(精品)防火墙(2013年优秀毕业设计)

目 录摘 要IIIABSTRACTORIV引 言V第一章 防火墙技术的概论1.1 防火墙的概念1.2 防火墙的功能1.3 防火墙的特性1.4 防火墙技术的发展第二章 多层防火墙技术的研究背景2.1 多层防火墙技术的研究背景2.2 多层防火墙技术的概论第三章 多层防火墙系统的功能及其组成3.1 地址转换技术3.2 数据包过滤技术3.3 状态检测技术3.4 电路级网关技术3.5 应用代理网关技术第四章 状态检测技术概论4.1 状态检测技术的优点4.2 状态检测技术的原理4.3 状态检测技术的工作机制4.4 状态检测技术的新技术第五章 防火墙系统的设计5.1 防火墙的分层技术5.2 防火墙系统设计工具5.3 防火墙系统设计与实现5.3.1 系统概要设计5.3.2 基本功能5.3.3 增强功能5.3.4 系统详细设计5.3.5 功能实现的设计5.3.6 系统具体实现5.3.7 其他说明界面5.3.8 系统测试5.3.9 需要注意的几个问题5.3.10 系统维护和总结第六章 防火墙技术发展动态和趋势结 束 语致 谢参考文献附录：（程序源代码）摘 要黑客技术的提升和黑客工具的泛滥，造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击，或面临随时被攻击的危险。迫使大家不得不加强对自身电脑网络系统的安全防护，根据系统管理者设定的安全规则把守企业网络，提供强大的、应用选通、信息过滤、流量控制、网络侦听等功能。其他的诸如访问控制虚拟专网、身份认证、虚拟网桥、网络地址转换、提供完善的安全性设置，通过高性能的网络核心进行访问控制的功能我决定进一步来实现。系统采用了VB管理界面，通过直观、易用的界面管理强大、复杂的系统功能。界面全中文化，操作简单直接，真的是量身定做。从而大大减少了他们对企业的攻击。事实上，多层防火墙技术已经成为当今网络安全的主流策略。.关键字：防火墙、状态检测、多层防火墙、VB。ABSTRACTORWith the hacker of technology and hacker tool promotion , cause a large number of enterprise , organization , personal computer system suffer degree different invasion and attack, or face the danger attacked at any time. Force everybody to have to strengthen the safe protection of the network system of ones own computer, guard enterprises network according to the safety regulation that the system administrator establishes, offer the strong one , use strobe , information filtering , flow controlling , such functions as the network intercepts . A other one is it control VPN , identity authentication , virtual net bridge , network address change , offer perfect security establishment to visit, go on through high-performance network core function controlled to visit I is it is it realize to come further to determine. The system has adopted VB to manage interfaces , the systematic function strong in management , complicated through the ocular , apt to use interface. The interface hits culture completely, it is simple and direct to operate , really make to measure. Thus reduced their attack of enterprises greatly In fact,the protection of multiter firewalls have becomed the main ways Current online security.KEY WORDS: Firewall 、NPacket state check、Multitier firewall and VB. 引 言防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。它是隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，从而完成看似不可能的任务；仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。防火墙和家里的防盗门很相似，它们对普通人来说是一层安全防护，但是没有任何一种防火墙能提供绝对的保护。