8.2 防火墙技术
8.2.1 防火墙主要技术
8.2.2 防火墙分类
8.2.3 防火墙的选择标准和发展方向
第 8章 网络安全
8.2.1 防火墙主要技术
防火墙 是一道介于开放的、不安全的公共网与信息、资源汇集的内
部网之间的屏障,由一个或一组系统组成。 狭义的防火墙 指安装了防火
墙软件的主机或路由器系统,广义的防火墙 还包括整个网络的安全策略
和安全行为。 防火墙技术包括:
? 包过滤技术
? 网络地址翻译
? 应用级代理
第 8章 网络安全
8.2.3 防火墙主要技术
1,包过滤技术
包过滤技术 ( Packet Filtering)是在网络层依据系统的过滤规则,
对数据包进行选择和过滤,这种规则又称为 访问控制表 。这种防火墙
通常安装在路由器上,如图 8.3所示。
图 8.3 包过滤技术
这种技术通过检查数据流中的每个数据包的 源地址、目标地址、
源端口、目的端口及协议状态或它们的组合 来确定是否允许该数据包
通过。
第 8章 网络安全
8.2.3 防火墙主要技术
包过滤技术包括两种基本类型,无状态检查的包过滤和有状态检
查的包过滤,其区别在于 后者通过记住防火墙的所有通信状态,并根
据状态信息来过滤整个通信流,而不仅仅是包。
有许多方法可绕过包过滤器进入 Internet, 包过滤技术存在以下缺
陷:
? TCP只能在第 0个分段中被过滤。
? 特洛伊木马可以使用 NAT来使包过滤器失效。
? 许多包过滤器允许 1024以上的端口通过。
“纯”包过滤器的防火墙不能完全保证内部网的安全,而必须与
代理服务器和网络地址翻译结合起来才能解决问题。
第 8章 网络安全
8.2.1 防火墙主要技术
2,网络地址翻译
网络地址翻译( NAT,Network Address Translation) 最初的设
计目的是增加在专用网络中可使用的 IP地址数,但现在则用于屏蔽内
部主机。
NAT通过将专用网络中的专用 IP地址转换成在 Internet上使用的
全球唯一的公共 IP地址,实现对黑客有效地隐藏所有 TCP/IP级的有关
内部主机信息的功能,使外部主机无法探测到它们。
NAT实质上是一个基本代理,一个主机充当代理,代表内部所有
主机发出请求,从而将内部主机的身份从公用网上隐藏起来了。
第 8章 网络安全
8.2.1 防火墙主要技术
按普及程度和可用性顺序, NAT防火墙最基本的翻译模式包括:
? 静态翻译 。 在这种模式中, 一个指定的内部网络源有一个从
改变的固定翻译表 。
? 动态翻译 。 在这种模式中, 为了隐藏内部主机的身份或扩展
内部网的地址空间, 一个大的 Internet客户群共享单一一个或一
组小的 Internet IP地址 。
? 负载平衡翻译 。 在这种模式中, 一个 IP地址和端口被翻译为
同等配置的多个服务器的一个集中处, 这样一个公共地址可以
为许多服务器服务 。
? 网络冗余翻译 。 在这种模式中, 多个 Internet连接被附加在
一个 NAT防火墙上, 从而防火墙根据负载和可用性对这些连接
进行选择和使用 。
第 8章 网络安全
8.2.1 防火墙主要技术
3,应用级代理
代理 现在主要用于防火墙。 代理服务器 通过侦听网络内部客户的
服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向
真正的服务器发出请求并取回所需信息,最后再转发给客户 。 代理的工
作流程如图 8.4所示。
图 8.4 一个服务代理
第 8章 网络安全
8.2.3 防火墙主要技术
应用代理技术的优缺点:
? 代理隐藏了私有客户,不让它们暴露给外界。但客户必
须使用代理才能工作,且不能被设置为网络透明工作。
? 代理能阻断危险的 URL,但阻断 URL也容易被消除。
? 代理能在危险的内容传送给客户之前过滤掉它们,但代
理无法保护操作系统。
? 代理能检查返回内容的一致性。但大多数一致性检查都
是在发现有被利用的弱点后才有效。
