防火墙技术的研究终极版.doc

1931 本科毕业论文(设计) 论文名称：论文名称：防火墙技术的研究 姓姓 名名: 曾灿 学学 号号: 0850310031 年年 级级: 08 教育方向 院院 系系: 计算机学院 专专 业业 名名 称称: 计算机科学与技术 指指导导教教师师姓姓名名 : 陆宗跃 指指导导教教师师职职称称 : 副教授 二 0 一二 年 五 月 原原 创创 性性 说说 明明 本人的毕业论文（设计）无抄袭、剽窃现象。本人熟知学校对毕业论文 （设计）抄袭、剽窃现象按作弊处理，对已毕业的学生，学校将追回毕业证和 学位证书。如本人毕业论文（设计）有以上的违纪现象，所造成的知识产权等 纠纷，一切后果由本人承担。 承诺人：曾灿 时间：2012 年 5 月 18 日 摘要摘要: : 随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增 加，网络的开放性、共享性、互连程度也随着扩大。网络安全产品也被人们重 视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受 到用户和研发机构的青睐。防火墙技术是近年来发展起来的一种保护计算机网 络安全的技术性措施。防火墙实际上是一种访问控制技术，在某个机构的网络 和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用防火 墙阻止保密信息从受保护网络上被非法输出。换言之，防火墙是一道门槛, 控 制进出两个方向的通信。本文讲述了防火墙的概念，介绍了防火墙的原理、类 型、功能等，然后分析了现阶段防火墙技术及其不足和防火墙的技术的最新发 展趋势。 关键词：关键词：网络，安全，包过滤 Abstract: With the development of computer network, the number of Internet constantly increasing, online resources will continue to increase, the network openness, sharing, the interconnection degree is as expanding. Network security products also taken seriously by people up. Firewall as the earliest network security products and usage of the biggest security products, also by users, and the research and development institutions favored. Firewall technology is a recently developed to protect computer network security of technical measures. Firewall is actually a kind of access control technology, the network at an institution and unsafe network up barriers, stop between illegal access to information resources, also can use a firewall to prevent confidential information from protected by illegal output on the network. In other words, a firewall is a threshold, two directions of the communication and control. This article describes the concept of a firewall on the principle of a firewall, type, function, and then analyzed at this stage and the lack of firewall technology and the latest firewall technology trends. Key words：network，security ，Packet filtering 目目 录录 第一章 引言1 第二章 防火墙的概述2 2.1 防火墙的概念.2 2.1.1 传统防火墙的发展史2 2.1.2 智能防火墙的简述3 2.2 防火墙的功能.4 2.2.1 防火墙的主要功能.4 2.2.2 入侵检测功能.5 2.2.3 虚拟专网功能.6 第三章 防火墙的原理及分类.7 3.1 防火墙的工作原理.7 3.1.1 包过滤防火墙.7 3.1.2 应用级代理防火墙.8 3.1.3 代理服务型防火墙.8 3.1.4 复合型防火墙.9 3.2 防火墙的分类.9 3.2.1 从软、硬件形式分类.9 3.3 防火墙包过滤技术.13 3.3.1 概念.13 3.3.2 数据表结构.13 3.3.3 静态包过滤和动态包过滤.14 3.4 过滤规则制订15 3.4.1 与服务相关的过滤15 3.4.2 与服务无关的过滤.16 3.4.3 基于网络 IP 和 MAc 地址绑定的包过滤.16 第四章 防火墙的配置17 4.1 防火墙的基本配置原则.17 4.2 防火墙的配置实例.18 第五章 防火墙的发展趋势.23 5.1 防火墙的技术发展趋势.23 5.2 防火墙体系结构发展趋势.24 5.3 防火墙系统管理发展趋势.25 第六章 结论26 参考文献27 致谢.28 第一章第一章 引言引言 随着互联网的普及和发展，尤其是 Internet 的广泛使用，使计算机应用更 加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易 受到攻击的一面。据美国 FBI 统计，美国每年因网络安全问题所造成的经济损 失高达 75 亿美元，而全球平均每 20 秒钟就发生一起 Internet 计算机侵入事件。 在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们 在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安 全的网络体系，值得我们关注研究。 为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术。