毕业设计（论文）防火墙技术研究

1、重庆通信学院 毕 业 设 计 论 文 题 目：防火墙技术研究 专 业：信息管理与信息系统 学 员： 指导教师： 二一 年 六 月 重庆通信学院 毕业设计(论文)任务书 队别 22 年级 06 专业 信息管理与信息系统 学生姓名 指导教师 同组姓名 一、题目 防火墙技术研究 二、设计课题要求 1、按照教务处的有关规定，按时按规定完成论文 2、毕业论文要有较强的系统性、理论性、完整性。 3、论文内容要完整，概念要准确。 4、论据要充分，方法要可行，措施要得当，结论要有创新性。 5、每篇论文（正文）不得少于 1 万字。 三、设计课题所需的主要设备和资料 有关市场营销学的文章、书、刊较多，可以从以下方

2、面广泛 查阅：1、各书店、2、图书馆、internet。另外，还可以做一些 市场调查，并结合自身社会实践活动经验总结。 四、设计说明（论文）应包括的内容 1、防火墙技术的发展现状、前景 2、防火墙技术的主要原理、分类 3、防火墙技术的应用研究 五、参考文献 1 苏金树 计算机网络应用基础m长沙 国防科技大学出版社, 2000 2 张小斌 严望佳 黑客分析与防范技术m 清华大学出版社 1999 3 周贤伟, 信息网络与安全m,北京:国防工业出版社,2006 4 周筱连,计算机网络安全防护j,电脑知识与技术,2007,(1):148. 5 brewer d, nash m. the chinese

3、 wall security policy. ieee symposium on security and privacy ieee j computer society press, 2000 6 金雷,谢立,网络安全综述j ,计算机工程与设计 2003 ,24 (2) 7 chapman d b elizabeth d z ,构筑因特网防火墙m( 北京) 电子工业出 版社 1998 8 陈爱民.计算机的安全与保密m.北京:电子工业出版社,2002. 9 millen j k. models of multilevel computer security advances in comput

4、ers,1978 (29). 10 frederic j. cooper, et al. implementing internet j new riders publishing 1995 11 (美)jack and steven 著 戴宗坤等译.防火墙与酬特网安全m.北京:机 械工业出版社,2000 12 付歌，杨明福.一个快速的二维数据包分类算法.计算机工程.2004，30(6): 76 一 78 13 付歌，杨明福，王兴军.基于空间分解的数据包分类技术.计算机工程与 应用.2004(8):63 一 65 14 韩晓非，王学光，杨明福.位并行数据包分类算法研究.华东理工大学 学报.20

5、03，29(5):504 一 508 15 韩晓非，杨明福，王学光.基于元组空间的位并行包分类算法.计算机工 程与应用.2003，(29):188 一 192 16 冯东雷，张勇，白英彩.一种高性能包分类渐增式更新算法.计算机研究 与发展.2003，40(3):387 一 392 17 余胜生，张宁，周敬利，胡熠峰.一种用于大规模规则库的快速包分类算 法.计算机工程.2004，30(7):49 一 51 18 高峰.许南山.防火墙包过滤规则问题的研究m.计算机应用.2003，23(6): 311 一 312. 19 孟涛、杨磊.防火墙和安全审计m.计算机安全.2004，(4):17 一 18.

6、 20 郑林.防火墙原理入门z. e e 企业.2000. 21 魏利华.防火墙技术及其性能研究.能源研究与信息.2004，20(l):57 一 62 教 研 室 主 任（签名） 系 主 任（签名） 年 月 日 重庆通信学院 毕业设计完成情况 评语 成绩 指导教师（签名） 年 月 日 重庆通信学院 学生毕业设计（论文）评阅 学生姓名 成绩 题目名称 评 语 评阅人（签名） 年 月 日 重庆通信学院 毕业学生设计（论文）答辩委员通过意见 学生姓名 成绩 题目名称 评 语 答辩小组负责人（签名） 答辩委员会负责人（签名） 年 月 日 独创性声明独创性声明 本人声明所呈交的学位论文是本人在导师指导下

