防火墻技術(shù)的研究終極版.doc

1931 本科畢業(yè)論文(設(shè)計(jì)) 論文名稱：論文名稱：防火墻技術(shù)的研究 姓姓 名名: 曾燦 學(xué)學(xué) 號(hào)號(hào): 0850310031 年年 級(jí)級(jí): 08 教育方向 院院 系系: 計(jì)算機(jī)學(xué)院 專專 業(yè)業(yè) 名名 稱稱: 計(jì)算機(jī)科學(xué)與技術(shù) 指指導(dǎo)導(dǎo)教教師師姓姓名名 : 陸宗躍 指指導(dǎo)導(dǎo)教教師師職職稱稱 : 副教授 二 0 一二 年 五 月 原原 創(chuàng)創(chuàng) 性性 說說 明明 本人的畢業(yè)論文（設(shè)計(jì)）無抄襲、剽竊現(xiàn)象。本人熟知學(xué)校對(duì)畢業(yè)論文 （設(shè)計(jì)）抄襲、剽竊現(xiàn)象按作弊處理，對(duì)已畢業(yè)的學(xué)生，學(xué)校將追回畢業(yè)證和 學(xué)位證書。如本人畢業(yè)論文（設(shè)計(jì)）有以上的違紀(jì)現(xiàn)象，所造成的知識(shí)產(chǎn)權(quán)等 糾紛，一切后果由本人承擔(dān)。 承諾人：曾燦 時(shí)間：2012 年 5 月 18 日 摘要摘要: : 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增 加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴(kuò)大。網(wǎng)絡(luò)安全產(chǎn)品也被人們重 視起來。防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)安全產(chǎn)品和使用量最大的安全產(chǎn)品，也受 到用戶和研發(fā)機(jī)構(gòu)的青睞。防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng) 絡(luò)安全的技術(shù)性措施。防火墻實(shí)際上是一種訪問控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò) 和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問, 也可以使用防火 墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。換言之，防火墻是一道門檻, 控 制進(jìn)出兩個(gè)方向的通信。本文講述了防火墻的概念，介紹了防火墻的原理、類 型、功能等，然后分析了現(xiàn)階段防火墻技術(shù)及其不足和防火墻的技術(shù)的最新發(fā) 展趨勢(shì)。 關(guān)鍵詞：關(guān)鍵詞：網(wǎng)絡(luò)，安全，包過濾 Abstract: With the development of computer network, the number of Internet constantly increasing, online resources will continue to increase, the network openness, sharing, the interconnection degree is as expanding. Network security products also taken seriously by people up. Firewall as the earliest network security products and usage of the biggest security products, also by users, and the research and development institutions favored. Firewall technology is a recently developed to protect computer network security of technical measures. Firewall is actually a kind of access control technology, the network at an institution and unsafe network up barriers, stop between illegal access to information resources, also can use a firewall to prevent confidential information from protected by illegal output on the network. In other words, a firewall is a threshold, two directions of the communication and control. This article describes the concept of a firewall on the principle of a firewall, type, function, and then analyzed at this stage and the lack of firewall technology and the latest firewall technology trends. Key words：network，security ，Packet filtering 目目 錄錄 第一章 引言1 第二章 防火墻的概述2 2.1 防火墻的概念.2 2.1.1 傳統(tǒng)防火墻的發(fā)展史2 2.1.2 智能防火墻的簡述3 2.2 防火墻的功能.4 2.2.1 防火墻的主要功能.4 2.2.2 入侵檢測(cè)功能.5 2.2.3 虛擬專網(wǎng)功能.6 第三章 防火墻的原理及分類.7 3.1 防火墻的工作原理.7 3.1.1 包過濾防火墻.7 3.1.2 應(yīng)用級(jí)代理防火墻.8 3.1.3 代理服務(wù)型防火墻.8 3.1.4 復(fù)合型防火墻.9 3.2 防火墻的分類.9 3.2.1 從軟、硬件形式分類.9 3.3 防火墻包過濾技術(shù).13 3.3.1 概念.13 3.3.2 數(shù)據(jù)表結(jié)構(gòu).13 3.3.3 靜態(tài)包過濾和動(dòng)態(tài)包過濾.14 3.4 過濾規(guī)則制訂15 3.4.1 與服務(wù)相關(guān)的過濾15 3.4.2 與服務(wù)無關(guān)的過濾.16 3.4.3 基于網(wǎng)絡(luò) IP 和 MAc 地址綁定的包過濾.16 第四章 防火墻的配置17 4.1 防火墻的基本配置原則.17 4.2 防火墻的配置實(shí)例.18 第五章 防火墻的發(fā)展趨勢(shì).23 5.1 防火墻的技術(shù)發(fā)展趨勢(shì).23 5.2 防火墻體系結(jié)構(gòu)發(fā)展趨勢(shì).24 5.3 防火墻系統(tǒng)管理發(fā)展趨勢(shì).25 第六章 結(jié)論26 參考文獻(xiàn)27 致謝.28 第一章第一章 引言引言 隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是 Internet 的廣泛使用，使計(jì)算機(jī)應(yīng)用更 加廣泛與深入。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易 受到攻擊的一面。據(jù)美國 FBI 統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損 失高達(dá) 75 億美元，而全球平均每 20 秒鐘就發(fā)生一起 Internet 計(jì)算機(jī)侵入事件。 在我國，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們 在利用網(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問題也決不能忽視。