向鹤 防火墙技术在网络中的应用研究.doc

防火墙技术在网络安全中的应用研究 重庆通信学院毕 业 设 计 论 文 题 目：防火墙技术在网络安全中的应用研究 专 业： 通信工程 学 员： 向 鹤 指导教师： 李顺华 二一一年五 月毕业设计（论文）任务书 课 题 防火墙技术在网络安全中的应用研究 25 队 专业 通信工程 姓 名 向鹤 指导教员 李顺华 二一一年 五 月课题主要任务与要求： 1、2、 3、了解论文的写作格式和要求。 4、每人独立完成论文一篇。参考资料：毕业设计（论文）完成的形式： 论文。任务下达时间： 200 年 月 日毕业设计（论文）开始与完成时间： 200 年 月 日至200 年 月 日组织实施单位： 教研室主任意见： 方案可行。 签字： 20 年 月 日系（部、大队）领导审核意见： 签字： 20 年 月 日 重庆通信学院毕业设计完成情况评语 成绩指导教师（签名） 年 月 日重庆通信学院学生毕业设计（论文）评阅学生姓名 成绩题目名称评语 评阅人（签名） 年 月 日重庆通信学院学生毕业设计（论文）答辩委员通过意见学生姓名 成绩题目名称评语 答辩小组负责人（签名） 答辩委员会负责人（签名）年 月 日摘 要因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。对此，我们既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。针对目前面临的网络安全问题，对网络安全和防火墙的基本概念进行了概括。防火墙是一种访问控制技术，它通过在某个机构的网络和不安全的网络之间设置障碍，阻止信息资源的非法访问。又系统地阐述了主机兴网络防火墙的工作原理和关键技术。分析了防火墙技术在Internet安全上的重要作用，并提出其不足之处和解决方案。最后阐述了实例，防火墙在校园里的应用，以及防火墙发展趋势和防火墙的反战前景及技术方向。关键词： 因特网 安全 防火墙 访问控制技术 关键技术 Abstract ：Internet provides not only wonderful people, but also at all times there are various risks and pitfalls. In this regard, we not only those who can not downplay the potential danger, and cause unnecessary losses; can not be rejected because of fear of some dangerous and a variety of useful Internet services, such individuals will lose the understanding of the world, showing their place, also lost to enterprises to expand their business, improve service and enhance competitive opportunities. Continue to improve their network security is effective to approach. For now facing network security, network security and firewall on the basic concepts are summarized. A firewall is an access control technology, it was adopted in an organizations network and unsafe barriers between networks to prevent unauthorized access to information resources. And systematic exposition of the work of a network firewall host Hing principle and key technologies. Analysis of Internet security, firewall technology in the important role and made its deficiencies and solutions. Finally, the example described, the application of the campus firewall, and firewall firewall anti-war trends and prospects and technical direction.Keywords：Internet security firewall access control key technologiesKeywords：窗体顶端目 录摘 要8目 录9第一章 网络安全的基础知识简介111.1 网络安全定义111.2 不同环境和应用中的网络安全121.3 网络安全的威胁源121.4 网络安全中的其它技术13第二章 防火墙概述162.1 防火墙的概念162.2 防火墙的原理162.3 防火墙的功能及特点172.3.1防火墙的功能172.3.2防火墙的优点172.3.3防火墙的不足172.4 防火墙的架构182.5 防火墙系统的解决方案182.6 防火墙的发展历史192.6.1 基于功能的划分，可划分为五个阶段192.6.2 基于实现方式划分，可以分为如下四个阶段202.7 防火墙各个阶段的特点202.7.1静态包过滤防火墙202.7.2动态包过滤防火墙212.7.3代理（应用层网关）防火墙212.7.4自适应代理防火墙212.8 防火墙的体系结构222.8.1 双重宿主主机体系结构222.8.2 