1、信息(xnx)系統安全工程之防火墻西南(xnn)交通大學信息科學與技術學院 李曉航Last Modified: 2015.11共八十六頁一、防火墻概述(i sh)防火墻是建立在內外網絡邊界上的過濾封鎖機制，它的作用(zuyng)是在保證網絡暢通的情況下，防止不希望的、未經授權的通信進出被保護的內部網絡，通過邊界控制強化內部網絡的安全政策。共八十六頁防火墻概述(i sh)（續）如果(rgu)沒有防火墻，則整個內部網絡的安全性完全依賴于每個主機也就是說，網絡的安全水平是由最低的那個安全水平的主機決定的，這就是所謂的“木桶原理”，木桶能裝多少水由最低的地方決定。網絡越大，對主機進行管理使它們達到統一

2、的安全級別水平就越不容易。如果采用了防火墻，內部網絡中的主機將不再直接暴露給來自Internet的攻擊因此，對整個內部網絡的主機的安全管理就變成了防火墻的安全管理，這樣就使安全管理變得更為方便，易于控制，也會使內部網絡更加安全。共八十六頁防火墻的設計(shj)目標1、所有進出被保護網絡的通信必須通過防火墻；2、所有通過防火墻的通信必須經過安全策略的過濾或者(huzh)防火墻的授權；3、防火墻本身應該具有很強的抵抗攻擊能力。共八十六頁防火墻的功能(gngnng)主要功能：1、訪問控制功能；2、內容控制功能；3、全面(qunmin)的日志功能；4、集中管理功能；5、自身的安全和可用性。附加功能：1

3、、流量控制；2、網絡地址轉換（Network Address TranslationNAT）；3、虛擬專用網（Virtual Private NetworkVPN）。共八十六頁防火墻的邊界(binji)保護機制防火墻的安放位置是可信網絡和不可信網絡的邊界，它所保護的對象是網絡中有明確閉合邊界的網段注意：“可信網絡”和“不可信網絡”是相對的；一般說來內部網絡是可信的，Internet是不可信的；但在內部網絡中，還可能劃分可信和不可信網絡，比如財務部網絡需要特殊(tsh)保護，則財務部網絡是可信網絡，而其他內部網絡就變成不可信網絡。防火墻是一種邊界保護，它對可信網絡內部之間的訪問無法控制，僅對穿過

4、邊界的訪問進行控制共八十六頁防火墻面臨(minlng)的潛在的攻擊防火墻放在可信網絡的邊界，直接面對的是不可信網絡可能的攻擊，面臨Internet中的惡意訪問者的攻擊。惡意破壞者主要有以下幾種可能的攻擊：1） 入侵內部網絡：包括沒有授權地訪問內部網絡，盜取信息。比如進行地址欺騙，不可信網絡的用戶偽裝成可信網絡的地址，從而繞過系統的認證實現進入被攻擊系統；或者通過在內部網絡中安裝木馬程序，實現對內部機器(j q)的控制。2） 針對防火墻的攻擊，使其失去功能：包括各種協議漏洞攻擊和碎片攻擊，使防火墻死機或者失去本身應有功能。3） 拒絕服務攻擊：此種攻擊現在非常普遍，對網絡的危害非常大，是防火墻較難

5、阻擋的攻擊之一。共八十六頁拒絕服務攻擊(gngj)的方式1） Syn Flood： 該攻擊以多個隨機的源主機地址向目的主機發送SYN包，而在收到目的主機的SYN ACK后并不回應；這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。 2）Smurf： 該攻擊向一個子網的廣播地址發一個帶有特定(tdng)請求（如ICMP回應請求）的包，并且將源地址偽裝成想要攻擊的主機地址；子網上所有主機都回應廣播包請求而向被攻擊主機發包，使該主機受到攻擊。3）Land based、Ping of Death、Teardrop、

6、Ping Sweep、Ping Flood.共八十六頁防火墻的局限性1、防火墻不能防范不經防火墻的攻擊；2、防火墻不能防止感染了病毒的軟件或文件的傳輸；3、防火墻不能防止數據驅動式攻擊；有些表面看起來無害的數據通過電子郵件發送或者其他方式復制到內部主機上，一旦被執行就形成攻擊。一個(y )數據型攻擊可能導致主機修改與安全相關的文件，使得入侵者很容易獲得對系統的訪問權。4、防火墻不能防范惡意的內部人員侵入；5、防火墻不能防范不斷更新的攻擊方式防火墻制定的安全策略是在已知的攻擊模式下制定的，所以對全新的攻擊方式缺少阻止功能。共八十六頁防火墻的分類(fn li)從防火墻實現的技術方式分：包過濾防火墻

