jì)劃和安全策略中的定義來保護(hù)其后面的網(wǎng)絡(luò)。由軟件和硬件組成的防火墻應(yīng)該具有以下功能：

(1)所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻；

(2)所有穿過防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)；

(3)從理論上講，防火墻是穿不透的。

需要防火墻防范的基本進(jìn)攻有三種。

(1)間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。

(2)盜竊：盜竊對(duì)象包括數(shù)據(jù)、Web表格、磁盤空間、CPU資源、鏈接等。

(3)破壞系統(tǒng)：通過路由器或主機(jī)/服務(wù)器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶訪問內(nèi)部網(wǎng)(外部網(wǎng))和服務(wù)器。

6.2防火墻的作用

6.2.1配置防火墻的目的

1．?dāng)?shù)據(jù)安全的特征從本質(zhì)上來說，防火墻是一種保護(hù)裝置，用來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽(yù)。

(1)數(shù)據(jù)。數(shù)據(jù)指用戶保存在計(jì)算機(jī)里的信息，需要保護(hù)的數(shù)據(jù)有3個(gè)典型特征?！癖Ｃ苄裕褐赣脩舨幌胱寗e人知道自己的信息；●完整性：指用戶不想讓別人修改自己的信息；●

可用性：指用戶希望自己能夠使用信息。

(2)資源。資源指用戶計(jì)算機(jī)內(nèi)的數(shù)據(jù)、文件等。

(3)聲譽(yù)。計(jì)算機(jī)本身并不存在什么聲譽(yù)問題，問題在于一個(gè)入侵者會(huì)冒充別人的身份出現(xiàn)在Internet上，做一些對(duì)別人有害的事情或者冒充別人的身份在網(wǎng)上進(jìn)行消費(fèi)，這些費(fèi)用會(huì)由正常用戶來負(fù)責(zé)清算。國內(nèi)外的資料表明，入侵者一般有這樣幾種類型：尋歡作樂者、破壞者和間諜。

2．防火墻的目的防火墻原是建筑物大廈里用來防止火災(zāi)蔓延的隔斷墻。從理論上講，Internet防火墻服務(wù)的原理與其類似，用來防止Internet上的各類危險(xiǎn)傳播到內(nèi)部的網(wǎng)絡(luò)中。事實(shí)上，防火墻服務(wù)的應(yīng)用具有多個(gè)目的：

(1)限定人們從一個(gè)特別的節(jié)點(diǎn)進(jìn)入；

(2)防止入侵者接近用戶的防御設(shè)施；

(3)限定人們從一個(gè)特別的節(jié)點(diǎn)離開；

(4)有效地阻止破壞者對(duì)正常用戶的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

6.2.2防火墻的特性一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下三方面的特性：

(1)所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；

(2)只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)才可以通過防火墻；

(3)防火墻本身不受各種攻擊的影響。

此外，防火墻還具有一些基本準(zhǔn)則。

(1)過濾不安全服務(wù)?；谶@個(gè)準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提供的安全服務(wù)逐項(xiàng)開放，把不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。這是一種非常有效而實(shí)用的方法，可以形成十分安全的環(huán)境，因?yàn)橹挥薪?jīng)過仔細(xì)挑選的服務(wù)才能允許用戶使用。

(2)過濾非法用戶和訪問特殊站點(diǎn)。基于這個(gè)準(zhǔn)則，防火墻應(yīng)先允許所有的用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問，然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，即網(wǎng)絡(luò)管理員可以針對(duì)不同的服務(wù)面向不同的用戶開放，也就是能自由地設(shè)置各個(gè)用戶的不同訪問權(quán)限。

6.2.3防火墻的優(yōu)點(diǎn)防火墻具有如下優(yōu)點(diǎn)。

(1)防火墻能強(qiáng)化安全策略。因?yàn)樵贗nternet上每天都有上百萬人瀏覽和交換信息，所以不可避免地會(huì)出現(xiàn)個(gè)別品德不良或違反Internet規(guī)則的人。防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行網(wǎng)絡(luò)的安全策略，僅僅允許經(jīng)許可的、符合規(guī)則的請(qǐng)求通過。

(2)防火墻能有效地記錄Internet上的活動(dòng)。因?yàn)樗羞M(jìn)出內(nèi)部網(wǎng)的信息都必須通過防火墻，所以防火墻非常適于收集網(wǎng)絡(luò)信息，作為網(wǎng)間訪問的惟一通路，防火墻能夠記錄內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間發(fā)生的所有事件。

(3)防火墻可以實(shí)現(xiàn)網(wǎng)段控制。防火墻能夠用來隔開網(wǎng)絡(luò)中的某一個(gè)網(wǎng)段，這樣它就能夠有效地控制這個(gè)網(wǎng)段中的問題以防止其在整個(gè)網(wǎng)絡(luò)中的傳播。

(4)防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻，這樣防火墻便成為一個(gè)安全檢查點(diǎn)，把所有可疑的訪問拒之門外。

6.2.4防火墻的缺點(diǎn)防火墻也有一些缺點(diǎn)，下面我們來進(jìn)行簡單介紹。

(1)防火墻不能防范惡意的知情者。防火墻可以禁止用戶通過網(wǎng)絡(luò)傳輸機(jī)密信息，但用戶可以不通過網(wǎng)絡(luò)，比如將數(shù)據(jù)復(fù)制到磁盤或磁帶上，然后放在公文包中帶出去。如果入侵者是在防火墻內(nèi)部，那么它也是無能為力的。內(nèi)部用戶可以不通過防火墻而偷竊數(shù)據(jù)、破壞硬件和軟件等等。對(duì)于內(nèi)部的威脅只能通過加強(qiáng)管理來防范，如主機(jī)安全防范和用戶教育等。

