第三篇網(wǎng)絡(luò)安全技術(shù)第3章防火墻技術(shù)第三篇網(wǎng)絡(luò)安全技術(shù)第3章防火墻技術(shù)1本章學習目標防火墻的定義、發(fā)展簡史、目的、功能、局限性包過濾防火墻和代理防火墻的實現(xiàn)原理、技術(shù)特點以及實現(xiàn)方式防火墻的常見體系結(jié)構(gòu)分布式防火墻的體系結(jié)構(gòu)、特點本章學習目標防火墻的定義、發(fā)展簡史、目的、功能、局限性23.1防火墻技術(shù)概述防火墻（Firewall）是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被保護的網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進行的信息存取、傳遞操作，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。3.1防火墻技術(shù)概述防火墻（Firewall）是一種將內(nèi)部33.1.1防火墻的定義《辭海》上說“防火墻：用非燃燒材料砌筑的墻。設(shè)在建筑物的兩端或在建筑物內(nèi)將建筑物分割成區(qū)段，以防止火災蔓延。”簡單的說，防火墻是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、或兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，限制外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問及管理內(nèi)部用戶訪問外部網(wǎng)絡(luò)的權(quán)限的系統(tǒng)，防止對重要信息資源的非法存取和訪問，以達到保護系統(tǒng)安全的目的。3.1.1防火墻的定義《辭海》上說“防火墻：用非燃燒材料砌43.1.2防火墻的發(fā)展簡史第一代防火墻：幾乎與路由器同時出現(xiàn)，采用了包過濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，貝爾實驗室的Dave.Presotto和Howard.Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻：1992年，USC信息科學院的Bob.Braden開發(fā)出了基于動態(tài)包過濾（DynamicPacketFilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（StateFulinspection）技術(shù)。1994年，以色列的Check.Point公司開發(fā)出了第一個基于這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理（AdaptiveProxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)。3.1.2防火墻的發(fā)展簡史第一代防火墻：幾乎與路由器同時出5計算機網(wǎng)絡(luò)安全課件--防火墻技術(shù)63.1.3設(shè)置防火墻的目的和功能通常應(yīng)用防火墻的目的有以下幾個方面：限制他人進入內(nèi)部網(wǎng)絡(luò)；過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施；限定人們訪問特殊站點；為監(jiān)視局域網(wǎng)安全提供方便。無論何種類型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻的主要功能就是控制對受保護網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點，用以防范外對內(nèi)、內(nèi)對外的非法訪問。3.1.3設(shè)置防火墻的目的和功能通常應(yīng)用防火墻的目的有以下73.1.4防火墻的局限性防火墻防外不防內(nèi)網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制傳統(tǒng)防火墻不能在有在兩個內(nèi)部網(wǎng)絡(luò)之間通信需求的VPN網(wǎng)絡(luò)中使用，否則VPN通信將被中斷。雖然目前有一種SSLVPN技術(shù)可以繞過企業(yè)邊界的防火墻進入內(nèi)部網(wǎng)絡(luò)VPN通信，但是應(yīng)用更廣泛的傳統(tǒng)IPSecVPN通信中還是不能使用，除非是專門的VPN防火墻。防火墻難于管理和配置，易造成安全漏洞效率較低、故障率高很難為用戶在防火墻內(nèi)外提供一致的安全策略防火墻只實現(xiàn)了粗粒度的訪問控制3.1.4防火墻的局限性防火墻防外不防內(nèi)83.1.5防火墻技術(shù)發(fā)展動態(tài)和趨勢優(yōu)良的性能可擴展的結(jié)構(gòu)和功能簡化的安裝與管理主動過濾防病毒與防黑客未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個方面。此外，防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù)，如Web頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來。3.1.5防火墻技術(shù)發(fā)展動態(tài)和趨勢優(yōu)良的性能未來防火墻技93.2防火墻技術(shù)

3.2.1防火墻的技術(shù)分類包過濾防火墻：數(shù)據(jù)包過濾（PacketFiltering）技術(shù)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過設(shè)備對進出網(wǎng)絡(luò)的數(shù)據(jù)流進行有選擇地控制與操作。包過濾操作一般都是在選擇路由的同時在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇或過濾（通常是對從Internet進入到內(nèi)部網(wǎng)絡(luò)的包進行過濾）。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表（AccessControlTable）或規(guī)則表。規(guī)則表指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)，例如：只接收來自某些指定的IP地址的數(shù)據(jù)包或者內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包可以流向某些指定的端口等；哪些類型的數(shù)據(jù)包的傳輸應(yīng)該被攔截。防火墻的IP包過濾規(guī)則以IP包信息為基礎(chǔ)，對IP包源地址、目標地址、傳輸方向、分包、IP包封裝協(xié)議（TCP/UDP/ICMP/IPTunnel）、TCP/UDP目標端口號等進行篩選、過濾。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。3.2防火墻技術(shù)

