廣州大學1第9章防火墻與入侵防護系統9.1防火墻的必要性9.2防火墻特征9.3防火墻類型9.4防火墻的布置9.5防火墻的部署和配置9.6入侵防護系統9.7一個例子：一體化威脅管理產品廣州大學29.1防火墻的必要性Internet的安全風險紛繁復雜的Internet網絡復雜用戶層次復雜情況瞬息變化企業網絡出于商業目的向公眾開放TCP/IP協議的自身弱點攻擊工具非常容易取得安全教育嚴重不足Internet上沒有人能免于攻擊政府企業個人防火墻的定義

從廣泛、宏觀的意義上說，防火墻是隔離在內部網絡與外部網絡之間的一個防御系統。

AT&T的工程師WilliamCheswick和StevenBellovin給出了防火墻的明確定義，他們認為防火墻是位于兩個網絡之間的一組構件或一個系統，具有以下屬性：防火墻是不同網絡或者安全域之間信息流的唯一通道，所有雙向數據流必須經過防火墻。只有經過授權的合法數據，即防火墻安全策略允許的數據才可以通過防火墻。防火墻系統應該具有很高的抗攻擊能力，其自身可以不受各種攻擊的影響。簡而言之，防火墻是位于兩個(或多個)網絡間，實施訪問控制策略的一個或一組組件集合。

廣州大學69.1防火墻的必要性防火墻構筑了一道安全邊界隔離了內部系統與外部網絡廣州大學79.2防火墻特征防火墻(Firewall)防火墻的基本設計目標對于一個網絡來說，所有通過“內部”和“外部”的網絡流量都要經過防火墻通過一些安全策略，來保證只有經過授權的流量才可以通過防火墻防火墻本身必須建立在安全操作系統的基礎上防火墻的控制能力服務控制，確定哪些服務可以被訪問方向控制，對于特定的服務，可以確定允許哪個方向能夠通過防火墻用戶控制，根據用戶來控制對服務的訪問行為控制，控制一個特定的服務的行為防火墻能為我們做什么強化網絡安全策略，提供集成功能

創建阻塞點12實現網絡隔離

3審計和記錄內部網絡與外部網絡之間的活動

4自身具有非常強的抵御攻擊的能力

5防火墻能為我們做什么創建阻塞點1

根據美國國家安全局制定的《信息保障技術框架》，防火墻適用于網絡系統的邊界（networkboundary），屬于用戶內部網絡邊界安全保護設備。所謂網絡邊界就是采用不同安全策略的兩個網絡連接位置。防火墻就是在網絡的外邊界或周邊，在內部網絡和外部網絡之間建立的唯一一個安全控制檢查點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。從而實現防止非法用戶進入內部網絡，禁止存在安全脆弱性的服務進出網絡，并抵抗來自各種路線的攻擊，進而提高被保護網絡的安全性，降低風險。這樣一個檢查點被稱為阻塞點。這是防火墻所處網絡位置特性，同時也是一個前提。如果沒有這樣一個供監視和控制信息的點，系統管理員要在大量的地方來進行監測。在某些文獻里，防火墻又被稱為內部網絡與外部網絡之間的單聯系點。需要注意的是，雖然存在著許多的多接入點網絡，但是每個出口也都要有防火墻設備，因此從邏輯上看，防火墻還是內部網絡與外部網絡之間的唯一聯系點。防火墻能為我們做什么強化網絡安全策略，提供集成功能

2

防火墻設備所處的位置，正好為系統提供了一個多種安全技術的集成支撐平臺。通過相應的配置，可以將多種安全軟件，譬如口令檢查、加密、身份認證、審計等，集中部署在防火墻上。與分散部署方案相比，防火墻的集中安全管理更經濟、更加有效，簡化了系統管理人員的操作，從而強化了網絡安全策略的實行。防火墻能為我們做什么實現網絡隔離

3

防火墻將網絡劃分成內部網絡和外部網絡兩個不同的部分，因此網絡隔離就成為防火墻的基本功能。防火墻通過將內部網絡和外部網絡相互隔離來確保內部網絡的安全，同時限制局部重點或敏感網絡安全問題對全局網絡造成的影響，降低外部網絡對內部網絡一些統計數據的探測能力。限制來自外部網絡的訪問防火墻基礎功能之一就是限制信息包進入網絡。防火墻針對每一個進入內部網絡的企圖都要根據依照安全策略制訂的規則進行過濾，即授權檢查。如果該行為屬于系統許可的行為則予以放行，否則將拒絕該連接企圖。防火墻的這種功能實現了對系統資源的保護，防止了針對機密信息的泄漏、盜竊和破壞性為。限制網絡內部未經授權的訪問傳統防火墻難于覺察內部的攻擊和破壞行為。現代防火墻則加強了對內部訪問數據的監控，主要表現就是一切都嚴格依照預先制訂的系統整體安全策略，限制內部網絡未經授權的訪問。防火墻能為我們做什么審計和記錄內部網絡與外部網絡之間的活動