被屏蔽主机体系结构232.8.3 被屏蔽子网体系结构24第三章 防火墙的技术263.1 屏蔽路由技术263.2 基于代理的（也称应用网关）防火墙壁技术273.3 包过滤技术293.4 动态防火墙技术293.5 一种改进的防火墙技术（或称复合型防火墙技术）31第四章 防火墙在校园网内的应用324.1 防火墙在校园网中的连接拓扑图324.2 校园网防火墙的设计334.2.1 防火墙的安全要求334.2.2 防火墙拓扑设计的基本原则334.2.3构建防火墙体系结构344.2.2防火墙网络管理与安全策略344.3校园网防火墙系统的配置374.3.1 CERNET进入主干网的存取控制374.3.2 网络中心资源主机的访问控制374.3.3 校园网外非法网址的访问384.4防火墙系统软件的配置和管理384.4.1防火墙系统软件的配置384.4.2防火墙系统软件的管理394.5防火墙测试39第五章 防火墙的未来发展405.1防火墙发展趋势405.1.1 优良的性能405.1.2 可扩展的结构和功能405.1.3 简化的安装和管理415.1.4 主动过滤415.1.5 防病毒与防黑客415.2 防火墙的反战前景及技术方向42第六章 结 论43参考文献43致 谢44第一章 网络安全的基础知识简介1.1 网络安全定义网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私火商业利益的信息在网络上传输受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私，同时也避免其他用户的非法授权访问和破坏。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作收到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄漏，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其控制。从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统的数据收到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄密，系统连续可靠的运行，网络服务中断。广义来说，凡事涉及到网络上信息的保密性、完整性、可用性、真实性、和可控制性的相关技术和理论都是网络安全索要研究的领域。网络安全涉及到的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击管理方面则侧重于内部认为因素的管理。如何更有效的保护重要的信息数据、提高计算机网络系统的安全性已成为所有计算机网络应用必须考虑和必须解决的一个重要问题。1.2 不同环境和应用中的网络安全运行系统安全：保证信息处理和传输系统的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输造成破坏和损失，避免由于电磁泄漏，产生信息泄漏，干扰他人，受他人干扰。 网络上系统信息的安全：包括用户口令鉴别，用户存取权限控制，数据存取权限，方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密。 网络上信息传播安全：即信息传播后果的安全。包括信息过滤等。它侧重于防治和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。 网络上信息内容的安全：它侧重于保护数据的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。1.3 网络安全的威胁源 网络安全性面临的威胁对于网络安全性，可以通过甲、乙两个用户在计算机网络上的通信来考虑计算机网络面临的威胁，主要有一下几种情况：（1）信息泄露当甲通过网络与乙进行通信时，如果不采取任何保密措施，那么其他人就与可能偷看到他们的通信内容。（2）识别对于进入计算机网络系统的用户，系统必须检验其合法性。如果不是系统的合法用户，系统将不给予服务。因此系统要有“身份识别的功能”。（3）假冒甲和乙是系统的合法用户，网络为他们提供应有的服务。丙也想获得这些服务，于是丙系统发出：“我是乙”。系统怎么才能识别这一服务请求不是由乙发出的，而是假冒的呢？（4）篡改乙给甲发了如下一份文报：“请给丁汇100元钱。乙”。文报在转发过程中经过了丙的手。丙就把“丁”改成了“丙”。（5）恶意程序的攻击除了上述用户之间通信中的信息安全问题外，网络本身也容易遭受一些恶意程序（rogue program）的攻击。恶意程序种类繁多，对网络安全威胁较大主要有以下几种：计算机病毒、计算机蠕虫特洛伊木马逻辑炸弹。这里所说的计算机病毒是侠义的也有人把所有的恶意程序指为计算机病毒。目前，计算机病毒被分为3大类型，即分区病毒、文件病毒和宏病毒。 人为威胁源人为威胁源有两种，一种是指计算机黑客闯入用户的网络计算机系统，我们把他称为外部危险；一种来自系统的内部，我们把它称为内部危险。（1）网络内部危险包括一下几个方面：设计安全过程中，没有考虑员工和公司之间的关系。网络安全需要花费管理人员的精力来维护和实施，造成经费的增加。网络安全主要来自企业内部松懈的、甚至完全不存在的安全措施。用户对限制访问的安全策略有抵触情绪、不遵守安全标准。（2）外部危险，网络外部危险包括一下几个方面，窃取机密信息，向外部透露敏感信息，非法访问网络服务程序和资源，干扰网络正常服务，故意损坏、修改和删除数据，窃取或损坏硬件和软件。1.4 网络安全中的其它技术网络安全其它技术还有加密技术、rsa算法、pki技术、认证机构。信息交换加密技术分为两类：即对称加密和非对称加密。在对称加密技术中，对信息的加密和解密都是用相同的钥，也就是说一把钥匙开一把锁。这种加密的方法可简化加密处理过程，信息交换双方都不彼此研究和交换专用的加密算法。