3.2.1防火墻的技術(shù)分類包過濾防火墻10包過濾處理圖包過濾操作可以在路由器上進行，也可以在網(wǎng)橋，甚至在一個單獨的主機上進行。數(shù)據(jù)包過濾是一個網(wǎng)絡(luò)安全保護機制，它用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)。不符合網(wǎng)絡(luò)安全的那些服務(wù)將被嚴格限制。基于包中的協(xié)議類型和協(xié)議字段值，過濾路由器能夠區(qū)分網(wǎng)絡(luò)流量；基于協(xié)議特定的標準，路由器在其端口能夠區(qū)分包和限制包的能力叫包過濾（PacketFiltering）。正是因為這種原因，過濾路由器也可以稱作包過濾路由器（PacketFilterRouter）。包過濾處理圖包過濾操作可以在路由器上進行，也可以在網(wǎng)橋，甚11靜態(tài)包過濾一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱為靜態(tài)規(guī)則。利用靜態(tài)包過濾規(guī)則建立的防火墻就叫靜態(tài)包過濾防火墻，見圖。靜態(tài)包過濾一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的，12動態(tài)包過濾采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。即采用了基于連接狀態(tài)的檢查和動態(tài)設(shè)置包過濾規(guī)則的方法，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合進行檢查。動態(tài)過濾規(guī)則技術(shù)避免了靜態(tài)包過濾的問題，使防火墻彌補了許多不安全的隱患，在最大程度上降低了黑客攻擊的成功率，從而大大提高了系統(tǒng)的性能和安全性。動態(tài)包過濾采用這種技術(shù)的防火墻對通過其建立的每一個連接都進13包過濾防火墻的優(yōu)點不用改動應(yīng)用程序。包過濾不用改動客戶機和主機上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)。數(shù)據(jù)包過濾對用戶透明。數(shù)據(jù)包過濾是在IP層實現(xiàn)的，Internet根本感覺不到它的存在；包過濾不要求任何自定義軟件或者客戶機配置；它也不要求用戶任何特殊的訓練或者操作，使用起來很方便。過濾路由器速度快、效率高。較Proxy而言，過濾路由器只檢查報頭相應(yīng)的字段，一般不查看數(shù)據(jù)包的內(nèi)容，而且某些核心部分是由專用硬件實現(xiàn)的，故其轉(zhuǎn)發(fā)速度快、效率較高。包過濾防火墻的優(yōu)點不用改動應(yīng)用程序。包過濾不用改動客戶機和14包過濾的缺點不能徹底防止地址欺騙。一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。如RPC、FTP。正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。如數(shù)據(jù)包的報頭信息只能說明數(shù)據(jù)包來自什么主機，而不知是什么用戶；只知數(shù)據(jù)包發(fā)送到什么端口，而不知是發(fā)到什么應(yīng)用程序。安全性較差。過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息；過濾規(guī)則的數(shù)目是有限制的；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議；非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；大多數(shù)過濾器中缺少審計和報警機制，通常它沒有用戶的使用記錄，這樣，管理員就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。數(shù)據(jù)包工具存在很多局限性。如數(shù)據(jù)包過濾規(guī)則難以配置，管理方式和用戶界面較差；對安全管理人員素質(zhì)要求高；建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。包過濾的缺點不能徹底防止地址欺騙。15代理防火墻代理防火墻的原理：所謂代理服務(wù)器，是指代表客戶處理在服務(wù)器連接請求的程序。當代理服務(wù)器得到一個客戶的連接意圖時，它將核實客戶請求，并用特定的安全化的Proxy應(yīng)用程序來處理連接請求，將處理后的請求傳遞到真實的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進一步處理后，將答復交給發(fā)出請求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)絡(luò)的作用，所以有叫代理防火墻。代理防火墻工作于應(yīng)用層，且針對特定的應(yīng)用層協(xié)議。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問控制；而且，還可用來保持一個所有應(yīng)用程序使用的記錄。記錄和控制所有進出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點之一。代理防火墻的工作原理如圖所示。代理防火墻代理防火墻的原理：所謂代理服務(wù)器，是指代表客戶處16代理服務(wù)器（ProxyServer）作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器，攔截住所有要求，也向客戶端轉(zhuǎn)發(fā)響應(yīng)。代理客戶（ProxyClient）負責代表內(nèi)部客戶端向外部服務(wù)器發(fā)出請求，當然也向代理服務(wù)器轉(zhuǎn)發(fā)響應(yīng)。代理防火墻（Proxy）分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理服務(wù)器（ProxyServer）作為內(nèi)部網(wǎng)絡(luò)客戶端的服17應(yīng)用層網(wǎng)關(guān)型防火墻應(yīng)用層網(wǎng)關(guān)（ApplicationLevelGateways）防火墻是傳統(tǒng)代理型防火墻，它的核心技術(shù)就是代理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專用工作站系統(tǒng)上。這種防火墻通過代理技術(shù)參與到一個TCP連接的全過程，并在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能，所以叫做應(yīng)用層網(wǎng)關(guān)。