网络管理与安全技术
李 艇
02w123
本章学习要求
l理解:防火墙基本概念
l 掌握:防火墙技术
l 熟悉:防火墙体系结构及其应用
l 熟悉:防火墙的类型
第 7章 防火墙
防火墙作为网络安全的一种防护手段
得到了广泛的应用,已成为各企业网络中
实施安全保护的核心,安全管理员可以通
过其选择性地拒绝进出网络的数据流量,
增强了对网络的保护作用 。
? 防火墙是位于两个信任程度不同的网络之间的软件或
硬件设备的组合, 它对两个网络之间的通信进行控制,
通过强制实施统一的安全策略, 防止对重要信息资源的
非法存取和访问, 以达到保护系统安全的目的 。
? 防火墙通常是运行在一台单独计算机之上的一个特别
的服务软件, 用来保护由许多台计算机组成的内部网络,
可以识别并屏蔽非法请求, 有效防止跨越权限的数据访
问 。 防火墙可以是非常简单的过滤器, 也可能是精心配
臵的网关 。 但都可用于监测并过滤所有内部网和外部网
之间的信息交换 。
? 防火墙保护着内部网络的敏感数据不被窃取和破坏, 并
记录内外通信的有关状态信息日志, 如通信发生的时间
和进行的操作等等 。 新一代的防火墙甚至可以阻止内部
人员将敏感数据向外传输, 并对网络数据的流动实现有
效地管理 。
7.1 防火墙基本概念
防火墙示意图
UF3500/3100防火墙应用
三端口 NAT模式
交换机
路由器
集线器
防火墙 UF3500/3100
WWW 服务器 Mail服务器
PC PC
FTP 服务器
7.1.1 防火墙技术发展状况
? 自从 1986年美国 Digital公司在 Internet上安装了全球
第一个商用防火墙系统后, 防火墙技术得到了飞速的发
展 。 许多公司推出了功能不同的防火墙系统产品 。
? 第一代防火墙, 又称为包过滤防火墙, 其主要通过对数
据包源地址, 目的地址, 端口号等参数来决定是否允许
该数据包通过或进行转发, 但这种防火墙很难抵御 IP地
址欺骗等攻击, 而且审计功能很差 。
? 第二代防火墙, 也称代理服务器, 它用来提供网络服务
级的控制, 起到外部网络向被保护的内部网络申请服务
时中间转接作用, 这种方法可以有效地防止对内部网络
的直接攻击, 安全性较高 。
? 第三代防火墙有效地提高了防火墙的安全性, 称为状态
监控功能防火墙, 它可以对每一层的数据包进行检测和
监控 。
? 第四代防火墙,1992年, 开发出了基于动
态包过滤技术的第四代防火墙 。
? 第五代防火墙,1998年, NAI公司推出了一
种自适应代理技术, 可以称之为第五代防
火墙 。
7.1.1 防火墙技术发展状况
7.1.2 防火墙的任务
防火墙应能够确保满足以下四个目标,
1,实现安全策略
防火墙的主要目的是强制执行人们所设计的
安全策略 。 比如, 安全策略中只需对 E-mail服务
器的 SMTP流量作些限制, 那么就要在防火墙中直
接设臵并执行这一策略 。
防火墙一般实施两个基本设计策略之一,
? n 凡是没有明确表示允许的就要被禁止;
? n 凡是没有明确表示禁止的就要被允许 。
2,创建检查点
? 防火墙在内部网络和公网间建立一个检查
点 。
? 通过检查点防火墙设备可以监视, 过滤和
检查所有进来和出去的流量 。
? 网络管理员可以在检查点上集中实现安全
目的 。
7.1.2 防火墙的任务
7.1.2 防火墙的任务
九运会信息网络系统已经受并成功地抵御了 87万多次网络攻击
3,记录 Internet活动
防火墙可以进行日志记录, 并且提供警报功能 。 通
过在防火墙上实现日志服务, 安全管理员可以监视所有
从外部网或互联网的访问 。 好的日志策略是实现网络安
全的有效工具之一 。 防火墙对于管理员进行日志存档提
供了更多的信息 。
7.1.2 防火墙的任务
4,保护内部网络
对于公网防火墙隐藏了
内部系统的一些信息以
增加其保密性 。 当远程
节点探测内部网络时,
其仅仅能看到防火墙 。
远程节点不会知道内部
网络结构和资源 。 防火
墙以提高认证功能和对
网络加密来限制网络信
息的暴露, 并通过对所
有输入的流量时行检查,
以限制从外部发动的攻
击 。
7.2 防火墙技术
目前大多数防火墙都采用几种技术相结合的形式
来保护网络不受恶意的攻击, 其基本技术通常分
为两类:
l 网络数据单元过滤
l 网络服务代理
7.2.1 数据包过滤
? 数据包过滤( Packet
Filtering)技术是在网
络层对数据包进行分析、
选择,选择的依据是系统
内设臵的过滤逻辑,称为
访问控制表( Access
Control Table)。
? 通过检查数据流中每一个
数据包的源地址、目的地
址、所用端口号、协议状
态等因素,或它们的组合
来确定是否允许该数据包
通过。
7.2.1 数据包过滤
? 包过滤技术工作在 OIS七层模型的网络层上
并有两个功能, 即允许和阻止;
? 如果检查数据包所有的条件都符合规则,
则允许进行路由;如果检查到数据包的条
件不符合规则, 则阻止通过并将其丢弃 。
? 包检查是对 IP头和传输层的头进行过滤,
一般要检查下面几项:
7.2.1 数据包过滤
l 源 IP地址
l 目的 IP地址
l TCP/UDP源端口
l TCP/UDP目的端口
l 协议类型 ( TCP包, UDP包, ICMP包 )
l TCP报头中的 ACK位
l ICMP消息类型
7.2.1 数据包过滤
例如:若想禁止从 Internet的远程登录到内部网
设备中,则需要建立一条包过滤规则。因为
Telnet服务是使用 TCP协议的 23端口,则禁止
Telnet的包过滤规则 为:
规则号 功能 源 IP地址 目标 IP地址 源端口 目标端口 协议
1 Discard * * 23 * TCP
2 Discard * * * 23 TCP
上表列出的信息是路由器丢弃所有从 TCP23端口出去和进来
的数据包。其它所有的数据包都允许通过。
例如,FTP使用 TCP的 20和 21端口 。 如果包过滤要禁止所有的数
据包只允许特殊的数据包通过 。
规则号 功能 源 IP地址 目标 IP地址 源端口 目标端口 协议
1 Allow 192.168.1.0 * * * TCP
2 Allow * 192.168.1.0 20 * TCP
?第一条是允许地址为 192.168.1.0的网段内而其源端口和目的端
口为任意的主机进行 TCP的会话。
?第二条是允许端口为 20的任何远程 IP地址都可以连接到
192.168.10.0的任意端口上。
?第二条规则不能限制目标端口是因为主动的 FTP客户端是不使用
20端口的。当一个主动的 FTP客户端发起一个 FTP会话时,客户端
是使用动态分配的端口号。而远程的 FTP服务器只检查
192.168.1.0这个网络内端口为 20的设备。有经验的黑客可以利
