0811信息系统安全技术-防火墙技术

1、信息系统安全技术 -防火墙技术ServerClient防火墙（Firewall）注解：防防火墙类类似一堵堵城墙，将服务务器与客客户主机机进行物物理隔离离，并在在此基础础上实现现服务器器与客户户主机之之间的授授权互访访、互通通等功能能。防火墙概概念防火墙特特征防火墙功功能协议与服服务防火墙技技术内容容防火墙体体系结构构防火墙实实现策略略对防火墙墙技术与与产品发发展的介介绍对防火墙墙技术的的展望内容提要要防火墙概概念防火墙是是指设置置在不同同网络或或网络安安全域（公共网网和企业业内部网网）之间间的一系系列部件件的组合合。它是是不同网网络（安安全域）之间的的唯一出出入口，能根据据企业的的安全政政策控

2、制制（允许许 、拒拒绝、 监测测）出入入网络的的信息流流，且本本身具有有很高的的抗攻击击能力，它是提提供信息息安全服服务，实实现网络络和信息息安全的的基础设设施。防火墙特特征保护脆弱弱和有缺缺陷的网网络服务务集中化的的安全管管理加强对网网络系统统的访问问控制加强隐私私对网络存存取和访访问进行行监控审审计保护脆弱弱和有缺缺陷的网网络服务务一个防火火墙能极极大地提提高一个个内部网网络的安安全性，并通过过过滤不不安全的的服务而而降低风风险。由由于只有有经过精精心选择择的应用用协议才才能通过过防火墙墙，所以以网络环环境变得得更安全全。如防防火墙可可以禁止止诸如众众所周知知的不安安全的NFS协议进出出受

3、保护护网络，这样外外部的攻攻击者就就不可能能利用这这些脆弱弱的协议议来攻击击内部网网络。防火墙同同时可以以保护网网络免受受基于路路由的攻攻击，如如IP选选项中的的源路由由攻击和和ICMP重定定向中的的重定向向路径。防火墙墙应该可可以拒绝绝所有以以上类型型攻击的的报文并并通知防防火墙管管理员。防火墙特特征(cont.)防火墙特特征(cont.)集中化的的安全管管理通过以防防火墙为为中心的的安全方方案配置置，能将将所有安安全软件件（如口口令、加加密、身身份认证证、审计计等）配配置在防防火墙上上。与将将网络安安全问题题分散到到各个主主机上相相比，防防火墙的的集中安安全管理理更经济济。例如如在网络络访

4、问时时，一次次一密口口令系统统和其它它的身份份认证系系统完全全可以不不必分散散在各个个主机上上，而集集中在防防火墙一一身上。加强对网网络系统统的访问问控制一个防火火墙的主主要功能能是对整整个网络络的访问问控制。比如防防火墙可可以屏蔽蔽部分主主机，使使外部网网络无法法访问，同样可可以屏蔽蔽部分主主机的特特定服务务，使得得外部网网络可以以访问该该主机的的其它服服务，但但无法访访问该主主机的特特定服务务。防火墙不不应向外外界提供供网络中中任何不不需要服服务的访访问权，这实际际上是安安全政策策的要求求了。控制对特特殊站点点的访问问：如有有些主机机或服务务能被外外部网络络访问，而有些些则需被被保护起起来

5、，防防止不必必要的访访问。防火墙特特征(cont.)加强隐私私隐私是内内部网络络非常关关心的问问题。一一个内部部网络中中不引人人注意的的细节可可能包含含了有关关安全的的线索而而引起外外部攻击击者的兴兴趣，甚甚至因此此而暴漏漏了内部部网络的的某些安安全漏洞洞。使用防火火墙就可可以隐蔽蔽那些透透漏内部部细节如如Finger，DNS等服务。Finger显示了了主机的的所有用用户的注注册名、真名，最后登登录时间间和使用用shell类类型等。但是Finger显显示的信信息非常常容易被被攻击者者所获悉悉。攻击击者可以以知道一一个系统统使用的的频繁程程度，这这个系统统是否有有用户正正在连线线上网，这个系系统

6、是否否在被攻攻击时引引起注意意等等。防火墙墙可以同同样阻塞塞有关内内部网络络中的DNS信信息，这这样一台台主机的的域名和和IP地地址就不不会被外外界所了了解。防火墙特特征(cont.)对网络存存取和访访问进行行监控审审计如果所有有的访问问都经过过防火墙墙，那么么，防火火墙就能能记录下下这些访访问并作作出日志志记录，同时也也能提供供网络使使用情况况的统计计数据。当发生生可疑动动作时，防火墙墙能进行行适当的的报警，并提供供网络是是否受到到监测和和攻击的的详细信信息。另外，收收集一个个网络的的使用和和误用情情况是非非常重要要的。首首先的理理由是可可以清楚楚防火墙墙是否能能够抵挡挡攻击者者的探测测和攻