(2)防火墻不能防范不通過它的連接。防火墻能夠有效地防止通過它進(jìn)行信息傳輸，但它不能防止不通過它的信息傳輸。例如，如果允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問，那么防火墻絕對(duì)沒有辦法阻止入侵者進(jìn)行撥號(hào)入侵。

(3)防火墻不能防備全部的威脅。防火墻可用來防備已知的威脅，一個(gè)很好的防火墻設(shè)計(jì)方案可以防備新的威脅，但沒有一個(gè)防火墻能自動(dòng)防御所有新的威脅。

(4)防火墻不能防范病毒。防火墻不能防范網(wǎng)絡(luò)上或PC機(jī)中的病毒。雖然許多防火墻可以掃描所有通過它的信息，以決定是否允許其通過，但這種掃描是針對(duì)源地址、目標(biāo)地址和端口號(hào)而言的，并不是數(shù)據(jù)的具體內(nèi)容。即使是先進(jìn)的數(shù)據(jù)包過濾系統(tǒng)，也難以防范病毒，因?yàn)椴《镜姆N類太多，而且病毒可以通過許多手段隱藏在數(shù)據(jù)中。防火墻要檢測(cè)隨機(jī)數(shù)據(jù)中的病毒十分困難，它要求：●確認(rèn)數(shù)據(jù)包是程序的一部分；●確定程序的功能；●

確定病毒引起的改變。

6.3防火墻的分類

6.3.1包過濾路由器包過濾路由器(PacketFilters)在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能，是一個(gè)檢查通過它的數(shù)據(jù)包的路由器。包過濾路由器的標(biāo)準(zhǔn)由網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)訪問控制表(AccessControlList)中設(shè)定，以檢查包的源地址、目的地址及每個(gè)IP包的端口。它是在7層協(xié)議的下3層中實(shí)現(xiàn)的，包的類型可以攔截和登錄，因此，此類防火墻易于實(shí)現(xiàn)對(duì)用戶進(jìn)行透明的訪問，且費(fèi)用較低，如圖6.2所示。但包過濾路由器無法有效區(qū)分同一IP地址的不同用戶，因此安全性較差。

圖6.2使用包過濾路由器進(jìn)行數(shù)據(jù)包過濾

防火墻常常就是一個(gè)具備包過濾功能的簡單路由器，它支持Internet安全，是使Internet連接更加安全的一種簡單方法，因?yàn)榘^濾是路由器的固有屬性。包是網(wǎng)絡(luò)上信息流動(dòng)的單位，在網(wǎng)上傳輸?shù)奈募话阍诎l(fā)出端被劃分成一串?dāng)?shù)據(jù)包，經(jīng)過網(wǎng)上的中間站點(diǎn)，最終傳到目的地，然后將這些數(shù)據(jù)包中的數(shù)據(jù)重新組成原來的文件。每個(gè)數(shù)據(jù)包有兩個(gè)部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目標(biāo)地址等信息。包過濾一直是一種簡單而有效的方法，通過攔截?cái)?shù)據(jù)包，可讀出并拒絕那些不符合標(biāo)準(zhǔn)的包頭，過濾掉不應(yīng)入站的信息。

包過濾的一個(gè)重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的數(shù)據(jù)包和壞的數(shù)據(jù)包。包過濾只能工作在有黑白分明安全策略的網(wǎng)絡(luò)中，即內(nèi)部人是好的，外部人是可疑的。不幸的是，包過濾不能有效到足以保證站點(diǎn)的安全。當(dāng)站點(diǎn)受到許多新的協(xié)議的威脅時(shí)，它們將毫不費(fèi)力地通過那些過濾器。例如，對(duì)于FTP協(xié)議包過濾就不十分有效，因?yàn)闉橥瓿蓴?shù)據(jù)傳輸，F(xiàn)TP允許連接外部服務(wù)器并使連接返回到端口20。這甚至成為一條規(guī)則附加在路由器上，即內(nèi)部網(wǎng)絡(luò)機(jī)器上的端口20可用于探查外部情況。黑客們很容易“欺騙”這些路由器。而防火墻則使這些“欺騙”變得困難，并且?guī)缀醪豢赡軐?shí)現(xiàn)。在決定實(shí)施防火墻計(jì)劃之前，先要決定使用哪種類型的防火墻及其設(shè)計(jì)。