防 火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解 决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据 自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流 阻止恶性信息对本机的攻击，比如 ICMP flood 攻击、聊天室炸弹、木马信息破 译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的 访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威 胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的 侵袭，还可以根据自己的需要创建防火墙规则，控制互联网到 PC 以及 PC 到互 联网的所有连接，并屏蔽入侵企图。防火墙可以有效地阻截各种恶意攻击、保 护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件 内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。 本文根据课题的要求，讲述了防火墙的概念，介绍了防火墙的原理、类型、 功能等，然后分析了防火墙技术及其不足和防火墙的技术的最新发展趋势。并 介绍了怎么预防黑客入侵内部网络内容一些方法。让读者真正的了解其重要性 并学会使用它，以免受被攻击之苦。 第二章第二章 防火墙的概述防火墙的概述 随着 Internet 的迅速发展，网络应用涉及到越来越多的领域，网络中各类 重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题，使得网 络安全问题越来越突出。因此，保护网络资源不被非授权访问，阻止病毒的传 播感染显得尤为重要。就目前而言，对于局部网络的保护，防火墙仍然不失为 一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。其中包过滤作 为最早发展起来的一种技术，其应用非常广泛。 2.12.1 防火墙的概念防火墙的概念 防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可 预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部 网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或 网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、 监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服 务，实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络 和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是 一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部 网络的安全。 .1 传统防火墙的发展史传统防火墙的发展史 目前的防火墙技术无论从技术上还是从产品发展历程上，都经历了五个发 展历程。 1.第一代防火墙 第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。 2.第二代、第三代防火墙 1989 年，贝尔实验室的 Dave Presotto 和 Howard Trickey 推出了第二代 防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理 防火墙）的初步结构。 3.第四代防火墙 1992 年，USC 信息科学院的 BobBraden 开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视 （Stateful inspection）技术。1994 年，以色列的 CheckPoint 公司开发出了 第一个采用这种技术的商业化的产品。 4.第五代防火墙 1998 年，NAI 公司推出了一种自适应代理（Adaptive proxy）技术，并在 其产品 Gauntlet Firewall for NT 中得以实现，给代理类型的防火墙赋予了全 新的意义，可以称之为第五代防火墙。 但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的 三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击，以蠕虫(Worm)为主 要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问 题占据网络安全问题九成以上。而这三大问题，传统防火墙都无能为力。主要 有以下三个原因: 一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代 价，检查的强度越高，计算的代价越大。二是传统防火墙的访问控制机制是一 个简单的过滤机制。它是一个简单的条件过滤器，不具有智能功能，无法检测 复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定 了传统的防火墙无法解决恶意的攻击行为。 现在防火墙正在向分布、智能的方向发展，其中智能防火墙可以很好的解 决上面的问题。 .2 智能防火墙的简述智能防火墙的简述 智能防火墙是相对传统的防火墙而言的，从技术特征上智能防火墙是利用 统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目 的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的 特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因 此，又称为智能防火墙。 2.22.2 防火墙的功能防火墙的功能 从防火墙的功能来说，主要包含以下几个方面：访问控制，如应用 ACL 进 行访问控制、 NAT; VPN ;路由、认证和加密、日志记录、管理、攻击防范等。 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其 在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特 定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问， 从而防止来自不明入侵者的所有通信。 .1 防火墙的主要功能防火墙的主要功能 1.包过滤。 包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的 数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、 源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。 2.地址转换。 