? 代理能消除在网络之间的传输层路由。但阻断路由功能
通常使用得不充分
? 代理提供了单点的访问、控制和日志记录功能。
? 代理服务器有消除冗余访问,平衡内部多个服务器负载
的性能优化功能,但易形成服务瓶颈。
第 8章 网络安全
8.2.2 防火墙分类
1,按技术分类
根据防火墙采用的技术,防火墙分为 包过滤型、代理型和监测型。
? 包过滤型
防火墙通过 读取数据包中的地址信息来判断这些, 包, 是否来自
可信任的安全站点, 一旦发现来自危险站点的数据包, 防火墙便会将
这些数据拒之门外 。 系统管理员也可以根据实际情况灵活制订判断规
则 。
包过滤技术的优点 是简单实用,实现成本。 其缺点 只能根据数据
包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的
恶意入侵。
第 8章 网络安全
8.2.2 防火墙分类
? 代理型
代理型防火墙 也称为代理服务器。 从结构上看,代理服务器由代
理的服务器部分和代理的客户机部分组成。 从客户机来看,代理服务
器相当于一台真正的服务器,而从服务器来看,代理服务器又是一台
真正的客户机。壁垒主机即一台软件上配置代理服务程序的计算机,
也可以作为代理服务器。
代理型防火墙的优点 是安全性较高,可以针对应用层进行侦测和
扫描,对付基于应用层的入侵和病毒都十分有效。 其缺点是 对系统的
整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的
所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
第 8章 网络安全
8.2.2 防火墙分类
? 监测型
监测型防火墙 是新一代的产品,它实际已经超越了最初的防火墙
定义。监测型防火墙能够对各层的数据进行主动的、实时的监测。并
在对这些数据分析的基础上,它能够有效地判断出各层中的非法入侵。
监测型防火墙产品 一般还带有分布式探测器,这些探测器安置在
各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部
的攻击,还对来自内部的恶意破坏也有极强的防范作用。
因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全
性上也超越了前两代产品。
第 8章 网络安全
8.2.2 防火墙分类
2,按结构分类
目前,防火墙按结构可分为 简单型和复合型。 简单型包括 只使用屏
蔽路由器或者作为代理服务器的双目主机结构; 复合结构一般包括 屏
蔽主机和屏蔽子网。
? 双目主机结构
双目主机结构防火墙系统 主要由一台双目主机构成,具有两个网络
接口,分别连接到内部网和外部网,充当转发器,如图 8.5所示。这样,
主机可以充当与这些接口相连的路由器,能够把 IP数据包从一个网络接
口转发到另一个网络接口。但是,实现双目主机的防火墙结构禁止这
种转发功能。
第 8章 网络安全
8.2.1 防火墙分类
图 8.5 双目主机结构防火墙
防火墙内部的系统能与双目主机通信,同时防火墙外部的系统如
因特网也能与双目主机通信,但二者之间不能直接通信。
第 8章 网络安全
8.2.2 防火墙分类
? 屏蔽主机结构
屏蔽主机结构 使用一个单独的路由来提供与内部网相连主机即壁垒主机
的服务 。 在这种安全体系结构中, 主要的安全措施是数据包过滤, 如图 8.6
所示 。 在屏蔽路由器中, 数据包过滤配置按以下方式执行:
? 允许其他的内部主机为了某些服务与因特网上的主机连接, 即允许那
些经过数据包过滤的服务 。
? 不允许来自内部主机的所有连接, 即强迫内部主机通过壁垒主机使用
代理服务 。
由于这种结构允许数据包通过因特网访问内部数据, 因此, 它的设计
比双目主机结构要更冒风险 。
第 8章 网络安全
8.2.2 防火墙分类
图 8.6 屏蔽主机结构防火墙
第 8章 网络安全
8.2.2 防火墙分类
? 屏蔽子网结构