7、进行的研究工作和取得的 研究成果，除了稳重特以加以标注和致谢之外处，论文不包含其他人已经发表 或撰写过的研究成果。 论文作者（签名） 摘要 防火墙是目前网络安全领域广泛使用的设备，其主要目的就是限制非法流 量，以保护内部子网。从部署位置来看，防火墙往往位于网络出口，是内部网 和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为 防火墙产品能否成功的一个关键问题。 本文引用了叙述性的文字概述了防火墙的概念、功能及类型等，让我们全 面了解了一个理论上的防火墙。描述了一个模拟的大型离散事件可视化网络仿 真器 ns-2（network simulator v.2）在 windows 下

8、的安装过程与出错处理。 本文的重点是提出了对防火墙过滤规则进行优化的方案，对通过防火墙的数据 包进行统计分析，并根据统计数据动态调整过滤规则的相对次序，使得使用最 频繁的规则位于规则列表的最前面，使其和当前网络流量特性相一致，从而达 到降低后继数据包规则匹配时间、提高防火墙性能之目的，并在 windows 下利 用仿真器 ns-2 对两个方案（一方案：不采用此优化算法，二方案：采用此优 化算法）进行仿真实验，通过对仿真结果的比较分析得出此优化算法真的能提 高防火墙的性能。 关键词：s-2、防火墙、规则匹配、统计分析 abstract frewall is the present network

9、 safe field equipment used extensively, its major purpose is to restrict illegal rate of flow in order to protect internal son net. from disposition location, firewall is often located in network export , is the only passageway between internal net and external net , therefore raises the performance

10、 of firewall , avoid it this paper has quoted the writing of statement, is general to have stated type, function and the concept of firewall, leting us overall have known one theoretically firewall. it is analog to have described one large scale dispersed incident visualized network emulator ns-2(ne

11、twork simulator v.2) when windowsnext installation process and make mistakes to handle. this paper focal point is put forward for firewall filter rule carry out optimization scheme, for through firewall data bale carry out statistics analysis, and according to statistics data development adjustment

12、filter rule relative order, make use most frequently rule is located in rule list before most, make it with current network rate of flow property appearance consistent, so reach reduction succeed data bale rule match time , raising firewall performance purpose, and in windowsnext use emulator ns-2is

13、 for two schemes ( the case of one side: do not adopt this optimization algorithm and 2 schemes: adopt this optimization algorithm) carry out emulation experiment, can really raise the performance of firewall through reaching this optimization algorithm for the trade off study of emulation result. k

14、eywords: network security firewall vps firewall configuration 目目 录录 摘要摘要 .8 8 abstractabstract .9 9 第一章第一章 绪论绪论 .1313 1.11.1 研究的意义和目的研究的意义和目的.1313 1.21.2 国内外发展现状国内外发展现状.1313 1.31.3 论文完成的主要工作论文完成的主要工作.1414 第二章第二章 防火墙的概念及分类防火墙的概念及分类 .1515 2.12.1 防火墙的概念防火墙的概念.1515 2.22.2 防火墙的分类防火墙的分类.1515 2.2.1 静态包过滤防火

15、墙.16 2.2.2 动态包过滤防火墙.17 2.2.3 代理（应用层网关）防火墙 .18 2.2.4 自适应代理防火墙.18 第三章第三章 防火墙的体系结构防火墙的体系结构 .2222 3.13.1 双重宿主主机体系结构双重宿主主机体系结构.2222 3.23.2 屏蔽主机体系结构屏蔽主机体系结构 .2323 3.33.3 屏蔽子网体系结构屏蔽子网体系结构.2525 第四章第四章 常见攻击方式及应对方式常见攻击方式及应对方式 .2929 4.14.1 常见攻击方式常见攻击方式.2929 4.1.1 病毒 .29 4.1.2 口令字 .29 4.1.3 邮件 .29 4.1.4 ip 地址.2