这就是为什么许多公司建立多层防火墙的原因，当黑客闯过一层防火墙后他只能获取一部分数据，其他的数据仍然被安全地保护在内部防火墙之后。总之，防火墙是增加计算机网络安全的手段之一，只要网络应用存在，防火墙就有其存在的价值。随着网络技术的快速发展和应用的日渐普及，黑客工具不仅变得越来越先进，而且也越来越容易被一般人获取和滥用。黑客技术的提升和黑客工具的泛滥，造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击，或面临随时被攻击的危险。这就迫使大家不得不加强对自身电脑网络系统的安全防护，甚至追求所谓彻底的、一劳永逸的、100%的网络安全解决方案。但是对攻防技术发展和网络安全实践的研究分析表明，单一的安全保护往往效果不理想，而最佳途径就是采用多层安全防护措施对信息系统进行全方位的保护。为了提高网络的安全性，我们此次就来研究多层防火墙系统。我们这里阐释的所谓“多层次防护”，就是应用和实施一个基于OSI网络参考模型的多层次安全系统的全面信息安全策略，在各个层次上部署相关的网络安全产品，结合了不同的防火墙安全策略和技术，例如地址翻译技术、数据包过滤技术、状态检测技术、电路级网关技术和应用级网关技术，来创建一个比单一防护有效得多的综合保护屏障，增加攻击者侵入所花费的时间、成本和所需要的资源，从而卓有成效地降低被攻击的危险，达到安全防护的目标。总的来说，我们所研究的多层防火墙系统功能强大，具有一些单一防火墙所不具有的功能，大大地提高的网络的安全性。事实上，多层次防护已经成为当今网络安全的主流策略。第一章 防火墙技术的概论Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃，大大提高了工作效率，丰富了人们的生活，弥补了人们的精神空缺；而与此同时给人们带来了一个日益严峻的问题网络安全。网络的安全性成为当今最热门的话题之一，很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展，防火墙也逐渐被大众所接受。下面我们一起来讨论一下防火墙的概念，以及防火墙的功能，并且讨论了每一种防火墙的特性及其发展。1.1 防火墙的概念防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。这里所说的防火墙是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。设计防火墙的目的就是不要让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络，如 LAN 或 WAN，而仍能允许本地网络上的你以及其他用户访问因特网服务。图1.1.1 显示了防火墙的基本目的。防火墙网关因特网过滤器过滤器内部局域网图1.1 防火墙的基本功能应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，从而完成看似不可能的任务；仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。一般的防火墙都可以达到以下目的：是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；是防止入侵者接近你的防御设施；是限定用户访问特殊站点；是为监视Internet安全提供方便。防火墙和家里的防盗门很相似，它们对普通人来说是一层安全防护，但是没有任何一种防火墙能提供绝对的保护。这就是为什么许多公司建立多层防火墙的原因，当黑客闯过一层防火墙后他只能获取一部分数据，其他的数据仍然被安全地保护在内部防火墙之后。总之，防火墙是增加计算机网络安全的手段之一，只要网络应用存在，防火墙就有其存在的价值。事实上，防火墙正在成为控制对网络系统访问的非常流行的方法。在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。1.2 防火墙的功能 防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。1.3 防火墙的特性网络防火墙是一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性： 有的内部网络和外部网络之间传输的数据必须通过防火墙； 只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙； 火墙本身不受各种攻击的影响； 使用目前新的信息安全技术，比如现代密码技术等； 人机界面良好，用户配置使用方便，易管理。1.4 防火墙技术的发展随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。第二章 多层防火墙技术的研究背景2.1 多层防火墙技术的研究背景防火墙技术是一种安全防范措施，所谓网络入侵和安全防范，实际上就是指网络攻防技术。攻防技术的此消彼长始终是网络安全领域前进的动力。攻击技术包括目标网络信息收集技术、目标网络权限提升技术、目标网络渗透技术、目标网络摧毁技术四大类。随着网络技术的快速发展和应用的日渐普及，黑客工具不仅变得越来越先进，而且也越来越容易被一般人获取和滥用。黑客技术的提升和黑客工具的泛滥，造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击，或面临随时被攻击的危险。这就迫使大家不得不加强对自身电脑网络系统的安全防护，甚至追求所谓彻底的、一劳永逸的、100%的网络安全解决方案。对于用户而言，不管你是否已经受到这些攻击，不管这些攻击是否会产生比较严重的后果，你都必须假设它们对信息系统的威胁总是存在的。