淺談防火墻技術(shù)

　　最新的防火墻技術(shù)是基于狀態(tài)檢查的，提供“動態(tài)包過濾”的功能?；跔顟B(tài)檢查的動態(tài)包過濾是一種新型的防火墻技術(shù)，就象代理防火墻和包過濾路由器的交叉產(chǎn)物。下面就由學(xué)習(xí)啦小編跟大家談?wù)劮阑饓夹g(shù)的知識吧。

　　淺談防火墻技術(shù)一：

　　一、防火墻概述

　　防火墻是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法，實(shí)際上是一種隔離控制技術(shù)。在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，也可以阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。通過限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信，以達(dá)到防止非法用戶侵犯受保護(hù)網(wǎng)絡(luò)的目的。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它對兩個網(wǎng)絡(luò)之問傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進(jìn)行檢查，來決定網(wǎng)絡(luò)之問的通信是否被允許：其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)，未保護(hù)的網(wǎng)絡(luò)稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。應(yīng)用防火墻時，首先要明確防火墻的缺省策略，是接受還是拒絕。如果缺省策略是接受，那么沒有顯式拒絕的數(shù)據(jù)包可以通過防火墻;如果缺省策略是拒絕，那么沒有顯式接受的數(shù)據(jù)包不能通過防火墻。顯然后者的安全性更高。

　　防火墻不是一個單獨(dú)的計算機(jī)程序或設(shè)備。在理論上，防火墻是由軟件和硬件兩部分組成，用來阻止所有網(wǎng)絡(luò)問不受歡迎的信息交換，而允許那些可接受的通信。從邏輯上講，防火墻是分離器、限制器、分析器;從物理上講，防火墻由一組硬件設(shè)備(路由器、主計算機(jī)或者路由器、主計算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合)和適當(dāng)?shù)能浖M成。

　　二、防火墻的基本類型

　　防火墻的基本類型包括包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT、應(yīng)用代理和狀態(tài)檢測。

　　1.包過濾

　　包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險站點(diǎn)的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判規(guī)則。

　　包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

　　但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過包過濾型防火墻。

　　2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

　　網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。

　　在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機(jī)中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

　　3.應(yīng)用代理

　　應(yīng)用代理完全接管了用戶與服務(wù)器的訪問，把用戶主機(jī)與服務(wù)器之間的數(shù)據(jù)包的交換通道給隔離起來。應(yīng)用代理不允許外部主機(jī)連接到內(nèi)部的網(wǎng)絡(luò)，只允許內(nèi)部主機(jī)使用代理服務(wù)器訪問Internet主機(jī)，同時只有被認(rèn)為””可信任的””代理服務(wù)器才可以允許通過應(yīng)用代理。在實(shí)際的應(yīng)用中，應(yīng)用代理的功能是由代理服務(wù)器來完成的。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對應(yīng)用層進(jìn)行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

　　4.狀態(tài)檢測

　　防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù)，傳統(tǒng)上防火墻基本分為兩大類，即包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻，這兩種防火墻由于其受限的地方，逐漸不能適應(yīng)當(dāng)前的需求，因此新一代的防火墻Stateful-inspection防火墻應(yīng)運(yùn)而生，這種防火墻既繼承了傳統(tǒng)防火墻的優(yōu)點(diǎn)，又克服了傳統(tǒng)防火墻的缺點(diǎn)，是一種革新式的防火墻。

　　Stateful-inspection防火墻是新一代的防火墻技術(shù)，由Check Point公司引入。它監(jiān)視每一個有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息和其前一時刻的數(shù)據(jù)包及其狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。和應(yīng)用網(wǎng)關(guān)不同，Stateful-inspection防火墻使用用戶定義的過濾規(guī)則，不依賴預(yù)先的應(yīng)用信息，執(zhí)行效率比應(yīng)用網(wǎng)關(guān)高，而且它不識別特定的應(yīng)用信息，因此不用對不同的應(yīng)用信息制定不同的應(yīng)用規(guī)則，伸縮性好

　　三、防火墻的發(fā)展趨勢

　　1.新需求引發(fā)的技術(shù)走向

　　防火墻技術(shù)的發(fā)展離不開社會需求的變化，著眼未來，防火墻技術(shù)有的新需求如下：遠(yuǎn)程辦公的增長：企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠(yuǎn)程訪問，做到更細(xì)粒度的訪問控制?，F(xiàn)在一些廠商推出的(虛擬專用網(wǎng))技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。

　　2.黑客攻擊引發(fā)的技術(shù)走向

　　防火墻作為內(nèi)網(wǎng)的貼身保鏢。黑客攻擊的特點(diǎn)也決定了防火墻的技術(shù)走向。數(shù)據(jù)包的深度檢測：IT業(yè)界權(quán)威機(jī)構(gòu)Gagner認(rèn)為代理不是阻止未來黑客攻擊的關(guān)鍵，但是防火墻應(yīng)能分辨并阻止數(shù)據(jù)包的惡意行為。包檢測的技術(shù)方案需要增加簽名檢測等新的功能，以查找已經(jīng)的攻擊，并分辨出哪些是正常的數(shù)據(jù)流，哪些是異常數(shù)據(jù)流。協(xié)同性：從黑客攻擊事件分析，對外提供Web等應(yīng)用的服務(wù)器是防護(hù)的重點(diǎn)。單單依靠防火墻難以防范所有的攻擊行為，這就需要將防火墻技術(shù)、入侵檢測技術(shù)、病毒檢測技術(shù)有效協(xié)同，共同完成保護(hù)網(wǎng)絡(luò)安全的任務(wù)。目前主要支持和IDS的聯(lián)動和認(rèn)證服務(wù)器進(jìn)行聯(lián)動。