7、；應用層網關防火墻；電路層網關防火墻；狀態檢測防火墻。從形態上分：軟件防火墻；硬件防火墻硬件防火墻是將防火墻軟件安裝在專用的硬件平臺和專有操作系統（有些(yuxi)硬件防火墻甚至沒有操作系統）之上，以硬件形式出現，如Cisco的PIX防火墻。有的還使用一些專有的ASIC硬件芯片負責數據包的過濾，性能更好。共八十六頁防火墻的訪問效率(xio l)和安全需求防火墻是網絡的開放性和安全的控制性矛盾對立的產物。一方面網絡的優勢是它的互聯互通性，用戶希望快捷順暢地訪問網站、收發電子郵件等；另一方面，網絡也是不安全的，所以需要使用防火墻對網絡進行控制，添加安全規則，讓用戶通過登錄來完成訪問授權，可這樣會使

8、用戶感到繁瑣，而且需要檢查(jinch)的安全規則越多，網絡性能就會越差。所以防火墻的訪問效率和安全需求是一對矛盾，應該努力尋找平衡。共八十六頁防火墻的主要(zhyo)性能指標1）吞吐量： 指防火墻在不丟失數據包的情況下能達到的最大的轉發數據包的速率。吞吐量是防火墻性能中的一項非常重要的指標。如果防火墻的吞吐量指標太低就會造成網絡瓶頸，影響網絡的性能。2）時延： 對存儲轉發設備，如路由器，是指從入口處進入(jnr)的輸入幀的最后一個比特到達，到從出口發出的輸出幀的第一個比特輸出所用的時間間隔。這個指標能夠衡量出防火墻處理數據的快慢。 3）丟包率： 在特定負載下，指應由網絡設備傳輸，但由資源耗盡

9、而丟棄幀的百分比。丟包率是衡量防火墻設備穩定性和可靠性的重要指標。共八十六頁防火墻的主要(zhyo)性能指標（續）4） 背對背： 指從空閑狀態開始，以達到(d do)傳輸介質最小合法間隔極限的傳輸速率發送相當數量的固定長度的幀，當出現第一個幀丟失時所發送的幀數。背對背的測試結果能夠反映出防火墻設備的緩存能力、對網絡突發數據流量的處理能力。5） 并發連接數： 指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數。并發連接數的測試主要用來測試被防火墻建立和維持TCP連接的性能。共八十六頁二、防火墻技術(jsh)1、包過濾(gul)（ Packet Filter ）2、代理服務器（Prox

10、y Server）3、電路級網關（Circuit Level Gateway）4、狀態檢測（State Inspection）共八十六頁1、包過濾(gul)技術包過濾(Packet Filter)技術是在網絡層（或傳輸層）中根據數據包中的包頭信息對數據包實施有選擇的通過。包過濾依據系統內事先設定的過濾規則，檢查數據流中每個數據包的包頭后，根據包頭中的各個數據項來確定是否允許數據包通過，其核心是安全策略即過濾規則的設計(shj)。例如，利用特定的因特網服務的服務器駐留在特定的端口號的事實（如TCP端口23用于Telnet連接），使包過濾器可以通過規定適當的端口號來達到阻止或允許一定類型的連接的目

11、的，并可進一步組成一套數據包過濾規則。共八十六頁包過濾(gul)技術（續）包過濾技術在防火墻上的應用非常廣泛，其主要優點是：1）系統（如CPU）用來處理包過濾的時間相對很小，效率高；2）這種防護措施(cush)對用戶透明，合法用戶在使用網絡通信時，感覺不到它的存在，使用起來很方便。包過濾的主要缺點是：包過濾技術是在IP/TCP層實現的，所以包過濾的一個很大的弱點是不能在應用層級別上進行過濾，所以防衛方式比較單一。共八十六頁包過濾(gul)技術示意圖應用層表示層會話層傳輸層網絡層數據鏈路層物理層物理層數據鏈路層網絡層應用層表示層會話層傳輸層網絡層數據鏈路層物理層外部網絡主機內部網絡主機包過濾型防

