（计算机软件与理论专业论文）以防火墙技术为核心的网络安全架构.pdf

摘要 随着信息网络化的发展，网络信息安全的概念不断被创新与实践。企业的信息网络安全 自然而然地被提上日程，网络安全的目的是，为了更好地实施企事业应用，保护企事业的日 常工作，就如一把大的保护伞罩在安全信息网络之上。在我国，防火墙作为一种信息安全产 品，其进入市场并不是随意的，有相关的国家标准，也有相应的认证中心。国家于1 9 9 9 年 通过了关于防火墙的相关国家标准。 防火墙是一个网络的安全核心，它是设置在不同网络或网络安全区域之间的一系列部件 的组合。防火墙是不同网络或网络安全区域之间信息的唯一出入口，能根据既已设定的安全 策略来控制( 允许、拒绝、监测) 出入网络的信息流，且本身具有较强的抗攻击能力它是 提供信息安全服务，实现网络和信息安全的基础设施。 单纯的防火墙技术，就是对网络数据流的控制处理过程，但是这种简单的处理方式已经 远远不能满足日益增长的信息安全要求。 日益膨胀的网络流量。对网络处理器性能与效率的要求日趋增高； 种类繁多的网络攻击，使得内部网络的安全性更加令人担忧# 普通防火墙的高级应用几乎为零，给网络管理员带来诸多不便； 以防火墙技术为核心的网络安全架构，旨在解决以上诸多问题，作者在论文中，结合自 己对防火墙的理解，将防火墙的概念、发展、分类与功能做一详尽地阐述并给出了各阶段 关键技术的研究与实现，所傲主要工作、技术难点与创新处如下： 1 、防火墙的体系结构，应该是全面面向资源的结构模块化设计，对不同对象的具 体的组成资源，直接进行控制，这样极大的提高了安全性并保证了配置的方便性。 系统按纵向结构进行层次化设计，包括表示层、执行层、中心数据库、数据库操纵层、 数据及意外处理控制层和应用程序层：同时，系统按横向进行了高度的功能模块化设 计，这种高智能、高度模块化的设计。使得软件结构极为清晰合理，极易维护和升级， 并且提供了高质量，极易获得升级服务的软件系统 2 、防火墙的数据流控制技术采用最先进的状态包过滤技术。根据状态包过滤的思 路，在核心中维护一个连接链表，记录着相应连接的状态，对请求建立连接的数据包 进行更细粒度的检查，检查通过后记录到状态链表中，从而对后续的或是关联的数据 包只需检查其是否屑于已建立的连接，不需全部进行规则匹配，经过这样的状态处理 机制后不仅使安全性得到加强同时也大大提高了包转发效率。 3 、搭建高效日志处理平台使之能够处理海量的日志。大多数防火墙使用的日志 框架对于处理海量日志和高效分析日志来说是空自的，因此一般都设置另外一台单独 的日志服务器，但是优化的日志处理平台可以处理2 g 以上的日志文件。 4 、网络安全体系，应该提供可靠的检测性和防御性的工具，以使当攻击者试图攻 击受防火墙设备保护的网络时，能查明和阻挡其达到上述目的的企图。本文中，采用 多种攻击检测和防御技术，抵御目前网络中主要的攻击手段和技术。 5 、对数据包头分析过滤，采用i e 贝, j 表达式的模式匹配算法，对一些高层应用进行 限制。 6 、防火墙高可用性( h i 曲a v a i l a b l e ) 的实现。在同一个网络节点使用两个配置相 同的防火墙，使用直连线互通。正常情况下一个处于工作状态，为主机( p r i m a r y ) ， 另一个处于备份状态( s e c o n d ) ，为从机。当主机发生意外死机、网络故障、硬件故障 等情况时，主从防火墙自动切换工作状态，从机代替主机正常工作，从而保证了网络 的正常使用。切换过程不需要人为操作和其它系统的参与，并且主防火墙恢复使用功 能后，从防火墙自动将控制权交回主防火墙，保证网络更安全，更高效。 在对防火墙的关键技术详细分析的基础上对防火墙的体系结构傲一个宏观的设计，从 硬件的设计到软件的实现，始终体现了一个安全的基本策略。作者参与研制开发的基于防火 墙技术的网络安全体系架构，已经与军工以及多家大型国有企业进行合作，构建其自己的安 全网络体系。文章的最后给出了产品的设计应用规划和实际应用案例。 关键字：包过滤防火墙，应用级防火墙，流控制，网络安全架构，高可用性 中圈分类号：t p 3 9 3 0 8 4 a b s t r a c t w l lt h ed e v e l o p m e n to fi n f o r m a t i o nn e t w o r k i n g ，t h ec o n c e p t so fi n f o r m a t i o n n e t w o r k s e c u r i t ya r ei n c r e a s i n g l ya d v o c a t e da n dp r a c t i c e d , w h i c hn a t u r a l l yp u t sf o r w a r dt h er e s e a r c ho n i n f o r m a t i o n n e t w o r ks e c u r i t yf o re n t e r p r i s e s a i m i n ga tb e t t e rp r o t e c t i n ga n dd e p l o y i n gt h e r o u t i n ei s s u e si ne n t e r p r i s e s n e t w o r ks e c u r