電子商務(wù)的安全技術(shù)第5章匯編

第5章防火墻的構(gòu)造與選擇15.1防火墻概述5.2防火墻的原理5.3防火墻的選擇和使用5.4分布式防火墻技術(shù)25.1防火墻概述5.1.1防火墻的概念5.1.2防火墻設(shè)計的基本原則

3

5.1.1防火墻的概念

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道或一組執(zhí)行控制策略的防御系統(tǒng)。它對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進行檢查，以決定通信是否被允許，對外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運行狀況，并提供單一的安全和審計的安裝控制點，從而達到保護內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問和過濾不良信息目的。5.1防火墻概述45.1防火墻概述5.1.2防火墻設(shè)計的基本原則防火墻的姿態(tài)機構(gòu)的整體安全策略防火墻的費用防火墻的基本構(gòu)件和拓撲結(jié)構(gòu)防火墻的維護和管理方案

55.2防火墻的原理

5.2.1防火墻設(shè)計的基本準則5.2.2防火墻的組成5.2.3防火墻不能對付的安全威脅5.2.4防火墻的分類65.2.1防火墻設(shè)計的基本準則一切未被允許的就是禁止的。

如果防火墻采取第一個準則，那么需要確定所有可以被提供的服務(wù)以及它們的安全性，然后，開放這些服務(wù)，并將所有其他未被列入的服務(wù)排除在外，禁止訪問。優(yōu)點是可以造成一種十分安全的環(huán)境，其缺點在于用戶所能使用的服務(wù)范圍受到很大限制。一切未被禁止的就是允許的。 如果防火墻采取第二個準則，需要確定那些被認為是不安全的服務(wù)，禁止其訪問；而其他服務(wù)則被認為是安全的，允許訪問。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，可以為用戶提供更多的服務(wù)，其缺點在于很難提供可靠的安全防護。

5.2防火墻的原理75.2.2防火墻的組成

5.2防火墻的原理E-mail處理域名服務(wù)網(wǎng)關(guān)代理認證SOCKS過濾器因特網(wǎng)Internet內(nèi)部網(wǎng)Intranet安全操作系統(tǒng)E-mail域名詢問高級協(xié)議訪問IP級數(shù)據(jù)

防火墻主要包括五部分:安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名服務(wù)和E-mail處理。

81安全操作系統(tǒng)

防火墻本身必須建立在安全操作系統(tǒng)所提供的安全環(huán)境中,安全操作系統(tǒng)可以保護防火墻的代碼和文件免遭入侵者攻擊。這些防火墻的代碼只允許在給定的主機系統(tǒng)上執(zhí)行，這種限制可以減少非法穿越防火墻的可能性。2過濾器

防火墻的主要目的是控制數(shù)據(jù)包,只允許合法流通過，它要對專用網(wǎng)和Internet之間傳送的每一數(shù)據(jù)組進行干預(yù)。過濾器則執(zhí)行由防火墻管理機構(gòu)制定的一組規(guī)則，檢驗各數(shù)據(jù)組，決定是否允許放行。這些規(guī)則按IP地址、端口號碼和各類應(yīng)用等參數(shù)確定。5.2防火墻的原理95.2防火墻的原理3網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)(ApplicationGateway)可以在TCP/IP應(yīng)用級上控制信息流和認證用戶。應(yīng)用網(wǎng)關(guān)的功能常常由代理服務(wù)器提供。在專用網(wǎng)中的一個用戶聯(lián)機到一個代理服務(wù)器，代理服務(wù)器對用戶認證，而后使用戶和Internet中遠端服務(wù)器聯(lián)機。 SOCKS（套接層）服務(wù)器也對通過防火墻提供網(wǎng)關(guān)支持，代理服務(wù)器和SOCKS服務(wù)器之間的主要差別是前者要求改變用戶接入Internet服務(wù)器的方式，但不需要修正客戶機的軟件；而后者則相反。4域名服務(wù)和函件處理 防火墻還可能包括有域名服務(wù)和函件處理。域名服務(wù)使專用網(wǎng)的域名與Internet相隔離，專用網(wǎng)中主機的內(nèi)部IP地址不至于暴露給Internet中的用戶。函件處理能力保證專用網(wǎng)中用戶和Internet用戶之間的任何函件交換都必須經(jīng)過防火墻處理。105.2防火墻的原理5.2.3防火墻不能對付的安全威脅1防火墻不能防范來自內(nèi)部的攻擊2防火墻不能防范不經(jīng)由防火墻的攻擊3防火墻不能防止受到病毒感染的軟件或文件的傳輸4防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊

115.2防火墻的原理

5.2.4防火墻的分類1包過濾型防火墻是最簡單的防火墻。它的處理對象IP包,其功能是處理通過網(wǎng)絡(luò)的IP包的信息,實現(xiàn)進出網(wǎng)絡(luò)的安全控制。應(yīng)用數(shù)據(jù)包過濾（packetfiltering）技術(shù)在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，只有通過檢查的IP包才能正常轉(zhuǎn)發(fā)出去。其選擇的依據(jù)是訪問控制表ACL（AccessControlList），通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或通過檢查它們的組合來決定是否允許該數(shù)據(jù)包通過。實現(xiàn)原理如圖所示。12