當某用戶（不管是遠程的還是本地的）想和一個運行代理的網(wǎng)絡(luò)建立聯(lián)系時，此代理（應(yīng)用層網(wǎng)關(guān)）會阻塞這個連接，然后在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成檢查報告。如果此連接請求符合預定的安全策略或規(guī)則，代理防火墻便會在用戶和服務(wù)器之間建立一個“橋”，從而保證其通訊。對不符合預定的安全規(guī)則的，則阻塞或拋棄。同時，應(yīng)用層網(wǎng)關(guān)將內(nèi)部用戶的請求確認后送到外部服務(wù)器，再將外部服務(wù)器的響應(yīng)回送給用戶。應(yīng)用層網(wǎng)關(guān)型防火墻應(yīng)用層網(wǎng)關(guān)（ApplicationLe18應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點就是安全，這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認為是最安全的防火墻。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)如HTTP編寫的安全化的應(yīng)用程序進行處理，然后由防火墻本身提交請求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計算機以任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)絡(luò)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。包過濾類型的防火墻是很難徹底避免這一漏洞的。應(yīng)用層網(wǎng)關(guān)防火墻同時也是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點就是安全19代理防火墻的缺點代理防火墻的最大缺點就是速度相對比較慢，當用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，（比如要求達到75M~100Mbps時）代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠低于這個數(shù)字。在現(xiàn)實環(huán)境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網(wǎng)（ATM或千兆位Intranet等）之間的防火墻。代理防火墻的缺點代理防火墻的最大缺點就是速度相對比較慢，當20電路層網(wǎng)關(guān)防火墻另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（CircuitLevelGateway）或TCP通道（TCPTunnels）。在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個通信的終點之間轉(zhuǎn)換包，如圖所示。電路層網(wǎng)關(guān)防火墻另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（Cir21電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個更加靈活方法。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，一般采用自適應(yīng)代理技術(shù)，也稱為自適應(yīng)代理防火墻。在電路層網(wǎng)關(guān)中，需要安裝特殊的客戶機軟件。組成這種類型防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動態(tài)包過濾器（DynamicPacketFilter）。在自適應(yīng)代理與動態(tài)包過濾器之間存在一個控制通道。電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個更加靈活方法。它是針對數(shù)據(jù)包22兩種防火墻技術(shù)的對比包過濾防火墻代理防火墻優(yōu)點價格較低內(nèi)置了專門為了提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對來往的數(shù)據(jù)包進行安全化處理性能開銷小，處理速度較快安全，不允許數(shù)據(jù)包通過防火墻，避免了數(shù)據(jù)驅(qū)動式攻擊的發(fā)生缺點定義復雜，容易出現(xiàn)因配置不當帶來的問題速度較慢，不太適用于高速網(wǎng)（ATM或千兆位Intranet等）之間的應(yīng)用允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險不能理解特定服務(wù)的上下文環(huán)境，相應(yīng)控制只能在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來完成兩種防火墻技術(shù)的對比包過濾防火墻代理防火墻優(yōu)價格較低內(nèi)置了233.2.2防火墻的主要技術(shù)及實現(xiàn)方式雙端口或三端口的結(jié)構(gòu)透明的訪問方式靈活的代理系統(tǒng)多級的過濾技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）網(wǎng)絡(luò)狀態(tài)監(jiān)視器Internet網(wǎng)關(guān)技術(shù)安全服務(wù)器網(wǎng)絡(luò)（SSN）用戶鑒別與加密用戶定制服務(wù)審計和告警3.2.2防火墻的主要技術(shù)及實現(xiàn)方式雙端口或三端口的結(jié)構(gòu)網(wǎng)24應(yīng)用網(wǎng)關(guān)代理這種防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。當外部某臺主機試圖訪問（如Telnet）受保護網(wǎng)時，它必須先在防火墻上經(jīng)過身份認證。通過身份認證后，防火墻運行一個專門為Telnet設(shè)計的程序，把外部主機與內(nèi)部主機連接。在這個過程中，防火墻可以限制用戶訪問的主機、訪問的時間及訪問的方式。同樣，受保護網(wǎng)絡(luò)內(nèi)部用戶訪問外部網(wǎng)時也需先登錄到防火墻上，通過驗證后才可使用Telnet或FTP等有效命令。應(yīng)用網(wǎng)關(guān)代理（ApplicationGatewayProxy）的優(yōu)點是既可以隱藏內(nèi)部IP地址，也可以給單個用戶授權(quán)，即使攻擊者盜用了一個合法的IP地址，也通不過嚴格的身份認證。