i t yp l a y sa ni m p o r t a n t 曲o na s s u r i n gt h en o r m a l m a n a g e m e n tp r o c e d u r e ，l i k eah u g eu m b r e l l ap m v i d i n gs e c u r i t yo v e rt h ei n f o r m a t i o nn e t w o r k s p e c i f i c a l l y , h r e w a hi sp r o v i d e d o n ek i n do fp r o d u c t sf o ri n f o r m a t i o ns e c u r i t y h o w e v e r , i t s n o tp e r m i t t e dt oe n t e rm a r k e tf r e e l yi nc h i n a ，i n s t e a dd e p e n d e n to nt h er e l a t e dn a t i o n a ls t a n d a r d s a n dt h ec o r r e s p o n d i n ga u t h o r i z a t i o nc e n t e r s s o m er e l a t e dn a t i o n a ls t a n d a r d i z a t i o nh a v eb e e n r e l e a s e di n1 9 9 9 c u r r e n t l yf i r e w a l li so n eo f t h em o s ti m p o r t a n tn e t w o r kp r o t e c t i o ne q u i p m e n t s f u r t h e r m o r e ， i tc o n s i s t so f as e r i e so f c o m p o n e n t sb e t w e e nd i f f e r e n tn e t w o r k so rs e c u r er e ：g i o n si nn e t w o r k sr e g c r e d i b l ei n t e r n a ln e t w o r ki ne n t e r p r i s e sa n di n c r e d i b l ep u b l i cn e t w o r k ) i ta c t sa st h eo n l ye n t r a n c e f o ri n f o r m a t i o ne x c h a n g eb e t w e e nd i f f e r e n tn e t w o r k so rs e c u r er e g i o n s ，a b l et oc o n t r o lt h e i n f o r m a t i o nf l o w i n gd e p e n d i n gu p o nt h es e c u r i t ys t r a t e g i e s ( c g a l l o w , d e n y , s u p e r v i s i o n , e t c ) i t a l s op o s s e s s e ss t r o n ga n t i a t t a c ka b i l i t yt op r o t e c ti t s e l ff r o mi n v a s i o no u t s i d e t h e r e f o r e ，f i r e w a l l w o r k sbt h ef u n d a m e n t a le q u i p m e n tt op r o v i d ei n f o r m a t i o ns e c u r i t ys e r v i c e sa sw e l la sa c h i e v e t h es e c u r i t yo f i n f o r m a t i o na n dn e t w o r k t h ep u r ef t r e w a l lt e c h n i q u e sa r ea c t u a l l yt h ec o n t r o la n dm a n a g e m e n tp r o c e d u r e sf o rd a t a f l o w si nn e t w o r k h o w e v e r , t h es i m p l em e t h o dc a n n o ts a t i s f yt h ei n c r e a s i n gr e q u i r e m e n t sf o r i n f o r m a t i o ns e c u r i t ya sf o l l o w s ： t h ei n c r e a s i n g l ye x p a n d i n gn e t w o r kf l o wr e q u i r e sf o rh i g h e rc a p