計算機信息安全技術第六章防火墻技術目錄6.1防火墻概述6.2防火墻的分類6.3防火墻的體系結構6.4防火墻的部署6.5防火墻技術的發展趨勢6.6分布式防火墻技術6.1防火墻概述防火墻的定義防火墻是一種高級訪問控制設備，置于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域之間通信流的唯一通道，能根據用戶有關的安全策略控制進出網絡的訪問行為。圖6.1防火墻示意圖6.1防火墻概述防火墻的特性

內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻。只有符合安全策略的數據流才能通過防火墻。防火墻自身應具有非常強的抗攻擊免疫力。6.1防火墻概述防火墻的功能阻止易受攻擊的服務進入內部網集中安全管理對網絡存取和訪問進行監控審計檢測掃描計算機的企圖防范特洛伊木馬防病毒功能6.1防火墻概述防火墻的局限性一、入侵者可以偽造數據繞過防火墻或者找到防火墻中可能開啟的后門；二、防火墻不能防止來自網絡內部的襲擊；三、由于防火墻性能上的限制，通常它不具備實時監控入侵的能力；四、不能防御所有新的威脅，只能用來防備已知威脅，無法檢測和防御最新的拒絕服務攻擊（DOS）及蠕蟲病毒的攻擊。6.2防火墻的分類防火墻的發展簡史

第一代防火墻(包過濾防火墻)第二、三代防火墻（代理型防火墻）第四代防火墻（動態包過濾防火墻）第五代防火墻（自適應代理防火墻）一體化安全網關UTM

防火墻技術的簡單發展歷史6.2防火墻的分類按軟硬件形式分類軟件防火墻硬件防火墻芯片級防火墻6.2防火墻的分類按防火墻技術分類包過濾（Packetfiltering）型

包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層；根據數據包頭源地址，目的地址、端口號和協議類型等標志確定是否允許通過;只有滿足過濾條件的數據包才被轉發到相應的目的地，其余數據包則被從數據流中丟棄。包過濾技術出現了兩種不同版本，稱為“第一代靜態包過濾”和“第二代動態包過濾”。6.2防火墻的分類第一代靜態包過濾類型防火墻：

根據定義好的過濾規則審查每個數據包，以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。圖6.3第一代靜態包過濾防火墻工作層次結構優點：

速度快、效率高，對流量的管理較出色；由于所有的通信必須通過防火墻，所以想繞過防火墻是困難的；同時對用戶和應用是透明的。缺點：

允許外部網絡直接連接到內部網絡主機，網絡邊界的端口是靜態、持續地打開；

只要數據包符合ACL規則都可以通過，無法區分數據包的真實意圖。

不能為掛起的通信維持一個記錄，無法識別UDP數據包和ICMP包的狀態，所以必須根據數據包的格式來判斷該數據包是否屬于先前所允許的對話，可能導致基于IP源地址欺騙的網絡攻擊。

不支持用戶身份認證，不提供日志功能，雖然可以過濾端口，但是不能過濾服務。2023/2/3116.2防火墻的分類第二代動態包過濾類型防火墻：采用動態設置包過濾規則的方法，避免了靜態包過濾所具有的問題。這種技術后來發展成為包狀態監測（StatefulInspection）技術。圖6.4第二代動態包過濾防火墻工作層次結構優點：

檢查的層面能夠從網絡層至應用層；

具有詳細記錄通過的每個包的信息的能力。缺點：

記錄、測試和分析工作可能會造成網絡連接的某種遲滯，尤其是在同時有許多連接激活的時候，或者有大量過濾網絡通信的規則存在的時候。2023/2/3136.2防火墻的分類包過濾防火墻優點：不用改動客戶機和主機上的應用程序包過濾防火墻缺點：過濾判別的依據只是網絡層和傳輸層的有限信息，不能滿足各種安全需求；過濾器中規則數目有限，隨著規則數目增大，性能會受到很大影響；不能有效過濾如UDP、RPC一類的協議；大多數過濾器中缺少審計和報警機制，只能依據包頭信息，不能對用戶身份進行驗證，容易受到“地址欺騙型”攻擊2023/2/315防火墻安全規則通常情況下，網絡管理員在防火墻設備的訪問控制列表ACL（AccessControlList）中設定包過濾規則，以此來表明是否允許或者拒絕數據包通過。包過濾防火墻檢查數據流中每個數據包的報頭信息，例如源地址、目標地址、協議類型、協議標志、服務類型等，并與過濾規則進行匹配，從而在內外網絡之間實施訪問控制功能.包過濾防火墻的安全規則防火墻規則設置中所涉及的動作主要有以下幾種：允許:允許數據包通過防火墻傳輸，并按照路由表中的信息被轉發。放棄:不允許數據包通過防火墻傳輸，但僅丟棄，不發任何相應數據包。拒絕:不允許數據包通過防火墻傳輸，并向數據包的源端發送目的主機不可達的ICMP數據包。返回:沒有發現匹配的規則，執行默認動作。