5.2防火墻的原理包過濾型防火墻的優(yōu)缺點優(yōu)點：邏輯簡單，價格便宜，易于安裝和使用網(wǎng)絡(luò)性能和透明性好。缺點：數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，易被竊聽或假冒，形成各種安全漏洞。大多過濾器中過濾規(guī)則的數(shù)目有限制，且隨著規(guī)則數(shù)目的增加，性能受影響。包過濾的規(guī)則可能比較復(fù)雜，且不易驗證其正確性。由于缺少上下文關(guān)聯(lián)信息，不能有效過濾某些協(xié)議。大多不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。大多對安全管理人員素質(zhì)要求高13

5.2防火墻的原理2應(yīng)用網(wǎng)關(guān)型防火墻應(yīng)用級網(wǎng)關(guān)（ApplicationLevelGateways）是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。實際中的應(yīng)用網(wǎng)關(guān)通常裝在專用工作站系統(tǒng)上，其實現(xiàn)原理如圖所示。145.2防火墻的原理3代理服務(wù)型防火墻代理服務(wù)型防火墻是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信線路分為兩段。

代理服務(wù)器代理客戶機器客戶機服務(wù)器請求轉(zhuǎn)發(fā)應(yīng)答應(yīng)答防火墻代理轉(zhuǎn)發(fā)請求間代理獲得客戶機和服務(wù)器之間通信的全部控制權(quán)155.2防火墻的原理代理服務(wù)型防火墻的優(yōu)缺點優(yōu)點：最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進行過濾。缺點：最大缺點就是速度相對比較慢，當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，代理防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。大多是基于主機的，價格比較貴，安裝和使用比數(shù)據(jù)包過濾的防火墻復(fù)雜。165.3防火墻的選擇和使用

5.3.1防火墻的選擇原則

5.3.2防火墻產(chǎn)品的分類

5.3.3防火墻產(chǎn)品的介紹175.3.1防火墻的選擇原則網(wǎng)絡(luò)的安全性主要是指網(wǎng)絡(luò)信息的安全性和網(wǎng)絡(luò)路由的安全性。網(wǎng)絡(luò)路由的安全性保障了網(wǎng)絡(luò)信息的安全性，而網(wǎng)絡(luò)路由的安全性通?？捎煞阑饓崿F(xiàn)。所以選擇防火墻首先要確定網(wǎng)絡(luò)信息的保護策略，然后對防火墻進行評價、分析，最后決定采用什么樣的防火墻。

1要考慮網(wǎng)絡(luò)結(jié)構(gòu)2要考慮到業(yè)務(wù)應(yīng)用系統(tǒng)需求3要考慮用戶及通信流量規(guī)模方面的需求4要考慮到可靠性、可用性、易用性等方面的需求5.3防火墻的選擇和使用18

5.3.2防火墻產(chǎn)品的分類按組成結(jié)構(gòu)而言，將防火墻產(chǎn)品分為以下三種：軟件防火墻軟件防火墻運行于特定的計算機上，它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。

硬件防火墻硬件防火墻是指所謂的硬件防火墻。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)。

芯片級防火墻

基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。

5.3防火墻的選擇和使用

195.3.3防火墻產(chǎn)品的介紹1CheckpointFirewall-1防火墻2SonicWALL系列防火墻3NetScreen防火墻4AlkatelInternetDevices系列防火墻5北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻6NAIGauntlet防火墻7CiscoPIX防火墻5.3防火墻的選擇和使用

20CheckpointFirewall-1防火墻是一個綜合的、模塊化的安全套件，它是一個基于策略的解決方案。CPFirewall-1套件提供單一的、集中的分布式安全策略，跨越Unix、NT、路由器、交換機和其他外圍設(shè)備，提供大量的API，有100多個解決方案和OEM廠商的支持。由3個交互操作的組件構(gòu)成：控制組件、加強組件和可選組件。這些組件既可以運行在單機上，也可以部署在跨平臺系統(tǒng)上。操作在操作系統(tǒng)的核心層進行，而不是在應(yīng)用程序?qū)?，這樣可以使系統(tǒng)達到最高性能的擴展和升級。支持基于Web的多媒體和基于UDP的應(yīng)用程序，并采用多重驗證模板和方法。支持幾乎所有平臺，但價格偏高。5.3防火墻的選擇和使用21SonicWALL系列防火墻SonicWALL系列防火墻是在NASDAQ上市的美國SONICWALL公司的著名網(wǎng)絡(luò)安全產(chǎn)品，是目前全球銷量最大的硬件防火墻和市場占有率最高的硬件VPN產(chǎn)品。SonicWALL采用軟硬件一體化設(shè)計，在高性能硬件平臺上，利用先進的防火墻技術(shù)和SonicWALL專有的安全高效的實時操作系統(tǒng)。采用世界領(lǐng)先的加密算法、身份認證技術(shù)以及網(wǎng)絡(luò)防病毒技術(shù)，是一個強大的，集應(yīng)用級防火墻、入侵報警、內(nèi)容過濾、VPN、網(wǎng)絡(luò)防病毒等多種安全策略為一體的，穩(wěn)定可靠的高性能網(wǎng)絡(luò)安全系統(tǒng)。具有優(yōu)秀的性價比。5.3防火墻的選擇和使用

