防火墙技术简介

防火墙技术简介
一．防火墙的基本知识
1．概念
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合（通常是软件和硬件的组合）。

它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

2．基本功能
●过滤进出网络的数据包；
●管理进出网络的访问行为；
●封堵某些禁止的访问行为；
●记录通过防火墙的信息内容和活动；
●对网络攻击进行检测和告警。

3．防火墙应具备的特性
防火墙最基本的构件既不是软件又不是硬件，而是构造防火墙的人的思想。

从某种意义上讲，这种思想极大地影响了如何对网络数据设计路由。

所以，构造一个好的防火墙需要直觉、创造和逻辑的共同作用。

一个好的防火墙系统应具有以下五方面的特性：
●所有在内部网络和外部网络之间传输的数据都必须通过防火墙；
●只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火
墙；
●防火墙本身不受各种攻击的影响；
●使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡等；
●人机界面良好，用户配置使用方便，易管理。

系统管理员可以方便地对防火墙
进行设置，对Internet的访问者、被访问者、访问协议以及访问方式进行控制。

4．发展阶段
若以产品为对象，防火墙技术的发展可以分为四个阶段：
●基于路由器的防火墙：
由于多数路由器本身就包含有分组过滤功能，故网络访问控制功能可通过路由
控制来实现，从而使具有分组过滤功能的路由器称为第一代防火墙产品。

它只
具有分组交换的功能，且路由器和防火墙是一体的，由于路由器的主要功能是
为网络访问提供动态的，灵活的路由，而防火墙则要对访问行为实施静态的、
固定的控制。

如按规则设置防火墙，会大大降低路由器的性能，反之，防火墙
将会有很大程度的局限性，并且本身也并不安全。

●用户化的防火墙工具套
为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系
统来保护自己的网络，从而推动了用户化的防火墙工具套的出现。

新增的功能
包括以下几个方面：
a．将过滤功能从路由器中独立出来，并加上审计和告警功能；
b．针对用户需求，提供模块化的软件包；
c．软件可通过网络发送，用户可自己动手构造防火墙；
由于是纯软件产品，第二代防火墙产品无论在实现还是维护上都对系统管理员
提出了相当复杂的要求，并带来很多问题。

在此基础上出现了新一代的产品。

●建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了
建立在通用操作系统上的商用防火墙产品，近年来在市场上广泛可用的就是这
一代产品。

第三代防火墙既有以纯软件实现的，也有以硬件方式实现的，已得
到广大用户的认同，但也存在一定的问题，如：由于操作系统与内核原码的保
密，使其安全性无从保证，防火墙既要防止来自外部网络的攻击，还要防止来
自操作系统厂商的攻击，所以用户必须依赖两方面的安全支持：一是防火墙厂
商、一是操作系统厂商。

●具有安全操作系统的防火墙
此类型的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有
质量上的提高。

防火墙厂商具有操作系统的源代码，并可实现安全内核；
a．对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强
化安全保护；
b．对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它
将会被隔离在此服务器内，不会对网络的其他部分构成威胁；
c．在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功
能；透明性好，易于使用。

5．防火墙的优缺点
优点：
●允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客、网络破坏
者等）进入内部网络。