用这些规则非法访问内部网络中的任何资源。所以要对 FTP包过
滤的规则加以相应修改
7.2.1 数据包过滤
规则号 功能 源 IP地址 目标 IP地址 源端口 目标端口 协议
1 Allow 192.168.1.0 * * 21 TCP
2 Block * 192.168.1.0 20 <1024 TCP
3 Allow * 192.168.1.0 20 * TCP
ACK=1
?第一条是允许网络地址为 192.168.1.0内的任何主机与目标地址为
任意且端口为 21建立 TCP的会话连接。
?第二条是阻止任何源端口为 20的远程 IP地址访问内部网络地址为
192.168.1.0且端口小于 1024的任意主机。
?第三条规则是允许源端口为 20的任意远程主机可以访问
192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执
行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则,
它会被立刻丢弃掉,第三条规则不会执行。但第三条规则仍然需要
是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允
许规则。
7.2.1 数据包过滤
? 包过滤防火墙的优点
速度快, 逻辑简单, 成本低, 易于安装和使用,
网络性能和透明度好 。 它通常安装在路由器上,
因内部网络与 Internet连接必须通过路由器, 所
以在原有网络上增加这类防火墙, 几乎不需要任
何额外的费用 。
? 包过滤防火墙的缺点
不能对数据内容进行控制, 缺乏用户级的授权;
非法访问一旦突破防火墙, 即可对主机上的系统
和配臵进行攻击 。 数据包的源地址, 目的地址以
及 IP端口号都在数据包的头部, 很有可能被冒充
或窃取 。
7.2.2 应用级网关
? 应用层网关技术是
在网络的应用层上
实现协议过滤和转
发功能 。 它针对特
定的网络应用服务
协议使用指定的数
据过滤逻辑, 并在
过滤的同时, 对数
据包进行必要的分
析, 记录和统计,
形成报告 。 实际的
应用网关通常安装
在专用工作站系统
上
7.2.2 应用级网关
? 应用级网关能够理解应用层上的协议, 进
行复杂一些的访问控制 。 但每一种协议需
要相应的代理软件, 使用时工作量大, 效
率不如网络级防火墙 。
? 常用的应用级防火墙有相应的代理服务器,
应用级网关有较好的访问控制, 但实现困
难, 而且有的应用级网关缺乏, 透明度,
7.2.2 应用级网关
? 应用层网关防火墙和
数据包过滤有一个共
同的特点, 就是它们
仅仅依靠特定的逻辑
来判断是否允许数据
包通过 。 一旦符合条
件, 防火墙内外的计
算机系统便可以建立
直接联系, 外部的用
户便有可能直接了解
到防火墙内部的网络
结构和运行状态, 这
大大增加了非法访问
和攻击的机会 。
7.2.3 代理服务
? 应用代理服务技术能够将所有跨越防火墙的网络通
信链路分为两段 。
? 防火墙内外计算机系统间应用层的连接是由两个代
理服务器之间的连接来实现, 外部计算机的网络链
路只能到达代理服务器, 从而起到隔离防火墙内外
计算机系统的作用 。
? 另外, 代理服务器也对过往的数据包进行分析, 记
录, 形成报告, 当发现攻击迹象时会向网络管理员
发出警告, 并保留攻击痕迹 。
7.2.3 代理服务
? 应用代理服务器对客户
端的请求行使, 代理,
职责 。 客户端连接到防
火墙并发出请求, 然后
防火墙连接到服务器,
并代表这个客户端重复
这个请求 。 返回时数据
发送到代理服务器, 然
后再传送给用户, 从而
确保内部 IP地址和口令
不在 Internet上出现 。
7.2.3 代理服务
? 代理技术与包过滤技术完全不同, 包过滤技术是
在网络层拦截所有的信息流, 代理技术是针对每
一个特定应用都有一个程序 。
? 根据其处理协议的不同, 可分为 FTP网关型, WWW
网关型, Telnet网关型等防火墙, 其优点在于既
能进行安全控制, 又可加速访问, 但实现起来比
较困难, 对于每一种服务协议必须设计一个代理
软件模式, 以进行安全控制 。
7.2.3 代理服务
应用层代理主要的优点:
? 支持用户认证并提供详细的注册信息;
? 过滤规则相对于包过滤路由器更容易配臵和测试;
? 可提供详细的日志和安全审计功能;
? 可以隐藏内部网的 IP地址以保护内部主机不受外
部主机的进攻;
? 内部网中的所有主机通过代理可以访问 Internet。
应用层代理也有明显的缺点:
? 应用层实现的防火墙会造成执行速度慢, 其性能
明显下降;
? 每个应用程序都必须有一个代理服务程序来进行
安全控制, 并随应用升级面升级 。 其适应性和连
接性都是有限的 。
7.2.4 状态检测
? 状态检测是对包过滤功能的扩展 。
? 传统的包过滤在用动态端口的协议时, 事先
无法知道哪些端口需要打开, 就会将所有可
能用到的端口打开, 而这会给安全带来不必
要的隐患 。
? 状态检测将通过检查应用程序信息来判断此
端口是否需要临时打开, 并当传输结束时,
端口马上恢复为关闭状态 。
7.2.4 状态检测
? 状态检测防火墙克服了包过滤防火墙和应用代理
服务器的局限性, 不要求每个被访问的应用都有
代理 。
? 状态检测模块能够理解并学习各种协议和应用,
以支持各种最新的应用服务 。
? 状态检测模块截获, 分析并处理所有试图通过防
火墙的数据包, 保证网络的高度安全和数据完整 。
? 网络和各种应用的通信状态动态存储, 更新到动
态状态表中, 结合预定义好的规则, 实现安全策
略 。
? 状态检测是检查 OSI七层模型的所有层, 以决定是
否过滤, 而不仅仅是对网络层检测 。
7.3 防火墙体系结构及其应用
防火墙体系结构通常分为四类:
l 屏蔽路由器 ( Screening Router)
l 屏蔽主机网关 (Screened Host Gateway)
l 双穴主机网关 (Dual-Homed Gateway)
l 屏蔽子网 (Screened Subnet)
7.3.1屏蔽路由器
? 屏蔽路由器就是实施过滤的路由器
? 包过滤路由器在网络之间完成数据包
转发的普通路由功能, 并利用包过滤
规则来允许或拒绝数据包 。
? 通常过滤规则定义为:内部网络上的
主 机 可 以 直 接 访 问 Internet,
Internet上的主机对内部网络上的主
机进行访问是有限制的, 即没有特别
允许的数据包都拒绝 。
7.3.1屏蔽路由器
INTERNET
包过滤路由器
内部网络
屏蔽路由器
7.3.1屏蔽路由器
? 优点是价格低且易于使用,
? 缺点
1,需要掌握 TCP/IP知识才能创建相应的过滤规则,
若有配臵错误将会导致不期望的流量通过或拒
绝一些应接受的流量 。