7、击击，并且且清楚防防火墙的的控制是是否充足足。而网网络使用用统计对对网络需需求分析析和威胁胁分析等等而言也也是非常常重要的的。防火墙特特征(cont.) 从总体上上看，防防火墙应应具有以以下五大大基本功功能：过滤进、出网络络的数据据；管理进、出网络络的访问问行为；封堵某些些禁止的的业务；记录通过过防火墙墙的信息息内容和和活动；对网络攻攻击的检检测和告告警。防火墙功功能协议 ISO/OSI协议分层层应用层表示层会话层传输层数据链路路层物理层网络层数据链路路层协议 ISO/OSI协议分层层(cont.)物理层：涉及在物物理信道道上传输输原始比比特，处处理与物物理传输输介质有有关的机机械的、电气的的

8、和过程程的接口口。数据链路路层：分为介质质访问控控制（MAC）和逻辑辑链路控控制（LLC）两个子子层。MAC子子层解决决广播型型网络中中多用户户竞争信信道使用用权问题题。LLC的主主要任务务是将有有噪声的的物理信信道变成成无传输输差错的的通信信信道，提提供数据据成帧、差错控控制、流流量控制制和链路路控制等等功能。网络层：负责将数数据从物物理连接接的一端端传到另另一端，即所谓谓点到点点，通信信主要功功能是寻寻径，以以及与之之相关的的流量控控制和拥拥塞控制制等。协议 ISO/OSI协议分层层(cont.)传输层：主要目的的在于弥弥补网络络层服务务与用户户需求之之间的差差距。传传输层通通过向上上提供

9、一一个标准准、通用用的界面面，使上上层与通通信子网网（下三三层）的的细节相相隔离。传输层层的主要要任务是是提供进进程间通通信机制制和保证证数据传传输的可可靠性。会话层：主要针对对远程终终端访问问。主要要任务包包括会话话管理、传输同同步以及及活动管管理等。表示层：主要功能能是信息息转换，包括信信息压缩缩、加密密、与标标准格式式的转换换（以及及上述各各操作的的逆操作作）等等等。应用层：提供最常常用且通通用的应应用程序序，包括括电子邮邮件（E-mail）和文电电传输等等。应用层表示层会话层传输层网络层数据链路路层物理层FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthe

10、rnet、PDN、IEEE802.3、 IEEE802.4、IEEE802.5及其它ICMPARPRARPOSI参考模型型Internet协议议簇OSI参考模型型与Internet协议簇簇注解：通通过对每每一个协协议簇中中各种协协议结构构的详细细了解，就可以以非常轻轻松的针针对包过过滤型、应用代代理型等等防火墙墙的ACL（访访问控制制列表）进行制制定和理理解，并并有助于于了解防防火墙的的架构体体系。协议TCP/IP协议议分层应用层传输层网间网层层网络接口口层协议TCP/IP协议议分层应用层：向用户提提供一组组常用的的应用程程序，比比如文件件传输访访问、电电子邮件件、远程程登录等等。用户户完全可

11、可以在“网间网网”之上上（即传传输层之之上），建立自自己的专专用应用用程序，这些专专用应用用程序要要用到TCP/IP，但不属属于TCP/IP。传输层（TCP/UDP）：提供应用用程序间间（即端端到端）的可靠靠（TCP）或或高效（UDP）的通通信。其其功能包包括：格格式化信信息流及及提供可可靠传输输。传输输层还要要解决不不同应用用程序的的识别问问题。网间网层层（IP）：负责相邻邻计算机机之间的的通信。其功能能包括：处理来来自传输输层的分分组发送送请求； 处理理输入数数据包；处理ICMP报文。网络接口口层：TCP/IP协协议的最最低层，负责接接收IP数据报报并通过过网络发发送，或或者从网网络上接接

12、收物理理帧，抽抽出IP数据包包，交给给IP层层。TCP/IP服服务注解：通通过该服服务体系系的理解解，大家家一定要要了解清清楚IP包过滤滤型防火火墙中的的TCP协议簇簇包括那那些具体体协议、UDP协议簇簇包括那那些具体体协议，并要特特别注意意怎样通通过防火火墙的ICMP协议去去安全有有效的控控制PING命命令的执执行。TCP/IP服服务(cont.)RPC-远程过程程调用服服务。如如 NFS- NetworkFileSystem, 可允允许系统统共享目目录与磁磁盘。NIS-Network Information Services,网网络信息息服务容容许多个个系统共共享数据据库,如如 passw