屏蔽子网结构防火墙是 通过添加隔离内外网的边界网络为屏蔽主机
结构增添另一个安全层,这个边界网络有时候称为 非军事区。
壁垒主机是最脆弱的、最易受攻击的部位,通过隔离壁垒主机的边
界网络,便可减轻壁垒主机被攻破所造成的后果。因为壁垒主机不再是
整个网络的关键点,所以它们给入侵者提供一些访问,而不是全部。
最简单的屏蔽子网有 两个屏蔽路由器,一个接外部网与边界网络,
另一个连接边界网络与内部网,如图 8.7所示。这样为了攻进内部网,
入侵者必须通过两个屏蔽路由器。
第 8章 网络安全
8.2.2 防火墙分类
图 8.5 屏蔽子网防火墙
第 8章 网络安全
8.2.3 防火墙的选择标准和发展方向
1,选择防火墙标准
? 总拥有成本 。 防火墙产品的总拥有成本不应该超过受保护网
络系统可能遭受最大损失的成本 。
? 防火墙本身的安全。 防火墙本身应该是安全的,不给外部入侵
者可乘之机。
? 管理与培训。 管理和培训是评价一个防火墙好坏的重要方面。
人员培训和日常维护费用通常会在总拥有成本中占据较大的比例。
? 可扩充性。 好产品应该留给用户足够的弹性空间。
? 防火墙的安全性能。 即防火墙是否能够有效地阻挡外部入侵。
第 8章 网络安全
8.2.3 防火墙的选择标准和发展方向
2, 防火墙的发展方向
为了有效抵御网络攻击,适应 Internet的发展势头,防火墙表现出
如下发展趋势:
? 智能化的发展。 防火墙将从目前的静态防御策略向具备人工
智能的智能化方向发展。
? 速度的发展。 随着网络速率的不断提高,防火墙必须提高运
算速度及包转发速度,否则成为网络的瓶颈。
? 体系结构的发展。 要求防火墙能够协同工作,共同组成一个
强大的、具备并行处理能力和负载均衡能力的逻辑防火墙。
? 功能的发展。 未来网络防火墙将在现有的基础上继续完善其
功能并不断增加新的功能。
? 专业化的发展。 单向防火墙、电子邮件防火墙,FTP防火墙
等针对特定服务的专业化防火墙将作为一种产品门类出现。
8.2.1 防火墙主要技术
8.2.2 防火墙分类
8.2.3 防火墙的选择标准和发展方向
第 8章 网络安全
8.2.1 防火墙主要技术
防火墙 是一道介于开放的、不安全的公共网与信息、资源汇集的内
部网之间的屏障,由一个或一组系统组成。 狭义的防火墙 指安装了防火
墙软件的主机或路由器系统,广义的防火墙 还包括整个网络的安全策略
和安全行为。 防火墙技术包括:
? 包过滤技术
? 网络地址翻译
? 应用级代理
第 8章 网络安全
8.2.3 防火墙主要技术
1,包过滤技术
包过滤技术 ( Packet Filtering)是在网络层依据系统的过滤规则,
对数据包进行选择和过滤,这种规则又称为 访问控制表 。这种防火墙
通常安装在路由器上,如图 8.3所示。
图 8.3 包过滤技术
这种技术通过检查数据流中的每个数据包的 源地址、目标地址、
源端口、目的端口及协议状态或它们的组合 来确定是否允许该数据包
通过。
第 8章 网络安全
8.2.3 防火墙主要技术
包过滤技术包括两种基本类型,无状态检查的包过滤和有状态检
查的包过滤,其区别在于 后者通过记住防火墙的所有通信状态,并根
据状态信息来过滤整个通信流,而不仅仅是包。
有许多方法可绕过包过滤器进入 Internet, 包过滤技术存在以下缺
陷:
? TCP只能在第 0个分段中被过滤。
? 特洛伊木马可以使用 NAT来使包过滤器失效。
? 许多包过滤器允许 1024以上的端口通过。
“纯”包过滤器的防火墙不能完全保证内部网的安全,而必须与
代理服务器和网络地址翻译结合起来才能解决问题。
第 8章 网络安全
8.2.1 防火墙主要技术
2,网络地址翻译
网络地址翻译( NAT,Network Address Translation) 最初的设
计目的是增加在专用网络中可使用的 IP地址数,但现在则用于屏蔽内
部主机。
NAT通过将专用网络中的专用 IP地址转换成在 Internet上使用的