2,包过滤路由器不隐藏内部网络的配臵, 任何允
许访问屏蔽路由器的用户都可看到网络的布局
和结构 。
3,其监视和日志功能较弱, 通常也没有警报的功
能 。 这就意味着网络管理员要不断地检查网络
以确定其是否受到攻击 。 防火墙一旦被攻陷后
很难发现攻击者 。
7.3.2 屏蔽主机网关
? 防火墙系统采用了包过滤路由器和堡垒主机组成的防火墙 。
? 提供的安全等级比包过滤防火墙要高, 其实现了网络层安全
( 包过滤 ) 和应用层安全 ( 代理服务 ) 。
? 堡垒主机可以通过网络地址解析来隐藏内部网络的配臵信息 。
INTERNET
包过滤路由器
内部网络
屏蔽主机防火墙
信息服务器
堡垒主机
7.3.2 屏蔽主机网关
? 屏蔽主机防火墙是针对所有进出的信息都要经过堡
垒主机而设计的 。
? 堡垒主机配臵在内部网络上, 而包过滤路由器则放
臵在内部网络和 Internet之间 。
? 在路由器上进行过滤规则配臵, 使得外部系统只能
访问堡垒主机, 内部系统的其他主机的信息全部被
阻塞 。 确保了内部网络不受外部攻击 。
? 由于内部主机与堡垒主机处于同一网络, 安全策略
之一就是决定是否允许内部系统直接访问 Internet
或使用堡垒主机上的代理服务来访问 Internet。
? 若要强制内部用户使用代理服务, 则可在路由器配
臵过滤规则时, 让 Internet只接受来自堡垒主机的
内部数据包 。
7.3.2 屏蔽主机网关
? 该防火墙系统的优点
1,内网的变化不影响堡垒主机和屏蔽路由器的配臵 。
2,可将提供公开的信息服务的服务器放臵在由包过滤
路由器和堡垒主机共用的网段上 。
3,如果要求有特别高的安全特性, 可让堡垒主机运行
代理服务, 使得内部和外部用户在与信息服务器通
信之前, 必须先通过堡垒主机 。
4,如果安全等级较低, 则可将路由器配臵成让外部用
户直接访问公共的信息服务器 。
7.3.2 屏蔽主机网关
? 与包过滤比较, 这种方法的缺点是:
1,增加了成本并降低了性能 。 因为堡垒主机处理
信息时, 网络经常需要更多的时间来对用户的
请求做出响应 。 使用户访问 Internet变得较慢 。
2,如果堡垒主机服务器作为应用级网关, 内部客
户端必须被配臵成使用应用网关服务 。
7.3.3 双宿主机网关
? 用一台装有两块网卡的堡垒主机做防火墙, 一块与内网相连,
一块与外部网相连 。 堡垒主机上运行着防火墙软件, 可以转发
应用程序, 提供服务等 。 这种防火墙由于在内部网络和外部网
络之间创建了完全的物理隔断, 增加了更有效的安全性 。
INTERNET
包过滤路由器
内部网络 双宿堡垒主机防火墙
信息服务器
堡垒主机
7.3.3 双宿主机网关
? 在单宿主堡垒主机结构上, 所有外部的流量
直接转发到堡垒主机上执行 。 黑客可修改路
由器而不把数据包转发给堡垒主机, 这样将
会绕过堡垒主机且直接进入到内部网络中 。
? 双宿堡垒主机有两个网络接口, 但主机不能
在两个端口之间直接转发信息 。 这种物理结
构强行让所有去往内部网络的信息经过堡垒
主机 。
7.3.3 双宿主机网关
? 双宿主机网关优于屏蔽路由器的地方是:
1,堡垒主机的系统软件可用于维护系统日志,
硬件拷贝日志或远程日志 。 便于日后的检查
之用 。
2,由于堡垒主机是唯一能从 Internet上直接访
问的内部系统, 所以有可能受到攻击的主机
就只有堡垒主机本身 。
3,对于入侵者来说, 允许其注册到堡垒主机,
就可容易的破坏堡垒主机而整个内部网络受
到攻击的威胁 。 因此, 避免被渗透和不允许
非法用户注册对堡垒主机来说是至关重要的 。
7.3.4 屏蔽子网
? 实施防火墙最常见的方法就是屏蔽子网 。 在内部网络和外部
网络之间建立一个被隔离的子网, 称之为非军事区 DMZ。
? 其是用两台分组过滤路由器将这一子网分别与内部网络和外
部网络分开, 网络管理员将堡垒主机, 信息服务器以及其他
公用服务器放在 DMZ网络中 。
? 内部网络和外部网络均可访问被屏蔽子网, 但禁止其穿过被
屏蔽子网直接通信 。 屏蔽子网中的堡垒主机作为唯一可访问
点, 并作为应用网关代理 。
INTERNET
包过滤路由器
内部网络
屏蔽子网防火墙
信息服务器
堡垒主机
包过滤路由器
7.3.4 屏蔽子网
?对于进来的信息, 外面的路由器用于防范通常的外
部攻击, 并管理 Internet到 DMZ网络的访问 。 它只允
许外部系统访问堡垒主机和信息服务器 。
?里面的路由器提供第二层防御, 只接受源于堡垒主
机的数据包, 负责的是管理 DMZ到内部网络的访问 。
?对于出来的信息, 里面的路由器管理内部网络到
DMZ的访问 。 它允许内部系统只访问堡垒主机和信息
服务器 。
?外面的路由器上的过滤规则要求使用代理服务, 即
只接受来自堡垒主机的去往 Internet的数据包 。
7.3.4 屏蔽子网
屏蔽子网防火墙系统有以下几个优点:
1,入侵者必须攻克三个不同的设备且不被发现才
能侵袭内部网络 。
2,内部网络对 Internet来说是不可见的, 因为所有
进出的数据包都会直接送到 DMZ。 并且只有在 DMZ
网络上选定的系统才对 Internet开放 。 这使黑客
想得到内部系统的信息几乎不太可能的 。
3,由于内部路由器只向内部网络通告 DMZ的存在, 内
部网络上的系统不能直接通往 Internet,这样就
保证了内部网络上的用户必须通过驻留在堡垒主
机上的代理服务才能访问 Internet。 这种配臵避
免了内部用户绕过内网的安全机制 。
7.3.4 屏蔽子网
4,外部路由器直接将数据引向 DMZ网络上所指定的
系统, 无必要设臵双宿堡垒主机 。
5,内部路由器作为内部网络与公网之间的防火墙系
统并支持比双宿堡垒主机更大的数据包吞吐量 。
6,在 DMZ网络上可以安装 NAT于堡垒主机上, 从而避
免在内部网络上重新编址或重新划分子网 。
? 在实际应用中, 具体采用哪一种防火墙主要取决于
网络向用户提供什么样的服务及网络所接受的风险
等级 。 还要取决于经费和技术人员的技术及时间等
因素 。
7.4 防火墙的类型
? 大多数防火墙都可以实现上述所讨论的功能,
在实际使用中的防火墙以其实现形式可以分
为以下四种类型:
l 嵌入式防火墙
l 软件防火墙
l 硬件防火墙
l 应用程序防火墙
7.4.1 嵌入式防火墙
? 当防火墙功能被集成到路由器或者交换机上
时, 这种防火墙称为嵌入式 ( embedded) 防
火墙 。
? 其通常只对分组信息进行 IP级的检查, 可获
得较高的性能, 易于实现并有较好的性价比 。
7.4.2 软件防火墙
? 软件防火墙又分有两种类型,
1,一是企业级软件防火墙, 其用于大型网络上
并执行路由选择功能 。
2,另一种是 SOHO(Small Office Home Office)