a b i l i t ya n d e f f i c i e n c yo f n e t w o r kp r o c e s s o r ；, m u l t i p l ek i n d so fn e t w o r ki n v a s i o nm a k e su n e a s yt h es e c u r i t yo ft h ei n t e r n a l n e t w o r k ； t h eh i 曲l e v e la p p l i c a t i o no fo r d i n a r yf u c w a l lt e n d st ob eb l a n k ，w h i c hb r i n g s m u c hi n c o n v e n i e n c ef o rn e t w o r ka d m i n i s t r a t o r s t h ef r a m e w o r ko fn e t w o r ks e c u l t j t yw i mt h ek e r n e lo ff w e w a l lt e c h n i q u e si sa m i n ga t r e s o l v i n ga b o v ep r a c t i c a lp r o b l e m s i nt h et h e s i s ，t h ea u t h o re l a b o r a t e st h ec o n c e p t s ，d e v e l o p m e n t ， c l a s s i f i c a t i o na n df u n c t i o n a l i t i e so ff i r e w a l l sr e s p e c t i v e l yb yc o m b i n i n gh i so w nu n d e r s t a n d i n g ， a n df u r t h e ri n t r o d u c e st h er e s e a r c ha n di m p l e m e n t a t i o no f t h ek e yt e c h n o l o g i e sd u r i n ge a c hp h a s e i tc a nb ec l a s s i f i e di n t of o l l o w i n ga s p e c t s ： l 、t h ei n f r a s t r u c t u r eo ff i m w a l l s ，w h i c hs h o u l db et h ef u l l yr e s o u r c eo r i e n t e ds t r u c t u r a l m o d u l a r i z a t i o nd e s i g n c o m p o s i n gr e s o u r c e sf o rd i f f e r e n to b j e c t sa n dt a k i n gc o n t r o ld i r e c t l y g r e a t l ye n h a n c et h es e c u r i t ya n dg u a r a n t e et h ef a c i l i t yo fc o n f i g u r a t i o n t h es y s t e mi s h i e r a r c h i c a l l yd e s i g n e di nt h el e n g t h w i s e ，i n c l u d i n ge x p r e s s i o nl a y e r , e x e c u t i o nl a y e r , c e n t r a l d a t al a y e r d a t a b a s eo p e r a t i o nl a y e r , d a t aa n da c c i d e n t sm a n a g e m e n tc o n t r o l l a y e r a n d a p p l i c a t i o nl a y e r m e a n w h i l e ，t h es y s t e mi s 昀n s v e r s e l yd e s i g n e db a s e do nf u n c t i o n m o d u l a r i z a t i o n s u c hi n t e l l i g e n th i 曲m o d u l a r i z e dd e s i g nm a k e st h es o f t w a r es t r u c t u r ec l e a r a n dr e a s o n a b l e ，w h i c h g r e a t l yf a c i l i t a t e st h em a i n t e n a n c ea n du p d a t e s ，a n da l s op r o v i d e s h i g i l - q u m i t ys o f t w a r es y s t e