因为一旦你的信息系统受到攻击，你也许会蒙受无法估量的损失。所以在任何时候，对信息系统实施连续不断的保护是非常必要的。经过对攻防技术发展和网络安全实践的研究分析，我们可以得知单一的安全保护往往效果不理想，而最佳途径就是采用“多层安全防护措施”对信息系统进行全方位的保护。 但是对攻防技术发展和网络安全实践的研究分析表明，单一的防火墙有许多“难言之隐”即“三难防”困扰。“一难防”。单一的防火墙不能防范不经由防火墙的攻击。如果外部网络用户直接从因特网服务提供商那里购置直接的SLIP或PPP链接，绕过了防火墙系统所提供的安全保护，就会造成一个潜在的后门攻击渠道。 “二难防”。单一的防火墙不能阻止已受到病毒感染的软件或文件的传输，因而不能防止网络受到病毒的侵扰。由于操作系统、病毒、二进制文件类型的复杂性，而且更新速度很快，它无法逐个扫描每个文件查找病毒，病毒很可能隐藏在合法邮寄的数据包内，它很难对其进行识别。 “三难防”。单一的防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据通过邮寄或拷贝到内部网的主机上并被执行时，就会发生数据驱动式的攻击。例如，一种数据驱动式的攻击，可以导致主机修改与系统安全有关的配置文件，从而使入侵者下一次更容易攻击该系统。 正因为上述单一的防火墙的“三难防”困扰，我们提出了“多层次防护”的概念，它采用多层安全防护措施对信息系统进行全方位的保护。在各个层次上部署相关的网络安全产品以增加攻击者侵入时所需花费的时间、成本和所需要的资源，大大减少了他们的攻击频度，从而卓有成效地降低被攻击的危险，达到安全防护的目标。2.2 多层防火墙技术的概论针对上述单一防火墙系统安全性能不高，防护效果往往不够理想的情况，我们提出“多层次防护”即多层防火墙的概念。巩固我们的网络安全性能，提高网络的安全防范能力，使信息系统的安全系数得到了大大的提升。我们所研究的多层防火墙系统就是结合不同的防火墙安全策略和技术，该防火墙的“多层次安全防护” 就是应用和实施一个基于OSI网络参考模型的多层次安全系统的全面信息安全策略，采用了“多级过滤技术”在各个层次上部署相关的网络安全产品，例如地址翻译技术、数据包过滤技术、状态检测技术、电路级网关技术和应用级网关技术等其他技术，来创建一个比单一防护有效得的多的综合的保护屏障，层层高度戒备。所谓“多级过滤技术”，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤（网络层）一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关（应用层）一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚，每种过滤技术对应于OSI网络参考模型上的不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。我们所研究的多层防火墙系统，就是采用多种防火墙技术构成多层防护屏障，对网络中传送的信息进行重重检测，鉴定其安全性，从而来对网络进行层层防护。因为多层次的防火墙和单一的防火墙相比起来，不是一个单一的物理实体，它除了具有防火墙的功能外，而且还能执行其他的功能，如加解密和认证等，能更好的实现控制对受保护的网络（即网点）的往返访问。该多层防火墙最大的优点就是可以成倍地增加了攻击者侵入时所需花费的时间、成本和所需要的资源，大大减少了他们的攻击频度，即而卓有成效地降低被攻击的危险，达到安全防护的目标，使信息系统得到连续不断的保护。事实上，多层次防护已经成为网络安全设计的主流策略。第三章 多层防火墙系统的功能及其组成随着网络技术的快速发展和应用的日渐普及，黑客工具不仅变得越来越先进，而且也越来越容易被一般人获取和滥用。黑客技术的提升和黑客工具的泛滥，造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击，或面临随时被攻击的危险。这就迫使大家不得不加强对自身电脑网络系统的安全防护，甚至追求所谓彻底的、一劳永逸的、100%的网络安全解决方案。但是，正如一些网络安全专家和专业厂商所强调的，没有一个公司的安全系统能保证100%的安全。安全总是相对的。本文阐释的所谓“多层次防护”，就是应用和实施一个基于多层次安全系统的全面信息安全策略。在各个层次上部署相关的网络安全产品，采用“多层过滤技术”，构成多层防护屏障，对网络中传送的信息进行重重检测，鉴定其安全性，从而来对网络进行层层防护，从而增加攻击者侵入所花费的时间、成本和所需要的资源，既而卓有成效地降低被攻击的危险，达到安全防护的目标。事实上，多层次防护已经成为当今网络安全的主流策略。3.1 地址转换技术地址转换技术（Network Address Translation,NAT）。也称地址翻译技术就是将一个IP地址用另一个IP地址代替。它是多层防火墙技术的第一道防护屏障。通过此项功能就可以很好地屏蔽内部网络的IP地址，对内部网络用户起到了保护作用。 NAT的实现过程是这样的：通常在一个firewall或者router上起NAT，firewall有两个NIC，一个接Internet，为合法IP，一个接LAN，为保留IP。LAN的用户的defualt gateway指向NAT的内部(LAN)接口，所有从LAN通过NAT出去的包在NAT处会进行一个转换，通常会把这些包的源IP地址转换成NAT的外部接口的合法I P地址，同时NAT在自己的连接表中添加一条记录，以便这个包的应答包回来时知道应该送到哪里。