级 。 软件防火墙通常会提供全面的防火墙功
能,
? 基于服务器的防火墙实际上是在操作系统之
上运行的应用程序 。 其系统平台有 Unix、
Linux以及 Windows NT,2000,XP和,NET等 。
7.4.3 硬件防火墙
? 因为硬件路由器也要使用软件, 所以将硬件防火墙又
称为设备防火墙 。 其设计成一种总体系统, 不需要复
杂的安装或配臵就可以提供防火墙功能 。 硬件防火墙
与软件防火墙相似, 可以针对企业应用市场来设计,
也可以针对 SOHO环境 。
? 基于设备的防火墙也为集成解决方案, 是指运行在专
用的硬件和软件上的防火墙产品 。 如 Cisco PIX防火
墙就属于这种集成设备, 其整个系统不能实现除防火
墙之外的其他任何功能, 并且也没有硬盘或服务器的
其他常规组件 。 由于它的集成性和专用性, 其速度,
稳定性和安全性方面都比基于服务器的防火墙更好 。
但基于服务器的防火墙会提供一些额外的配臵和支持
选项, 并且价格比集成解决方案要便宜 。
7.4.4 应用程序防火墙
? 应用程序防火墙经常是作为现有硬件或软件防
火墙的组件实现的 。 它们的主要目的是提供一
种复杂的内容过滤层次, 用来对应用层传输的
数据进行过滤 。
? 随着防火墙功能的提高, 对于数据的过滤已经
越来越多地集中到了应用层, 应用程序防火墙
的针对性也越来越强 。
硬件防火墙 软硬件结合防火墙 软件防火墙
?用专用芯片处理数据包,CPU
只作管理之用。
?使用专用的操作系统平台,
避免了通用性操作系统的安全
性漏洞。
? 高带宽,高吞吐量,真正线
速防火墙。即实际带宽与理论
值可以达到一致
? 安全与速度同时兼顾。没有
用户限制。
? 性价比高。
? 管理简单,快捷。
? 识别方法,
产品外观为硬件机箱形,此类
防火墙一般不会对外公布其
CPU或 RAM等硬件水平,核心为
硬件芯片。
? 典型产品,
NetScreen系列防火墙
?机箱 +CPU+防火墙软件集成于一体
( PC BOX 结构),市面上大部分声称
,硬件, 防火墙的产品都采用这种结
构。
? 采用专用或通用操作系统。
?核心技术仍然为软件,容易造成网络
带宽瓶颈。
?只能满足中低带宽要求,吞吐量不高
。通常带宽只能达到理论值的 20%--
70%。中低流量时可满足一定的安全要
求,在高流量环境下会造成堵塞甚至
系统崩溃。
? 性价比不高。
? 管理比较方便。
? 识别方法,
产品外观为硬件机箱形,此类防火墙一
般会对外强调其 CPU与 RAM等硬件水平
。
? 典型产品,
Cisco PIX防火墙
清华紫光防火墙
? 运行在通用操作系统上的能安
全控制存取访问的软件,性能依
靠于计算机 CPU,内存等。
? 基于通用操作系统(
WinNT,SUN Solaris,SCO UNIX等
),对底层操作系统的安全依赖
性很高。
?由于操作系统平台的限制,极易
造成网络带宽瓶颈。因此,实际
所能达到的带宽通常只有理论值
的 20%--70%。可以满足低带宽低
流量环境下的安全需要,高速环
境下容易造成系统崩溃。
? 有用户限制,一般需要按用户
数购买,性价比极低。
? 管理复杂,与系统有关,要求
维护人员必须熟悉各种工作站及
操作系统的安装及维护。
? 识别方法,
此类防火墙一般都有严格的系统
硬件与操作系统要求,产品为软件
? 典型产品,
Check Point
Net Eyes
7.4.5选择防火墙需要综合考虑的问题
1,防火墙管理的难易度
? 一般企业很少以现有的网络设备直接当作防火
墙, 如包过滤可直接放在路由器上, 但其并不
能达到完全的控制 。
? 设定工作困难, 须要具备完整的知识 。
? 嵌入式防火墙不易排错, 是一般企业不愿意使
用的主要原因 。
7.4.5选择防火墙需要综合考虑的问题
2,防火墙自身的安全性
? 大多数人在选择防火墙时都将注意力放在防火墙如何
控制连接以及防火墙支持多少种服务, 但往往忽略了
一点, 防火墙也是网络上的主机之一, 也可能存在安
全问题, 防火墙如果不能确保自身安全, 则防火墙的
控制功能再强, 也终究不能完全保护内部网络 。
? 在防火墙上除了执行防火墙软件外, 所有的程序, 系
统核心, 也大多来自于操作系统本身的原有程序 。
? 当防火墙所执行的软件出现安全漏洞时, 防火墙本身
也将受到威胁 。 此时, 任何的防火墙控制机制都可能
失效 。
? 当黑客取得了防火墙上的控制权以后, 其可为所欲为
地修改防火墙上的访问规则, 进而侵入更多的系统 。
因此防火墙自身应有相当高的安全保护 。
7.4.5选择防火墙需要综合考虑的问题
3,防火墙应该是企业整体网络的保护者, 并能弥补其它
操作系统的不足, 使操作系统的安全性不会对企业网
络的整体安全造成影响 。
4,防火墙应该能够支持多种平台 。
5,防火墙应向使用者提供完整的安全检查功能, 但防火
墙并不能有效地杜绝所有的恶意封包, 想要达到真正
的安全仍然需要内部人员不断记录, 改进, 追踪 。
6,防火墙不但应该具备包括检查, 认证, 警告, 记录的
功能, 并且能够为使用者可能遇到的困境, 事先提出
解决方案, 如 IP不足形成的 IP转换的问题, 信息加密
/解密的问题, 大企业要求能够透过 Internet集中管
理的问题等, 这也是选择防火墙时必须考虑的问题 。
7,没有一个防火墙的设计能够适用于所有的环境, 所以
建议选择防火墙时, 还应根据站点的特点来选择合适
的防火墙 。
习题 7
1 防火墙的任务是什么?
2 状态检测防火墙的技术特点是什么?
3 简述双宿堡垒主机防火墙与屏蔽子网防火
墙的主要区别?
4 防火墙从实现形式上有几种? 各自的特点
如何?
总复习
? 基本概念
1,网络安全涉及的领域?
2,信息安全要解决的问题是?
3,威胁的具体表现形式有?
4,被动攻击和主动攻击的具体内容?
5,网络安全技术的研究内容?
6,可信计算机系统评价准则及等级 。
7,非对称加密和对称加密正确的描述?
8,身份认证的方法有哪几种?
9,单钥体制和双钥体制的特点?
总复习
9,网络病毒的特点?
10,安全服务的内容是?
11,网络安全体系中哪一层涉及到用户的识别, 认证和
数字签名等问题?
12,SA的基本组合方式有几种?
13,数据包过滤技术是在哪一层对数据包进行分析和选
择?
14,防火墙体系结构通常分为哪四类?
15,安全问题的实质是什么?
16,善意的网络入侵者称为?
17,状态检测是对什么功能的扩展?
总复习
18,认证系统的两项技术?
19,包过滤防火墙的优点为?
20,防火墙以其实现形式可以分为哪四种?
总复习
? 简答题
1,IPSec协议提供的服务和关联模式有哪些?
2,防火墙的任务?
3,你所知道的网络防病毒工具 /网络安全工具有
哪些? 其各自的区别 /用处何在?
4,VPN的作用和技术特点?
