防火墙技术综述.doc

防火墙技术综述目录第一章 绪论41.1摘要41.2引言4第二章 防火墙概述52.1防火墙技术简介52.2防火墙的主要功能5第三章 防火墙技术与产品发展的回顾63.1基于路由器的防火墙63.2用户化的防火墙工具套73.3建立在通用操作系统上的防火墙8第四章 第四代防火墙的主要技术及功能 .84.1双端口或三端94.2透明的访问方式94.3灵活的代理系统94.4多级过滤技术94.5网络地址转换技术94.6 网关技术104.7安全服务网络（）104.8用户鉴别与加密104.9 用户定制服务114.10 审计和告警11第五章 第四代防火墙技术的实现方法115.1 安全内核的实现115.2 代理系统的建立125.3分组过滤器的设计135.4安全服务器的设计13第六章 第四代防火墙的抗攻击能力146.1抗假冒攻击146.2抗特洛伊木马攻击156.4抗网络安全性分析156.5抗邮件诈骗攻击16第七章 防火墙技术展望16参考文献17 第一章 绪论1.1摘要因特网的迅猛发展给人们的生活带来了极大的方便，但同时因特网也面临着空前的威胁。因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性，所以对网络安全的各独立元素防火墙，漏洞扫描，入侵检测和反病毒等进行风险评估是很有必要的。 随着的迅猛发展，安全性已经成为网络互联技术中最关键的问题。本文全面介绍了防火墙技术与产品的发展历程；详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力；同时简要描述了防火墙技术的发展趋势。 关键词：网路安全防火墙过滤地址转换。1.2引言 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以网络为最甚。的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：1995年，刚刚面市的防火墙技术产品市场量还不到1万套；到1996年底，就猛增到10万套；据国际权威商业调查机构的预测，防火墙市场将以173%的复合增长率增长，今年底将达到150万套，市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。为了更加全面地了解防火墙及其发展过程，特别是第四代防火墙的技术特色，我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。第二章 防火墙概述2.1防火墙技术简介 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲，防火墙服务也属于类似的用来防止外界侵入的。它可以防止上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上，防火墙并不像现实生活中的防火墙，它有点像古代守护城池用的护城河，服务于以下多个目的：1)限定人们从一个特定的控制点进入； 2)限定人们从一个特定的点离开； 3)防止侵入者接近你的其他防御设施； 4)有效地阻止破坏者对你的计算机系统进行破坏。 在现实生活中，防火墙常常被安装在受保护的内部网络上并接入，如图1所示。 图1防火墙在中的位置 从上图不难看出，所有来自的传输信息或你发出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲，防火墙是起分隔、限制、分析的作用，这一点同样可以从图1中体会出来。那么，防火墙究竟是什么呢?实际上，防火墙是加强(内部网)之间安全防御的一个或一组系统，它由一组硬件设备(包括路由器、服务器)及相应软件构成。2.2防火墙的主要功能包过滤。包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据,它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址，源端口，目的地址，目的端口，协议和时间；可根据地址簿进行设置规则。地址转换。网络地址变换是将内部网络或外部网络的地址转换，可分为源地址转换 ()和目的地址转换 ()用于对内部网络地址进行转换。对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的 地址动态或静态的与内部地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。主要用于外网主机访问内网主机。认证和应用代理认证指防火墙对访问网络者合法身份的确定。代理指防火墙内置用户认证数据库：提供，和代理功能，并可对这三种协议进行访问控制：同时支持过滤功能。透明和路由指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐藏智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问；防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。第三章 防火墙技术与产品发展的回顾3.1基于路由器的防火墙防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下五大基本功能： 过滤进、出网络的数据；管理进、出网络的访问行为； 封堵某些禁止行为； 记录通过防火墙的信息内容和活动； 对网络攻击进行检测和告警。 为实现以上功能，在防火墙产品的开发中，人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展，可以将其划分为如下四个阶段(即四代)。本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是： 1) 利用路由器本身对分组的解析，以访问控制表()方式实现对分组的过滤；2) 过滤判断的依据可以是：地址、端口号、旗标及其他网络特征；3) 只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路 由器作为防火墙第一代防火墙产品的不足之处十分明显，具体表现为：路 由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在使用协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20号端口仍可以由外部探寻。 路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。 路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客()可以在网络上伪造假的路由信息欺骗防火墙。 路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。 可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。3.2用户化的防火墙工具套为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。 作为第二代防火墙产品，用户化的防火墙工具套具有以下特征： 1) 将过滤功能从路由器中独立出来，并加上审计和告警功能； 2) 针对用户需求，提供模块化的软件包；3) 软件可以通过网络发送，用户可以自己动手构造防火墙； 4) 与第一代防火墙相比，安全性提高了，价格也降低了。 由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题： 配置和维护过程复杂、费时； 对用户的技术要求高； 全软件实现，使用中出现差错的情况很多。3.3建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操 作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品，它们具有如下一些 特点： 1) 是批量上市的专用防火墙产品； 2) 包括分组过滤或者借用路由器的分组过滤功能； 3) 装有专用的代理系统，监控所有协议的数据和指令； 4) 保护用户编程空间和用户可配置内核参数的设置； 5) 安全性和速度大大提高。 第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同 。