12、火墻傳輸層共八十六頁包過濾(gul)的依據一個包過濾型防火墻通常根據IP/TCP分組的以下各項過濾：源IP地址；目標(mbio)IP地址；IP中的協議類型字段；TCP/UDP源端口；TCP/UDP目標端口；TCP報頭中的各種標志。共八十六頁IP數據包格式(g shi)共八十六頁基于(jy)IP的數據包過濾可以根據IP協議中的IP源地址和IP目的地址來制定安全規則如允許訪問內部的IP地址為*.*.*.*的服務器。也可以根據IP協議中的協議類型字段來制定安全規則：如允許 TCP 協議通過防火墻。基于IP的數據包過濾(gul)容易遭到“源地址路由”和“極小數據分段”攻擊。共八十六頁基于(jy)IP的

13、數據包過濾（續）源地址路由攻擊：源地址路由是IP的選項，指由數據包的源地址來指定到達目的地的路由，而不是讓路由器根據其路由表來決定向何處發送數據包。這種功能有的時候是有用的，比如在路由器的路由表發生了損壞時；但是有的時候也會被黑客所利用，用于繞過安全檢測，而不走預先設計好的路由路徑。防火墻解決這個問題的辦法很簡單，只要檢查IP選項，簡單地丟棄(diq)所有包含源路由選項的數據包即可。共八十六頁基于(jy)IP的數據包過濾（續）IP協議的數據分片IP協議的特點之一就是將一個大的數據包劃分成若干個適合大小的、能通過網絡傳送的IP片，稱為IP分片，IP分片到達目標機器后，再重新組裝成完整(wnzhn

14、g)的IP數據包。對于IP數據包過濾，只有在第一個分片中才包含來自于高層協議的報頭信息，數據包過濾可以檢查這個段，根據報頭來決定是否允許整個數據包通過。如果禁止該數據包，數據包過濾只是丟棄了IP分片的第一個分片，其他的分片還是能夠通過；但是不管有多少個分片通過，目標機器都不能將這些段裝配成原來的數據包（因為第一個分片已經沒有了）。共八十六頁基于(jy)IP的數據包過濾（續）“極小數據分段”攻擊極小數據分段式攻擊（Tiny Fragment Attacks）的特點是入侵者使用了IP分片的特性，創建極小的分片并強行將TCP頭信息分成多個數據包段。這種攻擊是為了繞過用戶定義的過濾規則黑客通常寄希望于

15、過濾器只檢查第一個分片而允許其余的分片通過。防火墻解決這個問題的方法是在防火墻處進行(jnxng)IP報文重組共八十六頁TCP數據包格式(g shi)20共八十六頁基于(jy)TCP的數據包過濾可以根據TCP協議中的源端口和目的端口來制定安全規則注意：由于TCP的源端口通常是隨機的，所以通常不使用源端口進行(jnxng)控制。通過檢查TCP標志字段，可以辨認這個TCP數據包是SYN包，還是非SYN包檢查單獨的SYN標志，就可以知道它是TCP連接中3次握手中的第一個請求，如果要禁止該連接，只要禁止這個包就可以了。共八十六頁TCP連接的3次握手(w shu)過程共八十六頁基于(jy)UDP的數據包

16、過濾可以根據UDP中的源端口和目的端口來制定安全規則(guz)由于UDP的源端口通常是隨機的，所以通常不使用源端口進行控制。共八十六頁基于(jy)ICMP的數據包過濾ICMP（Internet控制與報文協議）是無連接的，非常靈活，但源地址容易被偽造目前有很多基于ICMP的攻擊(gngj)軟件，如制造ICMP風暴、利用ICMP消耗服務器CPU資源；此外ICMP本身也可以用于探測網絡拓撲結構。因此，包過濾器一般禁止從外部網絡來的到內部網絡和包過濾器本身的ICMP包，以避免危險。共八十六頁包過濾規則的制定(zhdng)策略總的來說，包過濾規則的制定(zhdng)策略包括兩類：1、按IP地址過濾；2、

17、按服務（即端口號）過濾。共八十六頁按IP地址(dzh)過濾按地址過濾是最簡單的過濾方式，它只限制數據包的源地址和目的地址，而不必(bb)考慮協議。需要注意的是，由于IP源地址是可以偽造的，因此如果在過濾規則中限制源地址，就會面臨風險例如，在過濾規則中，如果允許一個特定的外部主機（IP地址固定）訪問內部網絡，此時如果另一個主機偽裝成該外部主機，過濾規則就會被欺騙。共八十六頁按服務(fw)過濾按服務過濾，就是根據相應的TCP/UDP端口進行過濾比如要禁止外部網絡對內部網絡的Telnet的訪問，就需要檢查數據包的目的端口和TCP標志位，如果端口是23，并且是SYN包，則拒絕這個(zh ge)包。在實

