第5章防火墻的構造與選擇15.1防火墻概述5.2防火墻的原理5.3防火墻的選擇和使用5.4分布式防火墻技術25.1防火墻概述5.1.1防火墻的概念5.1.2防火墻設計的基本原則

3

5.1.1防火墻的概念

防火墻是指隔離在本地網絡與外界網絡之間的一道或一組執行控制策略的防御系統。它對網絡之間傳輸的數據包依照一定的安全策略進行檢查，以決定通信是否被允許，對外屏蔽內部網的信息、結構和運行狀況，并提供單一的安全和審計的安裝控制點，從而達到保護內部網絡的信息不被外部非授權用戶訪問和過濾不良信息目的。5.1防火墻概述45.1防火墻概述5.1.2防火墻設計的基本原則防火墻的姿態機構的整體安全策略防火墻的費用防火墻的基本構件和拓撲結構防火墻的維護和管理方案

55.2防火墻的原理

5.2.1防火墻設計的基本準則5.2.2防火墻的組成5.2.3防火墻不能對付的安全威脅5.2.4防火墻的分類65.2.1防火墻設計的基本準則一切未被允許的就是禁止的。

如果防火墻采取第一個準則，那么需要確定所有可以被提供的服務以及它們的安全性，然后，開放這些服務，并將所有其他未被列入的服務排除在外，禁止訪問。優點是可以造成一種十分安全的環境，其缺點在于用戶所能使用的服務范圍受到很大限制。一切未被禁止的就是允許的。 如果防火墻采取第二個準則，需要確定那些被認為是不安全的服務，禁止其訪問；而其他服務則被認為是安全的，允許訪問。這種方法構成了一種更為靈活的應用環境，可以為用戶提供更多的服務，其缺點在于很難提供可靠的安全防護。

5.2防火墻的原理75.2.2防火墻的組成

5.2防火墻的原理E-mail處理域名服務網關代理認證SOCKS過濾器因特網Internet內部網Intranet安全操作系統E-mail域名詢問高級協議訪問IP級數據

防火墻主要包括五部分:安全操作系統、過濾器、網關、域名服務和E-mail處理。

81安全操作系統

防火墻本身必須建立在安全操作系統所提供的安全環境中,安全操作系統可以保護防火墻的代碼和文件免遭入侵者攻擊。這些防火墻的代碼只允許在給定的主機系統上執行，這種限制可以減少非法穿越防火墻的可能性。2過濾器

防火墻的主要目的是控制數據包,只允許合法流通過，它要對專用網和Internet之間傳送的每一數據組進行干預。過濾器則執行由防火墻管理機構制定的一組規則，檢驗各數據組，決定是否允許放行。這些規則按IP地址、端口號碼和各類應用等參數確定。5.2防火墻的原理95.2防火墻的原理3網關應用網關(ApplicationGateway)可以在TCP/IP應用級上控制信息流和認證用戶。應用網關的功能常常由代理服務器提供。在專用網中的一個用戶聯機到一個代理服務器，代理服務器對用戶認證，而后使用戶和Internet中遠端服務器聯機。 SOCKS（套接層）服務器也對通過防火墻提供網關支持，代理服務器和SOCKS服務器之間的主要差別是前者要求改變用戶接入Internet服務器的方式，但不需要修正客戶機的軟件；而后者則相反。4域名服務和函件處理 防火墻還可能包括有域名服務和函件處理。域名服務使專用網的域名與Internet相隔離，專用網中主機的內部IP地址不至于暴露給Internet中的用戶。函件處理能力保證專用網中用戶和Internet用戶之間的任何函件交換都必須經過防火墻處理。105.2防火墻的原理5.2.3防火墻不能對付的安全威脅1防火墻不能防范來自內部的攻擊2防火墻不能防范不經由防火墻的攻擊3防火墻不能防止受到病毒感染的軟件或文件的傳輸4防火墻不能防止數據驅動式攻擊