禁止存在安全脆弱性的服务进出网络，并抗击来自各种
路线的攻击。

●保护网络中脆弱的服务。

防火墙通过过滤存在安全缺陷的网络服务来降低内部
网遭受攻击的威胁，因为只有经过选择的网络服务才能通过防火墙。

●在防火墙上可以很方便的监视网络的安全性，并产生报警。

●集中安全性。

●英特网防火墙可以作为部署NA T(Network Address Translator，网络地址变换）
的逻辑地址。

因此防火墙可以用来缓解地址空间短缺的问题，也可以隐藏内部
网络的结构。

●增强保密性、强化私有权。

●是审计和记录Internet使用量的一个最佳地点。

●可以成为向客户发布信息的地点。

缺陷：
●限制有用的网络服务。

●无法防护内部网络用户的攻击。

●无法防范通过防火墙以外的其它途径的攻击。

●不能完全防止传送已感染病毒的软件或文件。

●无法防范数据驱动型的攻击。

所谓数据驱动型的攻击就是从表面上看是无害的
数据被邮寄或拷贝到Internet主机上，但一旦执行就开始攻击。

●不能防备新的网络安全问题。

6．防火墙的整体安全策略
从总体上讲，防火墙有两种截然相反的安全策略：
●拒绝没有特别允许的任何事件。

这种策略是假定防火墙应该阻塞所有的信息，而每一种所期望的服务或应用都
是实现在此策略基础上的。

这是一个受推荐的方案。

其建立的是一个非常安全
的环境，因为只有审慎选择的服务才能被支持。

当然这种方案也有缺点，就是
不易使用，因为它限制了提供给用户们的选择范围。

●允许没有特别拒绝的任何事件。

这种策略是假定防火墙应该转发所有的信息，任何可能存在危害的服务都应在
此策略基础上被屏蔽。

这种方案建立的是一个非常灵活的环境，能提供给用户
更多的服务。

缺点是，由于将易使用这个特点放在了安全性的前面，网络管理
员处于不断的响应当中，因此，随着网络规模的增大，很难保证网络的安全。

二．防火墙的体系结构
从总体上看，可以分为四类：包过滤型防火墙、双宿网关防火墙、屏蔽主机防火墙和屏蔽子网防火墙，下面就分别进行介绍。

1．包过滤型防火墙
包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。

此时，路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。

包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。

路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

但数据包过滤防火墙也存在明显的不足：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2．双宿网关防火墙
双宿网关防火墙又称为双重宿主主机防火墙，它是一种拥有两个连接到不同网络上的网络接口的防火墙。

比如，一个网络接口连到外部的不可信任的网络上，另一个网络接口连接到内部的可信任的网络上。

它的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。

一般情况下，人们采用代理服务的方法，因为这种方法为用户提供了更为方便的访问手段。

双重宿主主机用两种方式来提供服务，一种是用户直接登录到双重宿主主机上来提供服务，另一种是在双重宿主主机上运行代理服务器。

第一种方式需要在双重宿主主机上开许多帐号，这是很危险的。

而代理的问题相对要少得多，而且一些服务本身的特点就是“存储转发”型的，如HTTP、SMTP和NNTP，这些服务很适合于进行代理。

在双重宿主主机上，运行各种各样的代理服务器，当要访问外部站点时，必须先经过代服务器认证，然后才可以通过代理服务器访问因特网。

双重宿主主机是唯一的隔开内部网和外部因特网之间的屏障，如果入侵者得到了双重宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双重宿主主
机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。

为了防止防火墙被入侵，在系统中，应尽量地减少防火墙上用户的帐户数目。

使用双重宿主机应注意的是，首先要禁止网络层的路由功能。

在UNIX内实现路由禁止必须重新配置和重建核心，除了要禁止IP转发，还应清除一些UNIX系统中的工具程序和服务。

由于双宿主机是外部用户访问内部网络系统的中间转接点，所以它必须支持很多用户的访问，因此双宿主机的性能非常重要。

3．屏蔽主机防火墙
INTERNET
屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。

这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。

堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和英特网之间。

在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。

由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问英特网，或者是要求使用堡垒主机上的代理服务来访问英特网由机构的安全策略来决定。

对路由器的过滤规则进行配置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。

在采用屏蔽主机防火墙情况下，过滤路由器是否正确配置是这种防火墙安全与否的关键，过滤路由器的路由表应当受到严格的保护，否则如果路由表遭到破坏，则数据包就不会被路由到堡垒主机上，使堡垒主机被越过。

由于堡垒主机与其他内部主机之间没有任何保护网络安全的东西存在，所以一旦堡垒主机被攻破，内部网将完全暴露。

4．屏蔽子网防火墙
INTERNET
屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。

这个防火墙系统建立的是最安全的防火墙系统, 它支持网络层和应用层安全功能。

“非军事区”：在此类型的防火墙体系中有一个“非军事区”的概念，它很小，处于INTERNET和内部网络之间，一般情况下，堡垒主机、信息服务器、Modem组以及其它公用服务器都放在“非军事区”网络中。

INTERNET和内部网络系统能够访问“非军事区”网络上数目有限的系统，但他们绝对不能通过“非军事区”网络进行信息传输。

外部路由器：对于进来的信息，外面的路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理INTERNET到“非军事区”网络的访问。

它只允许外部系统访问堡垒主机（还可能有信息服务器）。

并外，它的一个主要功能是保护“非军事区”
上的主机，但这种保护不是很必要的，因为这主要是通过堡垒主机来进行安全保护的。

外部路由器还可以防止部分IP欺骗。

内部路由器：又称阻塞路由器，它位于内部网和“非军事区”之间，用于保护内部网不受“非军事区”和因特网的侵害。

它执行了大部分的过滤工作，只接受源于堡垒主机的数据包，负责的是管理“非军事区”到内部网络的访问。

对于去往英特网的数据包，它允许内部系统只访问堡垒主机（还可能有信息服务器）。

且它的过滤规则要求使用代理服务（只接受来自堡垒主机的去往英特网的数据包）。

堡垒主机：是最容易受侵袭的，虽然堡垒主机很坚固，不易被入侵者控制，但万一堡垒主机被控制，如果采用了屏蔽子网体系结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部过滤路由器的保护。

三．防火墙的几项关键技术
1．包过滤技术
包过滤技术一般由一个包检查模块来实现，它可以控制站点与站点、站点与网络、网络与网络之间的相互访问，但不能控制传输数据的内容，因为内容是应用层数据，不是包过滤系统所能辨认的。

过滤规则基于可以提供给IP转发过程的包头信息。

包头信息中包括IP源地址、IP目标端Ｆ地址、内装协议（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位。