18、際應用中，一般是按照內部服務端口進行過濾，對于外部服務端口過濾也是有風險的因為外部服務端口是可以偽裝的。此外，按服務過濾需要保證內部的服務確實工作在相應的端口上。共八十六頁按服務(fw)過濾（續）按外部端口過濾的風險由于無法保證外部服務確實是在規定的端口上，如果防火墻的限制(xinzh)完全基于外部服務端口號就會有危險。例如，如果允許內部主機到外部服務器的郵件發送服務（正常運行于端口25），當TCP端口25確是一個常規郵件端口時，這個配置就沒有危險。但是防火墻沒有辦法控制一個外部主機上的端口號，黑客可能會用其他程序控制外部主機上 25 號端口，模擬郵件服務和內部主機建立連接，進行非授權的訪問。

19、共八十六頁網絡協議的雙向性對包過濾規則(guz)制定的影響需要注意的是，網絡協議一般都是雙向的，如果發送了一個請求或者一條命令，另一邊的主機就會發出某種響應。所以在制定數據包過濾規則時，一定要注意數據包是雙向的例如想允許某個主機訪問Telnet服務器，但是設置規則時只允許Telnet的命令的方向能通過，沒有允許返回的數據包通過，這樣還是不能訪問的。在從內部到外部的TCP（或UDP）連接中，為了允許返回數據(shj)通過，會給過濾規則的制定增加困難（見后）：共八十六頁在內部到外部的TCP和UDP連接中，內部主機(zhj)采用的源端口一般是大于1024的隨機端口（如下圖）為了支持雙向通信，需要允許

20、返回到內部主機的所有大于1024端口的數據包，這是非常危險的。對于TCP連接：可以通過TCP協議的flag位來辨認從外部到內部的數據包是連接請求還是響應報文如果是連接請求則拒絕，響應報文（flag中的Ack置位）則放行，從而可以阻止對高于1024端口的非法連接。而UDP是無連接的協議，沒有標準可以區分，只能通過端口號，但是端口號是可以偽造的如果返回的數據包不是到內部主機隨機產生的端口，而是到另一個端口，可能就是一次破壞服務器的嘗試。有些UDP協議的請求端口和目的端口都是固定的，這樣防火墻只需簡單地允許相應的端口的進出就可以保證安全了。共八十六頁內網主機(zhj)防火墻內部(nib)網絡外網服務

21、如WWW（80端口）1、請求報文（源端口一般隨機生成）源端口1024，目標端口80外部網絡（如因特網）2、防火墻根據80端口放行請求報文3、響應報文源端口80，目標端口1024（=請求中的源端口）4、防火墻根據什么放行響應報文？內網到外網的TCP或UDP訪問共八十六頁數據包過濾(gul)的默認安全策略包過濾規則中有兩種基本的默認安全策略：默認接受和默認拒絕。默認接受：指除非明確地指定禁止某個數據包，否則數據包是可以通過的。默認拒絕：指除非明確的指定允許某個數據包通過，否則數據包是不可以通過的。顯然，默認接受的易用性更好，而默認拒絕的安全性更好。一般(ybn)都采用默認拒絕策略。共八十六頁建立(

22、jinl)數據包過濾規則的步驟1、建立安全策略要針對網絡的具體情況制定需要保護什么、需要對外提供什么樣的服務的安全策略。主要考慮兩個方面：1）內部網絡需要訪問外部網絡的什么服務，如WWW、FTP、電子郵件等；2）內部需要給外部網絡提供什么服務，因為外部網絡是不安全的，這個口子(ku zi)開得越小越好。2、 將安全策略轉化為數據包分組字段的邏輯表達式。3、用防火墻提供的過濾規則句法重寫邏輯表達式，然后設置防火墻。共八十六頁防火墻對過濾(gul)規則的使用在制定了數據包過濾規則并設置進防火墻后，對于網絡上每一個數據包，防火墻會從第一條規則開始依次進行檢查，直到找到一個可以匹配該數據包的規則防火墻

23、根據匹配規則中的“動作”來決定(judng)是接受還是拒絕該數據包；如果規則表中沒有匹配的規則，則根據設置的默認安全策略對數據包進行處理如默認拒絕，則這個數據包將被拒絕。共八十六頁防火墻對過濾(gul)規則的使用（續）防火墻外網口（所有報文）防火墻內網口（允許通過的報文）包過濾規則列表進行規則匹配動作動作動作動作規則表達式規則表達式規則表達式默認策略動作：允許或拒絕針對外網到內網報文防火墻外網口（允許通過的報文）防火墻內網口（所有報文）包過濾規則列表進行規則匹配動作動作動作動作規則表達式規則表達式規則表達式默認策略動作：允許或拒絕針對內網到外網報文共八十六頁例子(l zi)假設一個公司的安全策