13、ord file容容许集中中管理。X WindowSystem：一个个图形化化的窗口口系统。Rlogin、 rsh、及及 其它它 “r”服务务 。运运用相互互信任的的主机的的概念，在其它它系统上上可以执执行命令令且不要要求password。TCP/IP服服务(cont.)IPIP协议的主主要内容容包括无无连接数数据报传传送、数数据报寻寻径及差差错处理理三部分分。IP层作作为通信信子网的的最高层层，屏蔽蔽底层各各种物理理网络的的技术环环节，向向上（TCP层层）提供供一致的的、通用用性的接接口，使使得各种种物理网网络的差差异性对对上层协协议不复复存在。IP数据据报分为为报头和和数据区区两部分分，I

14、P报头由由IP协协议处理理，是IP协议议的体现现；数据据体则用用于封装装传输层层数据或或差错和和控制报报文（ICMP）数据据，由TCP协协议或ICMP协议处处理。TCPTCP是传输层层的重要要协议之之一，提提供面向向连接的的可靠字字节流传传输。面面向连接接的TCP要求求在进行行实际数数据传输输前，必必须在信信源端与与信宿端端建立一一条连接接。且面面向连接接的每一一个报文文都需接接收端确确认，未未确认报报文被认认为是出出错报文文，出错错的报文文协议要要求出错错重传。TCP采采用可变变窗口进进行流量量控制和和拥塞控控制以保保证可靠靠性。分组是TCP传传输数据据的基本本单元，分TCP头和和TCP数据

15、体体两大部部分。UDPUDP是传输层层的重要要协议之之一；基于UDP的服服务包括括NIS、NFS、NTP及及DNS等。UDP不不是面向向连接的的服务，几乎不不提供可可靠性措措施；因因此，基基于UDP的服服务具有有较高的的风险。TCP与UDP端口一个TCP或UDP连接由由下述要要素唯一一确定：源IP地址、目的地地IP地地址、源源端口、目的地地端口。TCP或或UDP用协议议端口标标识通信信进程，端口是是一种抽抽象的软软件结构构（包括括一些数数据结构构和I/O缓冲冲区）。应用程程序（即即进程）通过系系统调用用与某些些端口建建立连接接后，传传输层传传给该端端口的数数据被相相应进程程所接收收。接口又是是

16、进程访访问传输输服务的的人口点点。每个个端口拥拥有一个个叫端口口号的16位整整数标识识符，用用于区分分不同端端口。TCP和和UDP软件分分别可以以提供65536个不不同的端端口。端口有两两部分，一部分分是保留留端口（端口号号小于1024，对应应于服务务器进程程），一一部分是是自由端端口（以以本地方方式分配配）。某些服务务进程通通常对应应于特定定的端口口。如SMTP为25，XWINDOWS为6000。客户使用用端口号号及目的的地IP地址初初始化与与一个特特定主机机或服务务的连接接。TCP与UDP端口(cont.)协议IPV6IETF决定在不不久的将将来利用用IPV6来代代替IPV4。IPV6既能

17、适适应高速速网络（如ATM），也能适适应低带带宽环境境。扩展地址址和路由由规模。主机地址址自动配配置。公共子网网服务。安全性加加强。防火墙技技术可根根据防范范的方式式和侧重重点的不不同而分分为很多种类型型，但总总体来讲讲可分为为三大类类：分组过滤滤、应用用代理、电路中中继分组过滤滤（Packet filtering）：作用在网网络层和和传输层层，它根根据分组组包头源地址，目的地地址和端端口号、协议类类型等标标志确定定是否允允许数据据包通过过。只有有满足过过滤逻辑辑的数据据包才被被转发到到相应的的目的地地出口端端，其余余数据包包则被从从数据流流中丢弃弃。防火墙技技术内容容应用代理理（Applic

18、ationProxy）：也叫应用用网关（ApplicationGateway）,它作用用在应用用层，其其特点是是完全“阻隔”了网络络通信流流，通过过对每种种应用服服务编制制专门的的代理程程序，实实现监视视和控制制应用层层通信流流的作用用。实际际中的应应用网关关通常由由专用工工作站实实现。电路中继继(CircuitRelay)：也叫电路路网关(CircuitGateway)或TCP代代理（TCPProxy）,其其工作原原理与应应用代理理类似，不同之之处是该该代理程程序是专专门为传传输层的的TCP协议编编制的。防火墙技技术内容容(cont.)防火墙技技术内容容分组过滤滤应用层表示层会话层传输层网络