如何建立比較安 全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。 為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù)。防 火墻具有很強(qiáng)的實(shí)用性和針對(duì)性，它為個(gè)人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解 決方案，可以有效地控制個(gè)人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù) 自己的需要，通過設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流 阻止惡性信息對(duì)本機(jī)的攻擊，比如 ICMP flood 攻擊、聊天室炸彈、木馬信息破 譯并修改郵件密碼等等。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的 訪問，使計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威 脅。防火墻可以保護(hù)人們?cè)诰W(wǎng)上瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防范網(wǎng)絡(luò)黑客的 侵襲，還可以根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互 聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火墻可以有效地阻截各種惡意攻擊、保 護(hù)信息的安全;信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延;郵件 內(nèi)容檢測(cè)可以實(shí)時(shí)監(jiān)視郵件系統(tǒng)，阻擋一切針對(duì)硬盤的惡意活動(dòng)。 本文根據(jù)課題的要求，講述了防火墻的概念，介紹了防火墻的原理、類型、 功能等，然后分析了防火墻技術(shù)及其不足和防火墻的技術(shù)的最新發(fā)展趨勢(shì)。并 介紹了怎么預(yù)防黑客入侵內(nèi)部網(wǎng)絡(luò)內(nèi)容一些方法。讓讀者真正的了解其重要性 并學(xué)會(huì)使用它，以免受被攻擊之苦。 第二章第二章 防火墻的概述防火墻的概述 隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類 重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng) 絡(luò)安全問題越來越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳 播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為 一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作 為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。 2.12.1 防火墻的概念防火墻的概念 防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可 預(yù)測(cè)的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或 網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、 監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服 務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò) 和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是 一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部 網(wǎng)絡(luò)的安全。 .1 傳統(tǒng)防火墻的發(fā)展史傳統(tǒng)防火墻的發(fā)展史 目前的防火墻技術(shù)無論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā) 展歷程。 1.第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（Packet filter）技術(shù)。 2.第二代、第三代防火墻 1989 年，貝爾實(shí)驗(yàn)室的 Dave Presotto 和 Howard Trickey 推出了第二代 防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻應(yīng)用層防火墻（代理 防火墻）的初步結(jié)構(gòu)。 3.第四代防火墻 1992 年，USC 信息科學(xué)院的 BobBraden 開發(fā)出了基于動(dòng)態(tài)包過濾（Dynamic packet filter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視 （Stateful inspection）技術(shù)。1994 年，以色列的 CheckPoint 公司開發(fā)出了 第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。 4.第五代防火墻 1998 年，NAI 公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在 其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全 新的意義，可以稱之為第五代防火墻。 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。目前網(wǎng)絡(luò)安全的 三大主要問題是:以拒絕訪問(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主 要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問 題占據(jù)網(wǎng)絡(luò)安全問題九成以上。而這三大問題，傳統(tǒng)防火墻都無能為力。主要 有以下三個(gè)原因: 一是傳統(tǒng)防火墻的計(jì)算能力的限制。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代 價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪問控制機(jī)制是一 個(gè)簡單的過濾機(jī)制。它是一個(gè)簡單的條件過濾器，不具有智能功能，無法檢測(cè) 復(fù)雜的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識(shí)別善意和惡意的行為。該特征決定 了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解 決上面的問題。 .2 智能防火墻的簡述智能防火墻的簡述 智能防火墻是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用 統(tǒng)計(jì)、記憶、概率和決策的智能方法來對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問控制的目 的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的 特征值，直接進(jìn)行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因 此，又稱為智能防火墻。 