在非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，它不适合于对文件加密而只适用于对少量数据进行加密。rsa算法是rivest、shamir和adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在rsa体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。Rsa算法的描述如下：公开密钥：n=pq （p、q分别为两个互异的大素数，p、q必须保密） e与（p-1）（q-1）互素 私有密钥：d=e-1mod（p-1）（q-1） 加密：c=me（mod n），其中m为明文c为密文。 解密：m=cd（mod n）利用目前已经掌握的知识和理论，分解2048bit的大整数已经能够超过64位计算机的运算能力，因此在目前和预见的未来，它是足够安全的。pki（public key infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。Pki技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事物等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而pki技术恰好是一种适合电子商务、电子政务、电子事物的密码技术，它能够有效的解决电子商务应用中的机密性、真实性、安全性、不可否认性和存取控制等安全问题。ca（certification authorty）就是这样一个确保信任度发热权威实体，它主要职责是颁发证书、验证用户身份的真实性。传统的网络防火墙，存在着以下不足之处：无法检测加密的Web流量如果你正在部署一个关键的门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。普通应用程序加密后，也能轻易躲过防火墙的检测网络防火墙无法看到的，不仅仅是SSL加密的数据。对于应用程序加密的数据，同样也看不到。在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵检测系统（IDS,Intrusion Detect System）的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库已有的特征完全匹配时，防火墙才能识别和截获攻击数据。但如今，采用常见的编码技术，就能够将恶意代码和其它攻击命令隐藏起来，转换成形式，既能够前端的网络安全系 统，又能够在后台服务器中执行。这种加密后的攻击代码，只要与防火墙规则库中的 不一样，就能够躲过防火墙，成功避开特征匹配。 对于Web应用程序，防范能力不足网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表（ACLs，Access Control Lists）。在这一方面，网络防火墙表现确实十分出色。今年来，实际应用过程中，HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商，均已转移到基于Web的体系结构，安全防护的目的，不在只是重要的业务数据。网络防火墙的防护范围，也发生了变化。由于体系结构的原因，即使是最先进的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和数据流也无法截获应用层的攻击。由于对正体的应用数据流，缺乏完整的、基于会话级别的监控能力，因此很难预防新的未知的攻击。 应用防护特征，只适用于简单情况目前的数据中心服务器，时常会发生变动，比如：定期需要部署新的应用程序；经常需要增加或更新软件模块；经常会发现代码中的bug，已部署的系统需要定期打补丁。虽然一些先进的网络防火墙供应商，提出了应用防护的特征，但只是适用于简单的环境中。细看就会发现，对于实际的企业应用来说，这些特征存在着局限性。在多数情况下，弹性概念（Proof-Of-Concept）的特征无法应用于现实生活中的数据中心上。比如，有些防火墙供应商，曾经声称能够阻止缓存溢出：当黑客在浏览器的URL中输入太长数据，试图使用后台服务崩溃或使试图非法访问的时候，网络防火墙能够检测并制止这种情况。细看就会发现，这些供应商采用对80端口数据流中，针对URL长度进行控制的方法，来实现这个功能的。如果使用这个规则，讲对所有的应用程序生效。如果一个程序或者是一个简单的Web网页，确实需要涉及到很长的URL时，就要屏蔽该规则。网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层竞选防护，除非是一些很简单的应用程序。 无法扩展带深度的检测功能基于状态检测的网络防火墙，如果希望只扩展深度检测（deep inspection）功能，而没有相应增加网络性能，这是不行的。真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面;SSL 加密/解密功能；完全的双向有效负载检测；确保所有合法流量的正常化；广泛的协议性能；这些任务，在基于标准PC硬件上，是无法高效运行的，虽然一些网络防火墙供应商采用的是基于ASIC 平台，但进一步研究，就能发现：旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。 小结：应用层受到攻击的概率越来越大，而传统的网络防火墙在这方面有存在着不足之处。对此，少数防火墙供应商也开始意识到应用层的威胁，在防火墙产品上增加了一些弹性概念（Proof-Of-Concept）的特征，试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳，对于上述出的五大不足之处，将来需要在网络层和应用层加强防范。