李 艇
02w123
本章学习要求
l理解:防火墙基本概念
l 掌握:防火墙技术
l 熟悉:防火墙体系结构及其应用
l 熟悉:防火墙的类型
第 7章 防火墙
防火墙作为网络安全的一种防护手段
得到了广泛的应用,已成为各企业网络中
实施安全保护的核心,安全管理员可以通
过其选择性地拒绝进出网络的数据流量,
增强了对网络的保护作用 。
? 防火墙是位于两个信任程度不同的网络之间的软件或
硬件设备的组合, 它对两个网络之间的通信进行控制,
通过强制实施统一的安全策略, 防止对重要信息资源的
非法存取和访问, 以达到保护系统安全的目的 。
? 防火墙通常是运行在一台单独计算机之上的一个特别
的服务软件, 用来保护由许多台计算机组成的内部网络,
可以识别并屏蔽非法请求, 有效防止跨越权限的数据访
问 。 防火墙可以是非常简单的过滤器, 也可能是精心配
臵的网关 。 但都可用于监测并过滤所有内部网和外部网
之间的信息交换 。
? 防火墙保护着内部网络的敏感数据不被窃取和破坏, 并
记录内外通信的有关状态信息日志, 如通信发生的时间
和进行的操作等等 。 新一代的防火墙甚至可以阻止内部
人员将敏感数据向外传输, 并对网络数据的流动实现有
效地管理 。
7.1 防火墙基本概念
防火墙示意图
UF3500/3100防火墙应用
三端口 NAT模式
交换机
路由器
集线器
防火墙 UF3500/3100
WWW 服务器 Mail服务器
PC PC
FTP 服务器
7.1.1 防火墙技术发展状况
? 自从 1986年美国 Digital公司在 Internet上安装了全球
第一个商用防火墙系统后, 防火墙技术得到了飞速的发
展 。 许多公司推出了功能不同的防火墙系统产品 。
? 第一代防火墙, 又称为包过滤防火墙, 其主要通过对数
据包源地址, 目的地址, 端口号等参数来决定是否允许
该数据包通过或进行转发, 但这种防火墙很难抵御 IP地
址欺骗等攻击, 而且审计功能很差 。
? 第二代防火墙, 也称代理服务器, 它用来提供网络服务
级的控制, 起到外部网络向被保护的内部网络申请服务
时中间转接作用, 这种方法可以有效地防止对内部网络
的直接攻击, 安全性较高 。
? 第三代防火墙有效地提高了防火墙的安全性, 称为状态
监控功能防火墙, 它可以对每一层的数据包进行检测和
监控 。
? 第四代防火墙,1992年, 开发出了基于动
态包过滤技术的第四代防火墙 。
? 第五代防火墙,1998年, NAI公司推出了一
种自适应代理技术, 可以称之为第五代防
火墙 。
7.1.1 防火墙技术发展状况
7.1.2 防火墙的任务
防火墙应能够确保满足以下四个目标,
1,实现安全策略
防火墙的主要目的是强制执行人们所设计的
安全策略 。 比如, 安全策略中只需对 E-mail服务
器的 SMTP流量作些限制, 那么就要在防火墙中直
接设臵并执行这一策略 。
防火墙一般实施两个基本设计策略之一,
? n 凡是没有明确表示允许的就要被禁止;
? n 凡是没有明确表示禁止的就要被允许 。
2,创建检查点
? 防火墙在内部网络和公网间建立一个检查
点 。
? 通过检查点防火墙设备可以监视, 过滤和
检查所有进来和出去的流量 。
? 网络管理员可以在检查点上集中实现安全
目的 。
7.1.2 防火墙的任务
7.1.2 防火墙的任务
九运会信息网络系统已经受并成功地抵御了 87万多次网络攻击
3,记录 Internet活动
防火墙可以进行日志记录, 并且提供警报功能 。 通
过在防火墙上实现日志服务, 安全管理员可以监视所有
从外部网或互联网的访问 。 好的日志策略是实现网络安
全的有效工具之一 。 防火墙对于管理员进行日志存档提
供了更多的信息 。
7.1.2 防火墙的任务
4,保护内部网络
对于公网防火墙隐藏了
内部系统的一些信息以
增加其保密性 。 当远程
节点探测内部网络时,
其仅仅能看到防火墙 。
远程节点不会知道内部
网络结构和资源 。 防火
墙以提高认证功能和对
网络加密来限制网络信
息的暴露, 并通过对所
有输入的流量时行检查,
以限制从外部发动的攻
击 。
7.2 防火墙技术
目前大多数防火墙都采用几种技术相结合的形式
来保护网络不受恶意的攻击, 其基本技术通常分
为两类:
l 网络数据单元过滤
l 网络服务代理
7.2.1 数据包过滤
? 数据包过滤( Packet
Filtering)技术是在网
络层对数据包进行分析、
选择,选择的依据是系统
内设臵的过滤逻辑,称为
访问控制表( Access
Control Table)。
? 通过检查数据流中每一个
数据包的源地址、目的地
址、所用端口号、协议状
态等因素,或它们的组合
来确定是否允许该数据包
通过。
7.2.1 数据包过滤
? 包过滤技术工作在 OIS七层模型的网络层上
并有两个功能, 即允许和阻止;
? 如果检查数据包所有的条件都符合规则,
则允许进行路由;如果检查到数据包的条
件不符合规则, 则阻止通过并将其丢弃 。
? 包检查是对 IP头和传输层的头进行过滤,
一般要检查下面几项:
7.2.1 数据包过滤
l 源 IP地址
l 目的 IP地址
l TCP/UDP源端口
l TCP/UDP目的端口
l 协议类型 ( TCP包, UDP包, ICMP包 )
l TCP报头中的 ACK位
l ICMP消息类型
7.2.1 数据包过滤
例如:若想禁止从 Internet的远程登录到内部网
设备中,则需要建立一条包过滤规则。因为
Telnet服务是使用 TCP协议的 23端口,则禁止
Telnet的包过滤规则 为:
规则号 功能 源 IP地址 目标 IP地址 源端口 目标端口 协议
1 Discard * * 23 * TCP
2 Discard * * * 23 TCP
上表列出的信息是路由器丢弃所有从 TCP23端口出去和进来
的数据包。其它所有的数据包都允许通过。
例如,FTP使用 TCP的 20和 21端口 。 如果包过滤要禁止所有的数
据包只允许特殊的数据包通过 。
规则号 功能 源 IP地址 目标 IP地址 源端口 目标端口 协议
1 Allow 192.168.1.0 * * * TCP
2 Allow * 192.168.1.0 20 * TCP
?第一条是允许地址为 192.168.1.0的网段内而其源端口和目的端
口为任意的主机进行 TCP的会话。
?第二条是允许端口为 20的任何远程 IP地址都可以连接到
192.168.10.0的任意端口上。
?第二条规则不能限制目标端口是因为主动的 FTP客户端是不使用
20端口的。当一个主动的 FTP客户端发起一个 FTP会话时,客户端
是使用动态分配的端口号。而远程的 FTP服务器只检查
192.168.1.0这个网络内端口为 20的设备。有经验的黑客可以利
用这些规则非法访问内部网络中的任何资源。所以要对 FTP包过