mw i 也e a s ya v a i l a b i l i t yf o ru p d a t i n gs e r v i c e s 2 、t h ed a t as t r e a mc o n t r o la d o p t st h em o s ta d v a n c e ds t a t ep a c k a g ef i l t e rt e c h n i q u e s b a s e d 5 o nt h ei d e ao fs t a t ep a c k a g et i l t e r , ac h a i nt a b l ei sm a i l l m i n e di nt h ek e m e lt or e c o r dt h e c o r r e s p o n d i n gc o n n e c t i o ns t a t e s e a c hd a t ap a c k a g er e q u e s t i n gc o n n e c t i o ni sf i n e rc h e c k e da n d r e c o r d e di nt h es t a t ec h a i nt a b l e a f t e r w a r d s ，t h ef o l l o w i n go ra s s o c i a t e dd a t ap a c k a g eo n l y n e e d c h e c k e dw h e t h e ri tb e l o n g st ot h ee s t a b l i s h e dc o n n e c t i o n sr a t h e rt h a n 山ec o m p l e t e r u l e s m a t c h i n g t h e r e f o r e ，s u c hs t a t em a n a g e m e n tm e c h a n i s mi m p r o v e st h es e c u r i t ya n d g r e a t l yi n c r e a s e st h ep a c k e tf o r w a r d i n ge f f i c i e n c ys i m u l t a n e o u s l y 3 、e s t a b l i s h i n ge f f e c t i v el o gm a n a g e m e n tp l a t f o r mt od e a lw i t hn l l n l e d o u sl o g si sm a d eo n e t o p i cf o rf u - e w a l ld e s i g n a sm o s to f t h el o gf r a m e w o r k si nf i r e w a l l sa r el a c ko f t h ec a p a b f l i t y t od e a lw i t hn u n l e l - o u sl o g sw i t he f f e c t i v ea n a l y s e s ，t h u sa n o t h e ri n d e p e n d e n tl o gs e r v e ri s u s u a l l yu t i l i z e df o rt h ep u r p o s e h o w e v e r , t h eo p t i m i z e dl o gm a n a g e m e n tp l a t f o r mi sa b l et o m a n a g et h el o gf i l ee x c e e d i n g2 g 4 、s e c u r en e t w o r ks e c u r i t ys c e n a r i os h o u l dp r o v i d et o o l sw i t hr e l i a b l ed e t e c t i o na n d p r o t e c t i o nt of i n do u ta n df i u r t h e rr e s i s tt h ei n v a s i o na t t e m p t si f s o m ei n v a d e r sa l ea t t e m p t i n gt o a t t a c kt h en e t w o r kp r o t e c t e db yt h ef i r e w a l lf a c i l i t i e s i nt h i st h e s i s ，m u l t i p l ei n v a s i o nd e t e c t i o n a n dr e s i s t a n c et e c h n i q u e sa a d o p t e dt ok e 印a w a yt h ep r i m a r yi n v a s i o nm e t h o d si nc u r r e n t n c t w o r k s 5 、a n a l y z ea n df i l t e