19、层数据链路路层物理层物理层数据链路路层网络层应用层表示层会话层传输层网络层数据链路路层物理层外部网络络主机内部网络络主机分组过滤滤型防火火墙一个分组组过滤型型防火墙墙通常能能根据IP分组的以以下各项项过滤：源IP地地址目标IP地址TCP/UDP源端口口TCP/UDP目标端端口协议类型型防火墙技技术内容容分组过滤滤(cont.)防火墙技技术内容容分组过滤滤(cont.)分组过滤滤防火墙墙应用示示例优点：透明的防防火墙系系统高速的网网络性能能易于配置置支持网络络内部隐隐藏防火墙技技术内容容分组过滤滤(cont.)缺点：易于IP地址假冒冒记录日志志信息不不充分源路由攻攻击设计和配配置一个个真正安安全

20、的分分组过滤滤规则比比较困难难分组过滤滤防火墙墙并不能能过滤所所有的协协议极小分片片设数据据包攻击击无法防止止数据驱驱动式攻攻击防火墙技技术内容容分组过滤滤(cont.)防火墙技技术内容容应用代理理应用层表示层会话层传输层网络层数据链路路层物理层物理层数据链路路层网络层应用层表示层会话层传输层网络层数据链路路层物理层外部网络络主机内部网络络主机应用代理理型防火火墙应用层表示层会话层传输层防火墙技技术内容容应用代理理(cont.)外部Telnet服务器内部Telnet服务器日志系统统Telnet代理FTP代理认证系统统应用网关关一个Telnet代理理的例子子一个Telnet应用用代理的的过程用户

21、首先先Telnet到应用用网关主主机，并并输入内内部目标标主机的的名字（域名、IP地址）应用网关关检查用用户的源源IP地地址等，并根据据事先设设定的访访问规则则来决定定是否转转发或拒拒绝然后用户户必须进进行是否否验证（如一次次一密等等高级认认证设备备）应用网关关中的代代理服务务器为用用户建立立在网关关与内部部主机之之间的Telnet连连接代理服务务器在两两个连接接（用户户/应用用网关，代理服服务器/内部主主机）之之间传送送数据应用网关关对本次次连接进进行日志志记录防火墙技技术内容容应用代理理(cont.)优点：在网络连连接建立立之前可可以对用用户身份份进行认认证所有通过过防火墙墙的信息息流可以

22、以被记录录下来易于配置置支持内部部网络的的信息隐隐藏与分组过过滤规则则相比简简单易于控制制和管理理防火墙技技术内容容应用代理理(cont.)缺点：对每种类类型的服服务都需需要一个个代理网络性能能不高防火墙对对用户不不透明客户应用用可能需需要修改改需要多个个防火墙墙主机防火墙技技术内容容应用代理理(cont.)防火墙体体系结构构分组过滤滤防火墙墙结构分组过滤滤应用用网关（I）分组过滤滤应用用网关（II）屏蔽子网网防火墙墙结构分组过滤滤防火墙墙适合于较较小的、简单的的系统如规则复复杂，则则难于管管理分组过滤滤应用用网关（I）简化路由由配置加强隐私私双重保护护花费高一一些只有网关关上的代代理服务务支

23、持的的应用才才能通过过分组过滤滤应用用网关（II）路由器过过滤应用用网关不不支持的的危险协协议应用网关关仅需一一个网络络接口，不要求求在应用用网关与与路由器器之间有有一个分分离的子子网路由器允允许转发发可信服服务到网网关周围围和直接接到内部部网络分组过滤滤应用用网关（II）也叫屏蔽蔽主机防防火墙结结构，屏屏蔽路由由器使用用分组过过滤技术术，堡垒垒主机运运行应用用网关程程序，为为内部主主机提供供代理服服务。路由过滤滤器根据据以下规规则来路路由内外外部通信信路由从Internet外部部访问应应用网关关的通信信拒绝来自自任何Internet外部部的其它它访问拒绝路由由任何内内部网络络访问Intern

24、et外部部的请求求，除非非来自内内部的应应用代理理。适于需要要灵活性性的网络络，但安安全性降降低。屏蔽子网网防火墙墙结构适于通信信量很大大或高速速网络通通信的内内部网络络强化安全全，但配配置较为为复杂屏蔽子网网防火墙墙结构(cont.)屏蔽子网网防火墙墙结构(cont.)防火墙实实现策略略(cont.)对防火墙墙系统而而言，共共有两层层网络安安全策略略：网络服务务访问策策略：是是高层策策略，定定义了受受保护网网络明确确允许和和明确拒拒绝的网网络服务务，分析析网络服服务的可可用性（包括可可用条件件）、风风险性等等。防火墙设设计策略略：是低低层策略略，描述述了防火火墙如何何根据高高层的网网络服务务