2.22.2 防火墻的功能防火墻的功能 從防火墻的功能來說，主要包含以下幾個(gè)方面：訪問控制，如應(yīng)用 ACL 進(jìn) 行訪問控制、 NAT; VPN ;路由、認(rèn)證和加密、日志記錄、管理、攻擊防范等。 防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其 在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特 定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問， 從而防止來自不明入侵者的所有通信。 .1 防火墻的主要功能防火墻的主要功能 1.包過濾。 包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來控制流出和流入網(wǎng)絡(luò)的 數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、 源端口、目的地址、目的端口、協(xié)議和時(shí)間;可根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。 2.地址轉(zhuǎn)換。 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。SNAT 用于對(duì)內(nèi)部 網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其 他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì)應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。DNAT 主 要用于外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)。 3.認(rèn)證和應(yīng)用代理。 認(rèn)證指防火墻對(duì)訪問網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證 數(shù)據(jù)庫;提供 HTTP、FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問控制;同 時(shí)支持 URL 過濾功能。 4.透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提 供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對(duì)專用 網(wǎng)絡(luò)的非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子 網(wǎng)之間的安全訪問。 .2 入侵檢測(cè)功能入侵檢測(cè)功能 入侵檢測(cè)技術(shù)就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)， 包括以下內(nèi)容: 1.反端口掃描。端口掃描就是指黑客通過遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn) 主機(jī)的哪些非常用端口是打開的;是否支持 FTP、Web 服務(wù);且 FTP 服務(wù)是否支持 “匿名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng) 絡(luò)的主機(jī)進(jìn)行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用 的方法有:關(guān)閉閑置和有潛在危險(xiǎn)的端口;檢查各端口，有端口掃描的癥狀時(shí)， 立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。 2.檢測(cè)拒絕服務(wù)攻擊。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請(qǐng)求來占用 過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，其攻擊方式有很多種; 而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生 的一類攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。其原理很簡單，就是利用更 多的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比 DoS 更大的規(guī)模(或者說以更高于受攻主機(jī)處 理能力的進(jìn)攻能力)來進(jìn)攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測(cè) Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多種 DOS/DDOS 攻擊。 3.檢測(cè)多種緩沖區(qū)溢出攻擊(Buffer Overflow)。緩沖區(qū)溢出(Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的 溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。 更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn) 行各種非法操作，防火墻設(shè)備可檢測(cè)對(duì) FTP、Telnet、SSH、RPC 和 SMTP 等服務(wù) 的遠(yuǎn)程堆棧溢出入侵。 4.檢測(cè) CGI/IIS 服務(wù)器入侵。CGI 就是 Common Gateway Interface 的 簡稱。是 World Wide Web 主機(jī)和 CGI 程序間傳輸資訊的定義。IIS 就是 Internet Information server 的簡稱，也就是微軟的 Internet 信息服務(wù)器。 防火墻設(shè)備可檢測(cè)包括針對(duì) Unicode、ASP 源碼泄漏、 PHF、NPH、pfdisPlay.cgi 等已知上百種的有安全隱患的 CGI/IIS 進(jìn)行的探測(cè) 和攻擊方式。 5.檢測(cè)后門、木馬及其網(wǎng)絡(luò)蠕蟲。后門程序是指采用某種方法定義出一個(gè) 特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打 開那個(gè)特殊的端口的程序。木馬程序的全稱是“特洛依木馬”，它們是指尋找 后門、竊取計(jì)算機(jī)的密碼的一類程序。網(wǎng)絡(luò)蠕蟲病毒分為兩類，一種是面向企 業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè) 互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“sql 蠕蟲王”為代表。另外一種是針對(duì)個(gè)人用戶的，通過網(wǎng)絡(luò)(主要是電子郵件，惡 意網(wǎng)頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。防火墻設(shè)備 可檢測(cè)試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測(cè)試圖穿透防火墻系 統(tǒng)的蠕蟲程序。 .3 虛擬專網(wǎng)功能虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò) 中傳播。VPN 的基本原理是通過 IP 包的封裝及加密、認(rèn)證等手段，從而達(dá)到安 全的目的。 防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息 交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。