其缺點是這種認證使得應(yīng)用網(wǎng)關(guān)不透明，用戶每次連接都要受到“盤問”，這給用戶帶來許多不便；而且這種代理技術(shù)需要為每個應(yīng)用網(wǎng)關(guān)寫專門的程序。應(yīng)用網(wǎng)關(guān)代理這種防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。25回路級代理服務(wù)器回路級代理服務(wù)器也稱一般代理服務(wù)器，它適用于多個協(xié)議，但無法解釋應(yīng)用協(xié)議，需要通過其他方式來獲得信息。所以，回路級代理服務(wù)器通常要求修改過的用戶程序。其中，套接字服務(wù)器（SocketsServer）就是回路級代理服務(wù)器。套接字（Sockets）是一種網(wǎng)絡(luò)應(yīng)用層的國際標準。當受保護網(wǎng)絡(luò)客戶機需要與外部網(wǎng)交互信息時，在防火墻上的套接字服務(wù)器檢查客戶的UserID、IP源地址和IP目的地址，經(jīng)過確認后，套服務(wù)器才與外部的段服務(wù)器建立連接。對用戶來說，受保護網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，那是因為因特網(wǎng)絡(luò)用戶不需要登錄到防火墻上。但是客戶端的應(yīng)用軟件必須支持“SocketsifideAPI”，受保護網(wǎng)絡(luò)用戶訪問公共網(wǎng)絡(luò)所使用的IP地址也都是防火墻的IP地址。回路級代理服務(wù)器回路級代理服務(wù)器也稱一般代理服務(wù)器，它適用263.2.3防火墻的常見體系結(jié)構(gòu)一個防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標志及另外一些IP選項，對IP包進行過濾。屏蔽路由器（ScreeningRouter）又叫包過濾路由器，是最簡單、最常見的防火墻，屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。除具有路由功能外，再裝上包過濾軟件，利用包過濾規(guī)則完成基本的防火墻功能。如圖所示。3.2.3防火墻的常見體系結(jié)構(gòu)一個防火墻系統(tǒng)通常由屏蔽路由27雙縮主機網(wǎng)關(guān)這種配置是用一臺裝有兩塊網(wǎng)卡（NIC）的計算機作堡壘主機，兩塊網(wǎng)卡各自與受保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，每一塊網(wǎng)卡都有一個IP地址。堡壘主機上運行著防火墻軟件——代理服務(wù)器軟件（應(yīng)用層網(wǎng)關(guān)），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。所以叫做雙縮主機網(wǎng)關(guān)（DualHomedGateway）防火墻，如圖所示。雙縮主機網(wǎng)關(guān)這種配置是用一臺裝有兩塊網(wǎng)卡（NIC）的計算機28屏蔽主機網(wǎng)關(guān)屏蔽主機網(wǎng)關(guān)（ScreenedGateway）由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾），又實現(xiàn)了應(yīng)用層安全（代理服務(wù)）。屏蔽主機網(wǎng)關(guān)很容易實現(xiàn)：在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)的交匯點，安裝一臺屏蔽路由器，同時在內(nèi)部網(wǎng)絡(luò)上安裝一個堡壘主機（應(yīng)用層網(wǎng)關(guān)）即可，如圖所示。屏蔽主機網(wǎng)關(guān)屏蔽主機網(wǎng)關(guān)（ScreenedGateway29被屏蔽子網(wǎng)被屏蔽子網(wǎng)（ScreenedSubnet）防火墻是在屏蔽主機網(wǎng)關(guān)防火墻的基礎(chǔ)上再加一個路由器，兩個屏蔽路由器放在子網(wǎng)的兩端，形成一個被稱為非軍事區(qū)（灰色陰影區(qū)域）的子網(wǎng)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)。如圖示。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信，像WWW和FTP服務(wù)器可放在DNZ中。被屏蔽子網(wǎng)被屏蔽子網(wǎng)（ScreenedSubnet）防火303.3防火墻的主要性能指標支持的局域網(wǎng)接口類型、數(shù)量及服務(wù)器平臺支持的協(xié)議對加密技術(shù)的支持對認證技術(shù)的支持對訪問控制技術(shù)的支持對各種防御功能的支持對安全特性的支持管理功能記錄和報表功能3.3防火墻的主要性能指標支持的局域網(wǎng)接口類型、數(shù)量及服務(wù)313.4分布式防火墻因為傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企業(yè)網(wǎng)和外部互聯(lián)網(wǎng)之間構(gòu)成一個屏障，進行網(wǎng)絡(luò)存取控制，所以稱為“邊界式防火墻”（PerimeterFirewall）。隨著計算機網(wǎng)絡(luò)安全技術(shù)的發(fā)展和用戶對防火墻功能要求的不斷提高，在目前傳統(tǒng)的邊界式防火墻基礎(chǔ)上開發(fā)出了一種新型防火墻，那就是“分布式防火墻”（DistributedFirewall）。它要負責對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點之間的安全防護，所以分布式防火墻是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。3.4分布式防火墻因為傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企323.4.1分布式防火墻的體系結(jié)構(gòu)分布式防火墻的體系結(jié)構(gòu)包含如下三個部分：網(wǎng)絡(luò)防火墻（NetworkFirewall）功能上與傳統(tǒng)的邊界式防火墻類似，用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護。主機防火墻（HostFirewall）用于對網(wǎng)絡(luò)中的服務(wù)器和桌面機進行防護。中心管理（CentralManagement）：這是一個服務(wù)器軟件，負責總體安全策略的策劃、管理、分發(fā)及日志的匯總，防火墻可以進行智能管理，提高了防火墻的安全防護靈活性。這是一種新的防火墻管理功能，也是傳統(tǒng)的邊界式防火墻所不具有的。