r t h eh e a d e ro ft h ed a t ap a c k a g e u s i n gv 8r e g u l a re x p r e s s i o n m o d e m a t c h i n ga l g o r i t h mi su t i l i z e dt oa n a l y 口a n df i l t e rt h eh e a d e ro ft h ed a t ap a c k a g e ，a n d r e s t r a i ns o m eh i g h - l a y e ra p p l i c a t i o n s 6 、t w of i r e w a l l sw i t ht h es a m ec o n f i g u r a t i o na r ca d o p t e da tan e t w o r kn o d e n 坞辩t w o 血e w a l i sa r ec o n n e c t e di ns t r a i g h tl i n e w h e r eo n ei sn a m e dp r i m a r yf i r e w a l li nn o r m a l w o r k i n gm o d e ，w h i l et h eo t h e ri ss e c o n df i r e w a l ii nd u p l i c a t em o d e w h e ns o m ea c c i d e n t s o c c u ri nt h ep r i m a r yf i r e w a l l ，l i k ed e a d l o c k ，n e t w o r ke r r o r s ，h a r d w a r ee x c e p t i o n , e t c ，t h e p r i m a r yf i r e w a l lw i l ls w i t c hi t sw o r k i n gm o d ea u t o m a t i c a l l ya n dt h es e c o n df n e w a l lw i l lw o r k i n s t e a do ft h ep r i m a r y0 1 1 e t h u st h en o r m a la p p l i c a t i o no fn e t w o r ki s g u a r a n t e e d n l e s w i t c h i n gp r o c e d u r ei se x e c u t e dw i t h o u tp e r s o n a lo p e r a t i o no ra n yc o o p e r a t i o nw i t ho t h e r s y s t e m s a f t e rt h ef u n c t i o n so ft h ep r i m a r yf w e w a l la r er e c o v e r e d ，t h ep r i m a r yf i m w a l lw i l lb e r e l e a s e da u t o m a t i c a l l yt og u a r a n t e et h es e c u r i t ya n de f f i c i e n c yo f t h en e t w o r k 耶t h e s i sm a k e sar n a c r o s c o p i c a l l yd e s i g nf o rt h ef i r c w a l li n f r a s t r u c t u r eb a s e do nt h ed e t a i l a n a l y s i so fi t sk e yt e c h n o l o g i e s i te m b o d i e st h eb a s i cs e c u r i t ys t r a t e g yf r o mt h eh a r d w a r ed e s i g n t ot h es o f b a , a r ed e s i g n t h ef a e w a l lb a s e dn e t w o r ks e c u r i t yf r a m e w o r kh a sb e e nc o m b i n e di n m i l i t a r ya n dm u l t i p l es t a t ee n t e r p r i s e st oe s t a b l i s ht h e i ro w ns e c u r i t yn e t w o r ki n f r a s t r u c t u r e i nt h e f m a lp a r t ，t h et h e s i sp r e s e n t st h ep r o s p e c t i v eo ft h ep r o d u c td e s i g na n da p p l i c a t i o na sw e l l t h e p r a c t i c a la