改了源IP地址的包送到Internet，他的应答包肯定能够回到NAT的外部接口，NAT接到应答包后，通过查看自己的连接表的记录，更改应答包的目标I P，然后送到发出请求的工作站。当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法因特网IP地址有限，而且受保护网络往往有自己的一套本地IP地址规划。在防火墙上配置NAT技术，就需要在防火墙上配置一个合法IP地址集，当内部网络用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址，内部网络用户就可通过防火墙来访问外部网络。在防火墙上部署NAT的方式可以有以下几种： M-1：多个内部网地址转换到1个IP地址 1-1：简单的一对一地址转换 M-N：多个内部网地址转换到N个IP地址池通过这样的地址转换后，既缓解了少量的因特网IP地址和大量主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。如果防火墙使用了NAT技术，所有的内部地址将会被转换成防火墙WAN端口上合法的因特网IP地址，以达到隐藏了内部网络用户身份的目的。NAT技术又分为“SNAT (Source NAT)”和“DNAT (Destination NAT)”。SNAT就是改变转发数据包的源地址，对内部网络地址进行转换，对外部网络是屏蔽的，使得外部非常用户对内部主机的攻击更加困难，同时可以节省有限的公网IP资源，通过少数一个或几个公网IP地址共享上网。而DNAT就是改变转发数据包的目的地址，外部网络主机向内部网络主机发出通信连接时，防火墙首先把目的地址转换为自己的地址，然后再转发外部网络的通信连接，这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信。在防火墙中主要用于外部网络主机对内部网络和DMZ区(非军事区)主机的访问。 3.2 数据包过滤技术数据包过滤技术工作在OSI网络参考模型的网络层和传输层，它是多层防火墙技术的第二道防护屏障。数据包过滤技术在网络的入口，根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。所谓的数据包过滤技术。又称“报文过滤”技术 ，它是防火墙最传统、最基本的过滤技术。防火墙的产生也是从这一技术开始的，最早是于1989所提出的。防火墙的包过滤技术就是对通信过程中数据进行过滤(又称筛选)，使符合事先规定的安全规则(或称“安全策略”)的数据包通过，而使那些不符合安全规则的数据包丢弃。这个安全规则就是防火墙技术的根本，它是通过对各种网络应用、通信类型和端口的使用来规定的。包过滤方式是一种通用、廉价和有效的安全手段。它的优点是它对于用户来说是透明的，处理速度快而且易于维护，通常被做为一道基本防线。不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。防火墙对数据的过滤，首先是根据数据包中包头部分所包含的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口及数据包传递方向等信息，判断是否符合安全规则，以此来确定该数据包是否允许通过。先来看一下防火墙方案部署的网络拓扑结构，所有的防火墙方案网络拓扑结构都可简化为如图3.2 所示。图3.2 简化的网络拓扑结构在这个网络结构中防火墙位于内、外部网络的边界，内部网络可能包括各种交换机、路由器等网络设备。而外部网络通常是直接通过防火墙与内部网络连接，中间不会有其它网络设备。防火墙作为内、外部网络的唯一通道，所以进、出的数据都必须通过防火墙来传输的。这就有效地保证了外部网络的所有通信请求，当然包括黑客所发出的非法请求都能在防火墙中进行过滤。包过滤技术最先使用的是在路由器上进行的，它也是最原始的防火墙方案。实现起来非常容易，只需要在原有的路由器上进行适当的配置即可实现防火墙方案。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。第一代静态包过滤类型防火墙这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。第二代动态包过滤类型防火墙这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。包过滤技术的应用非常广泛，因为包过滤技术相对较为简单，只需对每个数据包与相应的安全规则进行比较即可得出是否通过的结论，所以防火墙主机CPU用来处理包过滤的时间非常短，执行效率也非常高。而且这种过滤机制对用户来说完全是透明的，根本不用用户先与防火墙取得任何合法身份，符合规则的通信，用户根本感觉不到防火墙的存在，使用起来很方便。3.3 状态检测技术状态检测（Check Point）技术是基于OSI网络参考模型的第四层的包过滤技术。状态检测技术又称动态包过滤技术，它是针对高层协议（如TCP）难以用简单的包过滤对数据连接进行有效控制，而必须采用上下文相关控制这一特点的，比如FTP、H.323等协议。状态检测防火墙通过建立动态TCP连接状态表并对每次会话连接进行验证来实现网络访问控制。状态检测技术是在传统包过滤技术上的功能扩展，现在已经成为防火墙技术的主流技术。状态检测防火墙技术示意如下图3.3所示。这种防火墙具有非常好的安全特性，它使用了一个在网关上执行网络安全策略的软件模块，称之为状态监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。