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如： 1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性 无从保证； 2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的 安全性负责； 3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商 的攻击； 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能； 5)透明性好，易于使用。第四章 第四代防火墙的主要技术及功能 .4.1双端口或三端口的结构 新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。4.2透明的访问方式 以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。4.3灵活的代理系统 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接()技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。4.4多级过滤技术 为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒地址；在应用级网关一级，能利用、等各种网关，控制和监测提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。4.5网络地址转换技术 第四代防火墙利用技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。4.6 网关技术 由于是直接串联在网络之中，第四代防火墙必须支持用户在互联的所有服务，同时还要防止与服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括、等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用()”做物理上的隔离。 在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部服务器，主要处理内部网络和信息；另一种是外部服务器，专门用于处理机构内部向提供的部分信息。 在匿名方面，服务器只提供对有限的受保护的部分目录的只读访问。在服务器中，只支持静态的网页，而不允许图形或代码等在防火墙内运行。在服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。与邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境。服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自的新闻开设了专门的磁盘空间。4.7安全服务网络（） 为了适应越来越多的用户向上提供服务时对服务器的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络()技术。而对上的主机既可单独管理，也可设置成通过、等方式从内部网上管理。 方法提供的安全性要比传统的“隔离区()”方法好得多，因为与外部网之间有防火墙保护，与风部网之间也有防火墙的保护，而只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦受破坏，内部网络仍会处于防火墙的保护之下，而一旦受到破坏，内部网络便暴露于攻击之下。4.8用户鉴别与加密 为了减低防火墙产品在、等服务和远程管理上的安全风险，鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。4.9 用户定制服务 为了满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用、出站、等，如果某一用户需要建立一个数据库的代理，便可以利用这些支持，方便设置。4.10 审计和告警 第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个或探寻，并能以发出邮件、声响等多种方式报警。 此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。第五章 第四代防火墙技术的实现方法在第四代防火墙产品的设计与开发中，安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。5.1 安全内核的实现 第四代防火墙是建立在安全操作系统之上的，安全操作系统来自对专用操作系统的安全加固和改造，从现在的诸多产品看，对安全操作系统内核的固化与改造主要从以下几个方面进行： 1)取消危险的系统调用； 2)限制命令的执行权限； 3)取消的转发功能； 4)检查每个分组的接口； 5)采用随机连接序号； 6)驻留分组过滤模块； 7)取消动态路由功能； 8)采用多个安全内核。5.2 代理系统的建立 防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全，所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。 在所有的连接通过防火墙前，所有的代理要检查已定义的访问规则，这些规则控制代理的服务根据以下内容处理分组： 1)源地址； 2)目的地址； 3)时间 4)同类服务器的最大数量。 所有外部网络到防火墙内部或的连接由进站代理处理，进站代理要保证内部主机能够了解外部主机的所有信息，而外部主机只能看到防火墙之外或的地址。 所有从内部网络通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络的连接。5.3分组过滤器的设计 作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访 问， 过 滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分组 过滤功能都在内核中堆栈的深层运行，极为安全。分组过滤器包括以下参数。 1)进站接口； 2)出站接口； 3)允许的连接； 4)源端口范围； 5)源地址； 6)目的端口的范围等。 对每一种参数的处理都充分体现设计原则和安全政策。5.4安全服务器的设计 安全服务器的设计有两个要点：第一，所有的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。 上的每一个服务器都隐蔽于，提供的服务对外部网络而言好像防火墙功能，由于地址已经是透明的，对各种网络应用没有限制。实现的关键在于： 1)解决分组过滤器与的连接； 2)支持通过防火墙对的访问； 3)支持代理服务。 5.5 鉴别与加密的考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护之外，还有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种一种是加密卡()；另一种是，这两种都是一次性口令的生成工具。 对信息内容的加密与鉴别则涉及加密算法和数字签名技术，除、和外，目前国外防火墙产品中尚没有更好的机制出现，由于加密算法涉及国家信息安全和主权，各国有不同的要求。第六章 第四代防火墙的抗攻击能力 作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。6.1抗假冒攻击 假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的地址，因而难以攻击。 6.2抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载并执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。 6.3抗口令字探寻攻击 在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。 第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施，能够有效防止对口令字的攻击。 6.4抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络