6.3.2應(yīng)用型防火墻應(yīng)用型防火墻(ApplicationGateway)又稱雙宿主網(wǎng)關(guān)或應(yīng)用層網(wǎng)關(guān)，其物理位置與包過濾路由器一樣，但它的邏輯位置在OSI的7層協(xié)議的應(yīng)用層上，所以主要采用協(xié)議代理服務(wù)(ProxyServices)，即在運(yùn)行防火墻軟件的堡壘主機(jī)(BastionHost)上運(yùn)行代理服務(wù)程序Proxy。應(yīng)用型防火墻不允許網(wǎng)絡(luò)間的直接業(yè)務(wù)聯(lián)系，而是以堡壘主機(jī)作為數(shù)據(jù)轉(zhuǎn)發(fā)的中轉(zhuǎn)站。堡壘主機(jī)是一個(gè)具有兩個(gè)網(wǎng)絡(luò)界面的主機(jī)，每一個(gè)網(wǎng)絡(luò)界面都與它所對(duì)應(yīng)的網(wǎng)絡(luò)進(jìn)行通信。堡壘主機(jī)既能作為服務(wù)器接收外來請(qǐng)求，又能作為客戶轉(zhuǎn)發(fā)請(qǐng)求。如果認(rèn)為信息是安全的，那么代理服務(wù)就會(huì)將信息轉(zhuǎn)發(fā)到相應(yīng)的主機(jī)上，用戶只能夠使用代理服務(wù)器支持的服務(wù)。

在業(yè)務(wù)進(jìn)行時(shí)，堡壘主機(jī)監(jiān)控全過程并完成詳細(xì)的日志(Log)和審計(jì)(Audit)，這就大大提高了網(wǎng)絡(luò)的安全性。應(yīng)用型防火墻易于建立和維護(hù)，造價(jià)較低，比包過濾路由器更安全，但缺少透明性。應(yīng)用型防火墻控制對(duì)應(yīng)用程序的訪問，即允許訪問某些應(yīng)用程序而阻止訪問其他應(yīng)用程序。采用的方法是在應(yīng)用層網(wǎng)關(guān)上安裝代理(Proxy)軟件，每個(gè)代理模塊分別針對(duì)不同的應(yīng)用。例如，遠(yuǎn)程登錄代理TelnetProxy負(fù)責(zé)Telnet在防火墻上的轉(zhuǎn)發(fā)，文件傳輸代理FTPProxy負(fù)責(zé)FTP等等。管理員可以根據(jù)需要安裝相應(yīng)的代理，用于控制對(duì)應(yīng)應(yīng)用程序的訪問。各個(gè)代理模塊相互無關(guān)，即使某個(gè)代理模塊的工作發(fā)生問題，只需將其拆卸即可，不會(huì)影響其他代理模塊的正常工作，從而保證了防火墻的安全性。

管理員通過配置訪問控制表中的規(guī)則可決定內(nèi)、外部網(wǎng)絡(luò)的哪些用戶可以使用應(yīng)用層網(wǎng)關(guān)中的哪個(gè)代理模塊連接到哪個(gè)目的站點(diǎn)。實(shí)際上，應(yīng)用型防火墻是運(yùn)行服務(wù)器代理軟件的計(jì)算機(jī)，通常叫做堡壘主機(jī)(BastionBost)，由于它采用了一系列安全措施，因而能拆卸各種攻擊。應(yīng)用層網(wǎng)關(guān)運(yùn)行的是一個(gè)安全的操作系統(tǒng)，從而避免了一般操作系統(tǒng)的脆弱性。

除安裝代理模塊外，應(yīng)用型防火墻還安裝了用戶認(rèn)證模塊，能對(duì)用戶的身份進(jìn)行認(rèn)證。一般采用客戶機(jī)/服務(wù)器的方式，根據(jù)用戶所在網(wǎng)絡(luò)的安全級(jí)別采用不同的認(rèn)證方法，可卸掉一切多余的服務(wù)。應(yīng)用層網(wǎng)關(guān)除安裝代理模塊外，還維持自己的用戶庫和對(duì)象庫。用戶庫保存了用戶名、用戶的認(rèn)證方式和用戶的管理級(jí)別等信息，對(duì)象庫則保存有管理員定義的主機(jī)名、主機(jī)組、網(wǎng)絡(luò)和網(wǎng)關(guān)等信息。應(yīng)用網(wǎng)關(guān)能記錄通過它的一些信息，如什么樣的用戶在什么時(shí)間連接了什么站點(diǎn)。這樣就為識(shí)別網(wǎng)絡(luò)間諜提供了有價(jià)值的信息。

代理工作時(shí)，用戶首先與代理服務(wù)器建立連接，然后將目的站點(diǎn)告知代理，對(duì)于合法的請(qǐng)求。代理以應(yīng)用層網(wǎng)關(guān)的身份與目的站建立連接，而代理則在這兩個(gè)連接上轉(zhuǎn)發(fā)數(shù)據(jù)。由以上所述可見，應(yīng)用型防火墻能針對(duì)各種服務(wù)進(jìn)行全面控制，支持身份認(rèn)證，提供詳細(xì)的審計(jì)功能和方便的日志分析工具，比分組過濾路由器更容易配置和測(cè)試。但是不透明，要求用戶改變使用習(xí)慣。

6.3.3主機(jī)屏蔽防火墻包過濾路由器雖有較好的透明性，但無法有效地區(qū)分同一IP地址的不同用戶；應(yīng)用型防火墻可以提供詳細(xì)的日志及身份驗(yàn)證，但又缺少透明性。因此，在實(shí)際應(yīng)用中，往往將兩種防火墻技術(shù)結(jié)合起來，以取長補(bǔ)短，主機(jī)屏蔽防火墻(ScreenedHostFirewall)就是其中的一種。主機(jī)屏蔽防火墻由一個(gè)只需單個(gè)網(wǎng)絡(luò)端口的應(yīng)用型防火墻和一個(gè)包過濾路由器組成。將它物理地連接在網(wǎng)絡(luò)總線上，其邏輯功能仍工作在應(yīng)用層，所有業(yè)務(wù)通過它代理服務(wù)。Intranet不能直接通過路由器和Internet相聯(lián)系，數(shù)據(jù)包要通過路由器和堡壘主機(jī)兩道防線。

