防火墙技术..doc

Comment [A1]: 本章的图都需要重新 做第 232 页 第第 8 章章 防火墙技术防火墙技术本章首先讨论了防火墙的基本概念，了解防火墙的作用和优缺点以及防火墙的策略设 计；然后介绍了防火墙几种防火墙体系结构及其优缺点；最后着重介绍了防火墙采用的一 些主要技术和各自的优势本章内容适合参加信息安全管理师认证的读者8.1 防火墙概论防火墙概论 8.1.1 防火墙简介防火墙简介Internet 的发展给政府机构、企事业单位带来了革命性的变革越来越多的机关和企业 将自己的内部网与 Internet 相连利用 Internet 可以提高办事效率和市场反应速度，以便使 企业更具竞争力，使政府通过互联网发布重要的政策信息，进行招商引资等通过 Internet，企业可以从异地取回重要数据，同时又要面对 Internet 开放带来的数据安全的新 挑战和新危险，即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护 企业的机密信息不受黑客和工业间谍的入侵 近年来，一连串的网络非法入侵给人们带来了不安很多政府机关的内部网建立起 来了，但是因为担心网络安全问题而没有真正将内部网接入 Internet。

据公安部的资料， 1998 年中国共破获电脑黑客案件近百起，利用计算机网络进行的各类违法行为在中国以 每年 30％的速度递增黑客的攻击方法已超过计算机病毒的种类，总数达近千种公安 部官员估计，已发现的黑客攻击案约占总数的 15％，多数事件由于没有造成严重危害或 商家不愿透露而未被曝光有媒介报道，中国 95％的与 Internet 相联的网络管理中心都遭 到过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点8.1.1.1防火墙的基本概念防火墙的基本概念为了防止内部网络不被入侵，企业内部网在接入 Internet 的时候就必须加筑安全的 “护城河” ，通过“护城河”将内部网保护起来，而这个“护城河”就是防火墙目前防火 墙产品已经进入战国时代，在全球可能有上千种以上的防火墙，在中国销售的防火墙也已 经有 40 多家那么防火墙到底是一种什么？本章将首先介绍防火墙的一些基本概念 1. 防火墙防火墙(FireWall) 所谓“防火墙” ，是指一种将内部网和公众网络(如 Internet)分开的方法，它实际上是一 种隔离技术防火墙是在两个网络通信时执行的一种访问控制手段，它能允许你“同意” 的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网 络中的黑客来访问你的网络，防止他们更改、复制和毁坏你的重要信息。

2. 堡垒主机堡垒主机(Bastion Host) 堡垒主机应是高度暴露于 Internet 的，也是网络中最容易受到侵害的主机堡垒主机 也就是防火墙体系中的大无畏者，把敌人的火力吸引到自己身上，从而达到保护其他主机 的目的堡垒主机的设计思想就是检查点原则，把整个网络的安全问题集中在某个主机上第 233 页 解决，从而省时省力，不用考虑其他主机的安全通常情况下，堡垒主机上运行一些通用 的操作系统 3. 双宿主机双宿主机(Dual Homed Host) 现在的防火墙系统大多是双宿主机即有两个网络接口的计算机系统，其中一个接口接 内部网，一个接口接外部网有的防火墙是多宿主机，有三个或多个网络接口，可以连接 多个网络，实现多个网络之间的访问控制 4. 数据包过滤数据包过滤(Package FilteRing) 一些设备，如路由器、网关或双宿主机，可以有选择地控制网络上往来的数据流当 数据包要经过这些设备时，这些设备可以检查 IP 数据包的相应选项，根据既定的规则来决 定是否允许数据包通过 5. 屏蔽路由器屏蔽路由器(Screened Router) 屏蔽路由器也叫过滤路由器，是一种可以根据过滤原则对数据包进行阻塞和转发的路 由器，现在有很多路由器都具备包过滤的功能。

6. 屏蔽主机屏蔽主机(Screened Host) 被放置到屏蔽路由器后面的网络上的主机称为屏蔽主机，该主机能被访问的程度取决 于路由器的屏蔽规则 7. 屏蔽子网屏蔽子网(Screened SubNet) 屏蔽子网指位于屏蔽路由器后面的子网，子网能被访问的程度取决于屏蔽规则 8. 代理服务器代理服务器(Proxy Server) 代理服务器就像中间人，是一种代表客户和真正服务器通信的程序，一般在应用层实 现典型的代理接受用户的请求，然后根据事先定义好的规则，决定用户或用户的 IP 地址 是否有权使用代理服务器(也可能支持其他的认证手段)，然后代表客户建立一个和真实服 务器之间的连接 9. IP 地址欺骗地址欺骗(IP Spoofing) 这是一种黑客的攻击形式，黑客使用一台机器上网，而用另一台机器的 IP 地址，从而 装扮成另一台机器和服务器打交道防火墙可以识别其中一种 IP 地址欺骗 10. 隧道路由器隧道路由器(Tunneling Router) 它是一种特殊的路由器，可以对数据包进行加密，让数据能通过非信任网，如 Internet，然后在另一端用同样的路由器进行解密 11. 虚拟专用网虚拟专用网(Virtual Private Network，，VPN) 一种连接两个远程局域网的方式，连接要通过非信任网，如 Internet，所以一般通过隧 道路由器或 VPN 网关来实现互联。