16、9 4.24.2 应对策略应对策略 .3030 4.2.1 方案选择 .30 4.2.2 结构透明 .31 4.2.3 坚持策略 .31 4.2.4 实施措施 .31 第五章第五章 防火墙的发展趋势防火墙的发展趋势 .3232 5.15.1 基于路由器的防火墙基于路由器的防火墙.3232 5.1.1 第一代防火墙产品的特点：.32 5.1.2 第一代防火墙产品的不足之处.32 5.25.2 用户化的防火墙工具套用户化的防火墙工具套 .3333 5.35.3 建立在通用操作系统上的防火墙建立在通用操作系统上的防火墙 .3434 . 第四代防火墙第四代防火墙 .3535 5.4.1

17、第四代防火墙的主要技术及功能.35 5.4.2 第四代防火墙的抗攻击能力.38 第六章第六章 结论结论 .3939 参考文献参考文献 .4141 致谢致谢 .4343 附录附录 .4444 第一章 绪论 1.11.1 研究的意义和目的研究的意义和目的 意义：是防止您电脑中的信息被外部侵袭的一项技术，在您的系统中监控、 阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。防火墙产 品如著名 symantec 公司的诺顿、network ice 公司的 blackice defender、mcafee 公司的思科及 zone lab 的 free zonealarm 等，都能帮助 您对系统

18、进行监控及管理，防止特洛伊木马、spy-ware 等病毒程序通过网络 进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个 系统中或针对对个别程序、项目，所以在使用时十分方便及实用 目的：限制网络通信，提高安全性能。 1.21.2 国内外发展现状国内外发展现状 未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。从国 内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。 应用 asic 、 fpga 和网络处理器是实现高速防火墙的主要方法，其中以采用 网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚 至可以支持 ipv6 ，而采用其它方

19、法就不那么灵活。实现高速防火墙，算法也 是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实 现高速。对于采用纯 cpu 的防火墙，就必须有算法支撑，例如 acl 算法。 目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态 防火墙，建立会话的速度会十分缓慢。受现有技术的限制，目前还没有有效的 对 应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不 适宜于集成内容过滤、防病毒和 ids 功能 ( 传输层以下的 ids 除外，这些 检测对 cpu 消耗小 ) 。对于 ids ，目前最常用的方式还是把网络上的流量 镜像到 ids 设备中处理，这样可

20、以避免流量较大时造成网络堵塞。此外，应 用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火 墙，如此频繁地升级也是不现实的。多功能也是防火墙的发展方向之一鉴于目 前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防 火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广 域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器;支 持部分路由器协议，如路由、拨号等，可以更好地满足组网需要;支持 ipsec vpn ，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。未来 防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会

21、更多地参 与应用层分析，为应用提供更安全的保障。 1.31.3 论文完成的主要工作论文完成的主要工作 本文论由 6 章组成。第一章概括了引言，第二章概括了防火墙的概念及分 类，第三章概括了防火墙的体系结构，第四章概括了常见攻击方式及应对方式， 第五章概括了防火墙的发展趋势，第六章是结论。 第二章 防火墙的概念及分类 2.12.1 防火墙的概念防火墙的概念 防火墙是一种非常有效的网络安全模型。主要用来保护安全网 免受来自不安全网络的入侵，比如安全网络可能是企业的内部网络，不安全网 络是因特网。但防火墙不只是用于因特网，也用于 intranet 中的部门网络之 间。在逻辑上，防火墙是过滤器 限制器

22、和分析器；在物理上，防火墙的实现 有多种方式。通常，防火墙是一组硬件设备路由器，主计算机，或者是路由 器，计算机和配有的软件的网络的组合。及全面规划等。防火墙在网络中的位 置如图 1 所示。 内部网 web服务器 防火墙 internet 图 1 防火墙在网络中的位置 2.22.2 防火墙的分类防火墙的分类 从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根 据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防 火墙和代理防火墙。 .1 静态包过滤防火墙静态包过滤防火墙 静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息 包里的

23、ip 地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤 规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则 不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不 会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许 通过。静态包的过滤原理就是：将信息分成若干个小数据片（数据包） ，确认 符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数 据片后再把它们组织成一个完整的信息这个就是包过滤的原理。图 2 是静态防 火墙的示意图 应用层 表示层 会话层 传输层 应用层 表示层 会话层 传输层 应用层 表示层 会话层 传输层

