防火墙技术介绍

1、防火墙技术介绍一、防火墙的概念1防火墙的定义所谓“防火墙”，是指一种将内网和外网分开的方法，是在内部 网和外部网之间实施安全防范的系统， 它实际上是一种隔离技术， 同 时也是一种访问控制机制，能够限制用户进入一个被严格控制的点。防火墙是在两个网络通信时执行的一种访问控制标准，它能允 许网络管理员“同意”的用户或数据进入网络，同时将“不同意”的 用户或数据拒之门外， 阻止来自外部网络的未授权访问， 防止黑客对 内部网络中的电子信息和网络实体的攻击和破坏。防火墙通常安装在被保护的内部网络与互联网的连接点上，从 互联网或内部网上产生的内部活动都必须经过防火墙，如电子邮件、 文件传输、 远程登陆以及其

2、他网络服务等活动， 但是防火墙不能防止 内部发生的入侵事件， 也就是说，防火墙的防护功能是对外不对内的。 因此，要实现网络安全环境，除了安装防火墙外，还要有其他的辅助 手段来配合防火墙的使用， 如使用人侵检测技术防范网络入侵， 用入 侵防护技术来对付网络攻击等。2防火墙的组成 防火墙作为访问控制策略的实施系统，它的组成主要分为以下 四个部分：(1) 网络策略。通常，防火墙的设计有两个基本策略。 其一，拒绝访问除阴确许可外的任何一种服务，是指防火墙只 允许通过在系统中已经认可合法的服务， 而拒绝其他所有未做规定的 服务；其二，允许访问除明确拒绝以外的任何一种服务，指防火墙将 系统中确定为“不许可

3、”的服务拒绝，而允许其他所有未做规定的服 务。前者造成能够实现的服务种类受到过度限制的不良后果， 后者则 会使得一些有危险可能的服务未被拒绝， 对这两种策略的选择会直接 影响到防火墙系统的设计、安装和使用的效果。(2) 身份认证工具。由于传统口令系统的弱点，即使用户使用了 难于猜想的口令并确保不泄密， 黑客也可以借助于监视等手段来获取 明文传送的口令。 因此， 必须采用先进的认证措施克服传统口令的缺 陷。认证技术虽然各不相同，但都是为了实现保密性强的口令，且要 保证这些口令不能被黑客通过监视等手段获取。 由于防火墙可以集中 并控制网点的访问， 所以将先进的认证软件或硬件安装在防火墙中是 一个恰

4、当的选择， 这种将各种认证措施集中到防火墙的做法更切合实 际，便于管理。(3) 包过滤。 lP 包过滤一般是通过包过滤路由器来实现，信息包 在流经路由器的接口时被筛选过滤。 包过滤路由器通常可实现包含有 下列信息组的信息包：源IP地址、目的IP地址、TCP/UDP源端口、 TCP/UDPg的端口，借助包过滤可实现封锁与特定主机系统或网络的 连接，也可实现封锁特定端口的连接。(4) 应用网关。由于包过滤路由器有一定的弱点，诸如过滤规则 复杂且其正确性难于测试、 不具备记录能力等， 防火墙需要应用软件 来转发和过滤类似于Telnet和rrP等服务连接，这类应用称之为代理 服务，而运行代理服务软件的

5、主系统就是应用网关。一般情况下，应 用网关与包过滤路由器的结合使用， 能够获得大大高于单独使用两者 时的安全性和灵活性。3构建防火墙的作用和目的构建网络防火墙的主要目的是：(1) 限制访问者进人一个被严格控制的点。(2) 防止进攻者接近防御设备。(3) 限制访问者离开一个被严格控制的点。(4) 检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏。网络防火墙的主要作用有以下几个：(1) 有效地收集和记录互联网上的活动和网络误用情况。(2) 能有效隔离网络中的多个网段，防止一个网段的问题传播到 另外网段。(3) 防火墙作为一个安全检查站，能有效地过滤、筛选和屏蔽有 害的信息和服

6、务。(4) 防火墙作为一个防止不良现象发生的“警察” ，能执行和强化 网络的安全策略。二、防火墙的基本功能 防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是对网络进行访问控制。绝大部分的防火 墙都是放置在可信任网络(I。ternal)和不可信任网络(Internet)之间。具体来说，防火墙的主要功能有下面几点：1访问控制在访问控制方面具有的功能有以下几点： 限制未经授权的用户访问本企业的网络和信息资源的措施，访 问者必须要能适用现行所有的服务和应用。提供基于状态检测技术的 lP 地址、端口、用户和时间的管理控 制。访问控制对象的多种定义方式支持多种方式定

7、义访问控制对象：IP/Mask(如 202. 100.100.0/24), IP区间(如 202. 100. 100. 1-202. 100.100. 254)， IP/Mask 与通配符， lP 区间与通配符等，使配置防火墙的 安全策略极为方便。高效的URL和文件级细粒度应用层管理控制：双向NAT，提供lP地址转换和lP及TCP/UDP端口映射，实现IP 复用和隐藏网络结构。用户策略：可以根据企业安全策略，将一次性口令认证与防火 墙其他安全机制结合使用，实现对用户访问权限的控制。接口策略：防止外部机器盗用内部机器的 IP 地址，这是通过防 火墙的接口策略实现。lP与MAC地址绑定：防止防火墙

