1、第 PAGE15 頁 共 NUMPAGES15 頁簡述防火墻的作用及其安全方案 簡述防火墻的作用及其安全方案 21世紀全世界的計算機都通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。 一個國家的信息安全體系實際上包括國家的法規和政策，以及技術與市場的發展平臺。我國在構建信息防衛系統時，應著力發展自己獨特的安全產品，我國要想真正解決網絡安全問題，最終的辦法就是通過發展民族的安全產業，帶動我國網絡安全技術的整體提高。 網絡安全產品有以下幾大特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用

2、一種統一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化；第三，隨著網絡在社會各方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系，需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。信息安全是國家發展所面臨的一個重要問題。對于這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分，而且應該看到，發展安全產業的政策是信息安全保障系統的一個重

3、要組成部分，甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。 2防火墻技術 網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。 目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關（代理服務器）以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，

4、不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。 自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統，提出了防火墻概念后，防火墻技術得到了飛速的發展。國內外已有數十家公司推出了功能各 不相同的防火墻產品系列。 防火墻處于5層網絡安全體系中的最底層，屬于網絡層安全技術范疇。在這一層上，企業對安全系統提出的問題是：所有IP是否都能訪問到企業的內部網絡系統?如果答案是是，則說明企業內部網還沒有在網絡層采取相應的防范措施。 作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的

5、網絡安全產品之一。雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。 根據防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網絡地址轉換NAT、代理型和監測型。 2.1包過濾型 包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以包為單位進行傳輸的，數據被分割成為一定大小的數據

6、包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些包是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。 包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的

7、黑客很容易偽造IP地址，騙過包過濾型防火墻。 2.2網絡地址轉化NAT 網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規

8、則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。 2.3代理型 代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器；而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數

9、據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。代理型防火墻的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。 2.4監測型 監測型防火墻是新一代的產品，這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測，在這些數據加以分析的基礎上，監測型防火

10、墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計，在針對網絡系統的攻擊中，有相當比例的攻擊來自網絡內部。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品。雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻，但由于監測型防火墻技術的實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代代理型產品為主，但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本

11、的綜合考慮，用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求，同時也能有效地控制安全系統的總擁有成本。 3結束語 實際上，作為當前防火墻產品的主流趨勢，大多數代理服務器（也稱應用網關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的，應用網關能提供對協議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過代理應用，應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。 簡述防火墻的作用及其安全方案 防火墻技術簡介 Int

12、ernet的發展給政府結構、企事業單位帶來了革命性的改革和開放。他們正努力通過利用Internet來提高辦事效率和市場反應速度，以便更具競爭力。通過Internet，企業可以從異地取回重要數據，同時又要面對Internet開放帶來的數據安全的新挑戰和新危險：即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問；以及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加筑安全的戰壕，而這個戰壕就是防火墻。 防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯環境之中，尤其以接入Internet網絡為最甚。 1防火墻的概念 防火墻是

13、指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。 在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。 2防火墻的功能 防火墻是網絡安全的屏障： 一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火

14、墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。 防火墻可以強化網絡安全策略： 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防

15、火墻一身上。 對網絡存取和訪問進行監控審計： 如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。 防止內部信息的外泄： 通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非

16、常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。 除了安全作用，防火墻還支持具有Internet服務特性的企業內部網

17、絡技術體系VPN。通過VPN，將企事業單位在地域上分布在全世界各地的LAN或專用子網，有機地聯成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。 3防火墻的種類 防火墻技術可根據防范的方式和側重點的不同而分為很多種類型，但總體來講可分為二大類：分組過濾、應用代理。 分組過濾（Packetfiltering）：作用在網絡層和傳輸層，它根據分組包頭源地址，目的地址和端口號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端，其余數據包則被從數據流中丟棄。 應用代理（ApplicationPro_y）：也叫應用網關（ApplicationGat

18、eway）,它作用在應用層，其特點是完全阻隔了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。 4.分組過濾型防火墻 分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網絡服務采取特殊的處理方式；之所以廉價，因為大多數路由器都提供分組過濾功能；之所以有效，因為它能很大程度地滿足企業的安全要求。 包過濾在網絡層和傳輸層起作用。它根據分組包的源、宿地址，端口號及協議類型、標志確定是否允許分組包通過。所根據的信息來源于IP、TCP或UDP包頭。 包過濾的優點是不用改動客戶機和主機上的應用程序

19、，因為它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的：據以過濾判別的只有網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由于缺少上下文關聯信息，不能有效地過濾如UDP、RPC一類的協議；另外，大多數過濾器中缺少審計和報警機制，且管理方式和用戶界面較差；對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統。 5應用代理型防火墻 應用代理型防火墻是內部網與外部網的隔離點，起著監視和隔絕應用層通

20、信流的作用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統中可用作安全決策的全部信息。 6.復合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。這種結合通常是以下兩種方案。 屏蔽主機防火墻體系結構：在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內部網絡，通過在分組過濾路由器或防火墻上過濾規則的設置，使堡壘機成為Internet上其它節點所能到達的唯一節點，這確保了內部網絡不受未授權外部用戶的攻擊。 屏蔽子網防火墻體系結構：堡壘機放在一個子網內，形成非軍事化區，兩個分組過濾路由器放在

21、這一子網的兩端，使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。 7.防火墻操作系統 防火墻應該建立在安全的操作系統之上，而安全的操作系統來自于對專用操作系統的安全加固和改造，從現有的諸多產品看，對安全操作系統內核的固化與改造主要從以下幾方面進行：取消危險的系統調用；限制命令的執行權限；取消IP的轉發功能；檢查每個分組的接口；采用隨機連接序號；駐留分組過濾模塊；取消動態路由功能；采用多個安全內核，等等。 8.NAT技術 NAT技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，同時使用NAT的網絡，與外部網絡的連接只