25、访问策策略中定定义的策策略来具具体地限限制访问问和过滤滤服务。网络服务务访问策策略不允许外外部网络络或Internet访问内内部网络络，但允允许内部部网络访访问外部部网络或或Internet。允许外部部网络或或Internet访访问部分分内部网网络，这这些特定定的网络络服务是是经过严严格选择择和控制制的，如如一些信信息服务务器、电电子邮件件服务器器或域名名服务器器等等。防火墙实实现策略略(cont.)防火墙设设计策略略防火墙设设计策略略必须针针对具体体的防火火墙，它它定义过过滤规则则等，以以实现高高层的网网络服务务策略。这个策策略在设设计时必必须考虑虑到防火火墙本身身的性能能、限制制及具体体协

26、议如如TCP/IP。常用用的两种种基本防防火墙设设计策略略是：允许所有有除明确确拒绝之之外的通通信或服服务（很很少考虑虑，因为为这样的的防火墙墙可能带带来许多多风险和和安全问问题。攻攻击者完完全可以以使用一一种拒绝绝策略中中没有定定义的服服务而被被允许并并攻击网网络）拒绝所有有除明确确允许之之外的通通信或服服务（常常用，但但操作困困难，并并有可能能拒绝网网络用户户的正常常需求与与合法服服务）防火墙实实现策略略(cont.)作为一个个安全策策略的设设计者，应懂得得以下问问题的要要点：哪些Internet服务是是本网络络系统打打算使用用或提供供的？（如TELNET、FTP、HTTP）这些Inter

27、net服务在在哪或哪哪个范围围内使用用？（如如在本地地网内、整个Internet或拨拨号服务务等）可能有哪哪些额外外或临时时的服务务或需求求？（如如加密、拨入服服务等）提供这些些服务和和访问有有哪些风风险和总总的花费费？防火墙实实现策略略(cont.)对防火墙墙技术与与产品发发展的介介绍防火墙技技术是建建立在现现代通信信网络技技术和信信息安全全技术基础上上的应用用性安全全技术，越来越越多地应应用于专专用网络与公公用网络络的互联联环境之之中，尤尤其以接接入Internet网络为为最甚。Internet的迅迅猛发展展，使得得防火墙墙产品在在短短的的几年内内异军突突起，很很快形成成了一个个产业：据不

28、完完全统计计，在国国际上防防火墙产产品销售售从1995年年的不到到1万套套，猛猛增到1997年底的的10万万套。据国际权权威商业业调查机机构的预预测,防防火墙市市场将以以173的复复合增长长率增长长，到2000年将达达150万套，市场营营业额将将从1995年年的1.6亿美美元上升升到2000年年的9.8亿美美元。防火墙发发展历程程第一阶段段：基于于路由器器的防火火墙第二阶段段：用户户化的防防火墙工工具套第三阶段段：建立立在通用用操作系系统上的的防火墙墙第四阶段段：具有有安全操操作系统统的防火火墙对防火墙墙技术与与产品发发展的介介绍(cont.)第一代防防火墙产产品的特特点是：利用路由由器本身身

29、对分组组的解析析,以访访问控制制表（accesslist）方方式实现现对分组组的过滤滤；过滤判决决的依据据可以是是：地址址、端口口号、IP旗标标及其它它网络特征征；只有分组组过滤的的功能，且防火火墙与路路由器是是一体的的，对安全要求求低的网网络可采采用路由由器附带带防火墙墙功能的的方法，对安全性性要求高高的网络络则可单单独利用用一台路路由器作作防火墙墙。第一阶段段：基于于路由器器的防火火墙第一阶段段：基于于路由器器的防火火墙(cont.)第一代防防火墙产产品的不不足之处处为：路由协议议十分灵灵活，本本身具有有安全漏漏洞，外外部网络络要探寻寻内部网网络十分分容易。路由器上上的分组组过滤规规则的设

30、设置和配配置存在在安全隐隐患。攻击者可可以“假假冒”地地址，由由于信息息在网络络上是以以明文传传送的，黑客可可以在网网络上伪伪造假的的路由信信息欺骗骗防火墙墙。防火墙的的规则设设置会大大大降低低路由器器的性能能。第二阶段段：用户户化的防防火墙工工具套作为第二二代防火火墙产品品，用户户化的防防火墙工工具套具有有以下特特征：将过滤功功能从路路由器中中独立出出来，并并加上审审计和告告警功能能；针对用户户需求，提供模模块化的的软件包包；软件可通通过网络络发送，用户可可根据需需要构造造防火墙墙；与第一代代防火墙墙相比，安全性性提高了了，价格格降低了了。第二阶段段：用户户化的防防火墙工工具套(cont.)