統(tǒng)的第一個(gè)安全設(shè)施是過濾路由器，對(duì)到來的數(shù)據(jù)包而言，首先要經(jīng)過包過濾路由器的過濾，過濾后的數(shù)據(jù)包被轉(zhuǎn)發(fā)到堡壘主機(jī)上，然后在堡壘主機(jī)上應(yīng)用服務(wù)代理對(duì)這些數(shù)據(jù)包進(jìn)行分析，將合法的信息轉(zhuǎn)發(fā)到Intranet的主機(jī)上。外出的數(shù)據(jù)包首先經(jīng)過堡壘主機(jī)上的應(yīng)用服務(wù)代理檢查，然后被轉(zhuǎn)發(fā)到過濾路由器，最后由包過濾路由器轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)上。主機(jī)屏蔽防火墻設(shè)置了兩層安全保護(hù)，因此相對(duì)比較安全。另外，主機(jī)屏蔽防火墻也容易配置，但它對(duì)路由器的路由表要求較高。

6.3.4子網(wǎng)屏蔽防火墻子網(wǎng)屏蔽防火墻(ScreenedSubnetFirewall)的保護(hù)作用比主機(jī)屏蔽防火墻更進(jìn)了一步，它在被保護(hù)的Intranet與Internet之間加入了一個(gè)由兩個(gè)包過濾路由器和一臺(tái)堡壘主機(jī)組成的子網(wǎng)。被保護(hù)的Intranet與Internet不能直接通信，但能夠通過各自的路由器和堡壘主機(jī)打交道。兩臺(tái)路由器也不能直接交換信息。

子網(wǎng)屏蔽防火墻是最安全的一種防火墻體系結(jié)構(gòu)，它具有主機(jī)屏蔽防火墻的所有優(yōu)點(diǎn)，并且比之更加優(yōu)越。它與主機(jī)屏蔽防火墻不同，如果堡壘主機(jī)受到破壞的話，入侵者只能訪問到子網(wǎng)。由于子網(wǎng)和Intranet之間還存在一個(gè)包過濾路由器，因此，入侵者只能有限地訪問Intranet。雖然子網(wǎng)屏蔽防火墻很優(yōu)越，但其實(shí)現(xiàn)的代價(jià)也很高。它不易配置而且增加了堡壘主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)的復(fù)雜性，同時(shí)，網(wǎng)絡(luò)的訪問速度也會(huì)減慢，其費(fèi)用也明顯高于以上幾種防火墻。

6.4防火墻的安全標(biāo)準(zhǔn)

防火墻技術(shù)發(fā)展很快，但是現(xiàn)在的標(biāo)準(zhǔn)尚不健全，因而導(dǎo)致各大防火墻產(chǎn)品供應(yīng)商生產(chǎn)的防火墻產(chǎn)品兼容性差，給不同廠商的防火墻產(chǎn)品的互聯(lián)帶來了困難。為了解決這個(gè)問題，目前已提出了兩個(gè)標(biāo)準(zhǔn)。

(1)RSA數(shù)據(jù)安全公司與一些防火墻生產(chǎn)廠商(如SunMicrosystem公司、Checkpoint公司、TIS公司等)以及一些TCP/IP協(xié)議開發(fā)商(如FTP公司)共同提出了Secure/WAN(S/WAN)標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)能使在IP層上由支持?jǐn)?shù)據(jù)加密技術(shù)的不同廠家生產(chǎn)的防火墻和TCP/IP協(xié)議具有互操作性，從而解決了建立虛擬專用網(wǎng)(VPN)的一個(gè)主要障礙，此標(biāo)準(zhǔn)包含以下兩個(gè)部分：

●防火墻中采用的信息加密技術(shù)一致，即加密算法、安全協(xié)議一致，使得遵循此標(biāo)準(zhǔn)生產(chǎn)的防火墻產(chǎn)品能夠?qū)崿F(xiàn)無縫互聯(lián)，但又不會(huì)失去加密功能?！?/p>

安全控制策略的規(guī)范性以及邏輯的正確合理性，避免了由于各大防火墻廠商推出的防火墻產(chǎn)品在安全策略上的漏洞對(duì)整個(gè)內(nèi)部保護(hù)網(wǎng)絡(luò)產(chǎn)生危害。

(2)美國國家計(jì)算機(jī)安全協(xié)會(huì)(NationalComputerSecurityAssociation，NCSA)成立的防火墻開發(fā)商(FirewallProductDeveloper，F(xiàn)WPO)聯(lián)盟制定了防火墻測(cè)試標(biāo)準(zhǔn)。

6.5在網(wǎng)絡(luò)中配置防火墻

防火墻作為網(wǎng)絡(luò)安全的一種防護(hù)手段，有多種實(shí)現(xiàn)方式。建立合理的防護(hù)系統(tǒng)，配置有效的防火墻應(yīng)遵循如下4個(gè)基本步驟。(1)風(fēng)險(xiǎn)分析；(2)需求分析；(3)確立安全政策；(4)選擇準(zhǔn)確的防護(hù)手段，并使之與安全政策保持一致。