网络地址变换是将内部网络或外部网络的 IP 地址转换，可分为源地址转换 Source NAT(SNAT)和目的地址转换 Destination NAT(DNAT)。SNAT 用于对内部 网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其 他网络的非授权访问或恶意攻击。并将有限的 IP 地址动态或静态的与内部 IP 地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。DNAT 主 要用于外网主机访问内网主机。 3.认证和应用代理。 认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证 数据库;提供 HTTP、FTP 和 SMTP 代理功能，并可对这三种协议进行访问控制;同 时支持 URL 过滤功能。 4.透明和路由 指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提 供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用 网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子 网之间的安全访问。 .2 入侵检测功能入侵检测功能 入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术， 包括以下内容: 1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具，从中发现 主机的哪些非常用端口是打开的;是否支持 FTP、Web 服务;且 FTP 服务是否支持 “匿名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，进而对内部网 络的主机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法，目前常用 的方法有:关闭闲置和有潜在危险的端口;检查各端口，有端口扫描的症状时， 立即屏蔽该端口，多数防火墙设备采用的都是这种反端口扫描方式。 2.检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用 过多的服务资源，从而使合法用户无法得到服务的响应，其攻击方式有很多种; 而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的 DoS 攻击基础之上产生 的一类攻击方式，分布式的拒绝服务攻击(DDoS)。其原理很简单，就是利用更 多的受控主机同时发起进攻，以比 DoS 更大的规模(或者说以更高于受攻主机处 理能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测 Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多种 DOS/DDOS 攻击。 3.检测多种缓冲区溢出攻击(Buffer Overflow)。缓冲区溢出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中，造成缓冲区的 溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。 更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进 行各种非法操作，防火墙设备可检测对 FTP、Telnet、SSH、RPC 和 SMTP 等服务 的远程堆栈溢出入侵。 4.检测 CGI/IIS 服务器入侵。CGI 就是 Common Gateway Interface 的 简称。是 World Wide Web 主机和 CGI 程序间传输资讯的定义。IIS 就是 Internet Information server 的简称，也就是微软的 Internet 信息服务器。 防火墙设备可检测包括针对 Unicode、ASP 源码泄漏、 PHF、NPH、pfdisPlay.cgi 等已知上百种的有安全隐患的 CGI/IIS 进行的探测 和攻击方式。 5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个 特殊的端口并依靠某种程序在机器启动之前自动加载到内存，强行控制机器打 开那个特殊的端口的程序。木马程序的全称是“特洛依木马”，它们是指寻找 后门、窃取计算机的密码的一类程序。网络蠕虫病毒分为两类，一种是面向企 业用户和局域网而一言，这种病毒利用系统漏洞，主动进行攻击，可以对整个 互联网造成瘫痪性的后果，以“红色代码”，“尼姆达”，以及最新的“sql 蠕虫王”为代表。另外一种是针对个人用户的，通过网络(主要是电子邮件，恶 意网页形式)迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。防火墙设备 可检测试图穿透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系 统的蠕虫程序。 .3 虚拟专网功能虚拟专网功能 指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络 中传播。VPN 的基本原理是通过 IP 包的封装及加密、认证等手段，从而达到安 全的目的。 防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息 交换和访问行为来实现对网络安全的有效管理。除去上述功能，防火墙还具有 以下功能： 1、管理进、出网络的访问行为； 2、封堵某些禁止行为； 3、记录通过防火墙的信息内容和活动； 4、IP 地址/MAC 地址绑定； 5、审计； 第三章第三章 防火墙的原理及分类防火墙的原理及分类 3.13.1 防火墙的工作原理防火墙的工作原理 随着计算机网络技术的发展，网络安全事故在逐年增多，防火墙是一种行之有效的网络安 全机制，它在网络内部和外部之间实施安全防范的系统。通过防火墙能够定义一个接入访 问控制要求并且保证仅当流量或数据匹配这个要求的时候才能穿越防火墙或者接入被保 护的系统。从根本上说，防火墙偶能力执行以下工作：管理和控制网络流量；认证接入； 担当中间媒介；保护资源；报告和记录事件。 防火墙是一个访问控制策略强制执行点，而无论其设计和实施有多么复杂。 防火墙通过检查所接收到的数据和跟踪链接判定什么样的数据应该被允许，什 么样的数据应该被拒绝，另外，防火墙也可以作为对被保护主机发起的中间媒 介和代理，同时提够了一套接入访问认证方法去更好的保证只有被许可的访问 才能被允许接入。通过正确的实施和配置防火墙来升级安全策略去最小化威胁 所造成的风险。尽管防火墙不能阻止所有的攻击，但是它仍然是保护资源的最 好方式之一，并且不可否认的是，通过防火墙来保护资源肯定优于不使用防火 墙，我们需要了解不同类型的防火墙安全策略和如何去构建一个高效的安全策 略。 无可厚非，在配置防火墙之前最重要的事情便是选择防火墙的放置位置。 