31、不足之处处：配置和维维护过程程复杂、费时；对用户的的技术要要求高；全软件实实现，安安全性和和处理速速度均有有局限；实践表明明，使用用中出现现差错的的情况很很多。第三阶段段：建立立在通用用操作系系统上的的防火墙墙具有以下下特点：是批量上上市的专专用防火火墙产品品；包括分组组过滤或或者借用用路由器器的分组组过滤功功能；装有专用用的代理理系统，监控所所有协议议的数据据和指令令；保护用户户编程空空间和用用户可配配置内核核参数的的设置；安全性和和速度大大为提高高。第三阶段段：建立立在通用用操作系系统上的的防火墙墙(cont.)存在的问问题：作为基础础的操作作系统及及其内核核往往不不为防火火墙管理理者所知

32、知，由于于原码的的保密，其安全全性无从从保证；由于大多多数防火火墙厂商商并非通通用操作作系统的的厂商，通用操操作系统统厂商不不会对操操作系统统的安全全性负责责；从本质上上看，第第三代防防火墙既既要防止止来自外外部网络络的攻击击，还要要防止来来自操作作系统厂厂商的攻攻击。用户必须须依赖两两方面的的安全支支持：一一是防火火墙厂商商、一是是操作系系统厂商商。第四阶段段：具有有安全操操作系统统的防火火墙具有以下下特点：防火墙厂厂商具有有操作系系统的源源代码，并可实实现安全全内核；对安全内内核实现现加固处处理:即即去掉不不必要的的系统特特性，加加固内核核，强化化安全保保护；对每个服服务器、子系统统都作了

33、了安全处处理，一一旦黑客客攻破了了一个服服务器，它将会会被隔离离在此服服务器内内，不会会对网络络的其它它部份构构成威胁胁；在功能上上包括了了分组过过滤、应应用网关关、电路路级网关关，且具具有加密密与鉴别别功能；透明性好好，易于于使用。第四代防防火墙的的主要技技术与功功能第四代防防火墙产产品将网网关与安安全系统统合二为为一，具具有以下下技术与与功能特特点：双端口或或三端口口的结构构透明的访访问方式式灵活的代代理系统统多级的过过滤技术术网络地址址转换技技术Internet网关关技术安全服务务器网络络（SSN）用户鉴别别与加密密用户定制制服务审计和告告警双端口或或三端口口的结构构新一代防防火墙产产品

34、具有有两个或或三个独独立的的网卡，内外两两个网卡卡可不作作IP转化而串串接于内内部网与与外部网网之间，另一个个网卡可可专用于于对服务务器的安安全保护护。透明的访访问方式式以前的防防火墙在在访问方方式上要要么要求求用户作作系统登录录，要么么需要通通过SOCKS等库路径径修改客客户机的应应用。第第四代防防火墙利利用了透透明的代代理系统技术，从而降降低了系系统登录录固有的的安全风风险和出错概率率。灵活的代代理系统统代理系统统是一种种将信息息从防火火墙的一一侧传送送到另一一侧的软软件模块块。第四四代防火火墙采用用了两种种代理机机制，一一种用于于代理从从内部网网络到外外部网络络的连接接，采用用网络地地址

35、转换换(NAT)技术来解解决，另另一种用用于代理理从外部部网络到到内部网网络的连连接。采采用非保保密的用用户定制制代理或或保密的的代理系系统技术术来解决决。多级的过过滤技术术为保证系系统的安安全性和和防护水水平，第第四代防防火墙采采用了三三级过滤滤措施，并辅以以鉴别手手段。在在分组过过滤一级级，能过过滤掉所所有的源源路由分分组和假假冒的IP源地址；在应用用级网关关一级,能利用用FTP、SMTP等各种网网关，控控制和监监测Internet提供的所所有通用用服务；在电路路网关一一级，实实现内部部主机与与外部站站点的透透明连接接，并对对服务的的通行实实行严格格控制。网络地址址转换技技术第四代防防火墙

36、利利用NAT技术能透透明地对对所有内内部地址址作转换换，使外外部网络络无法了了解内部部网络的的内部结结构，同同时允许许内部网网络使用用自己编编的IP地址和专专用网络络，防火火墙能详详尽记录录每一个个主机的的通信，确保每每个分组组送往正正确的地地址。Internet网关技术术安全服务务器网络络（SSN）为适应越越来越多多的用户户向Internet上提供服服务时对对服务器器保护的的需要,第四代代防火墙墙采用特特别保护护的策略略对用户户上网的的对外服服务器实实施保护护，它利利用一张张网卡将将对外服服务器作作为一个个独立网网络处理理，对外外服务器器既是内内部网的的一部份份，又与与内部网网关完全全隔离。