12. DNS 欺骗欺骗(DNS Spoofing) 通过破坏被攻击机上的域名服务器的缓存，或破坏一个域名服务器来伪造 IP 地址和主 机名的映射，从而冒充其他机器DNS 欺骗现在也是黑客攻击服务器的常用手段8.1.1.2防火墙的作用与优缺防火墙的作用与优缺点点由于 Internet 的迅速发展，提供了发布信息和检索信息的场所，但它也带来了信息污 染和信息破坏的危险人们为了保护其数据和资源的安全，出现了防火墙防火墙从本质 上说是一种保护装置，它保护的是数据、资源和用户的声誉 防火墙原来是大厦设计中用来防止火灾从大厦的一部分传播到另一部分的设施与之 类似，如今用户通过自身网络与 Internet 相联，访问外部世界并与之通信，外部世界同样第 234 页 也可以访问该网络并与用户交互为安全起见，可以在该网络和 Internet 之间插入一个中 介系统，竖起一道安全屏障这道屏障的作用是阻断来自外部网络对本网络的威胁和入侵， 提供保护本网络安全的一道关卡 Internet 防火墙能增强机构内部网络的安全性Internet 防火墙用于加强网络间的访问 控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网 络的敏感数据被窃取。

防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可 以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问要使一个防 火墙有效，所有来自和去往 Internet 的信息都必须经过防火墙，接受防火墙的检查（图 8- 1） 防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透但是，防 火墙系统一旦被攻击者突破或迂回，就不能提供任何保护了图 8-1 基本的防火墙系统模型防火墙是一种非常有效的网络安全模型，上面对防火墙的定义和大致功能作了一个概 述从物理上说，防火墙就是放在内部网和外部网之间的各种系统组件的集合，它是安全 策略的一部分防火墙主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络 可能是企业的内部网络，不安全网络是 Internet但防火墙不是只用于 Internet 与内部网之 间，也用于 IntraNet 中的部门网络之间，如财务部与市场部之间或财务部与企业公共网之 间这种用于企业内部的防火墙被称作内部防火墙，它在现代企业中起着越来越重要的作 用8.1.1.3防火墙的作用防火墙的作用防火墙是网络安全政策的有机组成部分，它通过控制和检测网络之间的信息交换和访 问行为来实现对网络的安全管理，从总体上看，防火墙应具有以下五大基本功能：1.过滤进出网络的数据包； 2.管理进出网络的访问行为； 3.封堵某些禁止的访问行为； 4.记录通过防火墙的信息内容和活动； 5.对网络攻击进行检测和告警。

例如，一个组织的合作伙伴可能要访问该组织的部分内部信息，在不同的人建立的实 施不同网络策略的网络之间建立信任关系在这种情况下，防火墙可以用来控制信任网络第 235 页 和非信任网络之间的数据包交换 考虑这样一个公司的网络，该公司于不同时期在市场部、销售部、人事部、财务部和 生产部建立了不同的网络，虽然一个部门中的雇员希望能访问另一个部门的网络，但没有 必要让他们访问所有网络这样，当把这些网络连接起来时，该公司会考虑用包过滤路由 器或一个更为复杂的防火墙来限制连接 在逻辑上，防火墙是由过滤器、限制器和分析器组成，在物理上防火墙的实现有多种 方式通常，防火墙是一组硬件设备——路由器和计算机或者是路由器、计算机和配有软 件的网络的多种组合不同的防火墙配置的方法也不同，这取决于安全策略、预算以及全 面规划等最新的防火墙并不是单个的物理实体，防火墙一般可分为多个部分，某些部分 除了执行防火墙的功能外还执行其他的功能，如加解密和认证等，这样的防火墙可以用于 建立 VPN(虚拟专用网) 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统，相反，防火墙是 一种获取安全性的方法，它有助于实施一个比较广泛的安全性政策，用以确定允许提供的 服务和访问。

就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替静态口 令的先进验证)来说，防火墙是该政策的具体实施防火墙系统的主要用途就是控制对受保 护的网络（即网点）的往返访问，它实施网络访问政策的方法就是逼使各连接点通过能得 到检查和评估的防火墙 防火墙系统可以是路由器，也可以是个人主机、主系统和一批主系统，专门把网络或 子网同那些可能被子网外的主系统滥用的协议和服务隔绝防火墙系统通常位于等级较高 的网关如网点与 Internet 的连接处，但是防火墙系统可以位于等级较低的网关，以便为某 些数量较少的主系统或子网提供保护 防火墙基本上是一个独立的进程或一组紧密结合的进程，运行于 Router or Server 来控 制经过防火墙的网络应用程序的通信流量一般来说，防火墙置于公共网络(如 Internet)入 口处，它可以被看做是交通警察，它的作用是确保一个单位内的网络与 Internet 之间所有 的通信均符合该单位的安全方针这些系统基本上基于 TCP/IP 协议，并与实现方法有关， 它能实施安全路障并为管理人员提供下列问题的答案： 1.谁在使用网络? 2.他们在网上做什么? 3.他们什么时间使用过网络? 4.他们上网时去了何处? 5.谁要上网但没有成功? 一个好的防火墙系统应具有以下五方面的特性： (1) 所有在内部网络和外部网络之间传输的数据都必须通过防火墙。

2) 只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙3) 防火墙本身可以经受住各种攻击 (4) 使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡等 (5) 人机界面良好，用户配置使用方便，易管理系统管理员可以方便地对防火墙进 行设置，对 Internet 的访问者、被访问者、访问协议以及访问方式进行控制 防火墙的目的在于实现安全访问控制，因此按照 OSI/RM，防火墙可以在 OSI/RM 七 层中的五层设置一般的防火墙模型如图 8-2 所示Comment [A2]: 换图第 236 页 图 8-2 防火墙与 OSI 模型防火墙作为内部网与外部网之间的一种访问控制设备，通常安装在内部网和外部网交 界的点上Internet 防火墙不仅是路由器、堡垒主机及任何提供网络安全的设备的组合，它 还是安全策略的一个部分安全策略建立了全方位的防御体系来保护机构的信息资源安 全策略应告诉用户应有的。