8、广播域内主机的IP地址不被另 一台机器盗用。可扩展支持计费功能：计费功能可以定义内部网络 IP,记录内 部网络与外部网络的方向性通信流量，并可依据 lP 及用户统计查询 计费信息。基于优先级的带宽管理：用户带宽最大用量限制,用户带竟用 量保障,多级用户优先级设置流量控制功能为用户提供全部监测和管 理网络的信息。2防御功能 防火墙具有的防御功能是： 防TCP UDP等端口扫描。抗DoS/DDoS攻击。可防御源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN 等多种攻击。阻止 ActiveX、Java JavaScript等侵入。提供实时监控、审计和告警功能。可扩展支持第三方IDS入

9、侵检测系统，实现协同工作。3用户认证 因为企业网络为本地用户、移动用户和各种远程用户提供信息 资源,所以为了保护网络和信息安全, 必须对访问连接用户采用有效 的权限控制和身份识别,以确保系统安全。提供高安全强度的一次性口令用户认证：一次性口令认证机制 是高强度的认证机制, 能极大地提高了访问控制的安全性, 有效阻止 非授权用户进入网络，保证网络系统的合法使用。可扩展支持第三方认证和支持智能IC卡、KEY等硬件方式认证： 网络防火墙有很好的扩展性， 可扩展支持 radius 等认证，提供拨号用 户等安全访问。也可通过扩展支持支持智能IC卡、KEY等硬件方式认 证。4安全管理在安全管理方面，防火墙

10、的主要功能是：提供基于OTP机制的管理员认证。提供分权管理安全机制。远程管理提供加密机制。远程管理安全措施。提供安全策略检测机制。提供丰富完整的审计机制。提供日志下载、备份和查询功能。可扩展支持计费功能。5操作管理在操作管理方面， 防火墙要能提供灵活的本地、 远程管理方式， 支持 CUI 和命令行等多种操作方式的管理，以及提供基于命令行和 CUI的本地和远程配置管理等。三、防火墙的基本类型 从所采用的技术上看，防火墙可以分为包过滤型、代理服务器 型、电路层网关、 混合型、应用层网关以及自适应代理技术六种基本类型。1包过滤型防火墙包过滤型防火墙( Packet Filter Firewal)l

11、中的包过滤器一般安装 在路由器上，工作在网络层(IP)。它基于单个包实施网络控制，根据 所收到的数据包的源地址、目的地址、TCP/UDP源端口号及目的端口号、包出人接口、协议类型和数据包中的各种标志位等参数，与用 户预定的访问控制表进行比较， 决定数据是否符合预先制定的安全策 略，决定数据包的转发或丢弃，即实施信息过滤。实际上，它一般允 许网络内部的主机直接访问外部网络， 而外部网络上的主机对内部网 络的访问则要受到限制。2代理服务器型防火墙代理服务器型防火墙(Proxy Service Firewall)通过在主机上运行 的服务程序，直接面对特定的应用层服务， 因此也称为应用型防火墙。 其核

12、心是运行于防火墙主机上的代理服务进程， 该进程代理用户完成 TCP/IP功能，实际上是为特定网络应用而连接两个网络的网关。对每 种不同的应用( E-mail、rrP、Telnet、WWW 等)都应用一个相应的代 理服务。外部网络与内部网络之间想要建立连接， 首先必须通过代理 服务器的中间转换， 内部网络只接受代理服务器提出的要求， 拒绝外 部网络的直接请求。代理服务可以实施用户论证、详细日志、审计跟 踪和数据加密等功能和对具体协议及应用的过滤，如阻塞 Java 或 JavaScript等。3电路层网关电路层网关(Circuit Cateway在网络的传输层上实施访问控制策 略，是在内、外网络主

13、机之间建立一个虚拟电路进行通信，相当于在 防火墙上直接开了个口子进行传输， 不像应用层防火墙那样能严密地 控制应用层的信息。4混合型防火墙混合型防火墙(Hybrid Firewall)把包过滤和代理服务等功能结合 起来，形成新的防火墙结构，所用主机称堡垒主机，负责代理服务。 各种类型的防火墙，各有其优缺点。当前的防火墙产品，已不是单一 的包过滤型或代理服务型防火墙， 而是将各种安全技术结合起来， 形 成一个混合的多级的防火墙系统，以提高防火墙的灵活型和安全性。5应用层网关应用层网关(Application Cateway)使用专用软件转发和过滤特定的应用服务，如T和FTP等服务连接。这是一种代理服务，代理服务 技术适应于应用层， 它由一个高层的应用网关作为代理器， 通常白专 门的硬件来承担。 代理服务器在接受外来的应用控制的前提下使用内 部网络提供的服务。也就是说，它只允许代理的服务通过，即只有那 些被认为“可依赖的”服务才允许通过防火墙。应用层网关有登记、 日志、统计和报告等功能， 并有很好的审计功能和严格的用户认证功 能，应用层网关的安全性高， 但它要为每种应用提供专门的代理服务 程序