第二章 防火墙概述2.1 防火墙的概念防火墙是指设置在不同网络，如可信任的企业内部网和不可信的公共网（如Internet）或网络安全域之间的一系列部件的组合，如图2-1所示。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。图2-1 防火墙原理2.2 防火墙的原理随着规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征（例如入侵检测），但这几乎是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 （Firewall），防火墙是用来在安全私有网络（可信任网络）和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏DMZ外网和内部局域网的防火墙系统。2.3 防火墙的功能及特点2.3.1防火墙的功能防火墙是网络安全的一道屏障，它可以作为内网和外网之间的一个阻塞点或是控制点，极大地提高了一个内部网络的安全，并通过过滤不安全的服务来降低风险。只有经过其许可的应用协议或服务才能通过防火墙，因此网络环境将更安全。其功能主要有以下几种：（1）所有进出网络的通信数据都必须通过防火墙；（2）所有想穿过防火墙的通信数据都必须经过安全策略以及计划的确认和授权后才允许通过；（3）可以很方便地监视网络的安全性，并报警；（4）可以作为部署NAT（Network Address Translation，网络地址转换）的一个地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用于缓解IP地址空间不足的问题。2.3.2防火墙的优点（1）防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全策略（如口令、加密、身份认证、审计等）配置在防火墙上。防火墙执行网络的安全策略，只允许经过许可的、符合规则的请求通过。（2）对网络存取和访问进行监控审计防火墙可以记录所有经过访问墙的访问并做出日志记录，同时也能提供网络使用情况的统计数据。（3）防止内部信息外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。（4）防火墙是一个安全策略的检查站所有进出的信息都必须经过防火墙，它成为安全问题的检查点，拒绝可以的访问。 2.3.3防火墙的不足虽然防火墙具有较多的优点，但是它还是存在着一些不足，主要有以下几个方面：1）不能防范恶意的知情者防火墙可以禁止系统用户通过网络连接发送信息，但是用户可以将这些信息通过移动硬盘、U盘和刻录光盘等形式带出去。如果入侵者是内部网络的用户，则防火墙也是无能为力的。2）不能防范不通过防火墙的连接如果信息不通过防火墙进行传输，则防火墙也不起作用。例如，内部网络中的站点通过其它连接方式（如拨号连接）连接外部网络，则防火墙就没有办法阻止入侵者利用拨号入侵。3）不能防备全部的威胁如果是一个很好的防火墙设计方案，则可以防御新的威胁，但是没有一个防火墙能够自动防御所有新的威胁。4）不能防范病毒防火墙不能清除网络上主机上的病毒。2.4 防火墙的架构防火墙产品的三代体系架构主要为： 第一代架构：主要是以单一cpu作为整个系统业务和管理的核心，cpu有x86、powerpc、mips等多类型，产品主要表现形式是pc机、工控机、pc-box或risc-box等；第二代架构：以np或asic作为业务处理的主要核心，对一般安全业务进行加速，嵌入式cpu为管理核心，产品主要表现形式为box等； 第三代架构：iss（integrated security system）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能cpu发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。2.5 防火墙系统的解决方案防火墙就如一道墙壁，把内部网络（也称私人网络）和外部网络（也称公共网络）隔离开。起到区域网络不同安全区域的防御性设备的作用，例如：互联网络（internet）与企业内部网络（intranet）之间，如图2-2所示。图2-2 内部网络和外部网络根据已经设置好的安全规则，决定是允许（allow）或者拒绝（deny）内部网络和外部网络的连接，如图2-3所示。图2-3 内部网络与外部网络的连接2.6 防火墙的发展历史2.6.1 基于功能的划分，可划分为五个阶段第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。下图图2-4表示了防火墙技术的简单发展历史。图2-4防火墙技术的发展历史2）第二、三代防火墙1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。3）第四代防火墙1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。4）第五代防火墙 1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。2.6.2 基于实现方式划分，可以分为如下四个阶段1）第一代防火墙基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。2）第二代防火墙用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。3）第三代防火墙建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。4）第四代防火墙具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。