24、 网络层 网络层 网络层 数据链路层 物理层 数据链路层 物理层 数据链路层 物理层 图 2 静态包过滤防火墙 静态包过滤防火墙的优点：它对用户是透明的，不需要用户的用户名和 密码就可以登录，它的速度快，也易于维护。 静态防火墙缺点：由于用户的使用记录没有记载，如果有不怀好意的人 进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的 来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击 者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手 段：主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序 ip 地 址的信息包，一旦有一个包通过了防火

25、墙，那么攻击者停止再发测试 ip 地址 的信息包，用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信 息。 .2 动态包过滤防火墙动态包过滤防火墙 动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上，会对 已经成功与计算机连接的报文传输进行跟踪，并且判断该连接发送的数据包是 否会对系统构成威胁，一旦触发其判断机制，防火墙就会自动产生新的临时过 滤规则或者把已经存在的过滤规则进行修改，从而阻止该有害数据的继续传输， 但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处 理，所以与静态包过滤相比它会降低运行效率。图 3 是动态防火墙的示意图 应用层

26、表示层 会话层 传输层 应用层 表示层 会话层 传输层 应用层 表示层 会话层 传输层 网络层 网络层 网络层 数据链路层 物理层 数据链路层 物理层 数据链路层 物理层 连接状态表 图 3 动态包过滤防火墙 以下我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点 在于，它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序 和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理 服务器型防火墙提供了日志和审记服务。代理防火墙也经历了两代： .3 代理（应用层网关）防火墙代理（应用层网关）防火墙 这种防火墙被网络安全专家认为是最安全的防火墙，

27、主要是因为从内部发 出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以 达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避 免了入侵者使用数据驱动类型的攻击方式入侵内部网。 .4 自适应代理防火墙自适应代理防火墙 自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代 理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时 它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防 火墙。 2 防火墙的功能 防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特 别编写或更改过操作系统的计算机，它的

28、目的就是保护内部网的访问安全。防 火墙可以安装在两个组织结构的内部网与外部的 internet 之间，同时在多个组 织结构的内部网和 internet 之间也会起到同样的保护作用。它主要的保护就是 加强外部 internet 对内部网的访问控制，它主要任务是允许特别的连接通过， 也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分，它通过少 数几个良好的监控位置来进行内部网与 internet 的连接。防火墙的核心功能主 要是包过滤。其中入侵检测，控管规则过滤，实时监 控及电子邮件过滤这些功能都是基于封包过滤技术的。 防火墙的主体功能归纳为以下几点： (1) 防火墙是网络安全的屏障 一个

29、防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性, 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能 通过防火墙, 所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不 安全的 nfs 协议进出受保护网络, 这样外部的攻击者就不可能利用这些脆弱 的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击, 如 ip 选项中的源路由攻击和 icmp 重定向中的重定向路径。防火墙应该可以拒 绝所有以上类型攻击的报文并通知防火墙管理员。 (2) 防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、 身 份认证、审计等)

30、配置在防火墙上。与将网络安全问题分散到各个主机上相比, 防火墙的集中安全管理更经济。例如在网络访问时, 一次一密口令系统和其它 的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 (3) 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙, 那么,防火墙就能记录下这些访问并作出 日志记录, 同时也能提供网络使用情况的统计 数据。当发生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监 测和攻击的详细信息。另外, 收集一个网络的使用和误用情况也是非常重要的。 首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击, 并且清楚防 火墙的控制是否充足。而网络使用统计

31、对网络需求分析和威胁分析等而言也是 非常重要的。 (4)防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离, 从而 限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者, 隐私是内 部网络非常关心的问题, 一个内部网络中不引人注意的细节可能包含了有关安 全的线索而引起外部攻击者的兴趣, 甚至因此而暴漏了内部网络的某些安全漏 洞。使用防火墙就可以隐蔽那些透漏内部细节如 finger、dns 等服务。finger 显示了主机的所有用户的注册名、真名,最后登录时间和使用 shell 类型等。但 是 finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系