滤的规则加以相应修改
7.2.1 数据包过滤
规则号 功能 源 IP地址 目标 IP地址 源端口 目标端口 协议
1 Allow 192.168.1.0 * * 21 TCP
2 Block * 192.168.1.0 20 <1024 TCP
3 Allow * 192.168.1.0 20 * TCP
ACK=1
?第一条是允许网络地址为 192.168.1.0内的任何主机与目标地址为
任意且端口为 21建立 TCP的会话连接。
?第二条是阻止任何源端口为 20的远程 IP地址访问内部网络地址为
192.168.1.0且端口小于 1024的任意主机。
?第三条规则是允许源端口为 20的任意远程主机可以访问
192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执
行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则,
它会被立刻丢弃掉,第三条规则不会执行。但第三条规则仍然需要
是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允
许规则。
7.2.1 数据包过滤
? 包过滤防火墙的优点
速度快, 逻辑简单, 成本低, 易于安装和使用,
网络性能和透明度好 。 它通常安装在路由器上,
因内部网络与 Internet连接必须通过路由器, 所
以在原有网络上增加这类防火墙, 几乎不需要任
何额外的费用 。
? 包过滤防火墙的缺点
不能对数据内容进行控制, 缺乏用户级的授权;
非法访问一旦突破防火墙, 即可对主机上的系统
和配臵进行攻击 。 数据包的源地址, 目的地址以
及 IP端口号都在数据包的头部, 很有可能被冒充
或窃取 。
7.2.2 应用级网关
? 应用层网关技术是
在网络的应用层上
实现协议过滤和转
发功能 。 它针对特
定的网络应用服务
协议使用指定的数
据过滤逻辑, 并在
过滤的同时, 对数
据包进行必要的分
析, 记录和统计,
形成报告 。 实际的
应用网关通常安装
在专用工作站系统
上
7.2.2 应用级网关
? 应用级网关能够理解应用层上的协议, 进
行复杂一些的访问控制 。 但每一种协议需
要相应的代理软件, 使用时工作量大, 效
率不如网络级防火墙 。
? 常用的应用级防火墙有相应的代理服务器,
应用级网关有较好的访问控制, 但实现困
难, 而且有的应用级网关缺乏, 透明度,
7.2.2 应用级网关
? 应用层网关防火墙和
数据包过滤有一个共
同的特点, 就是它们
仅仅依靠特定的逻辑
来判断是否允许数据
包通过 。 一旦符合条
件, 防火墙内外的计
算机系统便可以建立
直接联系, 外部的用
户便有可能直接了解
到防火墙内部的网络
结构和运行状态, 这
大大增加了非法访问
和攻击的机会 。
7.2.3 代理服务
? 应用代理服务技术能够将所有跨越防火墙的网络通
信链路分为两段 。
? 防火墙内外计算机系统间应用层的连接是由两个代
理服务器之间的连接来实现, 外部计算机的网络链
路只能到达代理服务器, 从而起到隔离防火墙内外
计算机系统的作用 。
? 另外, 代理服务器也对过往的数据包进行分析, 记
录, 形成报告, 当发现攻击迹象时会向网络管理员
发出警告, 并保留攻击痕迹 。
7.2.3 代理服务
? 应用代理服务器对客户
端的请求行使, 代理,
职责 。 客户端连接到防
火墙并发出请求, 然后
防火墙连接到服务器,
并代表这个客户端重复
这个请求 。 返回时数据
发送到代理服务器, 然
后再传送给用户, 从而
确保内部 IP地址和口令
不在 Internet上出现 。
7.2.3 代理服务
? 代理技术与包过滤技术完全不同, 包过滤技术是
在网络层拦截所有的信息流, 代理技术是针对每
一个特定应用都有一个程序 。
? 根据其处理协议的不同, 可分为 FTP网关型, WWW
网关型, Telnet网关型等防火墙, 其优点在于既
能进行安全控制, 又可加速访问, 但实现起来比
较困难, 对于每一种服务协议必须设计一个代理
软件模式, 以进行安全控制 。
7.2.3 代理服务
应用层代理主要的优点:
? 支持用户认证并提供详细的注册信息;
? 过滤规则相对于包过滤路由器更容易配臵和测试;
? 可提供详细的日志和安全审计功能;
? 可以隐藏内部网的 IP地址以保护内部主机不受外
部主机的进攻;
? 内部网中的所有主机通过代理可以访问 Internet。
应用层代理也有明显的缺点:
? 应用层实现的防火墙会造成执行速度慢, 其性能
明显下降;
? 每个应用程序都必须有一个代理服务程序来进行
安全控制, 并随应用升级面升级 。 其适应性和连
接性都是有限的 。
7.2.4 状态检测
? 状态检测是对包过滤功能的扩展 。
? 传统的包过滤在用动态端口的协议时, 事先
无法知道哪些端口需要打开, 就会将所有可
能用到的端口打开, 而这会给安全带来不必
要的隐患 。
? 状态检测将通过检查应用程序信息来判断此
端口是否需要临时打开, 并当传输结束时,
端口马上恢复为关闭状态 。
7.2.4 状态检测
? 状态检测防火墙克服了包过滤防火墙和应用代理
服务器的局限性, 不要求每个被访问的应用都有
代理 。
? 状态检测模块能够理解并学习各种协议和应用,
以支持各种最新的应用服务 。
? 状态检测模块截获, 分析并处理所有试图通过防
火墙的数据包, 保证网络的高度安全和数据完整 。
? 网络和各种应用的通信状态动态存储, 更新到动
态状态表中, 结合预定义好的规则, 实现安全策
略 。
? 状态检测是检查 OSI七层模型的所有层, 以决定是
否过滤, 而不仅仅是对网络层检测 。
7.3 防火墙体系结构及其应用
防火墙体系结构通常分为四类:
l 屏蔽路由器 ( Screening Router)
l 屏蔽主机网关 (Screened Host Gateway)
l 双穴主机网关 (Dual-Homed Gateway)
l 屏蔽子网 (Screened Subnet)
7.3.1屏蔽路由器
? 屏蔽路由器就是实施过滤的路由器
? 包过滤路由器在网络之间完成数据包
转发的普通路由功能, 并利用包过滤
规则来允许或拒绝数据包 。
? 通常过滤规则定义为:内部网络上的
主 机 可 以 直 接 访 问 Internet,
Internet上的主机对内部网络上的主
机进行访问是有限制的, 即没有特别
允许的数据包都拒绝 。
7.3.1屏蔽路由器
INTERNET
包过滤路由器
内部网络
屏蔽路由器
7.3.1屏蔽路由器
? 优点是价格低且易于使用,
? 缺点
1,需要掌握 TCP/IP知识才能创建相应的过滤规则,
若有配臵错误将会导致不期望的流量通过或拒
绝一些应接受的流量 。