6.5.1包過濾路由器的配置與實(shí)現(xiàn)包(分組)過濾路由器是最簡單也最常見的防火墻，它位于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，除具有路由器的功能外，裝上分組過濾軟件后，利用分組過濾規(guī)則可完成基本的防火墻功能。這種配置具有如下一些優(yōu)點(diǎn)。

(1)容易實(shí)現(xiàn)，費(fèi)用少，如果被保護(hù)網(wǎng)絡(luò)與外界之間已經(jīng)有一個(gè)獨(dú)立的路由器，那么，只需要簡單地加一個(gè)分組過濾軟件便可保護(hù)整個(gè)網(wǎng)絡(luò)。

(2)分組過濾在網(wǎng)絡(luò)層實(shí)現(xiàn)，不要求改動(dòng)應(yīng)用程序，也不要求用戶學(xué)習(xí)任何新的東西，用戶感覺不到過濾服務(wù)器的存在，因而使用起來方便易行。

包過濾路由器的配置也有一些缺點(diǎn)。

(1)沒有或很少有日志記錄能力，因此網(wǎng)絡(luò)管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。

(2)規(guī)則表隨著應(yīng)用的深化會(huì)迅速變得很大而且復(fù)雜，這樣不僅規(guī)則難以測(cè)試，而且規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會(huì)增加。

(3)這種防火墻的最大弱點(diǎn)是依靠一個(gè)單一的部件來保護(hù)系統(tǒng)，一旦部件出現(xiàn)問題，將會(huì)使網(wǎng)絡(luò)的大門敞開，而用戶可能還不知道。

當(dāng)前，幾乎所有的分組過濾裝置(篩選路由器或分組過濾網(wǎng)關(guān))都按如下方式進(jìn)行操作。

(1)對(duì)于分組過濾裝置的有關(guān)端口必須設(shè)置分組過濾準(zhǔn)則，也稱為分組過濾規(guī)則。

(2)當(dāng)一個(gè)分組到達(dá)過濾端口時(shí)，將對(duì)該分組的頭部進(jìn)行分析。大多數(shù)分組過濾裝置只是檢查IP、TCP或UDP頭部的字段。

(3)分組過濾規(guī)則按一定的順序存儲(chǔ)。當(dāng)一個(gè)分組到達(dá)時(shí)，將按分組規(guī)則的存儲(chǔ)順序依次運(yùn)用每條規(guī)則來對(duì)分組進(jìn)行檢查。

(4)如果一條規(guī)則阻塞傳遞或接收一個(gè)分組，則不允許該分組通過。

(5)如果一條規(guī)則允許傳遞或接收一個(gè)分組，則允許該分組通過。

(6)如果一個(gè)分組不滿足任何規(guī)則，則該分組被阻塞。從規(guī)則(4)和(5)可以看到，將規(guī)則按適當(dāng)?shù)捻樞蚺帕惺欠浅Ｖ匾?。在配置分組過濾規(guī)則時(shí)，一個(gè)常犯的錯(cuò)誤就是將分組過濾規(guī)則按錯(cuò)誤的順序排列。如果一個(gè)分組過濾規(guī)則排序有錯(cuò)，那么就有可能拒絕進(jìn)行某些合法的訪問，而又允許訪問本想拒絕的服務(wù)。規(guī)則(6)遵循的原則為：未被明確允許的就將被禁止。

這是一個(gè)在設(shè)計(jì)安全可靠的網(wǎng)絡(luò)時(shí)應(yīng)該遵循的失效安全原則，與之相對(duì)應(yīng)的是一種寬容的原則，即：沒有被明確禁止的就是允許的。如果采用后一種思想來設(shè)計(jì)分組過濾規(guī)則，就必須仔細(xì)考慮分組過濾規(guī)則所沒有包括的每一種可能的情況，以確保網(wǎng)絡(luò)的安全。當(dāng)一個(gè)新的服務(wù)被加入到網(wǎng)絡(luò)中時(shí)，很容易遇到?jīng)]有規(guī)則與之相匹配的情況。在這種情況下，不是先阻塞該服務(wù)，而是先聽取用戶因?yàn)楹戏ǖ姆?wù)被阻塞而發(fā)出的抱怨，然后再允許訪問該服務(wù)，也可以以網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為代價(jià)來允許用戶自由地訪問該服務(wù)，直到制定了相應(yīng)的安全規(guī)則為止。

6.5.2應(yīng)用型防火墻的配置與實(shí)現(xiàn)應(yīng)用型防火墻又稱為雙宿主機(jī)網(wǎng)關(guān)，采用雙宿主主機(jī)來實(shí)現(xiàn)。雙宿主網(wǎng)關(guān)僅用一個(gè)代理服務(wù)器，代理服務(wù)器是安裝于雙宿主主機(jī)的代理服務(wù)器軟件。雙宿主主機(jī)是一臺(tái)有兩塊接口卡(NIC)的計(jì)算機(jī)，每一塊接口卡有一個(gè)IP地址，如圖6.3所示。如果Internet上的一臺(tái)計(jì)算機(jī)想與Intranet上的一個(gè)工作站通信，則它必須與雙宿主主機(jī)上能“看到”的IP地址聯(lián)系，代理服務(wù)器軟件將通過另一塊網(wǎng)卡(NIC)啟動(dòng)到對(duì)方網(wǎng)絡(luò)的連接。應(yīng)該指出的是，在建立雙宿主主機(jī)時(shí)，應(yīng)該關(guān)閉操作系統(tǒng)的路由能力，否則從一塊網(wǎng)卡(NIC)到另一塊網(wǎng)卡的通信會(huì)繞過代理服務(wù)器軟件，進(jìn)而會(huì)使雙宿主網(wǎng)關(guān)失去“防火”作用。SmartWall網(wǎng)關(guān)就是一個(gè)雙宿主主機(jī)。