　　現(xiàn)有防火墻技術(shù)仍無法給我們一個相當(dāng)安全的網(wǎng)絡(luò)。攻擊時的變數(shù)太大，所以對網(wǎng)絡(luò)安全的需求對防火墻提出了更高的要求，在防火墻目前還不算長的生命周期中，雖然問題不斷，但是防火墻也從具有普通的過濾功能，逐步豐富了自身的功能，擔(dān)當(dāng)了更重的任務(wù)。未來，防火墻將成為網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

　　淺談防火墻技術(shù)二：

　　一、防火墻的概念

　　防火墻是網(wǎng)絡(luò)安全工具中最早成熟、最早產(chǎn)品化的。網(wǎng)絡(luò)防火墻一般定義為兩個網(wǎng)絡(luò)間執(zhí)行訪問控制策略的一個或一組系統(tǒng)。防火墻現(xiàn)在已成為許多組織將其內(nèi)部網(wǎng)介入外部網(wǎng)所必需的安全措施了。特別意義上說，防火墻是部件和系統(tǒng)的匯集器，它置于兩個網(wǎng)絡(luò)之間，并具有如下特性：所有從內(nèi)部通向外部的通信業(yè)務(wù)都必須經(jīng)過它;只有被預(yù)定本地安全策略授權(quán)的信息流才被允許通過;該系統(tǒng)自身具有很高的抗攻擊能力。簡言之，防火墻是由于保護(hù)可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅，同時仍允許雙方通信。

　　二、防火墻的功能

　　本質(zhì)上來講，防火墻認(rèn)為是兩個網(wǎng)絡(luò)間的隔斷，只允許所選定的一些形式的通信通過。防火墻另外一個重要特征是它自身抵抗攻擊的能力：防火墻自身應(yīng)當(dāng)不易被攻入，因?yàn)楣ト敕阑饓徒o攻擊者進(jìn)入內(nèi)部網(wǎng)一個立足點(diǎn)。從安全需求看，理想的防火墻應(yīng)具備以下功能：能夠分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù);能夠通過識別、認(rèn)證和授權(quán)對進(jìn)出網(wǎng)絡(luò)的行為進(jìn)行訪問控制;能夠封堵安全策略禁止的業(yè)務(wù);能夠?qū)徲嫺櫷ㄟ^的信息內(nèi)容和活動;能夠?qū)W(wǎng)絡(luò)入侵行為進(jìn)行檢測和報警。

　　三、防火墻的類型

　　1.應(yīng)用網(wǎng)關(guān)(也稱為基于代理的)防火墻

　　它通常被配置為“雙宿主網(wǎng)關(guān)”，具有兩個網(wǎng)絡(luò)接口卡，同時介入內(nèi)部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個網(wǎng)絡(luò)通信，它是安裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就成為“代理”，通常是為其所提供的服務(wù)定制的。代理服務(wù)不允許字節(jié)連接，而是與代理服務(wù)器通信。各個應(yīng)用代理在用戶和服務(wù)之間處理所有的通信，能夠?qū)νㄟ^它的數(shù)據(jù)進(jìn)行詳細(xì)的審計追蹤。代理級防火墻具有以下主要優(yōu)點(diǎn)：代理服務(wù)可以識別并實(shí)施高層協(xié)議，如http和ftp等;代理服務(wù)包含通過防火墻服務(wù)器的通信信息;通過提供透明服務(wù)，可以讓使用代理的用戶感覺在直接與外部通信。

　　2.基于狀態(tài)檢查的動態(tài)包過濾防火墻

　　目前，最新的防火墻技術(shù)是基于狀態(tài)檢查的，提供“動態(tài)包過濾”的功能?；跔顟B(tài)檢查的動態(tài)包過濾是一種新型的防火墻技術(shù)，就象代理防火墻和包過濾路由器的交叉產(chǎn)物。對終端用戶來講，它看起來只工作在網(wǎng)絡(luò)層，但事實(shí)上該防火墻同代理防火墻一樣可在應(yīng)用層檢查流經(jīng)的通信。它能夠監(jiān)視活動連接的狀態(tài)并根據(jù)這些信息決定哪些包允許通過防火墻，對通過安全邊界的數(shù)據(jù)使用虛連接。如果一個相應(yīng)包產(chǎn)生并返回給原請求者，則虛連接建立并允許該包通過防火墻，該連接終止即斷開此虛連接，相當(dāng)于動態(tài)地更改安全規(guī)則庫。

　　四、防火墻的體系結(jié)構(gòu)

　　1.屏蔽路由器(ScreeningRouter)

　　屏蔽路由器可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件，實(shí)現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項(xiàng)，但一般比較簡單。單純由屏蔽路由器構(gòu)成的防火墻的危險包括路由器本身及路由器允許訪問的主機(jī)。屏蔽路由器的缺點(diǎn)是一旦被攻擊后很難發(fā)現(xiàn)，而且不能識別不同的用戶。

　　2.雙穴主機(jī)網(wǎng)關(guān)(DualHomedGateway)

　　雙穴主機(jī)網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。與屏蔽路由器相比，雙穴主機(jī)網(wǎng)關(guān)堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。但弱點(diǎn)也比較突出，一旦黑客侵入堡壘主機(jī)并使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。

　　3.被屏蔽主機(jī)網(wǎng)關(guān)(ScreenedGatewy)

　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也最為安全。一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護(hù)網(wǎng)是一個虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險帶限制在堡壘主機(jī)和屏蔽路由器，網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時的情形差不多。

　　4.被屏蔽子網(wǎng)(ScreenedSubnet)

　　被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個DNS，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問它，則攻擊會變得很困難。