除去上述功能，防火墻還具有 以下功能： 1、管理進(jìn)、出網(wǎng)絡(luò)的訪問行為； 2、封堵某些禁止行為； 3、記錄通過防火墻的信息內(nèi)容和活動(dòng)； 4、IP 地址/MAC 地址綁定； 5、審計(jì)； 第三章第三章 防火墻的原理及分類防火墻的原理及分類 3.13.1 防火墻的工作原理防火墻的工作原理 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全事故在逐年增多，防火墻是一種行之有效的網(wǎng)絡(luò)安 全機(jī)制，它在網(wǎng)絡(luò)內(nèi)部和外部之間實(shí)施安全防范的系統(tǒng)。通過防火墻能夠定義一個(gè)接入訪 問控制要求并且保證僅當(dāng)流量或數(shù)據(jù)匹配這個(gè)要求的時(shí)候才能穿越防火墻或者接入被保 護(hù)的系統(tǒng)。從根本上說，防火墻偶能力執(zhí)行以下工作：管理和控制網(wǎng)絡(luò)流量；認(rèn)證接入； 擔(dān)當(dāng)中間媒介；保護(hù)資源；報(bào)告和記錄事件。 防火墻是一個(gè)訪問控制策略強(qiáng)制執(zhí)行點(diǎn)，而無論其設(shè)計(jì)和實(shí)施有多么復(fù)雜。 防火墻通過檢查所接收到的數(shù)據(jù)和跟蹤鏈接判定什么樣的數(shù)據(jù)應(yīng)該被允許，什 么樣的數(shù)據(jù)應(yīng)該被拒絕，另外，防火墻也可以作為對(duì)被保護(hù)主機(jī)發(fā)起的中間媒 介和代理，同時(shí)提夠了一套接入訪問認(rèn)證方法去更好的保證只有被許可的訪問 才能被允許接入。通過正確的實(shí)施和配置防火墻來升級(jí)安全策略去最小化威脅 所造成的風(fēng)險(xiǎn)。盡管防火墻不能阻止所有的攻擊，但是它仍然是保護(hù)資源的最 好方式之一，并且不可否認(rèn)的是，通過防火墻來保護(hù)資源肯定優(yōu)于不使用防火 墻，我們需要了解不同類型的防火墻安全策略和如何去構(gòu)建一個(gè)高效的安全策 略。 無可厚非，在配置防火墻之前最重要的事情便是選擇防火墻的放置位置。 一個(gè)周密有效的設(shè)計(jì)方案是成功保護(hù)網(wǎng)絡(luò)資源最重要的一步。對(duì)于放置的位置 選擇，通常是將防火墻放置在被保護(hù)網(wǎng)絡(luò)資源的前方會(huì)起到一定程度的保護(hù)作 用，但是如果通過詳細(xì)了解需要保護(hù)的資源的情況與防火墻的自身功能后進(jìn)行 方案設(shè)計(jì)及實(shí)施，將會(huì)更加全面地保護(hù)網(wǎng)絡(luò)不受侵害，更好的發(fā)揮防火墻在網(wǎng) 絡(luò)中的作用?？偠灾?，需要做預(yù)先的設(shè)計(jì)工作以使防火墻安置在能夠發(fā)揮其 效率并符合整體網(wǎng)絡(luò)策略的位置。 國際計(jì)算機(jī)安全委員會(huì) ICSA 將防火墻分成三大類:包過濾防火墻，應(yīng)用級(jí) 代理服務(wù)器以及狀態(tài)包檢測(cè)防火墻。 .1 包過濾防火墻包過濾防火墻 顧名思義，包過濾防火墻就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過濾 規(guī)則相比較，從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信息 的比較。包過濾防火墻工作在網(wǎng)絡(luò)層，IP 包的包頭中包含源、目的 IP 地址， 封裝協(xié)議類型(TCP，UDP，ICMP 或 IP Tunnel)，TCP/UDP 端口號(hào)，ICMP 消息類 型，TCP 包頭中的 ACK 等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則 數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包; 如果沒有匹配規(guī)則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻， 這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳 統(tǒng)路由器上就可以實(shí)現(xiàn)，對(duì)用戶來說都是透明的。但是它的安全程度較低，很 容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用 80 端口。如果公 司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置所有 80 端口的連 接通過，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私 有網(wǎng)絡(luò)。包過濾防火墻的維護(hù)比較困難，定義過濾規(guī)則也比較復(fù)雜，因?yàn)槿魏?一條過濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過濾防火墻一 般無法提供完善的日志。 .2 應(yīng)用級(jí)代理防火墻應(yīng)用級(jí)代理防火墻 應(yīng)用級(jí)代理技術(shù)通過在 OSI 的最高層檢查每一個(gè) IP 包，從而實(shí)現(xiàn)安全策略。 代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而 代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是 在防火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi) 建代理機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò) 外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管 理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于 代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程 序。比如訪問 WEB 站點(diǎn)的 HTTP，用于文件傳輸?shù)?FTP，用于 E 一 MAIL 的 SMTP/POP3 等等。如果某種應(yīng)用沒有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持 并且不能通過防火墻進(jìn)行轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同 時(shí)升級(jí)。 .3 代理服務(wù)型防火墻代理服務(wù)型防火墻 代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或 TCP 通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù) 包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越 防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”， 由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá) 代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù) 也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí) 會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外 部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí) 也常結(jié)合入過濾器的功能。它工作在 OSI 模型的最高層，掌握著應(yīng)用系統(tǒng)中可 用作安全決策的全部信息。 .4 復(fù)合型防火墻復(fù)合型防火墻 由于對(duì)更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法 結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī) 防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Internet 相連，同 時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則 的設(shè)置，使堡壘機(jī)成為 Internet 上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi) 部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一 個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過濾路由器放在這一子網(wǎng)的兩端，使這 一子網(wǎng)與 Internet 及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和 分組過濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。 3.23.2 防火墻的分類防火墻的分類 .1 從軟、硬件形式分類從軟、硬件形式分類 如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬 件防火墻以及芯片級(jí)防火墻。 1.軟件防火墻 軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作 系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。 軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以 使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于 Checkpoint。使用這 類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。 2.硬件防火墻。 這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二 字是針對(duì)芯片級(jí)防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。 目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于 PC 架構(gòu)，就 是說，它們和普通的家庭用的 PC 沒有太大區(qū)別。在這些 PC 架構(gòu)計(jì)算機(jī)上運(yùn)行 一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的 Unix、Linux 和 FreeBSD 系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因 此依然會(huì)受到 OS（操作系統(tǒng)）本身的安全性影響。 3.芯片級(jí)防火墻。 芯片級(jí)防火墻基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。專有的 ASIC 芯片促使 它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻 最出名的廠商有 NetScreen、FortiNet、Cisco 等。這類防火墻由于是專用 OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過價(jià)格相對(duì)比較高昂。 .2 從防火墻技術(shù)結(jié)構(gòu)分類從防火墻技術(shù)結(jié)構(gòu)分類 1.防火墻技術(shù)雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應(yīng)用 代理型”兩大類。前者以以色列的 Checkpoint 防火墻和美國 Cisco 公司的 PIX 防火墻為代表，后者以美國 NAI 公司的 Gauntlet 防火墻為代表。 （1）包過濾（Packet filtering）型。 包過濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用，是因?yàn)樗?不是針對(duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之 所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù) 是由路由器集成的；之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè) 安全要求。 在整個(gè)防火墻技術(shù)的發(fā)展過程中，包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為 “第一代靜態(tài)包過濾”和“第二代動(dòng)態(tài)包過濾”。 包過濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟?網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。但其弱點(diǎn)也是明顯的：過濾判別的依據(jù)只是 網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾 器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大 地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如 UDP、RPC（遠(yuǎn)程過程調(diào) 用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包 頭信息，而不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。對(duì)安 全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程 序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同 組成防火墻系統(tǒng)。 （2）應(yīng)用代理（Application Proxy）型。 應(yīng)用代理型防火墻是工作在 OSI 的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻 隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控 制應(yīng)用層通信流的作用。 在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個(gè)不同的版本：第一代 應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。 代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它 可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對(duì) 網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。 另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一 個(gè)專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服 務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī) 任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi) 部網(wǎng)。 