全球唯一的公共 IP地址,实现对黑客有效地隐藏所有 TCP/IP级的有关
内部主机信息的功能,使外部主机无法探测到它们。
NAT实质上是一个基本代理,一个主机充当代理,代表内部所有
主机发出请求,从而将内部主机的身份从公用网上隐藏起来了。
第 8章 网络安全
8.2.1 防火墙主要技术
按普及程度和可用性顺序, NAT防火墙最基本的翻译模式包括:
? 静态翻译 。 在这种模式中, 一个指定的内部网络源有一个从
改变的固定翻译表 。
? 动态翻译 。 在这种模式中, 为了隐藏内部主机的身份或扩展
内部网的地址空间, 一个大的 Internet客户群共享单一一个或一
组小的 Internet IP地址 。
? 负载平衡翻译 。 在这种模式中, 一个 IP地址和端口被翻译为
同等配置的多个服务器的一个集中处, 这样一个公共地址可以
为许多服务器服务 。
? 网络冗余翻译 。 在这种模式中, 多个 Internet连接被附加在
一个 NAT防火墙上, 从而防火墙根据负载和可用性对这些连接
进行选择和使用 。
第 8章 网络安全
8.2.1 防火墙主要技术
3,应用级代理
代理 现在主要用于防火墙。 代理服务器 通过侦听网络内部客户的
服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向
真正的服务器发出请求并取回所需信息,最后再转发给客户 。 代理的工
作流程如图 8.4所示。
图 8.4 一个服务代理
第 8章 网络安全
8.2.3 防火墙主要技术
应用代理技术的优缺点:
? 代理隐藏了私有客户,不让它们暴露给外界。但客户必
须使用代理才能工作,且不能被设置为网络透明工作。
? 代理能阻断危险的 URL,但阻断 URL也容易被消除。
? 代理能在危险的内容传送给客户之前过滤掉它们,但代
理无法保护操作系统。
? 代理能检查返回内容的一致性。但大多数一致性检查都
是在发现有被利用的弱点后才有效。
? 代理能消除在网络之间的传输层路由。但阻断路由功能
通常使用得不充分
? 代理提供了单点的访问、控制和日志记录功能。
? 代理服务器有消除冗余访问,平衡内部多个服务器负载
的性能优化功能,但易形成服务瓶颈。
第 8章 网络安全
8.2.2 防火墙分类
1,按技术分类
根据防火墙采用的技术,防火墙分为 包过滤型、代理型和监测型。
? 包过滤型
防火墙通过 读取数据包中的地址信息来判断这些, 包, 是否来自
可信任的安全站点, 一旦发现来自危险站点的数据包, 防火墙便会将
这些数据拒之门外 。 系统管理员也可以根据实际情况灵活制订判断规
则 。
包过滤技术的优点 是简单实用,实现成本。 其缺点 只能根据数据
包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的
恶意入侵。
第 8章 网络安全
8.2.2 防火墙分类
? 代理型
代理型防火墙 也称为代理服务器。 从结构上看,代理服务器由代
理的服务器部分和代理的客户机部分组成。 从客户机来看,代理服务
器相当于一台真正的服务器,而从服务器来看,代理服务器又是一台
真正的客户机。壁垒主机即一台软件上配置代理服务程序的计算机,
也可以作为代理服务器。
代理型防火墙的优点 是安全性较高,可以针对应用层进行侦测和
扫描,对付基于应用层的入侵和病毒都十分有效。 其缺点是 对系统的
整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的
所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
第 8章 网络安全
8.2.2 防火墙分类
? 监测型
监测型防火墙 是新一代的产品,它实际已经超越了最初的防火墙
定义。监测型防火墙能够对各层的数据进行主动的、实时的监测。并
在对这些数据分析的基础上,它能够有效地判断出各层中的非法入侵。
监测型防火墙产品 一般还带有分布式探测器,这些探测器安置在