2,包过滤路由器不隐藏内部网络的配臵, 任何允
许访问屏蔽路由器的用户都可看到网络的布局
和结构 。
3,其监视和日志功能较弱, 通常也没有警报的功
能 。 这就意味着网络管理员要不断地检查网络
以确定其是否受到攻击 。 防火墙一旦被攻陷后
很难发现攻击者 。
7.3.2 屏蔽主机网关
? 防火墙系统采用了包过滤路由器和堡垒主机组成的防火墙 。
? 提供的安全等级比包过滤防火墙要高, 其实现了网络层安全
( 包过滤 ) 和应用层安全 ( 代理服务 ) 。
? 堡垒主机可以通过网络地址解析来隐藏内部网络的配臵信息 。
INTERNET
包过滤路由器
内部网络
屏蔽主机防火墙
信息服务器
堡垒主机
7.3.2 屏蔽主机网关
? 屏蔽主机防火墙是针对所有进出的信息都要经过堡
垒主机而设计的 。
? 堡垒主机配臵在内部网络上, 而包过滤路由器则放
臵在内部网络和 Internet之间 。
? 在路由器上进行过滤规则配臵, 使得外部系统只能
访问堡垒主机, 内部系统的其他主机的信息全部被
阻塞 。 确保了内部网络不受外部攻击 。
? 由于内部主机与堡垒主机处于同一网络, 安全策略
之一就是决定是否允许内部系统直接访问 Internet
或使用堡垒主机上的代理服务来访问 Internet。
? 若要强制内部用户使用代理服务, 则可在路由器配
臵过滤规则时, 让 Internet只接受来自堡垒主机的
内部数据包 。
7.3.2 屏蔽主机网关
? 该防火墙系统的优点
1,内网的变化不影响堡垒主机和屏蔽路由器的配臵 。
2,可将提供公开的信息服务的服务器放臵在由包过滤
路由器和堡垒主机共用的网段上 。
3,如果要求有特别高的安全特性, 可让堡垒主机运行
代理服务, 使得内部和外部用户在与信息服务器通
信之前, 必须先通过堡垒主机 。
4,如果安全等级较低, 则可将路由器配臵成让外部用
户直接访问公共的信息服务器 。
7.3.2 屏蔽主机网关
? 与包过滤比较, 这种方法的缺点是:
1,增加了成本并降低了性能 。 因为堡垒主机处理
信息时, 网络经常需要更多的时间来对用户的
请求做出响应 。 使用户访问 Internet变得较慢 。
2,如果堡垒主机服务器作为应用级网关, 内部客
户端必须被配臵成使用应用网关服务 。
7.3.3 双宿主机网关
? 用一台装有两块网卡的堡垒主机做防火墙, 一块与内网相连,
一块与外部网相连 。 堡垒主机上运行着防火墙软件, 可以转发
应用程序, 提供服务等 。 这种防火墙由于在内部网络和外部网
络之间创建了完全的物理隔断, 增加了更有效的安全性 。
INTERNET
包过滤路由器
内部网络 双宿堡垒主机防火墙
信息服务器
堡垒主机
7.3.3 双宿主机网关
? 在单宿主堡垒主机结构上, 所有外部的流量
直接转发到堡垒主机上执行 。 黑客可修改路
由器而不把数据包转发给堡垒主机, 这样将
会绕过堡垒主机且直接进入到内部网络中 。
? 双宿堡垒主机有两个网络接口, 但主机不能
在两个端口之间直接转发信息 。 这种物理结
构强行让所有去往内部网络的信息经过堡垒
主机 。
7.3.3 双宿主机网关
? 双宿主机网关优于屏蔽路由器的地方是:
1,堡垒主机的系统软件可用于维护系统日志,
硬件拷贝日志或远程日志 。 便于日后的检查
之用 。
2,由于堡垒主机是唯一能从 Internet上直接访
问的内部系统, 所以有可能受到攻击的主机
就只有堡垒主机本身 。
3,对于入侵者来说, 允许其注册到堡垒主机,
就可容易的破坏堡垒主机而整个内部网络受
到攻击的威胁 。 因此, 避免被渗透和不允许
非法用户注册对堡垒主机来说是至关重要的 。
7.3.4 屏蔽子网
? 实施防火墙最常见的方法就是屏蔽子网 。 在内部网络和外部
网络之间建立一个被隔离的子网, 称之为非军事区 DMZ。
? 其是用两台分组过滤路由器将这一子网分别与内部网络和外
部网络分开, 网络管理员将堡垒主机, 信息服务器以及其他
公用服务器放在 DMZ网络中 。
? 内部网络和外部网络均可访问被屏蔽子网, 但禁止其穿过被
屏蔽子网直接通信 。 屏蔽子网中的堡垒主机作为唯一可访问
点, 并作为应用网关代理 。
INTERNET
包过滤路由器
内部网络
屏蔽子网防火墙
信息服务器
堡垒主机
包过滤路由器
7.3.4 屏蔽子网
?对于进来的信息, 外面的路由器用于防范通常的外
部攻击, 并管理 Internet到 DMZ网络的访问 。 它只允
许外部系统访问堡垒主机和信息服务器 。
?里面的路由器提供第二层防御, 只接受源于堡垒主
机的数据包, 负责的是管理 DMZ到内部网络的访问 。
?对于出来的信息, 里面的路由器管理内部网络到
DMZ的访问 。 它允许内部系统只访问堡垒主机和信息
服务器 。
?外面的路由器上的过滤规则要求使用代理服务, 即
只接受来自堡垒主机的去往 Internet的数据包 。
7.3.4 屏蔽子网
屏蔽子网防火墙系统有以下几个优点:
1,入侵者必须攻克三个不同的设备且不被发现才
能侵袭内部网络 。
2,内部网络对 Internet来说是不可见的, 因为所有
进出的数据包都会直接送到 DMZ。 并且只有在 DMZ
网络上选定的系统才对 Internet开放 。 这使黑客
想得到内部系统的信息几乎不太可能的 。
3,由于内部路由器只向内部网络通告 DMZ的存在, 内
部网络上的系统不能直接通往 Internet,这样就
保证了内部网络上的用户必须通过驻留在堡垒主
机上的代理服务才能访问 Internet。 这种配臵避
免了内部用户绕过内网的安全机制 。
7.3.4 屏蔽子网
4,外部路由器直接将数据引向 DMZ网络上所指定的
系统, 无必要设臵双宿堡垒主机 。
5,内部路由器作为内部网络与公网之间的防火墙系
统并支持比双宿堡垒主机更大的数据包吞吐量 。
6,在 DMZ网络上可以安装 NAT于堡垒主机上, 从而避
免在内部网络上重新编址或重新划分子网 。
? 在实际应用中, 具体采用哪一种防火墙主要取决于
网络向用户提供什么样的服务及网络所接受的风险
等级 。 还要取决于经费和技术人员的技术及时间等
因素 。
7.4 防火墙的类型
? 大多数防火墙都可以实现上述所讨论的功能,
在实际使用中的防火墙以其实现形式可以分
为以下四种类型:
l 嵌入式防火墙
l 软件防火墙
l 硬件防火墙
l 应用程序防火墙
7.4.1 嵌入式防火墙
? 当防火墙功能被集成到路由器或者交换机上
时, 这种防火墙称为嵌入式 ( embedded) 防
火墙 。
? 其通常只对分组信息进行 IP级的检查, 可获
得较高的性能, 易于实现并有较好的性价比 。
7.4.2 软件防火墙
? 软件防火墙又分有两种类型,
1,一是企业级软件防火墙, 其用于大型网络上
并执行路由选择功能 。
2,另一种是 SOHO(Small Office Home Office)