p p l i c a t i o nc a s e s k e yw o r d s ：p a c k a g ef i l t e rf n e w a l l ，a p p l i c a t i o nl e v e lf i r e w a l l ，s t r e a mc o n t r o l ，n e t w o r k s e c u r i t yf r a m e w o r k ，h i g ha v a i l a b i l i t y 6 第一章引言 以l u t e m e t 为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广 泛应用，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统 扩展，典型的如党政部门信息系统、金融业务系统、企业商务系统等。伴随网络的普及，安 全日益成为影响网络效能的重要问题，而i n t e r a c t 所具有的开放性、国际性和自由性在增加 应用自由度的同时，对安全提出了更高的要求这主要表现在： 开放性的网络，导致网络的技术是全开放的，任何一个人、团体都可能获得，因而网络 所面临的破坏和攻击可能是多方面的。可能来自物理传输线路的攻击，也可以对网络通信协 议和实现实施攻击可以是对软件实施攻击，也可以对硬件实施攻击。 国际性网络意味着网络的攻击不仅仅来自本地网络的用户，它可以来自i n t e r n e t 上的任 何一个机器，也就是说，网络安全所面临的是一个国际化的挑战。 自由意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网 络，自由地使用和发布各种类型的信息。用户只对自己的行为负责，而没有任何的法律限制。 因特网是目前世界上最大的公共数据网络，可促进全球化的个人与商务通讯，并直接影 响所有人的生活。现今已有愈来愈多的通讯透过电子邮件传播，包括行动工作者、s o h o 族 及企业分公司使用因特网连结至远程企业网络。同时，有更多公司的绝大收益，就是来自因 特网上所进行的商业交易。 当然，这是个好现象但随着网络不断扩展以及相关技术不足已使得网络安全威胁大 增。企业也必须尽快建置自我保护之道。 任何企业或个人都可能遭受网络攻击而导致重大毁灭与诸多不便，包括最高机密或私人 数据遗失、数据损毁、隐私被侵害、设备数小时甚至数天无法正常运作，却也无可奈何 安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安 全技术与安全管理措施，完成以下任务： 使用访问控制机制阻止非授权用户进入网络，即“进不来”，从而保证网络系统 的可用性。 使用授权机制，实现对用户的权限控制即不该拿走的“拿不走”同时结合内容 审计机制，实现对网络资源及信息的可控性 使用加密机制，确保信息不暴露给未授权的实体或进程，即“看不懂”，从而实现 信息的保密性。 使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不 了”，从而确保信息的完整性。 使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“走不脱”， 并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规 则。该安全策略模型包括了建立安全环境的三个重要组成部分，即： 威严的法律：安全的基石是杜会法律、法规、与手段，这部分用于建立一套安全管 理标准和方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律， 不敢轻举妄动。 先进的技术：先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行 风险评估，决定其需要的安全服务种类。选择相应的安全机制，然后集成先进的 安全技术。 7 严格的管理：各网络使用机构、企业和单位应建立相宜的信息安全管理办法加强 内部管理，建立审计和跟踪体系，提高整体信息安全意识。 尽管，开放的、自由的、国际化的i n t e m e t 的发展给政府机构、企事业单位带来了革命 性的改革和开放，使得他们能够利用i n t e r a c t 提高办事效率和市场反应能力，以便更具竞争 力。通过i n t e m e t ，他们可以从异地取回重要数据，同时又要面对网络开放带来的数据安全 的新挑战和新危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，已成为政府机构、 企事业单位信息化健康发展所要考虑的重要事情之一。即客户、销售商、移动用户、异地员 工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业 必须加筑安全的“战壕”。而这个“战壕”就是防火墙。 2 1 防火墙的概念 第二章防火墙的概述 所谓“防火墙”，是指一种将内部网和公众访问网( 如i n t e r n e t ) 分开的方法它实际上 是一种隔离技术。防火墙的英文名为“f i r e w a l l ”，它是目前一种最重要的网络防护设备。从 专业角度讲，防火墙是位于两个( 或多个) 网络间，实施网络之间访问控制的一组组件集合。 