一个周密有效的设计方案是成功保护网络资源最重要的一步。对于放置的位置 选择，通常是将防火墙放置在被保护网络资源的前方会起到一定程度的保护作 用，但是如果通过详细了解需要保护的资源的情况与防火墙的自身功能后进行 方案设计及实施，将会更加全面地保护网络不受侵害，更好的发挥防火墙在网 络中的作用。总而言之，需要做预先的设计工作以使防火墙安置在能够发挥其 效率并符合整体网络策略的位置。 国际计算机安全委员会 ICSA 将防火墙分成三大类:包过滤防火墙，应用级 代理服务器以及状态包检测防火墙。 .1 包过滤防火墙包过滤防火墙 顾名思义，包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤 规则相比较，从而决定是否阻塞或通过。过滤规则是基于网络层 IP 包包头信息 的比较。包过滤防火墙工作在网络层，IP 包的包头中包含源、目的 IP 地址， 封装协议类型(TCP，UDP，ICMP 或 IP Tunnel)，TCP/UDP 端口号，ICMP 消息类 型，TCP 包头中的 ACK 等等。如果接收的数据包与允许转发的规则相匹配，则 数据包按正常情况处理;如果与拒绝转发的规则相匹配，则防火墙丢弃数据包; 如果没有匹配规则，则按缺省情况处理。包过滤防火墙是速度最快的防火墙， 这是因为它处于网络层，并且只是粗略的检查连接的正确性，所以在一般的传 统路由器上就可以实现，对用户来说都是透明的。但是它的安全程度较低，很 容易暴露内部网络，使之遭受攻击。例如，HTTP。通常是使用 80 端口。如果公 司的安全策略允许内部员工访问网站，包过滤防火墙可能设置所有 80 端口的连 接通过，这时，意识到这一漏洞的外部人员可以在没有被认证的情况下进入私 有网络。包过滤防火墙的维护比较困难，定义过滤规则也比较复杂，因为任何 一条过滤规则的不完善都会给网络黑客造成可乘之机。同时，包过滤防火墙一 般无法提供完善的日志。 .2 应用级代理防火墙应用级代理防火墙 应用级代理技术通过在 OSI 的最高层检查每一个 IP 包，从而实现安全策略。 代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而 代理技术一直处理到应用层，在应用层实现防火墙功能。它的代理功能，就是 在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内 建代理机制提供额外的安全，这是因为它将内部和外部网络隔离开来，使网络 外部的黑客在防火墙内部网络上进行探测变得困难，更重要的是能够让网络管 理员对网络服务进行全面的控制。但是，这将花费更多的处理时间，并且由于 代理防火墙支持的应用有限，每一种应用都需要安装和配置不同的应用代理程 序。比如访问 WEB 站点的 HTTP，用于文件传输的 FTP，用于 E 一 MAIL 的 SMTP/POP3 等等。如果某种应用没有安装代理程序，那么该项服务就不被支持 并且不能通过防火墙进行转发;同时升级一种应用时，相应的代理程序也必须同 时升级。 .3 代理服务型防火墙代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或 TCP 通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据 包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越 防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”， 由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达 代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务 也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时 会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外 部网的隔离点，起着监视和隔绝应用层通信流的作用。同时 也常结合入过滤器的功能。它工作在 OSI 模型的最高层，掌握着应用系统中可 用作安全决策的全部信息。 .4 复合型防火墙复合型防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法 结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机 防火墙体系结构，在该结构中，分组过滤路由器或防火墙与 Internet 相连，同 时一个堡垒机安装在内部网络，通过在分组过滤器路由器或防火墙上过滤规则 的设置，使堡垒机成为 Internet 上其他节点所能到达的唯一节点，这确保了内 部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一 个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这 一子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒机和 分组过滤路由器共同构成了整个防火墙的安全基础。 3.23.2 防火墙的分类防火墙的分类 .1 从软、硬件形式分类从软、硬件形式分类 如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬 件防火墙以及芯片级防火墙。 1.软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作 系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。 软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以 使用。防火墙厂商中做网络版软件防火墙最出名的莫过于 Checkpoint。使用这 类防火墙，需要网管对所工作的操作系统平台比较熟悉。 2.硬件防火墙。 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二 字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。 目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于 PC 架构，就 是说，它们和普通的家庭用的 PC 没有太大区别。在这些 PC 架构计算机上运行 一些经过裁剪和简化的操作系统，最常用的有老版本的 Unix、Linux 和 FreeBSD 系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因 此依然会受到 OS（操作系统）本身的安全性影响。 3.芯片级防火墙。 