計算機網絡安全作業

——防火墻技術防火墻技術簡要回答防火墻的定義和發展簡史。設置防火墻目的是什么？防火墻的功能和局限性各有哪些？簡述防火墻的發展動態和趨勢。試述包過濾防火墻的原理及特點。靜態包過濾和動態包過濾有什么區別？試述代理防火墻的原理及特點。應用層網關和電路層網關有什么區別？防火墻的主要技術及實現方式有哪些？防火墻的常見體系結構有哪幾種？屏蔽路由器防火墻和屏蔽主機網關防火墻各如何實現？一、防火墻的定義和發展簡史

防火墻的定義防火墻：一種高級訪問控制設備，置于不同網絡安全域之間，它通過相關的安全策略來控制（允許、拒絕、監視、記錄）進出網絡的訪問行為。

發展簡史第一代防火墻第一代防火墻技術幾乎與路由器同時出現，采用了包過濾（Packetfilter）技術。下圖表示了防火墻技術的簡單發展歷史。第二、三代防火墻1989年，貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻（代理防火墻）的初步結構。第四代防火墻1992年，USC信息科學院的BobBraden開發出了基于動態包過濾（Dynamicpacketfilter）技術的第四代防火墻，后來演變為目前所說的狀態監視（Statefulinspection）技術。1994年，以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。

第五代防火墻1998年，NAI公司推出了一種自適應代理（Adaptiveproxy）技術，并在其產品GauntletFirewallforNT中得以實現，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。一體化安全網關UTMUTM統一威脅管理，在防火墻基礎上發展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設備。由于同時開啟多項功能會大大降低UTM的處理性能，因此主要用于對性能要求不高的中低端領域。在中低端領域，UTM已經出現了代替防火墻的趨勢，因為在不開啟附加功能的情況下，UTM本身就是一個防火墻，而附加功能又為用戶的應用提供了更多選擇。在高端應用領域，比如電信、金融等行業，仍然以專用的高性能防火墻、IPS為主流。二、設置防火墻的目的、防火墻的功能和局限性

設置防火墻的目的（1）強化安全策略。（2）有效地記錄Internet上的活動。（3）限制暴露用戶點。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。（4）防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。防火墻的功能應用程序代理包過濾&狀態檢測用戶認證NATVPN日志IDS與報警內容過濾基本功能（1）基本功能（2）防火墻的功能過濾進出網絡的數據管理進出網絡的訪問行為封堵某些禁止的業務記錄進出網絡的信息和活動對網絡攻擊進行檢測和告警Internet防火墻允許網絡管理員定義一個中心“扼制點”來防止非法用戶，如黑客、網絡破壞者等進入內部網絡。禁止存在安全脆弱性的服務進出網絡，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網絡安全性是在防火墻系統上得到加固，而不是分布在內部網絡的所有主機上。在防火墻上可以很方便的監視網絡的安全性，并產生報警。應該注意的是：對一個內部網絡已經連接到Internet上的機構來說，重要的問題并不是網絡是否會受到攻擊，而是何時會受到攻擊。網絡管理員必須審計并記錄所有通過防火墻的重要信息。如果網絡管理員不能及時響應報警并審查常規記錄，防火墻就形同虛設。在這種情況下，網絡管理員永遠不會知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網絡地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機構在變換ISP時帶來的重新編址的麻煩。Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸的位置，并能夠根據機構的核算模式提供部門級的記費。Internet防火墻也可以成為向客戶發布信息的地點。Internet防火墻作為部署WWW服務器和FTP服務器的地點非常理想。還可以對防火墻進行配置，允許Internet訪問上述服務，而禁止外部對受保護的內部網絡上其它系統的訪問。防火墻局限性（1）防火墻不能防范不通過它的連接如果網絡具有其他聯接方式，比如一臺WindowsPC使用一臺調制解調器通過ISP聯到Internet上，因為連接不經過防火墻，因此繞過了防火墻提供的安全控制。（2）防火墻不能防備全部的威脅防火墻不能防止許多常見的Internet問題，如病毒和特洛伊木馬。

三、防火墻的發展動態和趨勢（1）優良的性能（2）可擴展的結構和功能（3）簡化的安裝與管理（4）主動過濾（5）防病毒與防黑客四、包過濾防火墻的原理及特點靜態包過濾和動態包過濾的區別包過濾防火墻的原理簡單包過濾防火墻不檢查數據區簡單包過濾防火墻不建立連接狀態表前后報文無關應用層控制很弱包過濾操作流程圖包過濾防火墻的特點

包過濾的優點：不用改動應用程序、一個過濾路由器能協助保護整個網絡、數據包過濾對用戶透明、過濾路由器速度快、效率高。包過濾的缺點：不能徹底防止地址欺騙；一些應用協議不適合于數據包過濾；一些應用協議不適合于數據包過濾；正常的數據包過濾路由器無法執行某些安全策略；安全性較差；數據包工具存在很多局限性。

包過濾防火墻具有根本的缺陷：

1．不能防范黑客攻擊。包過濾防火墻的工作基于一個前提，就是網管知道哪些IP是可信網絡，哪些是不可信網絡的IP地址。但是隨著遠程辦公等新應用的出現，網管不可能區分出可信網絡與不可信網絡的界限，對于黑客來說，只需將源IP包改成合法IP即可輕松通過包過濾防火墻，進入內網，而任何一個初級水平的黑客都能進行IP地址欺騙。

2．不支持應用層協議。假如內網用戶提出這樣一個需求，只允許內網員工訪問外網的網頁（使用HTTP協議），不允許去外網下載電影（一般使用FTP協議）。包過濾防火墻無能為力，因為它不認識數據包中的應用層協議，訪問控制粒度太粗糙。