24、略為：1、允許外部主機對內部MailGate主機的郵件訪問(fngwn)；2、允許外部主機對內部MailGate主機的DNS訪問；3、允許外部主機對內部MailGate主機的Telnet訪問；4、允許外部OutSide主機對內部InSide主機的NTP協議對時；5、允許內部主機對外部主機的一切Tcp協議的訪問。6、禁止其他類型的所有通信。根據該策略制定防火墻的過濾規則。共八十六頁MailGate郵件（25）DNS（53）Telnet（23）NTP內部到外網基于TCP的訪問，如www訪問，收發(shuf)電子郵件，都允許。對外網開放(kifng)的服務例子（續）共八十六頁例子(l zi)：根據安

25、全策略制定的包過濾規則注意：1、 沒有明確(mngqu)協議標志的規則用于TCP； 2、INSIDE-NET指所有內部網絡的主機。規則匹配針對上條規則的返回報文共八十六頁包過濾技術(jsh)的特點包過濾技術的優點：效率高，速度快；對應用(yngyng)透明，合法應用(yngyng)在進出網絡時感覺不到它的存在。局限：正確的設置包過濾規則比較困難；由于包過濾技術是在IP/TCP層上實現的，所以包過濾不能在應用層級別上進行過濾，防衛方式比較單一；有些網絡協議不適合包過濾如FTP協議，在協議內部會動態生成子連接。共八十六頁2、代理服務器代理服務器（Proxy Server）作用于應用層，用來提供應用

26、層服務的控制，在內部網絡向外部網絡申請服務時起到中間轉接作用在該框架中，內部網絡服務只接受代理服務提出的服務請求，拒絕外部網絡其他結點的直接請求。代理服務器是運行在防火墻主機上的專門(zhunmn)的應用程序或者服務程序這些程序接受用戶對Internet服務的請求（如FTP、Telnet），并按照一定的安全策略將它們轉發到實際的服務中。代理提供代替連接并且充當服務的網關。共八十六頁代理服務器技術(jsh)示意圖應用層表示層會話層傳輸層網絡層數據鏈路層物理層物理層數據鏈路層網絡層應用層表示層會話層傳輸層網絡層數據鏈路層物理層外部網絡主機內部網絡主機防火墻應用層表示層會話層傳輸層共八十六頁一個(y

27、 )Telnet代理服務器例子外部Telnet客戶內部Telnet服務器日志系統Telnet代理認證系統Telnet代理服務器FTP代理原來的直接連接端口23內部連接端口23外部連接端口23共八十六頁一個(y )Telnet代理服務器例子（續）Telnet代理網關的執行過程1、用戶首先Telnet到應用網關主機，并輸入內部目標主機的名字（域名、IP地址）；2、應用網關檢查用戶的源IP地址等，并根據事先設定的訪問(fngwn)規則來決定是否轉發或拒絕；3、應用網關對用戶信息進行驗證（應用層過濾）；4、應用網關中的代理服務器為用戶建立在網關與內部主機之間的Telnet連接；5、代理服務器在兩個連接

28、（用戶/代理服務器，代理服務器/內部主機）之間傳送數據；6、應用網關對本次連接進行日志記錄。共八十六頁代理服務器特點(tdin)代理技術能進行安全控制和加速訪問，有效地實現防火墻內外計算機系統的隔離，安全性好；能實施較強的數據流監控、應用層數據過濾、記錄和報告等功能。其缺點是1、對于(duy)每一種應用服務都必須為其設計一個代理軟件模塊來進行安全控制，而每一種網絡應用服務的安全問題各不相同，實現困難。2、效率低。共八十六頁3、電路(dinl)級網關電路級網關（Circuit Gateway）又稱為電路中繼（Circuit Relay），工作在傳輸層（TCP）。它在兩個主機首次建立TCP連接時創