32、统使 用的频繁程度, 这个系统是否有用户正在连线上网, 这个系统是否在被攻击时 引起注意等等。防火墙可以同样阻塞有关内部网络中的 dns 信息,这样一台 主机的域名和 ip 地址就不会被外界所了解。 (5)被拦阻时能通过声音或闪烁图标给用户报警提示。 防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这 个 基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤 3 防火墙的不足 防火墙对网络的威胁进行极好的防范，但是，它们不是安全解决方案的全 部。某些威胁是防火墙力所不及的。 (1)防火墙可以阻断攻击,但不可消灭攻击源 “各家自扫门前雪, 不管他人瓦上霜”就是目前网

33、络安全的现状。互联网 上的病毒,恶意试探等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡 他们,但是无法消除攻击源。即使防火墙进行了很好的设置,使得攻击无法渗透 防火墙, 但各种攻击仍然会源源不断地向防火墙发出尝试。 (2) 防火墙不能够抵抗最新的未设置策略的攻击漏洞 就如杀毒软件与病毒一样, 总是先出现病毒, 杀毒软件经过分析出其特征 码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专 家 分析后根据其特征而进行设置的, 如果世界上新发现某个主机漏洞的 cracker 把第一个攻击对象击中了您的网络,那么防火墙也没有办法帮助您的。 (3) 防火墙的并发连接数限制容易导致拥

34、塞或者谥出 由于要判断处理流经防火墙的每一个包, 因此防火墙在某些流量大, 并发 请求多的情况下, 很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火 墙谥出的时候, 整个防线就如同虚设, 原本被禁止的连接也能从容通过了。 (4) 防火墙对服务器合法开放的端口攻击大多无法阻止 某些情况下, 攻击者利用服务器提供服务进行缺陷攻击。 (5)防火墙对待内部主动发起连接的攻击一般无法阻击 “外紧内松”是一般局域网络的特点, 或许一道严密防火墙内部的网络是 一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的 url 等方 式, 然 后由中木马的机器主动对攻击者连接, 将壁一样的防火墙瞬间破坏掉

35、。另外, 防火墙内部各主机间的攻击行为,防火墙出只有如旁观者一样冷视而爱莫能助。 (6) 防火墙本身也会出现问题和受到攻击 防火墙也是一个 os , 也有着其硬件系统和软件系统,因此依然有着漏洞 和 bug 。所以其本身也有可能受到攻击和出现软、硬件方面的故障。 4 防火墙主要技术特点 1）应用层采用 winsock 2 spi 进行网络数据控制、过滤； 2）核心层采用 ndis hook 进行控制，尤其是在 windows 2000 下，此 技术属微软未公开技术。 此防火墙还采用两种封包过滤技术：一是应用层封包过滤，采用 winsock 2 spi ；二是核心层封包过滤，采用 ndis_ho

36、ok。 winsock 2 spi 工作在 api 之下、driver 之上，属于应用层的范畴。利 用这项技术可以截获所有的基于 socket 的网络通信。比如 ie、outlook 等常 见的 应用程序都是使用 socket 进行通信。采用 winsock 2 spi 的优点是非常明显的： 其工作在应用层以 dll 的形式存在，编程、测试方便；跨 windows 平台， 可以直接在 windows98/me/nt/2000/xp 上通用，windows95 只需安装上 winsock 2 for 95，也可以正常运行；效率高，由于工作在应用层，cpu 占用 率低；封包还没有按照低层协议进行切

37、片，所以比较完整。而防火墙正是在 tcp/ip 协议在 windows 的基础上才得以实现。 第三章 防火墙的体系结构 3.13.1 双重宿主主机体系结构双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计 算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的 路由器；它能够从一个网络到另一个网络发送 ip 数据包。然而，实现双重宿 主主机的防火墙体系结构禁止这种发送功能。因而，ip 数据包从一个网络(例 如，因特网)并不是直接发送到其他网络(例如，内部的、被保护的网络)。防火 墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统(在因特网上

38、)能 与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的 ip 通信 被完全阻止。但这种体系结构中用户访问因特网的速度会较慢，也会因为双重 宿主主机的被侵袭而失效。 双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之 间，并且被连接到因特网和内部的网络，如图 4 所示 图图 4 4 双重宿主主机体系结构双重宿主主机体系结构 3.23.2 屏蔽主机体系结构屏蔽主机体系结构 双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由 关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网 络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤。其