2.7 防火墙各个阶段的特点2.7.1静态包过滤防火墙静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这 些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段：主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包，一旦有一个包通过了防火墙，那么攻击者停止再发测试IP地址的信息包，用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。2.7.2动态包过滤防火墙静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。2.7.3代理（应用层网关）防火墙这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。2.7.4自适应代理防火墙自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。我们把两种防火墙的优缺点的对比用下列表的形式表示如下：优点缺点包过滤防火墙价格较低性能开销小，处理速度较快定义复杂，容易出现速度较慢，不太适用于高速网之间的应用代理防火墙内置了专门为提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成2.8 防火墙的体系结构2.8.1 双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如，因特网）并不是直接发送到其他网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之间，并且被连接到因特网和内部的网络，如图2-5所示图2-5双重宿主主机体系结构2.8.2 被屏蔽主机体系结构双重宿主主机体系结构提供来自与多个网络相连的主机的服务（但是路由关闭），而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包过滤，其结构如图2-6所示。图2-6 被屏蔽主机体系结构在屏蔽的路由器上的数据包过滤是按这样一种方法设置的: 堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁（例如，传送进来的电子邮件）。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。数据包过滤也允许堡垒主机开放可允许的连接（什么是“可允许”将由用户的站点的安全策略决定）到外部世界。在屏蔽的路由器中数据包过滤配置可以按下列之一执行：允许其他的内部主机为了某些服务与因特网上的主机连接（即允许那些已经由数据包过滤的服务）。不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。用户可以针对不同的服务混合使用这些手段；某些服务可以被允许直接经由数据包过滤，而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。因为这种体系结构允许数据包从因特网向内部网的移动，所以它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。实际上，双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败（因为这种失败类型是完全出乎预料的，不太可能防备黑客侵袭）。进而言之，保卫路由器比保卫主机较易实现，因为它提供非常有限的服务组。多数情况下，被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。然而，比较其他体系结构，如在下面要讨论的屏蔽子网体系结构也有一些缺点。主要是如果侵袭者没有办法侵入堡垒主机时，而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下，路由器同样出现一个单点失效。如果路由器被损害，整个网络对侵袭者是开放的。2.8.3 被屏蔽子网体系结构被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是Internet）隔离开。被屏蔽子网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，它将仍然必须通过内部路由器，如图2-7所示。图2-7 被屏蔽子网体系结构对图2-7的要点说明如下：周边网络周边网络是另一个安全层，是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。对于周边网络的作用，举例说明如下。在许多网络设置中，用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的，对大多数以太网为基础的网络确实如此（而且以太网是当今使用最广泛的局域网技术）；对若干其他成熟的技术，诸如令牌环和FDDI也是如此。探听者可以通过查看那些在Telnet、FTP以及Rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破，探听者仍然能偷看或访问他人的敏感文件的内容，或阅读他们感兴趣的电子邮件等；探听者能完全监视何人在使用网络。对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或通往堡垒主机或Internet。因为没有严格的内部通信（即在两台内部主机之间的通信，这通常是敏感的或专有的）能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。一般来说，来往于堡垒主机，或者外部世界的通信，仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不至于机密到阅读它将损害你的站点的完整性。