3.4.1分布式防火墻的體系結(jié)構(gòu)分布式防火墻的體系結(jié)構(gòu)包333.4.2分布式防火墻的特點主機駐留：這種分布式防火墻的最主要特點就是采用主機駐留方式，所以也可稱之為“主機防火墻”，它的重要特征是駐留在被保護的主機（關(guān)鍵服務(wù)器、數(shù)據(jù)及工作站）上，該主機以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認為是不可信任的，因此可以針對該主機上運行的具體應(yīng)用和對外提供的服務(wù)設(shè)定針對性很強的安全策略。嵌入操作系統(tǒng)內(nèi)核：這主要是針對目前的純軟件的分布式防火墻來說的。眾所周知的，操作系統(tǒng)自身存在許多安全漏洞，運行在其上的應(yīng)用軟件無一不受到威脅。為了徹底堵住操作系統(tǒng)的漏洞，分布式防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運行，直接接管網(wǎng)卡，對所有的信息流進行過濾與限制，無論是來自Internet，還是來自內(nèi)部網(wǎng)絡(luò)，在把所有IP數(shù)據(jù)包進行檢查后再提交操作系統(tǒng)。類似于個人防火墻適用于服務(wù)器托管3.4.2分布式防火墻的特點主機駐留：這種分布式防火墻的343.5

Windows2000環(huán)境下防火墻及NAT的實現(xiàn)通過網(wǎng)絡(luò)地址轉(zhuǎn)換把內(nèi)部地址轉(zhuǎn)換成統(tǒng)一的外部地址，避免了使用代理服務(wù)所引起的賬號安全問題和代理服務(wù)端口被利用的危險。同時為了避免各種代理服務(wù)端口探測和其他各種常用服務(wù)端口的探測，如：Web代理端口80、8080；21（FTP）；80（WWW）；25（SMTP）；110（POP3）；53（DNS），可以啟用MicrosoftProxyServer的動態(tài)包過濾功能和IP分段過濾，達到端口隱形的效果。為了訪問Internet和向外提供服務(wù)，還需要在ProxyServer的過濾列表中加入許可。案例（略）3.5Windows2000環(huán)境下防火墻及NAT的實現(xiàn)通35習題三

簡要回答防火墻的定義和發(fā)展簡史。設(shè)置防火墻目的是什么？防火墻的功能和局限性各有哪些？簡述防火墻的發(fā)展動態(tài)和趨勢。試述包過濾防火墻的原理及特點。靜態(tài)包過濾和動態(tài)包過濾有什么區(qū)別？試述代理防火墻的原理及特點。應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)有什么區(qū)別？防火墻的主要技術(shù)及實現(xiàn)方式有哪些？防火墻的常見體系結(jié)構(gòu)有哪幾種？屏蔽路由器防火墻和屏蔽主機網(wǎng)關(guān)防火墻各如何實現(xiàn)？簡述分布式防火墻的體系結(jié)構(gòu)、主要特點。分布式防火墻的優(yōu)勢主要體現(xiàn)在哪幾個方面？上機練習：配置一個雙縮主機網(wǎng)關(guān)防火墻。習題三簡要回答防火墻的定義和發(fā)展簡史。36第三篇網(wǎng)絡(luò)安全技術(shù)第3章防火墻技術(shù)第三篇網(wǎng)絡(luò)安全技術(shù)第3章防火墻技術(shù)37本章學習目標防火墻的定義、發(fā)展簡史、目的、功能、局限性包過濾防火墻和代理防火墻的實現(xiàn)原理、技術(shù)特點以及實現(xiàn)方式防火墻的常見體系結(jié)構(gòu)分布式防火墻的體系結(jié)構(gòu)、特點本章學習目標防火墻的定義、發(fā)展簡史、目的、功能、局限性383.1防火墻技術(shù)概述防火墻（Firewall）是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被保護的網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進行的信息存取、傳遞操作，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。3.1防火墻技術(shù)概述防火墻（Firewall）是一種將內(nèi)部393.1.1防火墻的定義《辭海》上說“防火墻：用非燃燒材料砌筑的墻。設(shè)在建筑物的兩端或在建筑物內(nèi)將建筑物分割成區(qū)段，以防止火災蔓延。”簡單的說，防火墻是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、或兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，限制外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問及管理內(nèi)部用戶訪問外部網(wǎng)絡(luò)的權(quán)限的系統(tǒng)，防止對重要信息資源的非法存取和訪問，以達到保護系統(tǒng)安全的目的。3.1.1防火墻的定義《辭海》上說“防火墻：用非燃燒材料砌403.1.2防火墻的發(fā)展簡史第一代防火墻：幾乎與路由器同時出現(xiàn)，采用了包過濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，貝爾實驗室的Dave.Presotto和Howard.Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻：1992年，USC信息科學院的Bob.Braden開發(fā)出了基于動態(tài)包過濾（DynamicPacketFilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（StateFulinspection）技術(shù)。1994年，以色列的Check.Point公司開發(fā)出了第一個基于這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理（AdaptiveProxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)。3.1.2防火墻的發(fā)展簡史第一代防火墻：幾乎與路由器同時出41計算機網(wǎng)絡(luò)安全課件--防火墻技術(shù)423.1.3設(shè)置防火墻的目的和功能通常應(yīng)用防火墻的目的有以下幾個方面：限制他人進入內(nèi)部網(wǎng)絡(luò)；過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施；限定人們訪問特殊站點；為監(jiān)視局域網(wǎng)安全提供方便。無論何種類型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻的主要功能就是控制對受保護網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點，用以防范外對內(nèi)、內(nèi)對外的非法訪問。