默認拒絕，即只允許指定允許的數據包，其他一切皆禁止，體現封閉性；

默認許可，即只禁止指定禁止的數據包，體現開放性。所有的防火墻都是在以下兩種模式下配置安全規則：“白名單”模式系統默認為拒絕所有的流量，白名單上的規則是具有合法性訪問的安全規則，這種模式是一種封閉的默認管理模式。“黑名單”模式系統默認為允許所有的流量，黑名單上定義的安全規則屬于非法的、被禁止的網絡訪問，這種模式是一種開放的默認管理模式。包過濾防火墻一般有兩類過濾規則的設置方法

1.按地址過濾用于拒絕偽造的數據包。若想阻止偽造源地址的數據包進入內部網。

規則號方向源地址目的地址動作n入內部任意拒絕2.按服務類型過濾即是按數據包的服務端口號來過濾。在TCP協議中，協議是雙向的，以Telnet為例，其IP包的交換也是雙向的。2023/2/320規則號方向協議源地址目的地址源端口目端口動作1出TCP內部任意23>1023允許2入TCP任意內部>102323允許6.2防火墻的分類應用代理（ApplicationProxy）型由于包過濾技術無法提供完善的數據保護措施，而且一些特殊的報文攻擊僅僅使用過濾的方法并不能消除危害（如SYN攻擊、ICMP洪水等），因此人們需要一種更全面的防火墻保護技術。應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。在代理型防火墻技術的發展過程中，它也經歷了兩個不同的版本：第一代應用網關型代理防火墻和第二代自適應代理防火墻。