防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许“同意”的人和数据进 入内部安全网络，同时将“不同意”的人和数据拒之门外最大限度地阻止网络中的恶意用 户访问网络，防止更改、拷贝、毁坏受保护网络的重要信息。 进一步说，防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或 网络安全区域之间的一系列部件的组合它是不同网络或网络安全区域之间信息的唯一出入 口，能根据企业的安全策略控制( 允许、拒绝、监测) 出入网络的信息流，且本身具有较强 的抗攻击能力它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上讲，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部 网和i n t e r a c t 之间的任何括动，保证了内部网络的安全( 中华人民其和国公共安全行业标准， 2 0 0 0 ) 。下图是常见的防火墙逻辑位置示意图： 图2 - 1 ：防火墙逻辑位置示意图 当构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌 在房屋周围作为屏障，这种防护构筑物被称之为防火墙。在今日的电子信息世界里，人们借 助了这个概念，使用防火墙来保护敏感的数据不被窃取和篡改，不过这些防火墙是由先进的 计算机系统构成的。 今天的防火墙被用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。这些防火墙 尤如一道护栏，置于被保护的内部网与不安全的非信任网络之间，我们目前广泛使用的互联 网络便是世界上最大的不安全网( u n t r u s t ) ，近年来媒体报导的很多黑客入侵事件都是通过 互联网络进行攻击的。 典型的防火墙具有以下三个方面的基本特性： ( 1 ) 内部网络和外部网络之间的所有网络数据流都必须经过防火墙； ( 2 ) 只有符合安全策略的数据流才能通过防火墙： ( 3 ) 防火墙自身应具有非常强的抗攻击免疫力： 通常架设防火墙需要相当大的硬软件资金投入，而且防火墙需要运行于一台独立的计算 9 机上，这样只用一台计算机连入互联网络的用户是不宜架设防火墙的。一般来说，防火墙是 用来保护由许多台计算机组成的大型网络，这也是黑客真正感兴趣的地方。防火墙可以是非 常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有 内部网和外部网之间的信息交换，防火墙保护着内部网络敏感的数据不被偷窃和破坏，并记 录内外通讯的有关状态信息日志，如通讯发生的时间和进行的操作等等。新一代的防火墙甚 至可以阻止内部人员将敏感数据向外传输。使用防火墙，可以管理子网与子网之间、子网与 外网之间的互访，将局域网络放置于防火墙之后可有效阻止来自外界的攻击。 在我国，防火墙作为一种信息安全产品，其进入市场并不是随意的，有相关的国家标准， 也有相应的认证中心国家于1 9 9 9 年通过了关于防火墙的相关国家标准： 夺g b t1 7 9 0 0 1 9 9 9 网络代理服务器的安全技术要求 夺g b t1 8 0 1 8 1 9 9 9 路由器安全技术要求 夺o b t1 8 0 1 9 1 9 9 9 信息技术包过滤防火墙安全技术要求 夺g b 厂r1 8 0 2 0 - 1 9 9 9 信息技术应用级防火墙安全技术要求 2 2 防火墙的发展 2 2 1 防火墙的发展阶段 根据防火墙技术发展的过程，可以将防火墙的发展分为以下几个阶段： 第一代防火墙，又称包过滤路由器( p a c k e tf i l t e r i n gr o u t e r ) 或筛选路由器( s c r e e n i n g r o u t e r ) 即通过检查经过路由器的数据包源地址、目的地址、t c p 端口号、u d p 端口号等 参数来决定是否允许该数据包通过，对其进行路由选择转发。这种防火墙很难抵御地址欺骗 等攻击，而且审计功能差。 第二代防火墙，也称代理服务器( p r o x ys e r v e r ) ，它用来提供网络服务级的控制，起到 外部网络向被保护的内部网申请服务时中间转接作用。内部网只接受代理提出的服务请求， 拒绝外部网络其它节点的直接请求。代理服务器可以根据服务类型对服务的操作内容等进行 控制，可以有效地防止对内部网络的直接攻击，安全性高。但是对于每一种网络应用服务都 必须为其设计一个代理软件模块来进行安全控制。而每一种网络应用服务的安全问题各不相 同，分析困难，因此实现也困难。同时代理的时间延迟一般比较大。 为了有效提高防火墙的安全性，有些厂商开发了具有状态监控( s t a t e f u li n s p e c t i o n ) 功 能的第三代防火墙，它在网络层对数据包的内容也进行检查。状态检测又称动态包过滤，是 在传统包过滤上的功能扩展，最早由c h e c k p o i n t 提出。状态检测通过检查应用程序信息( 如 f i p 的p o r t 和p a s s 命令) ，来判断此端口是否允许需要临时打开，而当传输结束时，端口 又马上恢复为关闭状态。 第一代和第三代防火墙从根本上讲可以属于包过滤防火墙。