37、这就是是安全服服务器网网络(SSN)技术，对SSN上的主机机既可单单独管理理，也可可设置成成通过FTP、Telnet等方式从从内部网网上管理理。用户鉴别别与加密密为了降低低防火墙墙产品在在Telnet、FTP等服务和远程管管理上的的安全风风险，鉴鉴别功能能必不可可少，第四代防防火墙采采用一次次性使用用的口令令字系统统来作为用户的的鉴别手手段，并并实现了了对邮件件的加密密。用户定制制服务为满足特特定用户户的特定定需求，第四代代防火墙墙在提供众众多服务务的同时时,还为为用户定定制提供供支持，这类选选项有：通用TCP，出站UDP、FTP、SMTP等类,如如果某一一用户需需要建立立一个数数据库的的代理

38、，便可利利用这些些支持，方便设设置。审计和告告警第四代防防火墙产产品的审审计和告告警功能能十分健健全，日志志文件包包括：一一般信息息、内核核信息、核心信息、接接收邮件件、邮件件路径、发送邮邮件、已已收消息、已发发消息、连接请请求、已已鉴别的的访问、告警条件、管管理日志志、进站站代理、FTP代理、出出站代理、邮件件服务器器、域名名服务器器等。告告警功能能会守住每一个个TCP或UDP探寻，并并能以发发出邮件件、声响等多种种方式报报警。第四代防防火墙技技术实现现在第四代代防火墙墙产品的的设计与与开发中中，关键键在于：安全内核核代理系统统多级过滤滤安全服务务器鉴别与加加密安全内核核的实现现对安全操操作

39、系统统内核的的固化与与改造主主要从以以下几方面面进行：取消危险险的系统统调用；限制命令令的执行行权限；取消IP的转发发功能；检查每个个分组的的接口；采用随机机连接序序号；驻留分组组过滤模模块；取消动态态路由功功能；采用多个个安全内内核。代理系统统的建立立在所有的的连接通通过防火火墙前，所有的的代理要要检查已定定义的访访问规则则，这些些规则控控制代理理的服务并根据据以下内内容处理理分组：源地址；目的地址址；时间；同类服务务的最大大数量。代理系统统的建立立（cont.)所有外部部网络到到防火墙墙内部或或SSN的连接由由进站代代理处理，进进站代理理要保证证内部主主机能了了解外部部主机的的所有信息，而

40、外部部主机只只能看到到防火墙墙之外或或SSN的地址。所有从内内部网络络或SSN通过防火火墙与外外部网络络建立的的连接由出出站代理理处理，出站代代理必须须确保完完全由它它代表内部网网络与外外部地址址相连，防止内内部网址址与外部部网址的直接接连接,同时还还要处理理内部网网络到SSN的连接。分组过滤滤器的设设计分组过滤滤器包括括以下参参数:进站接口口；出站接口口；IP协议议特征；允许的连连接；源端口范范围；源地址；目的地址址；目的端口口的范围围等。安全服务务器的设设计安全服务务器的设设计有两两个要点点：第一，所所有SSN的流量都都要隔离离处理，即从内内部网和和外部网而而来的路路由信息息流在机机制上是

41、是分离的的；第二，SSN的作用类类似于两两个网络络，它看看上去象象是内部网，因因为它对对外透明明，同时时又象是是外部网网络，因因为它从内部部网络对对外访问问的方式式十分有有限。安全服务务器的设设计（cont.)SSN上的每一一个服务务器都是是隐蔽于于Inter-net，SSN提供的服服务对外外部网络络而言好好象防火火墙的功能能，由于于地址转转换已是是透明的的,对各各种网络应用没没有限制制。实现SSN的关键在在于：解决分组组过滤器器与SSN的连连接；支持通过过防火墙墙对SSN的访访问；支持代理理服务。鉴别与加加密的考考虑鉴别与加加密是防防火墙识识别用户户，验证证访问和和保护信信息的有效效手段，鉴

42、别机机制除了了提供安安全保护护而外，还有安全管理理的功能能，目前前国外防防火墙产产品中广广泛使用用令牌鉴别方式式，具体体方法有有两种，一种是是加密卡卡（CryptoCard）；另一一种是SecureID，这两种种都是一一次性口口令的生成工工具。对信息内内容的加加密与鉴鉴别则涉涉及加密密算法和和数字签签名技术，除PEM、PGP和Kerberos外，目前前国外防防火墙产品中尚尚没有更更好的机机制出现现，由于于加密算算法涉及及国家信息安安全和主主权，各各国有不不同的要要求。第四代防防火墙的的抗攻击击能力作为一种种安全防防护设备备，防火火墙在网网络中自自然是众众多攻击击者的目目标，故故抗攻击击能力也也