3.1.3設(shè)置防火墻的目的和功能通常應(yīng)用防火墻的目的有以下433.1.4防火墻的局限性防火墻防外不防內(nèi)網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制傳統(tǒng)防火墻不能在有在兩個內(nèi)部網(wǎng)絡(luò)之間通信需求的VPN網(wǎng)絡(luò)中使用，否則VPN通信將被中斷。雖然目前有一種SSLVPN技術(shù)可以繞過企業(yè)邊界的防火墻進入內(nèi)部網(wǎng)絡(luò)VPN通信，但是應(yīng)用更廣泛的傳統(tǒng)IPSecVPN通信中還是不能使用，除非是專門的VPN防火墻。防火墻難于管理和配置，易造成安全漏洞效率較低、故障率高很難為用戶在防火墻內(nèi)外提供一致的安全策略防火墻只實現(xiàn)了粗粒度的訪問控制3.1.4防火墻的局限性防火墻防外不防內(nèi)443.1.5防火墻技術(shù)發(fā)展動態(tài)和趨勢優(yōu)良的性能可擴展的結(jié)構(gòu)和功能簡化的安裝與管理主動過濾防病毒與防黑客未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個方面。此外，防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù)，如Web頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來。3.1.5防火墻技術(shù)發(fā)展動態(tài)和趨勢優(yōu)良的性能未來防火墻技453.2防火墻技術(shù)

3.2.1防火墻的技術(shù)分類包過濾防火墻：數(shù)據(jù)包過濾（PacketFiltering）技術(shù)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過設(shè)備對進出網(wǎng)絡(luò)的數(shù)據(jù)流進行有選擇地控制與操作。包過濾操作一般都是在選擇路由的同時在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇或過濾（通常是對從Internet進入到內(nèi)部網(wǎng)絡(luò)的包進行過濾）。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表（AccessControlTable）或規(guī)則表。規(guī)則表指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)，例如：只接收來自某些指定的IP地址的數(shù)據(jù)包或者內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包可以流向某些指定的端口等；哪些類型的數(shù)據(jù)包的傳輸應(yīng)該被攔截。防火墻的IP包過濾規(guī)則以IP包信息為基礎(chǔ)，對IP包源地址、目標地址、傳輸方向、分包、IP包封裝協(xié)議（TCP/UDP/ICMP/IPTunnel）、TCP/UDP目標端口號等進行篩選、過濾。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。3.2防火墻技術(shù)

3.2.1防火墻的技術(shù)分類包過濾防火墻46包過濾處理圖包過濾操作可以在路由器上進行，也可以在網(wǎng)橋，甚至在一個單獨的主機上進行。數(shù)據(jù)包過濾是一個網(wǎng)絡(luò)安全保護機制，它用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)。不符合網(wǎng)絡(luò)安全的那些服務(wù)將被嚴格限制。基于包中的協(xié)議類型和協(xié)議字段值，過濾路由器能夠區(qū)分網(wǎng)絡(luò)流量；基于協(xié)議特定的標準，路由器在其端口能夠區(qū)分包和限制包的能力叫包過濾（PacketFiltering）。正是因為這種原因，過濾路由器也可以稱作包過濾路由器（PacketFilterRouter）。包過濾處理圖包過濾操作可以在路由器上進行，也可以在網(wǎng)橋，甚47靜態(tài)包過濾一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱為靜態(tài)規(guī)則。利用靜態(tài)包過濾規(guī)則建立的防火墻就叫靜態(tài)包過濾防火墻，見圖。靜態(tài)包過濾一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的，48動態(tài)包過濾采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。即采用了基于連接狀態(tài)的檢查和動態(tài)設(shè)置包過濾規(guī)則的方法，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合進行檢查。動態(tài)過濾規(guī)則技術(shù)避免了靜態(tài)包過濾的問題，使防火墻彌補了許多不安全的隱患，在最大程度上降低了黑客攻擊的成功率，從而大大提高了系統(tǒng)的性能和安全性。動態(tài)包過濾采用這種技術(shù)的防火墻對通過其建立的每一個連接都進49包過濾防火墻的優(yōu)點不用改動應(yīng)用程序。包過濾不用改動客戶機和主機上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)。數(shù)據(jù)包過濾對用戶透明。數(shù)據(jù)包過濾是在IP層實現(xiàn)的，Internet根本感覺不到它的存在；包過濾不要求任何自定義軟件或者客戶機配置；它也不要求用戶任何特殊的訓練或者操作，使用起來很方便。過濾路由器速度快、效率高。較Proxy而言，過濾路由器只檢查報頭相應(yīng)的字段，一般不查看數(shù)據(jù)包的內(nèi)容，而且某些核心部分是由專用硬件實現(xiàn)的，故其轉(zhuǎn)發(fā)速度快、效率較高。包過濾防火墻的優(yōu)點不用改動應(yīng)用程序。包過濾不用改動客戶機和50包過濾的缺點不能徹底防止地址欺騙。一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。如RPC、FTP。正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。如數(shù)據(jù)包的報頭信息只能說明數(shù)據(jù)包來自什么主機，而不知是什么用戶；只知數(shù)據(jù)包發(fā)送到什么端口，而不知是發(fā)到什么應(yīng)用程序。安全性較差。過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息；過濾規(guī)則的數(shù)目是有限制的；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議；非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；大多數(shù)過濾器中缺少審計和報警機制，通常它沒有用戶的使用記錄，這樣，管理員就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。