代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞 吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑?墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序?yàn)閮?nèi)、外部 網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常 不會(huì)很明顯。 2、從防火墻結(jié)構(gòu)分 從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機(jī)防火墻、路由器集成式防火 墻和分布式防火墻三種。 單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò) 邊界。 這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多（如下圖），同樣包括 CPU、內(nèi) 存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與 一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡，因?yàn)?它需要連接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲(chǔ)防火墻所用的 基本程序，如包過濾程序和代理服務(wù)器程序等，有的防火墻還把日志記錄也記 錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的 PC 機(jī)一樣，因?yàn)樗?的工作性質(zhì)，決定了它要具備非常高的穩(wěn)定性、實(shí)用性，具備非常高的系統(tǒng)吞 吐性能。正因如此，看似與 PC 機(jī)差不多的配置，價(jià)格甚遠(yuǎn)。 隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高，原來作為單一主機(jī)的防火墻現(xiàn) 在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成 了防火墻功能，還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體，而是由多個(gè)軟、 硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。 原來單一主機(jī)的防火墻由于價(jià)格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得 起，為了降低企業(yè)網(wǎng)絡(luò)投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。 如 Cisco IOS 防火墻系列。但這種防火墻通常是較低級(jí)的包過濾型。這樣企業(yè) 就不用再同時(shí)購買路由器和防火墻，大大降低了網(wǎng)絡(luò)設(shè)備購買成本。 分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī)， 對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會(huì)安裝一個(gè)用于防火 墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的 PCI 防火墻卡 ， 這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就 可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可 信”的，都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣，僅對(duì)外部網(wǎng)絡(luò)發(fā)出的 通信請(qǐng)求“不信任”。 3.33.3 防火墻包過濾技術(shù)防火墻包過濾技術(shù) .1 概念概念 包過濾技術(shù)(Packet Filter)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)(見 圖 1)。它通過設(shè)備對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇的控制與操作。包過濾操作 通常在選擇路由的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行過濾(通常是對(duì)從互聯(lián)網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的包 進(jìn)行過濾)。用戶可以設(shè)定一系列的規(guī)則，指定允許哪些類型的數(shù)據(jù)包可以流入 或流出內(nèi)部網(wǎng)絡(luò)；哪些類型的數(shù)據(jù)包的傳輸應(yīng)該被攔截。包過濾技術(shù)是防火墻 的一項(xiàng)基本技術(shù)。它的優(yōu)點(diǎn)是簡單、方便、透明性好、對(duì)網(wǎng)絡(luò)性能影響不大。 但它的缺點(diǎn)是過濾規(guī)則的完備性難以得到檢驗(yàn)，復(fù)雜過濾規(guī)則的管理很困難。 圖 1 包過濾防火墻基本模型 .2 數(shù)據(jù)表結(jié)構(gòu)數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過每一 層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些 首部信息。TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報(bào)文段(TCP Segment);IP 傳給網(wǎng)絡(luò) 接口層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(bào)(IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q 作幀(Frame)。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。 IP，TCP 首部格式如表 2-1 表 2-2 所示。 表 2-1 IP 首部格式 版本首部長服務(wù)類型總 長 度 標(biāo)識(shí)標(biāo)志片偏移 生存時(shí)間協(xié)議首部校驗(yàn)和 源 IP 地址 目的 IP 地址 選項(xiàng) 表 2-2 TCP 首部格式 源端口號(hào)目的端口號(hào) 序列號(hào) 確認(rèn)號(hào) 首 部 長 保 留 U R G A C K P S H R S T S Y N F I N 窗口大小 TCP 校驗(yàn)和 緊急指針 選項(xiàng) 對(duì)于幀的頭部信息主要是源/目的主機(jī)的 MAC 地址;IP 數(shù)據(jù)報(bào)頭部信息主要 是源/目的主機(jī)的 IP 地址;TCP 頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn) 序號(hào)、狀態(tài)標(biāo)識(shí)等。 理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否 的依據(jù)，但是在實(shí)際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息， 以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并 盡可能提高安全控制力度。 .3 靜態(tài)包過濾和動(dòng)態(tài)包過濾靜態(tài)包過濾和動(dòng)態(tài)包過濾 靜態(tài)包過濾類型的防火墻根據(jù)預(yù)先定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以 便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行 制訂。報(bào)頭信息中包括 1P 源地址、IP 目標(biāo)地址、傳輸協(xié)議(TcP、uDP、lcMP 等 等)、TCPUDP 目標(biāo)端口、IcMP 消息類型等。包過濾類型的防火墻要遵循的一 條基本原則是“最小特權(quán)原則”，即明確允許某些數(shù)據(jù)包的通過，而禁止其他 的一切數(shù)據(jù)包。防火墻也可以采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法，即動(dòng)態(tài)包過濾。 這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測(cè)(state“Inspection)技術(shù)。采用這種技 術(shù)的防火墻對(duì)通過它所建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要?jiǎng)討B(tài)地增 加或更新過濾規(guī)則的條目。 3.43.4 過濾規(guī)則制訂過濾規(guī)則制訂 包過濾規(guī)則的制訂大體有兩種模式：1)基于關(guān)閉的，即缺省情況下阻斷所 有內(nèi)外互訪，個(gè)別開放單項(xiàng)服務(wù)；2)基于開放式的，即缺省情況下開放所有內(nèi) 外互訪，個(gè)別關(guān)閉單項(xiàng)服務(wù)。過濾是雙向的，路由器對(duì)于不同流向的數(shù)據(jù)包， 按不同的規(guī)則進(jìn)行匹配過濾，以決定是“拒絕”或“允許”。因此，總體過濾 規(guī)則是兩個(gè)方向的過濾規(guī)則的有機(jī)結(jié)合。 .1 與服務(wù)相關(guān)的過濾與服務(wù)相關(guān)的過濾 根據(jù)特定的服務(wù)，如 Ftp、Http、，Telnet 等等允許或拒絕流動(dòng)的數(shù)據(jù)包。 多數(shù)的服務(wù)都有已知的 TCP/UDP 端口號(hào)，例如，Telnet 服務(wù)的是 TCP 的 23 號(hào) 端口，SMTP 服務(wù)的是 TCP 的 25 號(hào)端口。為了阻塞所有進(jìn)入的 Telnet 連接，防 火墻只需簡單的丟棄所有 TCP 端口號(hào)等于 23 的數(shù)據(jù)包。為了將 Telnet 連接限 制到內(nèi)部的數(shù)臺(tái)機(jī)器上，必須拒絕所有 TCP 端口號(hào)等于 23 并且目標(biāo) IP 地址非 法的數(shù)據(jù)包。 一些典型的過濾規(guī)則包括： 允許進(jìn)入的 Telnet 會(huì)話與指定的內(nèi)部主機(jī)連接； 允許進(jìn)入的 FTP 會(huì)話與指定的內(nèi)部主機(jī)連接； -允許所有外出的 Telnet 會(huì)話； 允許所有外出的 FTTP 會(huì)話； 拒絕所有來自特定的外部主機(jī)的數(shù)據(jù)包。 .2 與服務(wù)無關(guān)的過濾與服務(wù)無關(guān)的過濾 有幾種類型的攻擊很難使用基本的包頭信息來識(shí)別，因?yàn)檫@幾種攻擊是與 服務(wù)無關(guān)的。因此過濾規(guī)則需要附加的信息。這些信息是通過審查特定的 IP 選 項(xiàng)、檢查特定段的內(nèi)容等等才能的到。下面列舉幾種典型攻擊類型并制訂相應(yīng) 的包過濾規(guī)則： (1)源 IP 地址欺騙攻擊(S0urce IP Address spo 曲 ngAttacks)。攻擊特點(diǎn) 是入侵者從外部傳輸個(gè)假裝是來自內(nèi)部主機(jī)的數(shù)據(jù)包，即數(shù)據(jù)包中所包含的 源 IP 地址為內(nèi)部網(wǎng)絡(luò)上的 IP 地址。這種攻擊對(duì)只使用源地址安全功能的系統(tǒng) 很奏效。在那樣的系統(tǒng)中，來自內(nèi)部的信任主機(jī)的數(shù)據(jù)包被接受，而來自其它 主機(jī)的數(shù)據(jù)包全部被丟棄。包過濾規(guī)則是，丟棄所有來自外部而源地址又是內(nèi) 部的數(shù)據(jù)包。 (2)源路由攻擊(source R0wing Attacks)。其特點(diǎn)是源站點(diǎn)指定了數(shù)據(jù)包 在 htemet 中所走的路線。其目的是為了旁路安全措施并使數(shù)據(jù)包到達(dá)的路徑不 可預(yù)料。包過濾規(guī)則是，丟棄所有包含源路由選項(xiàng)的數(shù)據(jù)包。 (3)極小數(shù)據(jù)段式攻擊(Tiny FrBgment Attacks)。攻擊特點(diǎn)是入侵者使用 了 IP 分段的特性，創(chuàng)建極小的分段并強(qiáng)行將 TCP 頭信息分成多個(gè)數(shù)據(jù)包段。目 的是為了繞過用戶定義的過濾規(guī)則。入侵者寄希望予包過濾器只檢查第一個(gè)分 段而放過其余的分段。對(duì)于這種類型攻擊包過濾規(guī)則是，丟棄協(xié)議類型為 TCP，IP Fr89mentoet 等于 1 的數(shù)據(jù)包。 .3 基于網(wǎng)絡(luò)基于網(wǎng)絡(luò) IPIP 和和 MAcMAc 地址綁定的包過濾地址綁定的包過濾 在網(wǎng)絡(luò)管理中 IP 地址盜用現(xiàn)象時(shí)有發(fā)生，這不僅影響網(wǎng)絡(luò)的正常使用，而 且當(dāng)被盜用的地址具有較高的權(quán)限時(shí)，可能會(huì)造成大量的經(jīng)濟(jì)損失，以及帶來 其他的安全隱患。把網(wǎng)絡(luò)接口的 IP 和 MAc 地址綁定起來，可以很好地解決這一 問題。因?yàn)槊繅K網(wǎng)卡具有唯一的一個(gè)標(biāo)識(shí)號(hào)碼，就是網(wǎng)卡的 MAC 地址，而每個(gè) MAc 地址也僅供唯一的一塊網(wǎng)卡使用。所以，通過 IPMAc 的綁定，在防火墻 內(nèi)部建立起 IP 地址同 MAc 地址一一對(duì)應(yīng)的關(guān)系之后，即使有人盜用 IP 地址發(fā) 送數(shù)據(jù)包，那些數(shù)據(jù)包也會(huì)因 IPMAc 地址不匹配而被過濾掉，從而使入侵企 圖遭到挫敗。 第四章第四章 防火墻的配置防火墻的配置 4.14.1 防火墻的基本配置原則防火墻的基本配置原則 默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的： 拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量 的一些類型。 允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。可論 證地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火 墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪 問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收 Email，你必須在 防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許 POP3 和 SMTP 的進(jìn)程。 在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考 慮，在防火墻的配置過程中需堅(jiān)持以下三個(gè)基本原則： 1. 簡單實(shí)用：對(duì)防火墻環(huán)境設(shè)計(jì)來講，首要的就是越簡單越好。其實(shí)這也 是任何事物的基本原則。越簡單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計(jì) 越簡單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也越可靠和 簡便。 