43、是防火火墙的必必备功能能，在Internet环境中针针对防火火墙的攻攻击方法法主要有有：抗IP假冒攻击击抗特洛伊伊木马攻攻击抗口令字字探寻攻攻击抗网络安安全性分分析抗邮件诈诈骗攻击击抗IP假假冒攻击击 IP假冒冒是指一一个非法法的主机机假冒内内部的主主机地址址，骗取取服务器器的“信信任”，从而达达到对网网络的攻攻击目的的。由于于第四代代防火墙墙知道网网络内外外的IP地址，它会丢丢弃所有有来自网网络外部部但却有有内部地地址的分分组，再再之防火火墙已将将网内的的实际地地址隐蔽蔽起来，外部用用户很难难知道内内部的IP地址址，因而而难以攻攻击。第四代防防火墙的的抗攻击击能力(cont.)抗特洛伊伊木马

44、攻攻击特洛伊木木马能将将病毒或或破坏性性程序传传入计算算机网络络，且通通常是将将这些恶恶意程序序隐蔽在在正常的的程序，尤其是是热门程程序或游游戏之中中，一些些用户下下载并执执行这一一程序，其中的的病毒便便会发作作。第四四代防火火墙是建建立在安安全的操操作系统统之上的的，其安安全内核核中不能能执行下下载的程程序，故故而可防防止特洛洛伊木马马的发生生。必须须指出的的是，防防火墙能能抗特洛洛伊木马马的攻击击并不表表明受其其保护的的某个主主机也能能防止这这类攻击击。事实实上，内内部用户户可通过过防火墙墙下载程程序，并并执行下下载的程程序。第四代防防火墙的的抗攻击击能力(cont.)抗口令字字探寻攻攻击

45、在网络中中探寻口口令字的的方法很很多，最最常见的的是口令令字嗅探探和口令令字解密密。嗅探探是通过过监测网网络通信信，截获获用户传传给服务务器的口口令字，记录下下来，以以便使用用；解密密是指采采用强力力攻击、猜测或或截获含含有加密密口令字字的文件件，并设设法解密密。此外外，攻击击者还常常常利用用一些常常用口令令字直接接登录。第四代防防火墙采采用了一一次性口口令字和和禁止直直接登录录防火墙墙的措施施，能有有效防止止对口令令字的攻攻击。第四代防防火墙的的抗攻击击能力(cont.)抗网络安安全性分分析网络安全全性分析析工具本本是供管管理人员员分析网网络安全全性之用用的，一一旦这类类工具用用作攻击击网络

46、的的手段，则能较较方便地地探测到到内部网网络的安安全缺陷陷和弱点点所在，目前，SATAN软软件可以以从网上上免费获获得，InternetScanner 可从从市面上上购买，这些分分析工具具给网络络安全构构成了直直接威胁胁。第四四代防火火墙采用用了地址址转换技技术，将将内部网网络隐蔽蔽起来，使网络络安全分分析工具具无法从从外部对对内部网网作分析析。第四代防防火墙的的抗攻击击能力(cont.)抗邮件诈诈骗攻击击 邮件诈骗骗也是越越来越突突出的攻攻击方式式，第四四代防火火墙不接接收任何何邮件，故难以以采用这这种方式式对它攻攻击，同同样值得得一提的的是，防防火墙不不接受邮邮件，并并不表示示它不让让邮件

47、通通过，实实际上用用户仍可可收发邮邮件，内内部用户户要防邮邮件诈骗骗，最终终的解决决办法是是对邮件件加密。第四代防防火墙的的抗攻击击能力(cont.)对防火墙墙技术的的展望：几点趋势势防火墙将将从目前前对子网网或内部部网管理理的方式式向远程程上网集集中管理理的方式式发展；过滤深度度不断加加强,从从目前的的地址、服务过过滤，发发展到URL（页面）过滤，关键字字过滤和和对ActiveX、Java等的过滤滤，并逐逐渐有病病毒扫除除功能。单向防火火墙（又又叫网络络二极管管）将作作为一种种产品门门类而出出现； 利用防火火墙建立立专用网网(VPN)是较长长一段时时间的用用户使用用的主流流，IP的加密需需求越来来越强，安全协协议的开开发是一一大热点点；对网络攻攻击的检检测和告告警将成成为防火火墙的重重要功能能；安全管理理工具不不断完善善，特别别是可疑疑活动的的日志分分析工具具等将成成为防火火墙产品品中的一一部分。对防火墙墙技术的的展望：几点趋势势(cont.)对防火墙墙技术的的展望：需求的变变化根据上述述趋势，人们选选择防火火墙的标标准将集集中在以下下几个方方面：易于管理理性；应用透明明性；鉴别与加加密功能能；操作环境境和硬件件要求；VPN的的功能与与CA的的功能；接口的数数量；成本。Linux