數(shù)據(jù)包工具存在很多局限性。如數(shù)據(jù)包過濾規(guī)則難以配置，管理方式和用戶界面較差；對安全管理人員素質(zhì)要求高；建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。包過濾的缺點不能徹底防止地址欺騙。51代理防火墻代理防火墻的原理：所謂代理服務(wù)器，是指代表客戶處理在服務(wù)器連接請求的程序。當代理服務(wù)器得到一個客戶的連接意圖時，它將核實客戶請求，并用特定的安全化的Proxy應(yīng)用程序來處理連接請求，將處理后的請求傳遞到真實的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進一步處理后，將答復交給發(fā)出請求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)絡(luò)的作用，所以有叫代理防火墻。代理防火墻工作于應(yīng)用層，且針對特定的應(yīng)用層協(xié)議。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問控制；而且，還可用來保持一個所有應(yīng)用程序使用的記錄。記錄和控制所有進出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點之一。代理防火墻的工作原理如圖所示。代理防火墻代理防火墻的原理：所謂代理服務(wù)器，是指代表客戶處52代理服務(wù)器（ProxyServer）作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器，攔截住所有要求，也向客戶端轉(zhuǎn)發(fā)響應(yīng)。代理客戶（ProxyClient）負責代表內(nèi)部客戶端向外部服務(wù)器發(fā)出請求，當然也向代理服務(wù)器轉(zhuǎn)發(fā)響應(yīng)。代理防火墻（Proxy）分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理服務(wù)器（ProxyServer）作為內(nèi)部網(wǎng)絡(luò)客戶端的服53應(yīng)用層網(wǎng)關(guān)型防火墻應(yīng)用層網(wǎng)關(guān)（ApplicationLevelGateways）防火墻是傳統(tǒng)代理型防火墻，它的核心技術(shù)就是代理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專用工作站系統(tǒng)上。這種防火墻通過代理技術(shù)參與到一個TCP連接的全過程，并在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能，所以叫做應(yīng)用層網(wǎng)關(guān)。當某用戶（不管是遠程的還是本地的）想和一個運行代理的網(wǎng)絡(luò)建立聯(lián)系時，此代理（應(yīng)用層網(wǎng)關(guān)）會阻塞這個連接，然后在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成檢查報告。如果此連接請求符合預定的安全策略或規(guī)則，代理防火墻便會在用戶和服務(wù)器之間建立一個“橋”，從而保證其通訊。對不符合預定的安全規(guī)則的，則阻塞或拋棄。同時，應(yīng)用層網(wǎng)關(guān)將內(nèi)部用戶的請求確認后送到外部服務(wù)器，再將外部服務(wù)器的響應(yīng)回送給用戶。應(yīng)用層網(wǎng)關(guān)型防火墻應(yīng)用層網(wǎng)關(guān)（ApplicationLe54應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點就是安全，這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認為是最安全的防火墻。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)如HTTP編寫的安全化的應(yīng)用程序進行處理，然后由防火墻本身提交請求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計算機以任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)絡(luò)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。包過濾類型的防火墻是很難徹底避免這一漏洞的。應(yīng)用層網(wǎng)關(guān)防火墻同時也是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點就是安全55代理防火墻的缺點代理防火墻的最大缺點就是速度相對比較慢，當用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，（比如要求達到75M~100Mbps時）代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠低于這個數(shù)字。在現(xiàn)實環(huán)境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網(wǎng)（ATM或千兆位Intranet等）之間的防火墻。代理防火墻的缺點代理防火墻的最大缺點就是速度相對比較慢，當56電路層網(wǎng)關(guān)防火墻另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（CircuitLevelGateway）或TCP通道（TCPTunnels）。在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個通信的終點之間轉(zhuǎn)換包，如圖所示。電路層網(wǎng)關(guān)防火墻另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（Cir57電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個更加靈活方法。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，一般采用自適應(yīng)代理技術(shù)，也稱為自適應(yīng)代理防火墻。在電路層網(wǎng)關(guān)中，需要安裝特殊的客戶機軟件。組成這種類型防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動態(tài)包過濾器（DynamicPacketFilter）。