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的 ASIC 芯片促使 它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙 最出名的厂商有 NetScreen、FortiNet、Cisco 等。这类防火墙由于是专用 OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。 .2 从防火墙技术结构分类从防火墙技术结构分类 1.防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用 代理型”两大类。前者以以色列的 Checkpoint 防火墙和美国 Cisco 公司的 PIX 防火墙为代表，后者以美国 NAI 公司的 Gauntlet 防火墙为代表。 （1）包过滤（Packet filtering）型。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它 不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之 所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数 是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业 安全要求。 在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为 “第一代静态包过滤”和“第二代动态包过滤”。 包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在 网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是 网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤 器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大 地影响；由于缺少上下文关联信息，不能有效地过滤如 UDP、RPC（远程过程调 用）一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包 头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安 全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程 序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同 组成防火墙系统。 （2）应用代理（Application Proxy）型。 应用代理型防火墙是工作在 OSI 的最高层，即应用层。其特点是完全“阻 隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控 制应用层通信流的作用。 在代理型防火墙技术的发展过程中，它也经历了两个不同的版本：第一代 应用网关型代理防火和第二代自适应代理防火墙。 代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它 可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对 网络层的数据进行过滤。 另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一 个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服 务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机 任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内 部网。 代理防火墙的最大缺点是速度相对比较慢，当用户对内外部网络网关的吞 吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。那因为防火 墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部 网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常 不会很明显。 2、从防火墙结构分 从防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火 墙和分布式防火墙三种。 单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络 边界。 这种防火墙其实与一台计算机结构差不多（如下图），同样包括 CPU、内 存、硬盘等基本组件，主板更是不能少的，且主板上也有南、北桥芯片。它与 一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为 它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的 基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记 录在此硬盘上。虽然如此，但我们不能说它就与我们平常的 PC 机一样，因为它 的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞 吐性能。正因如此，看似与 PC 机差不多的配置，价格甚远。 随着防火墙技术的发展及应用需求的提高，原来作为单一主机的防火墙现 在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成 了防火墙功能，还有的防火墙已不再是一个独立的硬件实体，而是由多个软、 硬件组成的系统，这种防火墙，俗称“分布式防火墙”。 原来单一主机的防火墙由于价格非常昂贵，仅有少数大型企业才能承受得 起，为了降低企业网络投资，现在许多中、高档路由器中集成了防火墙功能。 如 Cisco IOS 防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业 就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。 分布式防火墙再也不只是位于网络边界，而是渗透于网络的每一台主机， 对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火 墙系统管理软件，在服务器及各主机上安装有集成网卡功能的 PCI 防火墙卡 ， 这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就 可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可 信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的 通信请求“不信任”。 