堡垒主机在屏蔽的子网体系结构中，用户把堡垒主机连接到周边网；这台主机便是接受来自外界连接的主要入口。例如：对于进来的电子邮件（SMTP）会话，传送电子邮件到站点。对于进来的FTP连接，转接到站点的匿名FTP服务器。对于进来的域名服务（DNS）站点查询等。另外，其出站服务（从内部的客户端到在Internet上的服务器）按如下任一方法处理：在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈，反之亦然。但是禁止内部的客户端与外部世界之间直接通信（即拨号入网方式）。内部路由器内部路由器（在有关防火墙著作中有时被称为阻塞路由器）保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机（在周边网上）和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。外部路由器在理论上，外部路由器（在有关防火墙著作中有时被称为访问路由器）保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的；如果在规则中有允许侵袭者访问的错误，错误就可能出现在两个路由器上。一般地，外部路由器由外部群组提供（例如，用户的Internet供应商），同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器，但是不愿 意使维护复杂或使用频繁变化的规则组。外部路由器实际上需要做什么呢？外部路由器能有效地执行的安全任务之一（通常别的任何地方不容易做的任务）是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。第三章 防火墙的技术防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相同，采用不同的技术，因而也就产生了不同类型的防火型。防火墙所采用的技术主要有：3.1 屏蔽路由技术最简单和最流行的防火墙形式是“屏蔽路由器”。多数商业路由器具有内置的限制目的地间通信的能力。屏蔽路由器一般只在网络层工作（有的还包括传输层），采用包过滤或虚电路技术，包过滤通过检查每个IP网络包，取得其头信息，一般包括：到达的物理网络接口，源IP地址，目标IP地址，传输层类型（TCP UDP ICMP），源端口和目的端口。根据这些信息，判别是否规则集中的某条目匹配，并对匹配包执行规则中指定的动作（禁止或允许）。包括滤系统通常可以重置网络包地址，从而流出的通信包看来不同于其原始主机地址转换（NAT），通过NAT可以隐藏内部网络拓朴和地址表，而虚电路技术的核心是验证通信包是一个连接中的数据包（两个传输层之间的虚电路）。首先，它检查每个连接的建立以确保其发生在合法的握手之后。并且，在握手完成前不转发数据包，系统维护一个有效连接表（包括完整的会话状态和序列信息），当网络包信息与虚电路表中的某一入口匹配时才允许包含数据的网络包通过。当连接终止后，它在表中的入口就被删除，从而两个会话层之间的虚电路也就被关闭了。屏蔽路由器类型的防火墙的优点：性能要优于其他类型的防火墙，因为它执行较少的计算。并且，可以很容易地以硬件方式实现。规则设置简单，通过禁止内部计算机和特定Internet 贺源的连接，单一规则即可保护整个网络。不需对客户端计算机进行专门的配置。通过NAT，可以对外部用户屏蔽内部IP。其缺点是：无法识别到应用层协议，也无法对协议子集进行约束。处理包内信息的能力有限。通常不能提供其他附加功能，如http的目标缓存，URL过滤以及认证。无法约束由内部主机到防火墙服务器上的信息，只能控制什么信息可以过去，从而入侵者可能防问到防火墙主机的服务，从而带来安舍隐患，没有或缺乏审计追踪，从而也就缺乏报警机制。由于对众多网络服务的“广泛“支持所造成的复杂性，很难对规则有效性进行测试。综上所述：屏蔽路由技术往往比较脆弱，因为它还要依赖其背后主机上应用软件的正确配置。因此，在使用此类型的防火墙时，通常配合其他系统使用。、3.2 基于代理的（也称应用网关）防火墙壁技术它通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就称为“代理”，通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务通信，而是与代理服务器通信（用户的默认网关指向代理服务器）。各个应用代理在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪，许多专家也认为它更加安全，因为代理软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范已知的攻击。如图3-1所示图3-1 代理服务原理结构代理防火墙的主要优点：代理服务可以识别并实施高层的协议，如http和ftp等。代理服务包含通过防火墙服务器的通信信息，可以提供源于部分传输层，全部应用层和部分会话层的信息。代理服务可以用于禁止防问特定的网络服务，而允许其他服务的使用。代理服务能处理数据包通过提供透明服务，可以让使用代理的用户感觉在直接与外部通信。代理服务还可以提供屏蔽路由器不具备的附加功能。代理防火墙的主要缺点代理服务有性能上的延迟，因为流入数据需要被处理两次（应用程序和其代理）代理防火墙一般需要客户端的修改或设置，因此，配置过程繁琐。代理由于通常需要附加的口令和认证而造成延迟，可以会给用户带来不便。应用级防火墙一般不能提供UDP，RPC等特殊协议类的代理。应用层有时会忽略那些底层的网络包信息。3.3 包过滤技术系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过虎防火墙工作在网络层和逻辑链路层之间。截获所有流经的IP包，从其IP头、传输层协议头，甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行