级 。 软件防火墙通常会提供全面的防火墙功
能,
? 基于服务器的防火墙实际上是在操作系统之
上运行的应用程序 。 其系统平台有 Unix、
Linux以及 Windows NT,2000,XP和,NET等 。
7.4.3 硬件防火墙
? 因为硬件路由器也要使用软件, 所以将硬件防火墙又
称为设备防火墙 。 其设计成一种总体系统, 不需要复
杂的安装或配臵就可以提供防火墙功能 。 硬件防火墙
与软件防火墙相似, 可以针对企业应用市场来设计,
也可以针对 SOHO环境 。
? 基于设备的防火墙也为集成解决方案, 是指运行在专
用的硬件和软件上的防火墙产品 。 如 Cisco PIX防火
墙就属于这种集成设备, 其整个系统不能实现除防火
墙之外的其他任何功能, 并且也没有硬盘或服务器的
其他常规组件 。 由于它的集成性和专用性, 其速度,
稳定性和安全性方面都比基于服务器的防火墙更好 。
但基于服务器的防火墙会提供一些额外的配臵和支持
选项, 并且价格比集成解决方案要便宜 。
7.4.4 应用程序防火墙
? 应用程序防火墙经常是作为现有硬件或软件防
火墙的组件实现的 。 它们的主要目的是提供一
种复杂的内容过滤层次, 用来对应用层传输的
数据进行过滤 。
? 随着防火墙功能的提高, 对于数据的过滤已经
越来越多地集中到了应用层, 应用程序防火墙
的针对性也越来越强 。
硬件防火墙 软硬件结合防火墙 软件防火墙
?用专用芯片处理数据包,CPU
只作管理之用。
?使用专用的操作系统平台,
避免了通用性操作系统的安全
性漏洞。
? 高带宽,高吞吐量,真正线
速防火墙。即实际带宽与理论
值可以达到一致
? 安全与速度同时兼顾。没有
用户限制。
? 性价比高。
? 管理简单,快捷。
? 识别方法,
产品外观为硬件机箱形,此类
防火墙一般不会对外公布其
CPU或 RAM等硬件水平,核心为
硬件芯片。
? 典型产品,
NetScreen系列防火墙
?机箱 +CPU+防火墙软件集成于一体
( PC BOX 结构),市面上大部分声称
,硬件, 防火墙的产品都采用这种结
构。
? 采用专用或通用操作系统。
?核心技术仍然为软件,容易造成网络
带宽瓶颈。
?只能满足中低带宽要求,吞吐量不高
。通常带宽只能达到理论值的 20%--
70%。中低流量时可满足一定的安全要
求,在高流量环境下会造成堵塞甚至
系统崩溃。
? 性价比不高。
? 管理比较方便。
? 识别方法,
产品外观为硬件机箱形,此类防火墙一
般会对外强调其 CPU与 RAM等硬件水平
。
? 典型产品,
Cisco PIX防火墙
清华紫光防火墙
? 运行在通用操作系统上的能安
全控制存取访问的软件,性能依
靠于计算机 CPU,内存等。
? 基于通用操作系统(
WinNT,SUN Solaris,SCO UNIX等
),对底层操作系统的安全依赖
性很高。
?由于操作系统平台的限制,极易
造成网络带宽瓶颈。因此,实际
所能达到的带宽通常只有理论值
的 20%--70%。可以满足低带宽低
流量环境下的安全需要,高速环
境下容易造成系统崩溃。
? 有用户限制,一般需要按用户
数购买,性价比极低。
? 管理复杂,与系统有关,要求
维护人员必须熟悉各种工作站及
操作系统的安装及维护。
? 识别方法,
此类防火墙一般都有严格的系统
硬件与操作系统要求,产品为软件
? 典型产品,
Check Point
Net Eyes
7.4.5选择防火墙需要综合考虑的问题
1,防火墙管理的难易度
? 一般企业很少以现有的网络设备直接当作防火
墙, 如包过滤可直接放在路由器上, 但其并不
能达到完全的控制 。
? 设定工作困难, 须要具备完整的知识 。
? 嵌入式防火墙不易排错, 是一般企业不愿意使
用的主要原因 。
7.4.5选择防火墙需要综合考虑的问题
2,防火墙自身的安全性
? 大多数人在选择防火墙时都将注意力放在防火墙如何
控制连接以及防火墙支持多少种服务, 但往往忽略了
一点, 防火墙也是网络上的主机之一, 也可能存在安
全问题, 防火墙如果不能确保自身安全, 则防火墙的
控制功能再强, 也终究不能完全保护内部网络 。
? 在防火墙上除了执行防火墙软件外, 所有的程序, 系
统核心, 也大多来自于操作系统本身的原有程序 。
? 当防火墙所执行的软件出现安全漏洞时, 防火墙本身
也将受到威胁 。 此时, 任何的防火墙控制机制都可能
失效 。
? 当黑客取得了防火墙上的控制权以后, 其可为所欲为
地修改防火墙上的访问规则, 进而侵入更多的系统 。
因此防火墙自身应有相当高的安全保护 。
7.4.5选择防火墙需要综合考虑的问题
3,防火墙应该是企业整体网络的保护者, 并能弥补其它
操作系统的不足, 使操作系统的安全性不会对企业网
络的整体安全造成影响 。
4,防火墙应该能够支持多种平台 。
5,防火墙应向使用者提供完整的安全检查功能, 但防火
墙并不能有效地杜绝所有的恶意封包, 想要达到真正
的安全仍然需要内部人员不断记录, 改进, 追踪 。
6,防火墙不但应该具备包括检查, 认证, 警告, 记录的
功能, 并且能够为使用者可能遇到的困境, 事先提出
解决方案, 如 IP不足形成的 IP转换的问题, 信息加密
/解密的问题, 大企业要求能够透过 Internet集中管
理的问题等, 这也是选择防火墙时必须考虑的问题 。
7,没有一个防火墙的设计能够适用于所有的环境, 所以
建议选择防火墙时, 还应根据站点的特点来选择合适
的防火墙 。
习题 7
1 防火墙的任务是什么?
2 状态检测防火墙的技术特点是什么?
3 简述双宿堡垒主机防火墙与屏蔽子网防火
墙的主要区别?
4 防火墙从实现形式上有几种? 各自的特点
如何?
总复习
? 基本概念
1,网络安全涉及的领域?
2,信息安全要解决的问题是?
3,威胁的具体表现形式有?
4,被动攻击和主动攻击的具体内容?
5,网络安全技术的研究内容?
6,可信计算机系统评价准则及等级 。
7,非对称加密和对称加密正确的描述?
8,身份认证的方法有哪几种?
9,单钥体制和双钥体制的特点?
总复习
9,网络病毒的特点?
10,安全服务的内容是?
11,网络安全体系中哪一层涉及到用户的识别, 认证和
数字签名等问题?
12,SA的基本组合方式有几种?
13,数据包过滤技术是在哪一层对数据包进行分析和选
择?
14,防火墙体系结构通常分为哪四类?
15,安全问题的实质是什么?
16,善意的网络入侵者称为?
17,状态检测是对什么功能的扩展?
总复习
18,认证系统的两项技术?
19,包过滤防火墙的优点为?
20,防火墙以其实现形式可以分为哪四种?
总复习
? 简答题
1,IPSec协议提供的服务和关联模式有哪些?
2,防火墙的任务?
3,你所知道的网络防病毒工具 /网络安全工具有
哪些? 其各自的区别 /用处何在?
4,VPN的作用和技术特点?