29、立一個“電子屏障”它作為服務器接收外來請求，轉發請求；與被保護主機連接時則擔當客戶機角色，起到了代理服務作用。電路網關一般只在TCP連接建立時進行控制和判斷，監視兩主機建立連接時的握手信息，如SYN、ACK等標志和序列號等是否合乎邏輯一旦連接建立后僅復制、傳遞數據，而不再進行過濾(gul)。電路級網關的安全性比較高，但它仍不能檢查應用層的數據包以消除應用層攻擊的威脅。共八十六頁電路(dinl)級網關示意圖共八十六頁4、狀態檢測(jin c)技術狀態檢測(jin c)（Stateful Inspection）技術現在應用非常廣泛，是一種相當于4.5層的過濾技術它不限于包過濾防火墻的 3/4 層（

30、網絡/傳輸層）過濾，又不需要應用層網關防火墻的 5 層（應用層）過濾。狀態檢測既提供了比包過濾防火墻更高的安全性和更靈活的處理，也避免了應用層網關防火墻帶來的速度降低的問題。實現狀態檢測最重要的是實現連接跟蹤功能需要為不同的通信協議開發單獨的連接跟蹤模塊。共八十六頁狀態(zhungti)檢測中的“狀態(zhungti)”狀態檢測防火墻對每個合法的網絡連接保存如下信息：源地址、目的地址、協議類型、協議相關信息（如TCP/UDP的端口號）、連接狀態（如TCP的連接狀態）和超時時間等；防火墻把這些信息叫做“狀態”（如后圖）。通過狀態檢測，可以(ky)實現比簡單包過濾防火墻具有更大的安全性。共八十六頁

31、過濾規則表狀態監測表狀態檢測防火墻源地址目的地址協議類型源端口目標端口網絡連接的唯一標識服務器1服務器2服務器n客戶端1客戶端2客戶端3客戶端m服務端口TCP連接狀態、超時時間等+防火墻中的“狀態”共八十六頁對TCP協議(xiy)的狀態檢測狀態檢測最典型的是針對TCP協議當防火墻接收到 TCP 的 SYN 包（握手）時，要對這個帶有 SYN 的數據包進行安全檢查（如利用過濾規則）如果接受該連接，則本次會話的“連接”信息被添加進狀態監測表中。對于隨后的數據包，就將包信息和狀態監測表中所記錄的連接內容進行比較如果該包是某會話的一部分，并且狀態正確，則接受該數據包。該方式提高了系統性能因為只有新的請

32、求(qngqi)連接數據包（SYN包）到來時，才會和過濾規則進行比較。（TCP協議狀態圖如下圖）共八十六頁TCP 狀態圖：1、粗實線表示客戶端的正常(zhngchng)路徑；2、粗虛線表示服務器端的正常路徑；3、細線表示不常見的事件。 共八十六頁對TCP協議的狀態(zhungti)檢測（續）對TCP協議，有如下結論：1、TCP連接是有狀態的，連接進入(jnr)到不同的階段有不同的狀態2、TCP連接狀態的轉換是有一定順序的，不能任意改變3、TCP連接過程中客戶端和服務端的可能狀態是有區別的如客戶端不可能進入到Listen狀態4、對于TCP包中的標志，有些標志是不可能同時存在的如SYN不能和FIN

33、、RST、PSH同時存在根據這些原則，防火墻就可以判斷出連接雙方目前處于何種狀態，一旦發現數據包和狀態不符，就可以認為該數據包狀態異常，從而拒絕另外這種方式對于一些端口掃描工具，也能很好對抗。共八十六頁對某些應用協議的狀態(zhungti)檢測“狀態檢測”對于單一連接的協議來說相對比較簡單，只需要數據包頭的信息就可以進行跟蹤。但一些應用層協議，可能會有這種情況：協議除了使用一個公開端口的主連接進行通信外，在通信過程中還會動態建立子連接進行數據傳輸，而子連接的端口號是在主連接中通過協商得到的隨機值。對于此類協議，用包過濾防火墻就只能打開所有端口才能允許通信，但這會帶來很大的安全隱患。而對于狀態檢

34、測防火墻，則能夠進一步分析主連接中的內容信息，識別出所協商的子連接的端口而在防火墻上將其動態打開，連接結束時自動(zdng)關閉，充分保證系統的安全。例子：FTP協議（見后）共八十六頁對FTP協議(xiy)的狀態檢測FTP標準模式例子FTP被動模式例子由客戶端指定共八十六頁對無連接(linji)協議的狀態檢測對于無連接協議（如UDP和ICMP協議），狀態檢測防火墻也可以建立起自己的“狀態”信息來進行跟蹤。如對于UDP協議，一方發出UDP包后（如DNS請求），防火墻會將從目的地址和目的端口返回的，到達源地址和源端口的包作為狀態相關的包而允許通過(tnggu)這樣同樣可以避免靜態的開放所有端口共八