22NetScreen

防火墻是NetScreen科技公司推出的一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品，具有Trusted（可信端口）、Untrusted（非信任端口）、Optional（可選端口）三個J-45網(wǎng)絡(luò)接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快閃存儲器。優(yōu)勢之一是采用了新的體系結(jié)構(gòu)，可以有效地消除傳統(tǒng)防火墻實現(xiàn)數(shù)據(jù)加盟時的性能瓶頸，能實現(xiàn)最高級別的IP安全保護。在執(zhí)行效率和帶寬處理的能力上性能優(yōu)越。

AlkatelInternetDevices系列防火墻采用獨有的ASIC設(shè)計和基于Intel的FreeBSDUnix平臺，使用簡單易行，配置簡單。率先提供了100MB的吞吐能力和無用戶數(shù)限制，并支持64000個并發(fā)會話，有效地消除了軟件防火墻的性能瓶頸，達到了安全和性能的統(tǒng)一。5.3防火墻的選擇和使用

23北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻是我國第一套自主版權(quán)的防火墻系統(tǒng)，目前在我國電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。其中，防火墻由多個模塊組成，包括包過濾、應(yīng)用代理、NAT、VPN、防攻擊等功能模塊，各模塊可分離、裁剪和升級，以滿足不同用戶的需求。在體系結(jié)構(gòu)上，網(wǎng)絡(luò)衛(wèi)士采用了集中控制下的分布式客戶機/服務(wù)器結(jié)構(gòu)，性能好、配置靈活。采用了領(lǐng)先一步的SSN（安全服務(wù)器網(wǎng)絡(luò)）技術(shù)，安全性高于其他防火墻普遍采用的DMZ（隔離區(qū)）技術(shù)。NAIGauntlet防火墻使用完全的代理服務(wù)方式提供廣泛的協(xié)議支持以及高速的吞吐能力，很好地解決了安全、性能及靈活性之間的協(xié)調(diào)問題。Gauntlet防火墻的新型自適應(yīng)代理技術(shù)還允許單個安全產(chǎn)品，如安全脆弱性掃描器、病毒安全掃描器和入侵防護傳感器之間實現(xiàn)更加靈活的集成。5.3防火墻的選擇和使用

24CiscoPIX防火墻是最具代表性的硬件防火墻，屬狀態(tài)檢測型。由于它采用了自有的實時嵌入式操作系統(tǒng)，因此減少了黑客利用操作系統(tǒng)BUG攻擊的可能性。就性能而言，CiscoPIX是同類硬件防火墻產(chǎn)品中最好的，對100BaseT可達線速。但是，其優(yōu)勢在軟件防火墻面前便不呈現(xiàn)不明顯了。其缺陷主要有三：其一價格昂貴，其二升級困難，其三是管理煩瑣復(fù)雜。5.3防火墻的選擇和使用

255.4分布式防火墻技術(shù)

5.4.1分布式防火墻的產(chǎn)生5.4.2傳統(tǒng)邊界式防火墻的固有欠缺5.4.3分布式防火墻的主要特點5.4.4分布式防火墻的主要優(yōu)勢5.4.5分布式防火墻的基本原理5.4.6分布式防火墻的主要功能

265.4.1分布式防火墻的產(chǎn)生

傳統(tǒng)意義上的邊界防火墻用于限制被保護企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）之間相互進行信息存取、傳遞操作。分布式防火墻是一種主機駐留式的安全系統(tǒng)，用以保護企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為“不友好的”。分布式防火墻克服了操作系統(tǒng)所具有的已知及未知的安全漏洞，如DoS(拒絕服務(wù))、應(yīng)用及口令攻擊。從而使操作系統(tǒng)得到強化。分布式防火墻對每個服務(wù)器都能進行專門的保護。5.4分布式防火墻技術(shù)27

5.4.2傳統(tǒng)邊界式防火墻的固有欠缺

網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制內(nèi)部安全隱患仍在效率較低和故障率高5.4分布式防火墻技術(shù)28

5.4.3分布式防火墻的主要特點主機駐留嵌入操作系統(tǒng)內(nèi)核類似于個人防火墻適用于服務(wù)器托管5.4分布式防火墻技術(shù)295.4.4分布式防火墻的主要優(yōu)勢更強的