3.33.3 防火墙包过滤技术防火墙包过滤技术 .1 概念概念 包过滤技术(Packet Filter)是防火墙为系统提供安全保障的主要技术(见 图 1)。它通过设备对进出网络的数据流进行有选择的控制与操作。包过滤操作 通常在选择路由的同时对数据包进行过滤(通常是对从互联网络到内部网络的包 进行过滤)。用户可以设定一系列的规则，指定允许哪些类型的数据包可以流入 或流出内部网络；哪些类型的数据包的传输应该被拦截。包过滤技术是防火墙 的一项基本技术。它的优点是简单、方便、透明性好、对网络性能影响不大。 但它的缺点是过滤规则的完备性难以得到检验，复杂过滤规则的管理很困难。 图 1 包过滤防火墙基本模型 .2 数据表结构数据表结构 当应用程序用 TCP 传送数据时，数据被送入协议栈中，然后逐个通过每一 层直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些 首部信息。TCP 传给 IP 的数据单元称作 TCP 报文段(TCP Segment);IP 传给网络 接口层的数据单元称作 IP 数据报(IP Datagram)；通过以太网传输的比特流称 作帧(Frame)。对于进防火墙的数据包，顺序正好与此相反，头部信息逐层剥掉。 IP，TCP 首部格式如表 2-1 表 2-2 所示。 表 2-1 IP 首部格式 版本首部长服务类型总 长 度 标识标志片偏移 生存时间协议首部校验和 源 IP 地址 目的 IP 地址 选项 表 2-2 TCP 首部格式 源端口号目的端口号 序列号 确认号 首 部 长 保 留 U R G A C K P S H R S T S Y N F I N 窗口大小 TCP 校验和 紧急指针 选项 对于帧的头部信息主要是源/目的主机的 MAC 地址;IP 数据报头部信息主要 是源/目的主机的 IP 地址;TCP 头部的主要字段包括源/目的端口、发送及确认 序号、状态标识等。 理论上讲，数据包所有头部信息以及有效载荷都可以作为判断包通过与否 的依据，但是在实际情况中，包过滤技术上的问题主要是选取哪些字段信息， 以及如何有效地利用这些字段信息并结合访问控制列表来执行包过滤操作，并 尽可能提高安全控制力度。 .3 静态包过滤和动态包过滤静态包过滤和动态包过滤 静态包过滤类型的防火墙根据预先定义好的过滤规则审查每个数据包，以 便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行 制订。报头信息中包括 1P 源地址、IP 目标地址、传输协议(TcP、uDP、lcMP 等 等)、TCPUDP 目标端口、IcMP 消息类型等。包过滤类型的防火墙要遵循的一 条基本原则是“最小特权原则”，即明确允许某些数据包的通过，而禁止其他 的一切数据包。防火墙也可以采用动态设置包过滤规则的方法，即动态包过滤。 这种技术后来发展成为所谓包状态监测(state“Inspection)技术。采用这种技 术的防火墙对通过它所建立的每一个连接都进行跟踪，并且根据需要动态地增 加或更新过滤规则的条目。 3.43.4 过滤规则制订过滤规则制订 包过滤规则的制订大体有两种模式：1)基于关闭的，即缺省情况下阻断所 有内外互访，个别开放单项服务；2)基于开放式的，即缺省情况下开放所有内 外互访，个别关闭单项服务。过滤是双向的，路由器对于不同流向的数据包， 按不同的规则进行匹配过滤，以决定是“拒绝”或“允许”。因此，总体过滤 规则是两个方向的过滤规则的有机结合。 .1 与服务相关的过滤与服务相关的过滤 根据特定的服务，如 Ftp、Http、，Telnet 等等允许或拒绝流动的数据包。 多数的服务都有已知的 TCP/UDP 端口号，例如，Telnet 服务的是 TCP 的 23 号 端口，SMTP 服务的是 TCP 的 25 号端口。为了阻塞所有进入的 Telnet 连接，防 火墙只需简单的丢弃所有 TCP 端口号等于 23 的数据包。为了将 Telnet 连接限 制到内部的数台机器上，必须拒绝所有 TCP 端口号等于 23 并且目标 IP 地址非 法的数据包。 一些典型的过滤规则包括： 允许进入的 Telnet 会话与指定的内部主机连接； 允许进入的 FTP 会话与指定的内部主机连接； -允许所有外出的 Telnet 会话； 允许所有外出的 FTTP 会话； 拒绝所有来自特定的外部主机的数据包。 .2 与服务无关的过滤与服务无关的过滤 有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与 服务无关的。因此过滤规则需要附加的信息。这些信息是通过审查特定的 IP 选 项、检查特定段的内容等等才能的到。下面列举几种典型攻击类型并制订相应 的包过滤规则： (1)源 IP 地址欺骗攻击(S0urce IP Address spo 曲 ngAttacks)。攻击特点 是入侵者从外部传输个假装是来自内部主机的数据包，即数据包中所包含的 源 IP 地址为内部网络上的 IP 地址。这种攻击对只使用源地址安全功能的系统 很奏效。在那样的系统中，来自内部的信任主机的数据包被接受，而来自其它 主机的数据包全部被丢弃。包过滤规则是，丢弃所有来自外部而源地址又是内 部的数据包。 (2)源路由攻击(source R0wing Attacks)。其特点是源站点指定了数据包 在 htemet 中所走的路线。其目的是为了旁路安全措施并使数据包到达的路径不 可预料。包过滤规则是，丢弃所有包含源路由选项的数据包。 (3)极小数据段式攻击(Tiny FrBgment Attacks)。攻击特点是入侵者使用 了 IP 分段的特性，创建极小的分段并强行将 TCP 头信息分成多个数据包段。目 的是为了绕过用户定义的过滤规则。入侵者寄希望予包过滤器只检查第一个分 段而放过其余的分段。对于这种类型攻击包过滤规则是，丢弃协议类型为 TCP，IP Fr89mentoet 等于 1 的数据包。 .3 基于网络基于网络 IPIP 和和 MAcMAc 地址绑定的包过滤地址绑定的包过滤 在网络管理中 IP 地址盗用现象时有发生，这不仅影响网络的正常使用，而 且当被盗用的地址具有较高的权限时，可能会造成大量的经济损失，以及带来 其他的安全隐患。把网络接口的 IP 和 MAc 地址绑定起来，可以很好地解决这一 问题。因为每块网卡具有唯一的一个标识号码，就是网卡的 MAC 地址，而每个 MAc 地址也仅供唯一的一块网卡使用。所以，通过 IPMAc 的绑定，在防火墙 内部建立起 IP 地址同 MAc 地址一一对应的关系之后，即使有人盗用 IP 地址发 送数据包，那些数据包也会因 IPMAc 地址不匹配而被过滤掉，从而使入侵企 图遭到挫败。 