115.2防火墻的原理

5.2.4防火墻的分類1包過濾型防火墻是最簡單的防火墻。它的處理對象IP包,其功能是處理通過網絡的IP包的信息,實現進出網絡的安全控制。應用數據包過濾（packetfiltering）技術在網絡層對數據包進行選擇，只有通過檢查的IP包才能正常轉發出去。其選擇的依據是訪問控制表ACL（AccessControlList），通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素，或通過檢查它們的組合來決定是否允許該數據包通過。實現原理如圖所示。12

5.2防火墻的原理包過濾型防火墻的優缺點優點：邏輯簡單，價格便宜，易于安裝和使用網絡性能和透明性好。缺點：數據包的源地址、目的地址以及IP的端口號都在數據包的頭部，易被竊聽或假冒，形成各種安全漏洞。大多過濾器中過濾規則的數目有限制，且隨著規則數目的增加，性能受影響。包過濾的規則可能比較復雜，且不易驗證其正確性。由于缺少上下文關聯信息，不能有效過濾某些協議。大多不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。大多對安全管理人員素質要求高13

5.2防火墻的原理2應用網關型防火墻應用級網關（ApplicationLevelGateways）是在網絡應用層上建立協議過濾和轉發功能。它針對特定的網絡應用服務協議使用指定的數據過濾邏輯，并在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告。實際中的應用網關通常裝在專用工作站系統上，其實現原理如圖所示。145.2防火墻的原理3代理服務型防火墻代理服務型防火墻是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網絡通信線路分為兩段。

代理服務器代理客戶機器客戶機服務器請求轉發應答應答防火墻代理轉發請求間代理獲得客戶機和服務器之間通信的全部控制權155.2防火墻的原理代理服務型防火墻的優缺點優點：最突出的優點就是安全。由于它工作于最高層，所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網絡層的數據進行過濾。缺點：最大缺點就是速度相對比較慢，當用戶對內外部網絡網關的吞吐量要求比較高時，代理防火墻就會成為內外部網絡之間的瓶頸。大多是基于主機的，價格比較貴，安裝和使用比數據包過濾的防火墻復雜。165.3防火墻的選擇和使用

5.3.1防火墻的選擇原則

5.3.2防火墻產品的分類

5.3.3防火墻產品的介紹175.3.1防火墻的選擇原則網絡的安全性主要是指網絡信息的安全性和網絡路由的安全性。網絡路由的安全性保障了網絡信息的安全性，而網絡路由的安全性通常可由防火墻實現。所以選擇防火墻首先要確定網絡信息的保護策略，然后對防火墻進行評價、分析，最后決定采用什么樣的防火墻。

1要考慮網絡結構2要考慮到業務應用系統需求3要考慮用戶及通信流量規模方面的需求4要考慮到可靠性、可用性、易用性等方面的需求5.3防火墻的選擇和使用18

5.3.2防火墻產品的分類按組成結構而言，將防火墻產品分為以下三種：軟件防火墻軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。

硬件防火墻硬件防火墻是指所謂的硬件防火墻。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構。

芯片級防火墻

基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。

5.3防火墻的選擇和使用

195.3.3防火墻產品的介紹1CheckpointFirewall-1防火墻2SonicWALL系列防火墻3NetScreen防火墻4AlkatelInternetDevices系列防火墻5北京天融信公司網絡衛士防火墻6NAIGauntlet防火墻7CiscoPIX防火墻5.3防火墻的選擇和使用

20CheckpointFirewall-1防火墻是一個綜合的、模塊化的安全套件，它是一個基于策略的解決方案。CPFirewall-1套件提供單一的、集中的分布式安全策略，跨越Unix、NT、路由器、交換機和其他外圍設備，提供大量的API，有100多個解決方案和OEM廠商的支持。由3個交互操作的組件構成：控制組件、加強組件和可選組件。這些組件既可以運行在單機上，也可以部署在跨平臺系統上。操作在操作系統的核心層進行，而不是在應用程序層，這樣可以使系統達到最高性能的擴展和升級。支持基于Web的多媒體和基于UDP的應用程序，并采用多重驗證模板和方法。支持幾乎所有平臺，但價格偏高。5.3防火墻的選擇和使用21SonicWALL系列防火墻SonicWALL系列防火墻是在NASDAQ上市的美國SONICWALL公司的著名網絡安全產品，是目前全球銷量最大的硬件防火墻和市場占有率最高的硬件VPN產品。SonicWALL采用軟硬件一體化設計，在高性能硬件平臺上，利用先進的防火墻技術和SonicWALL專有的安全高效的實時操作系統。采用世界領先的加密算法、身份認證技術以及網絡防病毒技術，是一個強大的，集應用級防火墻、入侵報警、內容過濾、VPN、網絡防病毒等多種安全策略為一體的，穩定可靠的高性能網絡安全系統。具有優秀的性價比。5.3防火墻的選擇和使用