应用层内 核规 则 表规则1规则2规则3连接状态表连接 1连接 2连接 3状态检测 图 3.3 状态检测防火墙技术示意这种状态监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用（RPC）和用户数据报(UDP)之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的，但它会降低网络的速度，而且配置也比较复杂。好在有关防火墙厂商已注意到这一问题，如CheckPoint公司的防火墙产品Firewall-1，它所有的安全策略规则都是通过面向对象的图形用户界面（GUI）来定义以简化配置过程。关于状态检测技术我们将在后续章节详细介绍。3.4 电路级网关技术电路级网关防火墙属于第三代防火墙技术，其初步结构是于1989年由贝尔实验室的Dave Presotto和Howard Trickey提出的。电路级防火墙是通过监控受信任的客户或服务器与不受信任的主机间的TCP握手信息来决定该会话是否合法的。电路级网关是在OSI网络参考模型的会话层过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能，即可以使用网络地址转移(NAT)功能将所有内部网络IP地址映射到一个”安全“的公网IP地址，这个地址是由防火墙使用的。电路级网关也是一种代理，但是只是建立起一个回路，对数据包只起转发的作用。电路级网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。这种代理的优点是它可以对不同的协议提供服务，但这种代理需要改进客户程序，这种网关对外像一个代理，对内则是一个过滤路由器，其工作原理如图3.4.1所示。 网络访问 TCP IP电路级网关 TCP端口号 TCP端口号 服务器 客户机 图3.4 电路级网关技术电路级网关的应用原理与应用级网关相同，网关的作用就是接收客户端连接请求，根据客户的地址及所请求端口，将该连接重定向到指定的服务器地址及端口上，代理客户端完成网络连接，然后在客户和服务器间中转数据。实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等产品。 另外，电路级网关还提供一个重要的安全功能：代理服务器（ProxyServer） ，代理服务器是个防火墙，在其上运行一个叫做地址转移的进程，来将所有你公司内部的IP地址映射到一个安全的IP地址，这个地址是由防火墙使用的。但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。3.5 应用代理网关技术所谓应用代理网关技术（ApplicationLevel Proxy Gateway）就是我们常常说的“代理服务器”，它能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。它属于第五代防火墙技术，它最早是由于1998年，由NAI公司推出的，并在其产品Gauntlet Firewall for NT中得以实现。它给代理类型的防火墙赋予了全新的意义。应用代理型防火墙（Application Proxy）是工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。其典型网络结构如图 3.5.1 所示。图 3.5.1 应用代理防火墙的网络拓扑结构应用级网关技术可对网络上任一层的数据包进行检查并经过身份认证，符合安全策略规则的通过，否则将被丢弃。允许通过的数据包由网关复制并传递，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，如限制用户访问的主机、访问时间及访问的方式等。通常是需在防火墙主机上安装相应服务器软件来实现以上功能的。 应用级网关的工作原理图如图 3.5.2 所示。图 3.5.2 应用级网关的工作原理在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型代理防火和第二代自适应代理防火墙。 第一代应用网关(Application Gateway)型防火墙这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 第二代自适应代理(Adaptive proxy)型防火墙它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。常用的应用级防火墙已有了相应的代理服务器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等，但是，对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。应用代理防火墙是将低层访问控制和高层应用功能结合在一起的防火墙，所有通过防火墙的包都必须在应用代理软件的控制下。由于它没有在防火墙内外接口间的路由功能，因此一旦应用代理软件失效或故障，防火墙是不能转发网络包的。应用代理防火墙具有功能强大的特点，但是其性能低的缺点决定了它不能应用在高带宽和实时应用的业务中。第四章 状态检测技术概论4.1 状态检测技术的优点状态检测（Check Point）技术是基于OSI网络参考模型的第四层的包过滤技术。状态检测技术又称动态包过滤技术，它是针对高层协议（如TCP）难以用简单的包过滤对数据连接进行有效控制，而必须采用上下文相关控制这一特点的，比如FTP、H.323等协议。状态检测防火墙通过建立动态TCP连接状态表并对每次会话连接进行验证来实现网络访问控制。状态检测技术是在传统包过滤技术上的功能扩展，现在已经成为防火墙技术的主流技术。有人将状态检测防火墙称为第三代防火墙，可见其应用的广泛性。