每種產(chǎn)品在開發(fā)前都會(huì)有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí) 現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測(cè)產(chǎn)品主要針對(duì)網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是 隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來的主要功能之外或多或少地增加了一 些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測(cè)等功能，在入侵檢測(cè) 上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配 置時(shí)我們也可針對(duì)具體應(yīng)用環(huán)境進(jìn)行配置，不必要對(duì)每一功能都詳細(xì)配置，這 樣一則會(huì)大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全 漏洞，得不償失。 2. 全面深入：單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、 多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們 不要停留在幾個(gè)表面的防火墻語句上，而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體 系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。這方面可以體 現(xiàn)在兩個(gè)方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系， 即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御； 另一方面將入侵檢測(cè)、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層 安全體系。 3.內(nèi)外兼顧：防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中， 80%以上的威脅都來自內(nèi)部，所以我們要樹立防內(nèi)的觀念，從根本上改變過去那 種防外不防內(nèi)的傳統(tǒng)觀念。對(duì)內(nèi)部威脅可以采取其它安全措施，比如入侵檢測(cè)、 主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全 面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來說， 要做到這一點(diǎn)比較困難。 4.24.2 防火墻的配置實(shí)例防火墻的配置實(shí)例 實(shí)驗(yàn)場(chǎng)景實(shí)驗(yàn)場(chǎng)景 某公司是一個(gè)典型的中小企業(yè)，員工數(shù)量在 100 人左右，主要從事計(jì)算機(jī) 系統(tǒng)集成服務(wù)，分為市場(chǎng)部，財(cái)務(wù)部，銷售部，人力資源部，辦公室，網(wǎng)絡(luò)管 理部，工程部，網(wǎng)絡(luò)分成內(nèi)網(wǎng)外網(wǎng)。內(nèi)網(wǎng)經(jīng)常感染病毒，而且某些員工使用大 數(shù)據(jù)量下載也影響網(wǎng)絡(luò)正常工作，有時(shí)也發(fā)現(xiàn)來自外網(wǎng)黑客攻擊現(xiàn)象，同時(shí)公 司隨著業(yè)務(wù)發(fā)展考慮建立一個(gè) WEB 服務(wù)器用來對(duì)外發(fā)布信息。公司現(xiàn)決定部署 一臺(tái) Cisco PIX 515 防火墻。公司拓?fù)浣Y(jié)構(gòu)如下： 任務(wù)一、公司的規(guī)模并不是很大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如上圖，分為內(nèi)網(wǎng)、外網(wǎng)。 在滿足 內(nèi)網(wǎng)用戶快速訪問 Internet 的同時(shí)有效防止來自外網(wǎng)黑客攻擊；此外，公司隨 著業(yè)務(wù)的 發(fā)展也需要擴(kuò)大宣傳，市場(chǎng)部考慮建立電子營銷，所以希望建立一個(gè) Web 服務(wù)器用來對(duì)外 發(fā)布業(yè)務(wù)信息。網(wǎng)絡(luò)管理部門決定先上一臺(tái)防火墻，部署 在內(nèi)網(wǎng)和外網(wǎng)之間。配置 PIX 劃分內(nèi)網(wǎng)、外網(wǎng)及 DMZ 區(qū)域。 任務(wù)二、Cisco PIX 防火墻可以支持動(dòng)態(tài)路由模式、靜態(tài)路由模式、透明模 式和混合模式，公司總經(jīng)理王濤希望防火墻能夠支持公司網(wǎng)絡(luò)能夠在保障安全 的同時(shí)，網(wǎng)絡(luò)通信穩(wěn)定。配置 PIX 靜態(tài)路由。 任務(wù)三、公司的規(guī)模并不是很大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如上圖，分為內(nèi)網(wǎng)、外網(wǎng)。 在滿足內(nèi)網(wǎng)用戶快速訪問 INTERNET 的同時(shí)有效防止來自外網(wǎng)黑客攻擊；防止 洪水攻擊。 任務(wù)四、公司網(wǎng)絡(luò)經(jīng)常出現(xiàn)員工上網(wǎng)速度緩慢，網(wǎng)絡(luò)管理員張明查明后發(fā)現(xiàn) 有人經(jīng)常上 網(wǎng)打網(wǎng)絡(luò)游戲，或者從網(wǎng)絡(luò)上在線看電影，公司總經(jīng)理王濤為此要 求通過防火墻能夠根據(jù)部門分配 Internet 帶寬。通過配置防火墻對(duì)流量進(jìn)行 限制。 實(shí)施步驟實(shí)施步驟 任務(wù)一、配置 PIX 劃分內(nèi)網(wǎng)、外網(wǎng)及 DMZ 區(qū)域 #進(jìn)入特權(quán)用戶模式 pixfirewallenable pixfirewall# #進(jìn)入全局配置模式 pixfirewall# conf t #配置防火墻接口的名字（nameif ） ，并指定安全級(jí)別(security-level)。 pixfirewall(config)#int e0 pixfirewall(config-if)# nameif inside pixfirewall(config-if)# security-level 100 pixfirewall(config)#int e1 pixfirewall(config-if)# nameif dmz pixfirewall(config-if)# security-level 50 pixfirewall(config)#int e2 pixfirewall(config-if)# nameif outside pixfirewall(config-if)# security-level 0 security-leve 0 是外部端口 outside 的安全級(jí)別（0 安全級(jí)別最高） security-leve 100 是內(nèi)部端口 inside 的安全級(jí)別,如果中間還有以太口，則 security-leve 10 ，security-leve 20 等等命名，多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò)，一般情 況下增加一個(gè)以太口作為 dmz security-leve 50 是?；饏^(qū) dmz 的安全級(jí)別。 #配置內(nèi)外網(wǎng)卡的 IP 地址 pixfi