雙宿主網(wǎng)關(guān)具有如下優(yōu)點(diǎn)。

(1)網(wǎng)關(guān)將保護(hù)網(wǎng)絡(luò)與外界完全隔離。

(2)代理服務(wù)器提供日志，有助于發(fā)現(xiàn)入侵。

(3)由于它本身是一臺(tái)主機(jī)，因此可以用于諸如身份驗(yàn)證服務(wù)器及代理服務(wù)器，使其具有多種功能。

(4)由于域名系統(tǒng)(DNS)的信息不會(huì)通過受保護(hù)系統(tǒng)傳到外界，因此站點(diǎn)系統(tǒng)的名字和IP地址對(duì)Internet是隱藏的。

雙宿主網(wǎng)關(guān)也有一些不足之處。

(1)每項(xiàng)服務(wù)必須使用專門設(shè)計(jì)的代理服務(wù)器，即使較新的代理服務(wù)器(如AltaVistaFirewall)能處理幾種服務(wù)，但也不能同時(shí)服務(wù)。

(2)如果防火墻只采用雙宿主網(wǎng)關(guān)的一個(gè)部件，則一旦該部件出現(xiàn)問題，將會(huì)使網(wǎng)絡(luò)安全受到危害。如果重新安裝操作系統(tǒng)而忘記關(guān)掉路由器，將失去安全性。

圖6.3應(yīng)用型防火墻的配置

6.5.3主機(jī)屏蔽防火墻的配置與實(shí)現(xiàn)主機(jī)屏蔽防火墻由分組過濾路由器和應(yīng)用層網(wǎng)關(guān)組成。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實(shí)現(xiàn)了網(wǎng)絡(luò)層安全(包過濾)，又實(shí)現(xiàn)了應(yīng)用層安全(代理服務(wù)器)。來自Internet的所有通信都直接到達(dá)過濾路由器，它根據(jù)所設(shè)置的規(guī)則過濾這些通信。在多數(shù)情況下，與應(yīng)用層網(wǎng)關(guān)之外的機(jī)器的通信都將被拒絕。網(wǎng)關(guān)的代理服務(wù)器軟件采用自己的規(guī)則，將被允許的通信傳送到受保護(hù)的網(wǎng)絡(luò)上。在這種情況下，應(yīng)用層網(wǎng)關(guān)只有一塊網(wǎng)絡(luò)接口卡，因此它不是雙宿主網(wǎng)關(guān)。如圖6.4所示為主機(jī)屏蔽防火墻的配置。

圖6.4主機(jī)屏蔽防火墻的配置

6.5.4子網(wǎng)屏蔽防火墻的配置與實(shí)現(xiàn)子網(wǎng)屏蔽防火墻是在主機(jī)屏蔽防火墻的配置上再加一個(gè)路由器，形成一個(gè)被稱為非軍事區(qū)的子網(wǎng)，這個(gè)子網(wǎng)還可能被用于信息服務(wù)器和其他要求嚴(yán)格控制的系統(tǒng)，從而形成三道防線，如圖6.5所示。外部過濾路由器和應(yīng)用層網(wǎng)關(guān)的功能與其在主機(jī)屏蔽防火墻中的功能相同。內(nèi)部過濾路由器在應(yīng)用層網(wǎng)關(guān)與受保護(hù)網(wǎng)絡(luò)之間提供附加保護(hù)，萬一入侵者通過了外部路由器和應(yīng)用網(wǎng)關(guān)，內(nèi)部路由器還可以起到最后一級(jí)防御。因此，一個(gè)入侵者要進(jìn)入受保護(hù)的網(wǎng)絡(luò)比主機(jī)過濾防火墻更加困難。但是，它要求的設(shè)備和軟件模塊最多，其配置最貴且相當(dāng)復(fù)雜。

圖6.5子網(wǎng)屏蔽防火墻的配置

6.5.5防火墻與Web服務(wù)器之間的配置策略

1．Web服務(wù)器置于防火墻之內(nèi)如圖6.6所示，在此模式中，Web服務(wù)器置于防火墻之內(nèi)。將Web服務(wù)器裝在防火墻內(nèi)的好處是它得到了安全保護(hù)，不容易被黑客闖入，但不易被外界所用。當(dāng)Web站點(diǎn)主要用于宣傳企業(yè)形象時(shí)，顯然這不是好的配制，這時(shí)應(yīng)當(dāng)將Web服務(wù)器放在防火墻之外。

圖6.6Web服務(wù)器置于防火墻之內(nèi)

2．Web服務(wù)器置于防火墻之外如圖6.7所示為Web服務(wù)器置于防火墻之外。

圖6.7Web服務(wù)器置于防火墻之外

3．Web服務(wù)器置于防火墻之上一些管理者試圖在防火墻機(jī)器上運(yùn)行Web服務(wù)器，以此增強(qiáng)Web站點(diǎn)的安全性。這種配置的缺點(diǎn)是：一旦服務(wù)器有一點(diǎn)毛病，整個(gè)組織和Web站點(diǎn)就全部處于危險(xiǎn)之中。如圖6.8所示為Web服務(wù)器置于防火墻之上。