包的进入接口和出接口如果有匹配，并且规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发。

如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。

如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。

通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

一些典型的过滤规则包括：
●允许进入的Telne会话与指定的内部主机连接
●允许进入的FTP会话与指定的内部主机连接
●允许所有外出的Telne会话
●允许所有外出的FTP会话
●拒绝所有来自特定的外部主机的数据包
2．代理技术
代理（Proxy）技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。

提供代理服务的可以是一台双宿网关，也可以是一台堡垒主机。

允许用户访问代理服务是很重要的，但是用户绝对不能注册到应用层网关中。

代理使得网络管理员能够实现比包过滤更严格的安全策略。

应用层网关不用依赖包过滤工具来管理INTERNET服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理INTERNET服务的，能够让网络管理员对服务进行全面的控制。

如果网络管理员没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来转发。

同时，代理编码可以配置成只支持网络管理员认为必须的部分功能。

下面以Telnet为例，讲述堡垒主机上的Telnet代理的操作，在下例中，外部用户要Telnet到内部由应用层网关保护的服务器上：
外部的客户Telnet到堡垒主机，主机用一次性口令技术认证该用户。

在经过认证之后，外部的客户获得了Telnet代理用户接口的访问权。

这个Telnet代理只允许用户可以使用部分的Telnet命令，并决定内部的那些主机可以提供给Telnet来访问。

外部客户指定目标主机，然后Telnet代理建立一个其自己到内部服务器的连接，并替外部客户转发命令。

外部客户认为Telnet代理是一个真正的内部服务器，而内部服务器也把Telnet 代理看作是外部客户。

3．电路级网关技术
电路级网关（Circuit Gateway）也是一种代理，它只是建立起一个回路，对数据包只起转发的作用。

电路级网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。

在电路级网关中，数据包被提交给用户应用层来处理，网关只用来在两个通信终点之间转接数据包，只是简单的字节回来拷贝，由于连接似乎是起源于防火墙，其隐藏了受保护网络的有关信息。

一个简单的电路级网关仅传输TCP的数据段，增强的电路级网关还应该具有认证的功能。

这种代理的优点是它可以对各种不同的协议提供服务，但这种代理需要改进客户程序。

这种网关对外像一个代理，而对内则是一个过滤路由器。

电路级网关的缺点同应用层网关技术一样，新的应用出现可能会要求对电路级网关的代码作相应的修改。

4．其他关键技术
●状态检查技术
它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。

检
测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信
的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制
定安全决策的参考。

检测模块支持多种协议和应用程序，并可以很容易地实现
应用和服务的扩充。

与其它安全方案不同，当用户访问到达网关的操作系统前，
状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒
绝、鉴定或给该通信加密等决定。

一旦某个访问违反安全规定，安全报警器就
会拒绝该访问，并作记录，向系统管理器报告网络状态。

状态监视器的另一个
优点是它会监测RPC和UDP之类的端口信息。

包过滤和代理网关都不支持此
类端口。

但它的配置非常复杂，而且会降低网络的速度。

●地址翻译技术
地址翻译，也叫网络地址转换NA T（Network Address Translator），就是将一个
IP地址用另一个IP地址代替。

它主要用在两个方面：
a．网络管理员希望隐藏内部网络的IP地址。

这样英特网上的主机无法判
断内部网络的情况。

b．内部网络的IP地址是无效的IP地址。

这种情况主要是因为现在的IP
地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP
地址。

在上面两种情况下，内部网对外面是不可见的，英特网不能访问内部网，但
是内部网内主机之间可以相互访问。

解决和外部通讯的方法：一个内部主机可
以Telnet到网关上，然后通过网关上的代理服务连接到INTERNET。

●安全审计技术
对网络上发生的事件进行记载和分析，对某些被保护网络的敏感信息访问保
持不间断的记录，并通过各种不同类型的报表、报警等方式向系统管理人员进
行报告。

比如在防火墙的控制台上实时显示与安全有关的信息、对用户口令非
法、非法访问进行动态跟踪等。

●安全核心技术
除了采用代理以外，人们开始在操作系统的层次上考虑安全性。

例如考虑把
系统内核中可能引起安全问题的部分从内核中去掉，形成一个安全等级更高的
内核，从而使系统更安全。

对安全操作系统内核的加固与改造主要从以下几个方面进行；
a．取消危险的系统调用；
b．限制命令的执行权限
c．取消IP的转发功能；
d．检查每个分组的端口；
e．采用随机连接序列号；
f．驻留分组过滤模块；
g．取消动态路由功能；
h．采用多个安全内核。

●负载平衡技术
平衡服务器的负载，由多个服务器为外部网络用户提供相同的应用服务。

当外部网络的一个服务请求到达防火墙时，防火墙可以用其制定的平衡算法确定请求是由那台服务器来完成。

但对用户来讲，这些都是透明。

●内容安全技术
内容安全性提供对高层服务协议数据的监控能力，确保用户的安全。

包括计算机病毒、恶意的Java Applet或ActiveX的攻击、恶意电子邮件及不健康网页内容的过滤防护。