3．不能處理新的安全威脅。它不能跟蹤TCP狀態，所以對TCP層的控制有漏洞。如當它配置了僅允許從內到外的TCP訪問時，一些以TCP應答包的形式從外部對內網進行的攻擊仍可以穿透防火墻。

綜上可見，包過濾防火墻技術面太過初級，就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他（她）進入一樣，難以履行保護內網安全的職責。

靜態包過濾和動態包過濾的區別靜態包過濾：一般防火墻的包過濾的過濾規則是在啟動時配置好的，只有系統管理員可以修改，是靜態存在的，稱為靜態規則，利用靜態包過濾規則建立的防火墻叫做靜態包過濾防火墻。動態包過濾：這種防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態的在過濾規則中增加或更新條目。五、代理防火墻的原理及特點

應用層網關和電路層網關的區別代理防火墻的原理代理服務是運行在防火墻主機上的專門的應用程序或者服務器程序。不允許通信直接經過外部網和內部網。將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”，由兩個終端代理服務器上的“鏈接”來實現。外部計算機的網絡鏈路只能到達代理服務器，從而起到了隔離防火墻內外計算機系統的作用。

代理防火墻的特點代理技術的優點（1）代理易于配置（2）代理能生成各項記錄（3）代理能靈活、完全地控制進出流量、內容（4）代理能過濾數據內容（5）代理能為用戶提供透明的加密機制（6）代理可以方便地與其他安全手段集成

代理技術的缺點（1）代理速度較路由器慢（2）代理對用戶不透明（3）對于每項服務代理可能要求不同的服務器（4）代理服務不能保證免受所有協議弱點的限制（5）代理不能改進底層協議的安全性

應用層網關和電路層網關的區別應用層網關型防火墻主要保存Internet上那些最常用和最近訪問過的內容：在Web上，代理首先試圖在本地尋找數據，如果沒有，再到遠程服務器上去查找。為用戶提供了更快的訪問速度，并且提高了網絡安全性。應用層網關防火墻最突出的優點就是安全，缺點就是速度相對比較慢。電路層網關防火墻在電路層網關中，包被提交用戶應用層處理。電路層網關用來在兩個通信的終點之間轉換包。電路層網關防火墻的特點是將所有跨越防火墻的網絡通信鏈路分為兩段。

六、防火墻的主要技術及實現方式先進的防火墻產品將網關與安全系統合二為一，具有以下技術與功能。雙端口或三端口的結構新一代防火墻產品具有兩個或三個獨立的網卡，內外兩個網卡可不作IP轉化而串接于內部網與外部網之間，另一個網卡可專用于對服務器的安全保護。透明的訪問方式以前的防火墻在訪問方式上要么要求用戶作系統登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的代理系統技術，從而降低了系統登錄固有的安全風險和出錯概率。靈活的代理系統代理系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。新一代防火墻采用了兩種代理機制，一種用于代理從內部網絡到外部網絡的連接，另一種用于代理從外部網絡到內部網絡的連接。前者采用網絡地址轉換（NAT）技術來解決，后者采用非保密的用戶定制代理或保密的代理系統技術來解決。

多級的過濾技術為保證系統的安全性和防護水平，新一代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應用級網關一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。網絡地址轉換技術（NAT）新一代防火墻利用NAT技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，同時允許內部網絡使用自己定制的IP地址和專用網絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。同時使用NAT的網絡，與外部網絡的連接只能由內部網絡發起，極大地提高了內部網絡的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題。Internet網關技術由于是直接串連在網絡之中，新一代防火墻必須支持用戶在Internet互連的所有服務，同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器（包括FTP、Finger、mail、Ident、News、WWW等）來實現網關功能。為確保服務器的安全性，對所有的文件和命令均要利用"改變根系統調用（chroot）"作物理上的隔離。在域名服務方面，新一代防火墻采用兩種獨立的域名服務器，一種是內部DNS服務器，主要處理內部網絡的DNS信息，另一種是外部DNS服務器，專門用于處理機構內部向Internet提供的部份DNS信息。在匿名FTP方面，服務器只提供對有限的受保護的部份目錄的只讀訪問。在WWW服務器中，只支持靜態的網頁，而不允許圖形或CGI代碼等在防火墻內運行，在Finger服務器中，對外部訪問，防火墻只提供可由內部用戶配置的基本的文本信息，而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件作處理，并利用郵件映射與標頭剝除的方法隱除內部的郵件環境，Ident服務器對用戶連接的識別作專門處理，網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。七、防火墻的常見體系結構有四種常用的防火墻設計,每一個都提供了一個確定的安全級別。這四個選擇是:

1．屏蔽路由器2．雙穴主機網關3．屏蔽主機網關4．被屏蔽子網屏蔽路由器是防火墻的基本構件；雙穴主機網關是在一臺主機上配置了兩塊網卡，分別與內外網絡相連接；屏蔽主機網關由一個路由連接外部網絡，同時一個堡壘主機安裝在內部網絡上；被屏蔽子網方法是在內部網絡和外部網絡之間建立一個被隔離的子網，用兩臺分組過濾路由器將這一子網分別與內部網絡和外部網絡分開；多重防火墻組合就是在內外網絡之間設置一個周邊網絡，它只是一個小的單段網絡，是外部世界和內部網絡之間的安全緩沖區。不同的防火墻體系結構具有不同的優缺點。

八、屏蔽路由器防火墻和屏蔽主機網關防火墻各如何實現？屏蔽路由器屏蔽路由器(screeningrouter)被認為是出色的首道防線屏蔽路由器的選擇是最簡