39、结构 如下图 5 所示 图 5 屏蔽主机体系结构 在屏蔽的路由器上的数据包过滤是按这样一种方法设置的: 堡垒主机是因 特网上的主机能连接到内部网络上的系统的桥梁(例如，传送进来的电子邮件)。 即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部 的系统或服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级 的安全。数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将 由用户的站点的安全策略决定)到外部世界。在屏蔽的路由器中数据包过滤配 置可以按下列之一执行： (1)允许其他的内部主机为了某些服务与因特网上的主机连接(即允许那些 已经由数据包过滤的服务)。 (2)

40、不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理 服务)。 用户可以针对不同的服务混合使用这些手段；某些服务可以被允许直接经 由数据包过滤，而其他服务可以被允许仅仅间接地经过代理。这完全取决于用 户实行的安全策略。 因为这种体系结构允许数据包从因特网向内部网的移动，所以它的设计比 没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。实 际上，双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易 产生失败(因为这种失败类型是完全出乎预料的，不太可能防备黑客侵袭)。进 而言之，保卫路由器比保卫主机较易实现，因为它提供非常有限的服务组。多 数情况下，被屏蔽的主机

41、体系结构提供比双重宿主主机体系结构具有更好的安 全性和可用性。 然而，比较其他体系结构，如在下面要讨论的屏蔽子网体系结构也有一些 缺点。主要是如果侵袭者没有办法侵入堡垒主机时，而且在堡垒主机和其余的 内部主机之间没有任何保护网络安全的东西存在的情况下，路由器同样出现一 个单点失效。如果路由器被损害，整个网络对侵袭者是开放的。 3.33.3 屏蔽子网体系结构屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加 周边网络更进一步地把内部网络和外部网络(通常是 internet)隔离开。屏蔽子 网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。一 个位于

42、周边网与内部网络之间，另一个位于周边网与外部网络(通常为 internet)之 间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种 体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒 主机，它将仍然必须通过内部路由器，如图 6 所示 图 6 被屏蔽子网体系结构 对图 6 的要点说明如下： (1)周边网络周边网络是另一个安全层,是在外部网络与用户的被保护的内 部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域， 周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。 对于周边网络的作用，举例说明如下。在许多网络设置中，用给定网络 的任

43、何机器来查看这个网络上的每一台机器的通信是可能的，对大多数以太网 为基础的网络确实如此(而且以太网是当今使用最广泛的局域网技术)；对若干 其他成熟的技术，诸如令牌环和 fddi 也是如此。探听者可以通过查看那些在 telnet、ftp 以及 rlogin 会话期间使用过的口令成功地探测出口令。即使口令 没被攻破，探听者仍然能偷看或访问他人的敏感文件的内容，或阅读他们感兴 趣的电子邮件等；探听者能完全监视何人在使用网络。对于周边网络，如果某 人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网 上的通信来自或通往堡垒主机或 internet。因为没有严格的内部通信(即在两台 内部

44、主机之间的通信，这通常是敏感的或专有的)能越过周边网。所以，如果 堡垒主机被损害，内部的通信仍将是安全的。一般来说，来往于堡垒主机，或 者外部世界的通信，仍然是可监视的。防火墙设计工作的一部分就是确保这种 通信不至于机密到阅读它将损害你的站点的完整性。 (2)堡垒主机 在屏蔽的子网体系结构中，用户把堡垒主机连接到周边网；这台主机便是 接受来自外界连接的主要入口。例如： 1)对于进来的电子邮件(smtp)会话，传送电子邮件到站点 2)对于进来的 ftp 连接，转接到站点的匿名 ftp 服务器。 3)对于进来的域名服务(dns)站点查询等。 另外，其出站服务(从内部的客户端到在 internet