第四章第四章 防火墙的配置防火墙的配置 4.14.1 防火墙的基本配置原则防火墙的基本配置原则 默认情况下，所有的防火墙都是按以下两种情况配置的： 拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量 的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论 证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火 墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访 问系统。换句话说，如果你想让你的员工们能够发送和接收 Email，你必须在 防火墙上设置相应的规则或开启允许 POP3 和 SMTP 的进程。 在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考 虑，在防火墙的配置过程中需坚持以下三个基本原则： 1. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也 是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计 越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和 简便。 每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实 现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是 随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一 些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测 上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配 置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这 样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全 漏洞，得不偿失。 2. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、 多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们 不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体 系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体 现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系， 即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御； 另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层 安全体系。 3.内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境中， 80%以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那 种防外不防内的传统观念。对内部威胁可以采取其它安全措施，比如入侵检测、 主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全 面防护的观念，最好能部署与上述内部防护手段一起联动的机制。目前来说， 要做到这一点比较困难。 4.24.2 防火墙的配置实例防火墙的配置实例 实验场景实验场景 某公司是一个典型的中小企业，员工数量在 100 人左右，主要从事计算机 系统集成服务，分为市场部，财务部，销售部，人力资源部，办公室，网络管 理部，工程部，网络分成内网外网。内网经常感染病毒，而且某些员工使用大 数据量下载也影响网络正常工作，有时也发现来自外网黑客攻击现象，同时公 司随着业务发展考虑建立一个 WEB 服务器用来对外发布信息。公司现决定部署 一台 Cisco PIX 515 防火墙。公司拓扑结构如下： 任务一、公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。 在满足 内网用户快速访问 Internet 的同时有效防止来自外网黑客攻击；此外，公司随 着业务的 发展也需要扩大宣传，市场部考虑建立电子营销，所以希望建立一个 Web 服务器用来对外 发布业务信息。网络管理部门决定先上一台防火墙，部署 在内网和外网之间。配置 PIX 划分内网、外网及 DMZ 区域。 任务二、Cisco PIX 防火墙可以支持动态路由模式、静态路由模式、透明模 式和混合模式，公司总经理王涛希望防火墙能够支持公司网络能够在保障安全 的同时，网络通信稳定。配置 PIX 静态路由。 任务三、公司的规模并不是很大，网络拓扑结构如上图，分为内网、外网。 在满足内网用户快速访问 INTERNET 的同时有效防止来自外网黑客攻击；防止 洪水攻击。 任务四、公司网络经常出现员工上网速度缓慢，网络管理员张明查明后发现 有人经常上 网打网络游戏，或者从网络上在线看电影，公司总经理王涛为此要 求通过防火墙能够根据部门分配 Internet 带宽。通过配置防火墙对流量进行 限制。 实施步骤实施步骤 任务一、配置 PIX 划分内网、外网及 DMZ 区域 #进入特权用户模式 pixfirewallenable pixfirewall# #进入全局配置模式 pixfirewall# conf t #配置防火墙接口的名字（nameif ） ，并指定安全级别(security-level)。 pixfirewall(config)#int e0 pixfirewall(config-if)# nameif inside pixfirewall(config-if)# security-level 100 pixfirewall(config)#int e1 pixfirewall(config-if)# nameif dmz pixfirewall(config-if)# security-level 50 pixfirewall(config)#int e2 pixfirewall(config-if)# nameif outside pixfirewall(config-if)# security-level 0 security-leve 0 是外部端口 outside 的安全级别（0 安全级别最高） security-leve 100 是内部端口 inside 的安全级别,如果中间还有以太口，则 security-leve 10 ，security-leve 20 等等命名，多个网卡组成多个网络，一般情 况下增加一个以太口作为 dmz security-leve 50 是停火区 dmz 的安全级别。 #配置内外网卡的 IP 地址 pixfi