各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部
的攻击,还对来自内部的恶意破坏也有极强的防范作用。
因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全
性上也超越了前两代产品。
第 8章 网络安全
8.2.2 防火墙分类
2,按结构分类
目前,防火墙按结构可分为 简单型和复合型。 简单型包括 只使用屏
蔽路由器或者作为代理服务器的双目主机结构; 复合结构一般包括 屏
蔽主机和屏蔽子网。
? 双目主机结构
双目主机结构防火墙系统 主要由一台双目主机构成,具有两个网络
接口,分别连接到内部网和外部网,充当转发器,如图 8.5所示。这样,
主机可以充当与这些接口相连的路由器,能够把 IP数据包从一个网络接
口转发到另一个网络接口。但是,实现双目主机的防火墙结构禁止这
种转发功能。
第 8章 网络安全
8.2.1 防火墙分类
图 8.5 双目主机结构防火墙
防火墙内部的系统能与双目主机通信,同时防火墙外部的系统如
因特网也能与双目主机通信,但二者之间不能直接通信。
第 8章 网络安全
8.2.2 防火墙分类
? 屏蔽主机结构
屏蔽主机结构 使用一个单独的路由来提供与内部网相连主机即壁垒主机
的服务 。 在这种安全体系结构中, 主要的安全措施是数据包过滤, 如图 8.6
所示 。 在屏蔽路由器中, 数据包过滤配置按以下方式执行:
? 允许其他的内部主机为了某些服务与因特网上的主机连接, 即允许那
些经过数据包过滤的服务 。
? 不允许来自内部主机的所有连接, 即强迫内部主机通过壁垒主机使用
代理服务 。
由于这种结构允许数据包通过因特网访问内部数据, 因此, 它的设计
比双目主机结构要更冒风险 。
第 8章 网络安全
8.2.2 防火墙分类
图 8.6 屏蔽主机结构防火墙
第 8章 网络安全
8.2.2 防火墙分类
? 屏蔽子网结构
屏蔽子网结构防火墙是 通过添加隔离内外网的边界网络为屏蔽主机
结构增添另一个安全层,这个边界网络有时候称为 非军事区。
壁垒主机是最脆弱的、最易受攻击的部位,通过隔离壁垒主机的边
界网络,便可减轻壁垒主机被攻破所造成的后果。因为壁垒主机不再是
整个网络的关键点,所以它们给入侵者提供一些访问,而不是全部。
最简单的屏蔽子网有 两个屏蔽路由器,一个接外部网与边界网络,
另一个连接边界网络与内部网,如图 8.7所示。这样为了攻进内部网,
入侵者必须通过两个屏蔽路由器。
第 8章 网络安全
8.2.2 防火墙分类
图 8.5 屏蔽子网防火墙
第 8章 网络安全
8.2.3 防火墙的选择标准和发展方向
1,选择防火墙标准
? 总拥有成本 。 防火墙产品的总拥有成本不应该超过受保护网
络系统可能遭受最大损失的成本 。
? 防火墙本身的安全。 防火墙本身应该是安全的,不给外部入侵
者可乘之机。
? 管理与培训。 管理和培训是评价一个防火墙好坏的重要方面。
人员培训和日常维护费用通常会在总拥有成本中占据较大的比例。
? 可扩充性。 好产品应该留给用户足够的弹性空间。
? 防火墙的安全性能。 即防火墙是否能够有效地阻挡外部入侵。
第 8章 网络安全
8.2.3 防火墙的选择标准和发展方向
2, 防火墙的发展方向
为了有效抵御网络攻击,适应 Internet的发展势头,防火墙表现出
如下发展趋势:
? 智能化的发展。 防火墙将从目前的静态防御策略向具备人工
智能的智能化方向发展。
? 速度的发展。 随着网络速率的不断提高,防火墙必须提高运
算速度及包转发速度,否则成为网络的瓶颈。
? 体系结构的发展。 要求防火墙能够协同工作,共同组成一个
强大的、具备并行处理能力和负载均衡能力的逻辑防火墙。
? 功能的发展。 未来网络防火墙将在现有的基础上继续完善其
功能并不断增加新的功能。
? 专业化的发展。 单向防火墙、电子邮件防火墙,FTP防火墙
等针对特定服务的专业化防火墙将作为一种产品门类出现。