在自適應(yīng)代理與動態(tài)包過濾器之間存在一個控制通道。電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個更加靈活方法。它是針對數(shù)據(jù)包58兩種防火墻技術(shù)的對比包過濾防火墻代理防火墻優(yōu)點價格較低內(nèi)置了專門為了提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對來往的數(shù)據(jù)包進行安全化處理性能開銷小，處理速度較快安全，不允許數(shù)據(jù)包通過防火墻，避免了數(shù)據(jù)驅(qū)動式攻擊的發(fā)生缺點定義復雜，容易出現(xiàn)因配置不當帶來的問題速度較慢，不太適用于高速網(wǎng)（ATM或千兆位Intranet等）之間的應(yīng)用允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險不能理解特定服務(wù)的上下文環(huán)境，相應(yīng)控制只能在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來完成兩種防火墻技術(shù)的對比包過濾防火墻代理防火墻優(yōu)價格較低內(nèi)置了593.2.2防火墻的主要技術(shù)及實現(xiàn)方式雙端口或三端口的結(jié)構(gòu)透明的訪問方式靈活的代理系統(tǒng)多級的過濾技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）網(wǎng)絡(luò)狀態(tài)監(jiān)視器Internet網(wǎng)關(guān)技術(shù)安全服務(wù)器網(wǎng)絡(luò)（SSN）用戶鑒別與加密用戶定制服務(wù)審計和告警3.2.2防火墻的主要技術(shù)及實現(xiàn)方式雙端口或三端口的結(jié)構(gòu)網(wǎng)60應(yīng)用網(wǎng)關(guān)代理這種防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。當外部某臺主機試圖訪問（如Telnet）受保護網(wǎng)時，它必須先在防火墻上經(jīng)過身份認證。通過身份認證后，防火墻運行一個專門為Telnet設(shè)計的程序，把外部主機與內(nèi)部主機連接。在這個過程中，防火墻可以限制用戶訪問的主機、訪問的時間及訪問的方式。同樣，受保護網(wǎng)絡(luò)內(nèi)部用戶訪問外部網(wǎng)時也需先登錄到防火墻上，通過驗證后才可使用Telnet或FTP等有效命令。應(yīng)用網(wǎng)關(guān)代理（ApplicationGatewayProxy）的優(yōu)點是既可以隱藏內(nèi)部IP地址，也可以給單個用戶授權(quán)，即使攻擊者盜用了一個合法的IP地址，也通不過嚴格的身份認證。其缺點是這種認證使得應(yīng)用網(wǎng)關(guān)不透明，用戶每次連接都要受到“盤問”，這給用戶帶來許多不便；而且這種代理技術(shù)需要為每個應(yīng)用網(wǎng)關(guān)寫專門的程序。應(yīng)用網(wǎng)關(guān)代理這種防火墻在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。61回路級代理服務(wù)器回路級代理服務(wù)器也稱一般代理服務(wù)器，它適用于多個協(xié)議，但無法解釋應(yīng)用協(xié)議，需要通過其他方式來獲得信息。所以，回路級代理服務(wù)器通常要求修改過的用戶程序。其中，套接字服務(wù)器（SocketsServer）就是回路級代理服務(wù)器。套接字（Sockets）是一種網(wǎng)絡(luò)應(yīng)用層的國際標準。當受保護網(wǎng)絡(luò)客戶機需要與外部網(wǎng)交互信息時，在防火墻上的套接字服務(wù)器檢查客戶的UserID、IP源地址和IP目的地址，經(jīng)過確認后，套服務(wù)器才與外部的段服務(wù)器建立連接。對用戶來說，受保護網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，那是因為因特網(wǎng)絡(luò)用戶不需要登錄到防火墻上。但是客戶端的應(yīng)用軟件必須支持“SocketsifideAPI”，受保護網(wǎng)絡(luò)用戶訪問公共網(wǎng)絡(luò)所使用的IP地址也都是防火墻的IP地址。回路級代理服務(wù)器回路級代理服務(wù)器也稱一般代理服務(wù)器，它適用623.2.3防火墻的常見體系結(jié)構(gòu)一個防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標志及另外一些IP選項，對IP包進行過濾。屏蔽路由器（ScreeningRouter）又叫包過濾路由器，是最簡單、最常見的防火墻，屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。除具有路由功能外，再裝上包過濾軟件，利用包過濾規(guī)則完成基本的防火墻功能。如圖所示。3.2.3防火墻的常見體系結(jié)構(gòu)一個防火墻系統(tǒng)通常由屏蔽路由63雙縮主機網(wǎng)關(guān)這種配置是用一臺裝有兩塊網(wǎng)卡（NIC）的計算機作堡壘主機，兩塊網(wǎng)卡各自與受保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，每一塊網(wǎng)卡都有一個IP地址。堡壘主機上運行著防火墻軟件——代理服務(wù)器軟件（應(yīng)用層網(wǎng)關(guān)），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。所以叫做雙縮主機網(wǎng)關(guān)（DualHomedGateway）防火墻，如圖所示。雙縮主機網(wǎng)關(guān)這種配置是用一臺裝有兩塊網(wǎng)卡（NIC）的計算機64屏蔽主機網(wǎng)關(guān)屏蔽主機網(wǎng)關(guān)（ScreenedGateway）由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾），又實現(xiàn)了應(yīng)用層安全（代理服務(wù)）。屏蔽主機網(wǎng)關(guān)很容易實現(xiàn)：在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)的交匯點，安裝一臺屏蔽路由器，同時在內(nèi)部網(wǎng)絡(luò)上安裝一個堡壘主機（應(yīng)用層網(wǎng)關(guān)）即可，如圖所示。屏蔽主機網(wǎng)關(guān)屏蔽主機網(wǎng)關(guān)（ScreenedGateway65被屏蔽子網(wǎng)被屏蔽子網(wǎng)（ScreenedS