圖6.8Web服務(wù)器置于防火墻之上

這種基本配置有多種變化，包括利用代理服務(wù)器，雙重防火墻，利用成對(duì)的“入”、“出”服務(wù)器提供對(duì)公眾信息的訪問以及內(nèi)部網(wǎng)絡(luò)對(duì)私人文檔的訪問。一些防火墻的結(jié)構(gòu)不允許將Web服務(wù)器設(shè)置其外，在這種情況下將不得不打通防火墻。

(1)允許防火墻傳遞對(duì)端口80的請(qǐng)求，訪問請(qǐng)求將被限制到Web站點(diǎn)或從Web站點(diǎn)返回(假定正使用的是“ScreenedHost”型防火墻)。

(2)可在防火墻機(jī)器上安裝代理服務(wù)器，但需要一個(gè)“雙宿主網(wǎng)關(guān)”類型的防火墻。來自Web服務(wù)器的所有訪問請(qǐng)求在被代理服務(wù)器截獲之后才傳給服務(wù)器，對(duì)訪問請(qǐng)求的回答將直接返回給請(qǐng)求者。

6.6防火墻的訪問控制策略

訪問控制策略可用來說明允許使用用戶網(wǎng)絡(luò)設(shè)備進(jìn)行的訪問類型。例如，用戶防火墻的策略可以是“內(nèi)部用戶可以訪問Internet、Web站點(diǎn)和FTP站點(diǎn)或發(fā)送SMTP電子郵件，但只允許來自Internet的SMTP郵件進(jìn)入內(nèi)部網(wǎng)絡(luò)”。內(nèi)容清楚的訪問控制策略有助于保證正確選擇防火墻產(chǎn)品。

一個(gè)內(nèi)部網(wǎng)絡(luò)的不同部分也可能使用訪問控制策略。例如，用戶可能具有WAN連接，以支持商業(yè)伙伴的活動(dòng)。這樣，用戶可能希望限制通過此連接進(jìn)行訪問的范圍，以保證它們確實(shí)被用于工作目的。訪問控制策略規(guī)定了網(wǎng)絡(luò)不同部分允許的數(shù)據(jù)流向，還指定了哪些類型的傳輸是允許的，哪些類型的傳輸將被阻塞。在指定訪問控制策略時(shí)，用戶可以使用許多不同的參數(shù)來說明傳輸流。

表6.1訪問控制描述符

6.7防火墻的選擇原則

1．防火墻自身安全性的考慮大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)上，但往往忽略了一點(diǎn)，防火墻是網(wǎng)絡(luò)上的主機(jī)設(shè)備，也可能存在安全問題。防火墻如果不能確保自身安全，則防火墻的控制功能再強(qiáng)，也終究不能完成保護(hù)內(nèi)部網(wǎng)絡(luò)的任務(wù)。大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、NT系統(tǒng)等。在防火墻主機(jī)上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心也大多來自于操作系統(tǒng)本身的原有程序。

當(dāng)防火墻上所執(zhí)行的軟件出現(xiàn)安全漏洞時(shí)，防火墻本身也將受到威脅。此時(shí)，任何防火墻控制機(jī)制都可能失效，因?yàn)楫?dāng)一個(gè)黑客取得了防火墻的控制權(quán)以后，黑客幾乎可以為所欲為地修改防火墻上的存取規(guī)則，進(jìn)而侵入更多的系統(tǒng)。因此，防火墻自身應(yīng)具有相當(dāng)高的安全保護(hù)。

2．防火墻選擇須知當(dāng)在規(guī)劃網(wǎng)絡(luò)時(shí)，不能不考慮整體網(wǎng)絡(luò)的安全性。而談到網(wǎng)絡(luò)安全，就不能忽略防火墻的功能。防火墻產(chǎn)品往往有上千種，如何在其中選擇最符合需要的產(chǎn)品是用戶最關(guān)心的事。在選購防火墻軟件時(shí)，應(yīng)該考慮以下幾點(diǎn)。

(1)一個(gè)好的防火墻應(yīng)該是一個(gè)整體網(wǎng)絡(luò)的保護(hù)者。一個(gè)好的防火墻應(yīng)該以整體網(wǎng)絡(luò)保護(hù)者自居，它所保護(hù)的對(duì)象應(yīng)該是全部的Intranet，并不是那些通過防火墻的使用者。

(2)一個(gè)好的防火墻必須能彌補(bǔ)其他操作系統(tǒng)的不足。一個(gè)好的防火墻必須是建立在操作系統(tǒng)之前而不是在操作系統(tǒng)之上，所以操作系統(tǒng)有的漏洞可能并不會(huì)影響到一個(gè)好的防火墻系統(tǒng)的安全性。由于硬件平臺(tái)的普及以及執(zhí)行效率的因素，大部分企業(yè)都把對(duì)外提供各種服務(wù)的服務(wù)器分散到許多操作平臺(tái)上，因此在無法保證所有主機(jī)安全的情況下，選擇防火墻作為整體安全的保護(hù)者是非常明智的。這正說明了操作系統(tǒng)提供的安全級(jí)別并不一定會(huì)直接對(duì)整體安全造成影響，因?yàn)橐粋€(gè)好的防火墻必須能彌補(bǔ)操作系統(tǒng)的不足。