22NetScreen

防火墻是NetScreen科技公司推出的一種新型的網絡安全硬件產品，具有Trusted（可信端口）、Untrusted（非信任端口）、Optional（可選端口）三個J-45網絡接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快閃存儲器。優勢之一是采用了新的體系結構，可以有效地消除傳統防火墻實現數據加盟時的性能瓶頸，能實現最高級別的IP安全保護。在執行效率和帶寬處理的能力上性能優越。

AlkatelInternetDevices系列防火墻采用獨有的ASIC設計和基于Intel的FreeBSDUnix平臺，使用簡單易行，配置簡單。率先提供了100MB的吞吐能力和無用戶數限制，并支持64000個并發會話，有效地消除了軟件防火墻的性能瓶頸，達到了安全和性能的統一。5.3防火墻的選擇和使用

23北京天融信公司網絡衛士防火墻是我國第一套自主版權的防火墻系統，目前在我國電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。其中，防火墻由多個模塊組成，包括包過濾、應用代理、NAT、VPN、防攻擊等功能模塊，各模塊可分離、裁剪和升級，以滿足不同用戶的需求。在體系結構上，網絡衛士采用了集中控制下的分布式客戶機/服務器結構，性能好、配置靈活。采用了領先一步的SSN（安全服務器網絡）技術，安全性高于其他防火墻普遍采用的DMZ（隔離區）技術。NAIGauntlet防火墻使用完全的代理服務方式提供廣泛的協議支持以及高速的吞吐能力，很好地解決了安全、性能及靈活性之間的協調問題。Gauntlet防火墻的新型自適應代理技術還允許單個安全產品，如安全脆弱性掃描器、病毒安全掃描器和入侵防護傳感器之間實現更加靈活的集成。5.3防火墻的選擇和使用

24CiscoPIX防火墻是最具代表性的硬件防火墻，屬狀態檢測型。由于它采用了自有的實時嵌入式操作系統，因此減少了黑客利用操作系統BUG攻擊的可能性。就性能而言，CiscoPIX是同類硬件防火墻產品中最好的，對100BaseT可達線速。但是，其優勢在軟件防火墻面前便不呈現不明顯了。其缺陷主要有三：其一價格昂貴，其二升級困難，其三是管理煩瑣復雜。5.3防火墻的選擇和使用

255.4分布式防火墻技術

5.4.1分布式防火墻的產生5.4.2傳統邊界式防火墻的固有欠缺5.4.3分布式防火墻的主要特點5.4.4分布式防火墻的主要優勢5.4.5分布式防火墻的基本原理5.4.6分布式防火墻的主要功能

265.4.1分布式防火墻的產生

傳統意義上的邊界防火墻用于限制被保護企業內部網絡與外部網絡（通常是互聯網）之間相互進行信息存取、傳遞操作。分布式防火墻是一種主機駐留式的安全系統，用以保護企業網絡中的關鍵結點服務器、數據及工作站免受非法入侵的破壞。分布式防火墻把Internet和內部網絡均視為“不友好的”。分布式防火墻克服了操作系統所具有的已知及未知的安全漏洞，如DoS(拒絕服務)、應用及口令攻擊。從而使操作系統得到強化。分布式防火墻對每個服務器都能進行專門的保護。5.4分布式防火墻技術27

5.4.2傳統邊界式防火墻的固有欠缺

網絡應用受到結構性限制內部安全隱患仍在效率較低和故障率高5.4分布式防火墻技術28

5.4.3分布式防火墻的主要特點主機駐留嵌入操作系統內核類似于個人防火墻適用于服務器托管5.4分布式防火墻技術295.4.4分布式防火墻的主要優勢更強的