相对于状态检测包过滤，将传统的包过滤技术称为静态包过滤，静态包过滤将每个数据包进行单独的分析，固定的根据其包头信息进行匹配，这种方法在遇到利用动态端口应用协议时发生了困难。状态检测防火墙也叫自适应防火墙，或是动态包过滤防火墙，它具有很高的效率。这种防火墙能通过状态检测技术动态记录，维护各个连接的协议状态，并且在网络层和 IP 之间插入一个检查模块，对 IP 包的信息进行分析检测，以决定是否允许通过防火墙。它引入了动态规则的概念，对网络端口可以动态地打开和关闭，减少了网络攻击的可能性，使网络的安全性得到了提高。状态检测防火墙根据过去的通信信息和其他应用程序获得的状态信息来动态生成过滤规则，根据新生成的过滤规则过滤新的通信。当新的通信结束时，新生成的过滤规则将自动从规则表中删除。状态检测防火墙试图跟踪通过防火墙的网络连接和数据包，这样防火墙就可以使用一组附加的标准，以确定是允许还是拒绝通信。它是在使用了基本包过滤防火墙的通信上的一些应用技术来做到这点的。当包过滤防火墙见到一个网络包，包是孤立存在的，没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息，如源地址、目的地址、端口号等。包中没有包含任何描述它的信息流中的位置的信息，则该包被认为是无状态的，它仅是存在而已。一个有状态包检查的防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包。跟踪连接状态的方式取决于通过防火墙包的类型：TCP 包。当建立起一个 TCP 连接时，通过的第一个包被标有包的 SYN标志。通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定的规则来处理它们。对内部的连接试图连到外部主机，防火墙注明连接包。在这种方式下，如果传入的包是响应一个已经建立的连接时，才会被允许通过。 UDP 包。UDP 包比 TCP 包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、效验和携带的数据，使得防火墙确定包的合法性很困难。可是，如果防火墙跟踪包的状态，就可以解决这个问题。对传入的包，若它所使用的地址和 UDP 包都不会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包，情况和 UDP 包类似。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。状态检测防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。状态检测防火墙能够对多层的数据进行主动的、实时的检测，在对这些数据加以分析的基础上，检测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的结点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，状态检测防火墙不仅超越了传统的防火墙的定义，而且在安全性上也超越了前两代产品。4.2 状态检测技术的原理状态检测技术最早是checkpoint提出的，在国内的许多防火墙都声称实现了状态检测技术。 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。（图 4.2 ）图 4.2状态检测防火墙工作原理图到底什么是状态检测？ 一句话，状态检测就是从tcp连接的建立到终止都跟踪检测的技术。 原先的包过滤，是拿一个一个单独的数据包来匹配规则的。可是我们知道，同一个tcp连接，他的数据包是前后关联的，先是syn包，=数据包=fin包。数据包的前后序列号是相关的。 如果割裂这些关系，单独的过滤数据包，很容易被精心够造的攻击数据包欺骗！如nmap的攻击扫描，就有利用syn包，fin包，reset包来探测防火墙后面的网络。！ 相反，一个完全的状态检测防火墙，他在发起连接就判断，如果符合规则，就在内存登记了这个连接的状态信息(地址，port，选项。),后续的属于同一个连接的数据包，就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息，都被丢弃了。这样这些攻击数据包，就不能饶过防火墙了。 说状态检测必须提到动态规则技术。在状态检测里，采用动态规则技术，原先高端口的问题就可以解决了。实现原理是：平时，防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点，可是为了不影响正常的服务，防火墙一但检测到服务必须开放高端口时，如(ftp协议，irc等)，防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后，这条规则就又被防火墙删除。这样，既保障了安全，又不影响正常服务，速度也快。 一般来说，完全实现了状态检测技术防火墙，智能性都比较高，一些扫描攻击还能自动的反应。4.3 状态检测技术的工作机制状态监测应该如何工作无论何时，一个防火墙接收到一个初始化TCP连接的SYN包，这个带有SYN的数据包被防火墙的规则库检查。该包在规则库里依次序比较。如果在检查了所有的规则后，该包都没有被接受，那么拒绝该次连接。一个RST的数据包发送到远端的机器。如果该包被接受，那么本次会话被记录到状态监测表里。该表是位于内核模式中的。随后的数据包(没有带有一个SYN标志)就和该状态监测表的内容进行比较。如果会话是在状态表内，而且该数据包是会话的一部分，该数据包被接受。如果不是会话的一部分，该数据包被丢弃。这种方式提高了系统的性能，因