45、上的服务器)按如下任一 方法处理： a)在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问 外部的服务器。 b)设置代理服务器在堡垒主机上运行(如果用户的防火墙使用代理软件)来 允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允 许内部的客户端在堡垒主机上同代理服务器交谈，反之亦然。但是禁止内部的 客户端与外部世界之间直接通信(即拨号入网方式)。 (3)内部路由器 内部路由器(在有关防火墙著作中有时被称为阻塞路由器)保护内部的网络 使之免受 internet 和周边网的侵犯。内部路由器为用户的防火墙执行大部分的 数据包过滤工作。它允许从内部网到 internet

46、的有选择的出站服务。这些服务 是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。 内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不 同于内部路由器所允许的在 internet 和用户的内部网之间的服务。限制堡垒主 机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器 的数量。 (4)外部路由器 在理论上，外部路由器(在有关防火墙著作中有时被称为访问路由器)保护 周边网和内部网使之免受来自 internet 的侵犯。实际上，外部路由器倾向于允 许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。保 护内部机器的数据包过滤规则在

47、内部路由器和外部路由器上基本上应该是一样 的；如果在规则中有允许侵袭者访问的错误，错误就可能出现在两个路由器上。 一般地，外部路由器由外部群组提供(例如，用户的 internet 供应商)，同时用 户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维 护路由器，但是不愿意使维护复杂或使用频繁变化的规则组。外部路由器实际 上需要做什么呢？外部路由器能有效地执行的安全任务之一(通常别的任何地 方不容易做的任务)是：阻止从 internet 上伪造源地址进来的任何数据包。这 样的数据包自称来自内部的网络，但实际上是来自 internet。 第四章 常见攻击方式及应对方式 4.14.1

48、 常见攻击方式常见攻击方式 4.1.1 病毒病毒 尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍然 很难将所有的病毒（或特洛伊木马程序）阻止在网络外面，黑客很容易欺骗用 户下载一个程序从而让恶意代码进入内部网。 策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程 序；或者通过常用的基于主机的安全方法来保护网络。 .2 口令字口令字 对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击， 来猜测防火墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主 机给防火墙的口令字。 策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）

49、、采用 一次性口令或禁止直接登录防火墙。 4.1.3 邮件 来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一 条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息， 当不经意打开邮件时，恶意代码即可进入。 策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。 .4 ipip 地址地址 黑客利用一个类似于内部网络的 ip 地址，以“逃过”服务器检测，从而 进 入内部网达到攻击的目的。 策略：通过打开内核 rp_filter 功能，丢弃所有来自网络外部但却有内部地 址的数据包；同时将特定 ip 地址与 mac 绑定，只有拥有相应 mac 地址的

50、用 户才能使用被绑定的 ip 地址进行网络访问。 4.24.2 应对策略应对策略 .1 方案选择方案选择 市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运 行在一台标准的主机设备上，依托网络在操作系统上实现防火墙的各种功能， 因此也称“个人”防火墙，其功能有限，基本上能满足单个用户。硬件防火墙 是一个把硬件和软件都单独设计，并集成在一起，运行于自己专用的系统平台。 由于硬件防火墙集合了软件方面，从功能上更为强大，目前已普遍使用。 在制造上，硬件防火墙须同时设计硬件和软件两方面。国外厂家基本上是将软 件运算硬件化，将主要运算程序做成芯片，以减少 cpu 的运算压力

51、；国内厂 家的防火墙硬件平台仍使用通用 pc 系统，增加了内存容量，增大了 cpu 的 频率。在软件性能方面，国外一些著名的厂家均采用专用的操作系统，自行设 计防火墙，提供高性能的产品；而国内厂家大部分基于 linux 操作平台，有针 对性的修改代码、增加技术及系统补丁等。因此，国产防火墙与国外的相比仍 有一定差距，但科技的进步，也生产出了较为优秀的产品。如北京天融信的 ng 系列产品，支持 topsec 安全体系、多级过滤、透明应用代理等先进技术。 4.2.2 结构透明结构透明 防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接 入网络，网络和用户无需做任何设置和改动，也根本意