代理服務（ProxyService）是指運行于內部網絡與外網之間的主機(堡壘主機)上的一種應用。

當用戶需要訪問代理服務器另一側主機時，代理服務器對于符合安全規則的連接，會代替主機響應訪問請求，并重新向主機發出一個相同的請求。

當此連接請求得到回應并建立起連接之后，內部主機同外部主機之間的通信將通過代理程序的相應連接映射來實現。代理既是客戶端（Client），也是服務器端（Server）。6.2防火墻的分類圖6.5代理型防火墻結構示意圖6.2防火墻的分類第一代應用網關（ApplicationGateway）型防火墻：通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用。圖6.6第一代應用網關防火墻工作層次結構6.2防火墻的分類第二代自適應代理（Adaptiveproxy）型防火墻：結合代理類型防火墻的安全性和包過濾防火墻的高速度等優點，在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。基本要素：自適應代理服務器（AdaptiveProxyServer）與動態包過濾器（DynamicPacketfilter）。圖6.7第二代自適應代理防火墻工作層次結構初始的安全檢查仍在應用層中進行，保證實現傳統防火墻的最大安全性。而一旦可信任身份得到認證，建立了安全通道，隨后的數據包就可以重新定向到網絡層。6.2防火墻的分類按防火墻結構分類單一主機防火墻路由器集成式防火墻分布式防火墻按防火墻的應用部署分類邊界防火墻個人防火墻混合防火墻按防火墻性能分類百兆級防火墻千兆級防火墻6.3防火墻的體系結構堡壘主機體系結構堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網之上，作為進入內部網絡的一個檢查點（checkpoint），以達到把整個網絡的安全問題集中在某個主機上解決。設計和建立堡壘主機的基本原則有二條：1、最簡化原則。堡壘主機越簡單，對它進行保護就越方便。2、預防原則。只有充分對最壞的情況加以準備，并設計好對策，才可有備無患。6.3防火墻的體系結構雙宿主主機體系結構雙宿主主機的防火墻系統由一臺裝有兩張網卡的堡壘主機構成。兩張網卡分別與外部網以及內部受保護網相連。圖6.8雙宿主主機防火墻結構示意圖（1）兩個端口之間不能直接進行IP數據包的轉發。（2）防火墻內部的系統可以與雙宿主主機進行通信，同時防火墻外部的系統也可以與雙宿主主機進行通信，但二者之間不能直接進行通信。（3）雙宿主主機的防火墻體系結構相對簡單，雙宿主主機位于外部網和內部網之間，起到隔離和安全訪問控制的作用。6.3防火墻的體系結構雙宿主主機的實現方案：應用層數據共享，用戶直接登錄到雙宿主主機圖6.9雙宿主主機結構防火墻（應用層數據共享）6.3防火墻的體系結構應用層代理服務，在雙宿主機上運行代理服務器圖6.10雙宿主主機結構防火墻（應用層代理服務）（1）屏蔽主機結構中提供安全保護的主機僅僅與內部網相連。此外還有一臺單獨的包過濾路由器，它的作用是避免用戶直接與內部網絡相連。（2）過濾路由器按如下規則過濾數據包：任何外部網的主機都只能與內部網的堡壘主機建立連接，甚至只有提供某些類型服務的外部網的主機才被允許與堡壘主機建立連接。（3）任何外部系統對內部網絡的操作都必須經過堡壘主機，同時堡壘主機本身具有較全面的安全維護。（4）在一臺路由器上施加安全保護，比在一臺主機上施加保護更便于管理，具有可操作性。（5）只要黑客設法通過了堡壘主機，那么整個內部網與堡壘主機之間就不再有任何阻礙；同樣，路由器的保護也存在相同的缺陷，若黑客闖過路由器，那么整個內部網便會完全暴露。6.3防火墻的體系結構屏蔽主機體系結構6.3防火墻的體系結構圖6.12屏蔽主機防火墻轉發數據包的過程6.3防火墻的體系結構屏蔽子網體系結構

屏蔽子網結構就是在屏蔽主機結構中再增加一層邊界網絡（DMZ）的安全機制，使得內部網與外部網之間有二層隔斷。圖6.13屏蔽子網防火墻結構示意圖在屏蔽子網結構中，有二臺與邊界網絡直接相連的過濾路由器，一臺位于邊界網絡與外部網之間，我們稱之為外部路由器；另一臺位于邊界網絡與內部網絡之間，我們稱之為內部路由器；屏蔽子網結構解決了雙宿主主機和屏蔽主機兩種結構的不足，是一種具有較完整體系結構，并且常用的防火墻構建方案。6.3防火墻的體系結構防火墻的結構組合策略

多堡壘主機合并內、外部路由器合并堡壘主機與外部路由器合并堡壘主機與內部路由器6.4防火墻的部署（自學）防火墻的設計原則

保持設計的簡單性安排事故計劃防火墻的選購原則第一要素：防火墻的基本功能第二要素：企業的特殊要求第三要素：與用戶網絡結合6.4防火墻的部署（自學）常見防火墻產品CheckpointFirewall-1Sonicwall系列防火墻NetScreenFirewallAlkatelInternetDevices系列防火墻北京天融信公司網絡衛士防火墻NAIGauntlet防火墻6.5防火墻技術的發展趨勢（自學）防火墻包過濾技術發展趨勢身份認證技術多級過濾技術病毒防護技術防火墻的體系結構發展趨勢防火墻的系統管理發展趨勢

首先是集中式管理，分布式和分層的安全結構是將來的趨勢。強大的審計功能和自動日志分析功能。網絡安全產品的系統化。分布式防火墻體系結構包含如下部分：網絡防火墻(NetworkFirewall)

用于內部網與外部網之間，以及內部網各子網之間的防護。與傳統邊界防火墻相比，網絡防火墻增加了一種針對內部子網之間的安全防護層，這樣整個網絡的安全防護體系就顯得更加全面，更加可靠。主機防火墻(HostFirewall)

作用在同一內部子網之間的工作站與服務器之間，確保內部網絡服務器的安全。因此，防火墻的作用不僅用于內部網與外部網之間的防護，還可應用于內部網各子網之間、同一內部子網工作站與服務器之間的防護。中心管理(CentralManagement)

這是防火墻服務器管理軟件，負責總體安全策略的策劃、管理、分發及日志匯