(3)一個(gè)好的防火墻應(yīng)該為使用者提供不同平臺(tái)的選擇。由于防火墻并非完全由硬件構(gòu)成，因此軟件(操作系統(tǒng))所提供的功能以及執(zhí)行效率一定會(huì)影響到整體的表現(xiàn)，而使用者的操作意愿及熟悉程度也是必須考慮的重點(diǎn)。所以一個(gè)好的防火墻不但本身要有良好的執(zhí)行效率，而且應(yīng)該提供多平臺(tái)的執(zhí)行方式供使用者選擇，畢竟使用者才是完全的控制者。使用者應(yīng)該選擇一套符合現(xiàn)有環(huán)境需求的軟件，而非為了軟件的限制而改變現(xiàn)有環(huán)境。

(4)一個(gè)好的防火墻應(yīng)能向使用者提供完善的售后服務(wù)。由于有新的產(chǎn)品出現(xiàn)，就會(huì)有人研究新的破解方法，因此，一個(gè)好的防火墻提供者必須有一個(gè)龐大的組織作為使用者的安全后盾，也應(yīng)該有眾多的使用者所建立的口碑為防火墻作見證。防火墻安裝和投入使用后，并非萬事大吉。要想充分發(fā)揮它的安全防護(hù)功能，必須對(duì)它進(jìn)行跟蹤和維護(hù)，要與商家保持密切的聯(lián)系，時(shí)刻注視商家的動(dòng)態(tài)。因?yàn)樯碳乙坏┌l(fā)現(xiàn)其產(chǎn)品存在安全漏洞，那么就會(huì)發(fā)布補(bǔ)救產(chǎn)品，此時(shí)應(yīng)盡快確認(rèn)真?zhèn)?防止特洛伊木馬等病毒侵入)，并對(duì)防火墻軟件進(jìn)行更新。

6.8防火墻技術(shù)的展望

1．防火墻的發(fā)展趨勢(shì)考慮到Internet發(fā)展的迅猛勢(shì)頭和防火墻產(chǎn)品的更新步伐，要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動(dòng)向和趨勢(shì)，下面諸點(diǎn)可能是下一步的走向和選擇。

(1)防火墻將從目前的子網(wǎng)或內(nèi)部網(wǎng)管理方式向遠(yuǎn)程上網(wǎng)集中管理方式發(fā)展。

(2)過濾深度不斷加強(qiáng)，從目前的地址、服務(wù)過濾，發(fā)展到URL(頁面)過濾，關(guān)鍵字過濾和對(duì)ActiveX、Java等的過濾，并逐漸有病毒掃除功能。

(3)利用防火墻建立專用網(wǎng)(VPN將在較長一段時(shí)間內(nèi)仍然是用戶使用的主流)。IP加密需求越來越強(qiáng)，安全協(xié)議的開發(fā)是一大熱點(diǎn)。

(4)單向防火墻(又叫網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。

(5)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各地告警將成為防火墻的重要功能。

(6)安全管理工具不斷完善，特別是可疑活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。

2．防火墻需求的變化根據(jù)防火墻的發(fā)展趨勢(shì)，選擇防火墻的標(biāo)準(zhǔn)將集中在以下幾個(gè)方面：(1)易于管理性；(2)應(yīng)用透明性；(3)鑒別與加密功能；(4)操作環(huán)境和硬件要求；(5)VPN的功能；(6)接口的數(shù)量；(7)成本。

6.9防火墻實(shí)例－天網(wǎng)防火墻

6.9.1天網(wǎng)防火墻簡介天網(wǎng)防火墻個(gè)人版(簡稱天網(wǎng)防火墻)是由天網(wǎng)安全實(shí)驗(yàn)室研發(fā)制作的用于個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)安全工具。它根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則(SecurityRules)把守網(wǎng)絡(luò)，能夠提供強(qiáng)大的訪問控制、應(yīng)用選通、信息過濾等功能。它可以幫助用戶抵擋網(wǎng)絡(luò)入侵和攻擊，防止信息泄露，從而保障用戶機(jī)器的網(wǎng)絡(luò)安全。天網(wǎng)防火墻把網(wǎng)絡(luò)分為本地網(wǎng)和互聯(lián)網(wǎng)兩種，針對(duì)來自不同網(wǎng)絡(luò)的信息設(shè)置不同的安全方案，它適合于以任何方式連接上網(wǎng)的個(gè)人用戶。

6.9.2天網(wǎng)防火墻的安裝

(1)雙擊已經(jīng)下載好的天網(wǎng)V2.73版安裝程序，出現(xiàn)如圖6.9所示的安裝界面。

圖6.9天網(wǎng)防火墻安裝界面

(2)在出現(xiàn)如圖6.9所示的授權(quán)協(xié)議后，請(qǐng)仔細(xì)閱讀協(xié)議，如果用戶同意協(xié)議中的所有條款，請(qǐng)選擇“我接受此協(xié)議”，并單擊“下一步”繼續(xù)安裝。如果用戶對(duì)協(xié)議有任何異議，可以單擊取消，安裝程序?qū)?huì)關(guān)閉。必須接受授權(quán)協(xié)議才可以繼續(xù)安裝天網(wǎng)防火墻。如果同意協(xié)議，單擊“下一步”將會(huì)出現(xiàn)如圖6.1