52、识不到防火墙的存在。 然后根椐自己企业的网络规模，以及安全策略来选择合适的防火墙的构造结构， 如果经济实力雄厚的可采用屏蔽子网的拓扑结构。 4.2.3 坚持策略坚持策略 （1）管理主机与防火墙专用服务器端口连接，形成单独管理通道，防止 来自内外部的攻击。 （2）使用 ftp、telnet、news 等服务代理，以提供高水平的审计和潜在 的安全性。 （3）支持“除非明确允许，否则就禁止”的安全防范原则。 （4）确定可接受的风险水平，如监测什么传输，允许和拒绝什么传输流 通过。 4.2.4 实施措施实施措施 好的防火墙产品应向使用者提供完整的安全检查功能，应有完善及时的售 后服务。但一个安全的网络

53、仍必须靠使用者的观察与改进，企业要达到真正的 安全仍需内部的网络管理者不断记录、追踪、改进，定期对防火墙和相应操作 系统用补丁程序进行升级。 第五章第五章 防火墙的发展防火墙的发展趋势趋势 5.15.1 基于路由器的防火墙基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路 控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 5.1.1 第一代防火墙产品的特点第一代防火墙产品的特点： 1)利用路由器本身对分组的解析，以访问控制表(access list)方式实现对 分组的过滤； 2)过滤判断的依据可以是：地址、端口号、ip 旗标及其他网络特征； 3

54、)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求 低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则 需要单独利用一台路由器作为防火墙。 5.1.2 第一代防火墙产品的不足之处第一代防火墙产品的不足之处 具体表现为： 1) 路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十 分容易。例如，在使用 ftp 协议时，外部服务器容易从 20 号端口上与内部网 相连，即使在路由器上设置了过滤规则，内部网络的 20 号端口仍可以由外部 探寻。 2) 路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中 过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性

55、。作用端口的有 效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的 协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。 3) 路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在 网 络上是以明文方式传送的，黑客(hacker)可以在网络上伪造假的路由信息欺骗 防火墙。路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问 提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制， 这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。可以 说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去 对付黑客的攻击是十分危

56、险的。 5.25.2 用户化的防火墙工具套用户化的防火墙工具套 为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火 墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。 第二代防火墙的特征 1)将过滤功能从路由器中独立出来，并加上审计和告警功能； 2)针对用户需求，提供模块化的软件包； 3)软件可以通过网络发送，用户可以自己动手构造防火墙； 4)与第一代防火墙相比，安全性提高了，价格也降低了。 第二代防火墙产品的缺点 1) 无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求， 2) 配置和维护过程复杂、费时； 3) 对用户的技术要求高； 4) 全软件实现，使用中出现

57、差错的情况很多。 5.35.3 建立在通用操作系统上的防火墙建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推 出了建立在通用操作系统上的商用防火墙产品。 通用操作系统上的防火墙的特点： 1)是批量上市的专用防火墙产品； 2)包括分组过滤或者借用路由器的分组过滤功能； 3)装有专用的代理系统，监控所有协议的数据和指令； 4)保护用户编程空间和用户可配置内核参数的设置； 5)安全性和速度大大提高。 第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到 了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少 问题。 操作系统上的

58、防火墙的缺点 1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的 保密，其安全性无从保证； 2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不 会对操作系统的安全性负责； 3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来 自操作系统厂商的攻击； 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能； 5)透明性好，易于使用。 . 第四代防火墙第四代防火墙 5.4.1 第四代防火墙的主要技术及功能第四代防火墙的主要技术及功能 第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能。 1)双端口或三端口的结构 新一代

59、防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做 ip 转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。 2)透明的访问方式 以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过 socks 等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技 术，从而降低了系统登录固有的安全风险和出错概率。 3)灵活的代理系统 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代 防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接；另 一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技 术来解决，后者采用非保密的用户定制

60、代理或保密的代理系统技术来解决。 4)多级过滤技术 为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并 辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒 ip 地址； 在应用级网关一级，能利用 ftp、smtp 等各种网关，控制和监测 internet 提 供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接， 并对服务的通行实行严格控制。 5) 网络地址转换技术 第四代防火墙利用 nat 技术能透明地对所有内部地址做转换，使得外部 网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的 ip 源地 址和专用网络，防火墙能详尽记录每一个主机的通信，