35、十六頁三、防火墻體系結構1、雙重宿主主機(zhj)（Dual-homed Host）體系結構2、被屏蔽主機（Screened Host）體系結構3、被屏蔽子網（Screened Subnet）體系結構共八十六頁1、雙重宿主(szh)主機體系結構雙重宿主主機體系結構圍繞雙重宿主主機構筑雙重宿主主機至少有兩個網絡接口，這樣的主機可以充當與這些接口相連的網絡之間的路由器，它能夠使內部網絡和外部網絡的數據包直接通過。然而雙重宿主主機的防火墻體系結構禁止這種通信。在雙重宿主主機體系結構中，外部網絡能與雙重宿主主機通信，內部網絡也能與雙重宿主主機通信，但是外部網絡與內部網絡不能直接通信，它們之間的通信必須

36、經過雙重宿主主機的過濾和控制。可以在雙重宿主主機上安裝代理服務(fw)器軟件，為不同的服務(fw)提供轉發，并同時根據策略進行過濾和控制。共八十六頁雙重(shungchng)宿主主機體系結構示意圖共八十六頁2、被屏蔽(pngb)主機體系結構雙重宿主主機體系結構防火墻沒有使用路由器，而被屏蔽主機體系結構防火墻則使用一個路由器把內部網絡和外部網絡隔離開。在這種體系結構中，主要的安全(nqun)由數據包過濾提供例如，數據包過濾用于防止人們繞過代理服務器直接相連。此外，這種體系結構包括堡壘主機堡壘主機是Internet上的主機能連接到的唯一的內部網絡上的系統，任何外部的系統要訪問內部的系統或服務都必須

37、先連接到這臺主機。在屏蔽路由器上設置數據包過濾策略，讓所有的外部連接只能到達內部堡壘主機，比如收發電子郵件。共八十六頁被屏蔽(pngb)主機體系結構（續）在屏蔽的路由器中數據包過濾配置可以按下列(xili)方案之一設置：1、允許其它的內部主機為了某些服務開放到Internet上的主機連接（允許那些經由數據包過濾的服務）；2、不允許來自內部主機的所有連接（強迫那些主機經由堡壘主機使用代理服務）；3、對于內部用戶對外部網絡的訪問，可以強制其經過堡壘主機，也可以讓其直接經過屏蔽路由器出去，針對不同的應用采用不同的安全策略。共八十六頁被屏蔽(pngb)主機體系結構示意圖共八十六頁3、被屏蔽(pngb)

38、子網體系結構被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部(wib)網絡（通常是Internet）隔離開。周邊網絡是一個被隔離的獨立子網，充當了內部網絡和外部網絡的緩沖區，在內部網絡與外部網絡之間形成了一個“隔離帶”，即“非軍事區”（DeMilitarized Zone, DMZ）。共八十六頁被屏蔽(pngb)子網體系結構（續）被屏蔽子網體系結構的最簡單的形式為是兩個(lin )屏蔽路由器，每一個都連接到周邊網一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡（通常為Internet）之間，這樣就在內部網絡與外部網絡之間形成了一個“隔

39、離帶”。為了侵入用這種體系結構構筑的內部網絡，入侵者必須通過兩個路由器即使入侵者侵入堡壘主機，它將仍然必須通過內部路由器。共八十六頁被屏蔽(pngb)子網體系結構（續）共八十六頁被屏蔽子網結構(jigu)的優點1、入侵者必須突破3個不同的設備才能入侵內部網絡。2、 由于外部路由器只向Internet通告DMZ網絡的存在，Internet上的系統沒有路由器與內部網絡相通，這樣網絡管理員就可以保證內部網絡是“不可見”的。3、 由于內部路由器只向內部網絡通告DMZ網絡的存在，內部網絡上的系統不能直接通往Internet，這樣就保證了內部網絡上的用戶必須通過駐留在堡壘主機上的代理服務才能訪問Inter

40、net。4、 由于DMZ網絡是一個(y )與內部網絡不同的網絡，NAT（網絡地址變換）可以安裝在堡壘主機上，從而避免在內部網絡上重新編址或重新劃分子網。 共八十六頁堡壘(boli)主機（ Bastion Host）在防火墻體系中，堡壘主機位于內部網絡的最外層，是網絡上最容易受到非法入侵的設備因此必須要致力于堡壘主機的安全，而且在運行期間對堡壘主機的安全給予特別的注意。構建堡壘主機的要點如下：1、選擇合適的操作系統，關閉不需要的服務和功能；2、確定堡壘主機的安裝位置，最好處于一個(y )獨立的網絡中，如DMZ；3、確定堡壘主機提供的服務；4、保護堡壘主機產生的系統日志；5、監測和備份堡壘主機的數