包过滤( p a c k e tf i l t e r i n g ) 防 火墙作用在网络层和传输层。它根据分组报文头部的源地址、目的地址和端口号、协议类型 等标志确定是否允许数据报文通过，一般从i p 、t c p 或u d p 报文头部获取过滤信息。只有 满足过滤逻辑的数据报文才被转发到相应的目的地出口端，其余数据报文则被从数据流中丢 弃。 包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层， 与应用层无关。但其弱点也是明显的：据以进行过滤判别的只有网络层和传输层的有限信息， 因而各种安全要求不可能充分满足；由于缺少上下文关联信息，不能有效地过滤如u d p 、 r p c 一类的协议：对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在 不同应用程序中的作用有较深入的理解。 o 第二代防火墙可以属于应用级防火墙。应用代理( a p p l i c a t i o np r o x y ) 防火墙也叫应用级 网关( a p p l i c a t i o ng a t e w a y ) 。它作用在应用层，其特点是完全“阻隔”了网络通信流，通过 对每种应用服务编胄4 专门的代理程序，实现监视和控制应用层通信流的作用实际中的应用 网关通常由专用工作站实现。它工作在o s i 模型的最高层，掌握着应用系统中可用作安全 决策的全部信息，能够实现较高安全性。但它也存在严重的不足：首先由于要实现一种应用 的代理就要为这种应用专门编制代理程序，灵活性和通用性都较差：其次由于作用在协议栈 的最高层，其效率显然是要低一些的。 由于包过滤防火墙和应用代理防火墙都存在明显的优点和不足，因此对更高安全性的要 求，又有将二者结合起来形成的复合型防火墙。 下图展示了不同类型防火墙在o s i 七层网络模型中的位置和相互间的关系。 o s l 七层模型防火墙类型 应用层 应用代理防火墙 表示层 会话层 传输层复合型防火墙 包过滤防火培 两络层 数据链路层 物理层 表2 - 1 ：不同类型的防火墙与o s l 模型的关系 新的防火墙已经超出了原来传统意义上防火墙的范畴。已经演变成一个全方位的安全技 术集成系统，我们称之为第四代防火墙。 第四代防火墙具有以下特点： 首先，它建立在安全操作系统的基础上安全操作系统有两种方法可以实现：一种是通 过许可证方式向操作系统软件提供商获得操作系统的源码，然后对其进行改进，加上内核特 性强化安全保护，实现安全内核，并通过固化操作系统内核来提高可靠性。另外一种是编 制一个专用的防火墙操作系统，保密系统内核细节，增强系统的安全性。 其次，各种新的信息安全技术被广泛应用在防火墙系统中，比如，用户身份鉴别技术、 加密技术等。网络环境下的身份鉴别是防火墙系统实现访问控制的关键技术。随着信息加密 技术在第四代防火墙中的广泛使用，地理位置上的限制已经不再是影响企业建立企业内部网 的一个重要因素，企业再也不用为各地的分公司连网租用专线或者建设一个昂贵的专用广域 网，因为虚拟专用网( v p n ) 技术的应用可以解决这个问题。 新一代防火墙技术采用了一些主动的网络安全技术，比如网络安全性分析、网络信息内 容的安全监测等等。它还可以抵御目前常见的网络攻击手段：口地址欺骗、特洛伊木马攻 击( t r o j a nh o r s e ) 、i n t e l l , n e t 蠕虫、口令探寻攻击、邮件攻击等等。 同时，新一代的防火墙能实现与i d s 、防病毒等其他安全系统的互联。实现了不同安全 产品之间的通讯，使安全系统更加富有成效。 2 2 2 防火墙的发展趋势 防火墙和家里的防盗门很相似，对普通人来说是一层安全防护，但是没有任何一种防火 墙能提供绝对的保护。这就是为什么许多公司建立多层防火墙的原因，当黑客闯过第一层防 火墙后他只能获取一部分数据，其他的数据仍然被安全地保护在内部防火墙之后。总之，防 火墙是增加计算机网络安全的手段之一，只要网络应用存在。防火墙就有其存在的价值。总 之，防火墙日趋走向一个大而全、协同工作的趋势。 作为抵御网络攻击的安全堡垒一网络防火墙，为适应i n t e m e t 的发展势头，其技术发展 也因此具备智能化、高速度、分布式、复合型、专业化等发展趋势。 各类的防火墙已在其产品中加入了更多的新技术来增加产品的竞争力。网络应用的内容 安全如计算机病毒保护便是最新加入防火墙的功能。据国际计算机安全协会( i c s a ) 的一 份报告，在1 9 9 6 年有2 3 的病毒感染是由e m a i l 引起的。大多数防火墙产品己能够监测通 过h t t p ，f t p ，s m t p 等协议传输的已知病毒。 从趋势上看，未来的防火墙将位于网络级( 包过滤) 防火墙和应用级防火墙之间，也就 是说网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向 “透明”、“低级”方面发展。摄终防火墙将成为一个快速注册稽查系统，可保护数据以加密 方式通过，使所有组织可以放心地在节点间传送数据。 ( 1 )新需求引发的技术走向，防火墙技术的发展离不开社会需求的变化，着眼 未来。我们注意到以下几个新的需求： 夺 远程办公的增长：2 0 0 2 年，全国主要城市先后受到s a i l s 病毒的侵袭，直接 促成大量的企事业在家办公，