41、據。共八十六頁四、防火墻的發展趨勢1、目前防火墻在安全性、效率和功能方面的矛盾還是比較突出，未來要求是高安全性和高效率，使用專門(zhunmn)的芯片負責訪問控制功能、設計新的防火墻技術架構；2、數據加密技術的使用，使合法訪問更安全；3、混合使用包過濾技術、代理服務器技術和其他一些新技術；4、分布式防火墻；5、對數據包的全方位的檢查。共八十六頁五、網絡安全的新技術(jsh)UTM隨著網絡的日益發展和繁多的應用軟件的不斷更新，使得“復雜性”已成為企業IT管理部門工作的代名詞。如今流行的傳統安全產品是狀態檢測防火墻、入侵檢測系統和基于主機的防病毒軟件，但它們面對新一代安全威脅時卻有些力不從心：1、

42、從用戶角度來說，雖然安裝了防火墻，但是還避免不了蠕蟲泛濫(fnln)、垃圾郵件、病毒傳播以及拒絕服務的侵擾。 2、從入侵檢測單個產品來看，在提前預警方面存在著先天的不足，且精確定位和全局管理方面還有很大的空間。 3、雖然很多用戶在單機、終端都安裝了防病毒產品，但是內網的安全并不僅僅是防病毒的問題，還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。共八十六頁典型(dinxng)的網絡安全部署示意圖共八十六頁UTM定義(dngy)UTM：Unified Threat Management（統一威脅管理）IDC對UTM安全設備的定義是：由硬件、軟件和網絡技術組成的具有專門用途的設備，它

43、主要提供一項或多項安全功能。UTM 將多種安全特性集成于一個硬設備里，構成(guchng)一個標準的統一管理平臺這和單純地在防火墻中整合其它安全功能不同，因為UTM更注重的是“對設備和對威脅的管理”，它致力于將各種各樣的網絡安全威脅消彌于無形之中，以達到防患于未然的終極目標。共八十六頁UTM的功能(gngnng)UTM設備應該具備的基本功能包括：網絡防火墻、網絡入侵檢測和網關防病毒這幾項功能并不一定要同時都得到使用，但它們應該是UTM設備自身固有的功能。UTM安全設備也可能包括其它功能特性(txng)例如安全管理、日志、策略管理、服務質量（QoS）、負載均衡（LB）、高可用性（HA）和報告帶寬

44、管理等。共八十六頁UTM的功能(gngnng)（續）共八十六頁UTM的典型(dinxng)技術1、完全性內容保護（CCP） 完全性內容保護(Complete Content Protection, 簡稱CCP)提供對OSI網絡模型所有層次上的網絡威脅(wixi)的實時保護。這種方法比防火墻狀態檢測（檢查數據包頭）和深度包檢測（在狀態檢測包過濾基礎上提供額外檢查）等技術先進，它具備在千兆網絡環境中，實時將網絡層數據負載重組為應用層對象的能力，而且重組之后的應用層對象可以通過動態更新病毒和蠕蟲特征來進行掃描和分析。CCP還可探測其它各種威脅，包括不良Web內容、垃圾郵件、間諜軟件和網絡釣魚欺騙。共

45、八十六頁UTM的典型(dinxng)技術（續）2、ASIC 加速技術ASIC芯片是UTM產品的一個關鍵組成部分(z chn b fn)。它是為提供千兆級實時的應用層安全服務的平臺，它是專門為網絡骨干和邊界上高性能內容處理設計的體系結構所必不可少的。ASIC芯片集成了硬件掃描引擎、硬件加密和實時內容分析處理能力，提供防火墻、加密/解密，特征匹配和啟發式數據包掃描，以及流量整形的加速功能。共八十六頁UTM的典型(dinxng)技術（續）3、定制的操作系統(co zu x tn)（OS）專用的強化安全的OS提供精簡的、高性能防火墻和內容安全檢測平臺。基于內容處理加速模塊的硬件加速，加上智能排隊和管道管理，OS使各種類型流量的處理時間達到最小，從而給用戶提供最好的實時系統，有效實現防病毒、防火墻、VPN、反