4

由于防火墻處在內部網絡和外部網絡相連接的阻塞點，所以它可以對所有涉及內部網絡和外部網絡存取與訪問的行為進行監控。當防火墻發現可疑的行為時，可以進行及時的報警，并提供網絡是否受到破壞以及攻擊的詳細信息。對于內部用戶的誤操作防火墻也將進行嚴格的監控，預防內部用戶的破壞行為。此外，防火墻還能進行網絡使用情況的統計操做。以上提及的防火墻的操作和數據都將被詳細地記錄到日志文件（logfile）中并提交給網絡管理員進行分析和審計。防火墻的日志文件既記錄正常的網絡訪問行為又記錄非正常的網絡行為。對日志文件的分析和審計可以使管理員清楚地了解防火墻的安全保護能力和運行情況；優化防火墻，使其更加有效地工作；準確地識別入侵者并采取行之有效的措施；及時地對非法行為及其造成的后果做出反應；為網絡的優化和建設提供必要的數據支撐。管理員需要關注的問題不是網絡是否會受到攻擊，而是網絡何時會受到攻擊。因此要求管理員要及時地響應報警信息并經常性地審查防火墻日志記錄。防火墻能為我們做什么自身具有非常強的抵御攻擊的能力

5

由于防火墻是一個關鍵點，所以其自身的安全性就顯得尤為重要。一旦防火墻失效，則內部網絡將完全曝光于外部入侵者的目光之下，網絡的安全將受到嚴重的威脅！一般來說，防火墻是一臺安裝了安全操作系統且服務受限的堡壘主機。即防火墻自身的操作系統符合相應的軟件安全級別；除了必要的功能外，防火墻不開設任何多余的端口。這些措施在相當程度上增強了防火墻抵御攻擊的能力，但這種安全性也只是相對的。防火墻本身的一些局限性對于繞過防火墻的攻擊，它無能為力，例如，在防火墻內部通過撥號出去防火墻不能防止內部的攻擊，以及內部人員與外部人員的聯合攻擊(比如，通過tunnel進入)防火墻不能防止被病毒感染的程序或者文件、郵件等防火墻的性能要求9.3

防火墻的類型包過濾路由器狀態檢測防火墻應用層網關電路級網關包過濾路由器基本的思想很簡單對于每個進來的包，適用一組規則，然后決定轉發或者丟棄該包往往配置成雙向的如何過濾過濾的規則以IP和傳輸層的頭中的域(字段)為基礎，包括源和目標IP地址、IP協議域、源和目標端口號過濾器往往建立一組規則，根據IP包是否匹配規則中指定的條件來作出決定。如果匹配到一條規則，則根據此規則決定轉發或者丟棄如果所有規則都不匹配，則根據缺省策略數據包的過濾過濾的原理數據傳輸的分層與報頭的結構物理鏈路層--Networkaccesslayer以太網，FDDI，ATM網絡層--InternetlayerIP傳輸層--TransportLayerTCPorUDP應用層--ApplicationLayerFTP,Telnet,HTTP防火墻的過濾原理數據包的過濾ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalFirewallApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkTransport物理層數據報頭的結構物理報頭：以太網，FDDI，ATM等IP報頭結構TCP數據報頭過濾對象針對IP協議的修改

針對IP協議的過濾操作將查看每個IP數據包的包頭，將包頭數據與規則集相比較，轉發規則集允許的數據包，拒絕規則集不允許的數據包。針對IP協議的過濾操作可以設定對源IP地址進行過濾。對于包過濾技術來說，有效的辦法是只允許受信任的主機訪問網絡資源而拒絕一切不可信的主機的訪問。針對IP協議的過濾操作也可以設定對目的IP地址進行過濾。這種安全過濾規則的設定多用于保護目的主機或網絡。過濾對象針對ICMP協議的過濾

2ICMP協議在完成網絡控制與管理操作的同時也會泄漏網絡中的一些重要信息，甚至被攻擊者利用做攻擊用戶網絡的武器：要設定過濾安全策略，阻止類型8回送請求ICMP協議報文進出用戶網絡。防止內網拓撲結構信息泄露。很多攻擊者會將大量類型8的ICMP協議報文發往用戶網絡，使得目標主機疲于接收處理這些垃圾數據而不能提供正常的服務，最終造成目標主機的崩潰。攻擊者可利用類型5路由重定向ICMP協議報文，采用中間人（maninthemiddle）攻擊的辦法，偽裝成預期的接收者截獲或篡改正常的數據包，也可以將數據包導向受其控制的未知網絡。攻擊者可利用類型3目的不可達ICMP協議報文探知用戶網絡的敏感信息。對于ICMP報文包過濾器要精心地進行設置，拒絕所有可能會被攻擊者利用、對網絡進行破壞的ICMP數據包。過濾對象針對TCP協議的過濾

針對TCP協議的過濾可設定對源或目的端口的過濾，又稱端口過濾、協議過濾。只要針對服務使用的知名端口號進行規則的設置，就可以實現對特定服務的控制。另一種針對TCP協議的過濾是對標志位過濾。最常用的就是針對SYN和ACK的過濾。在TCP協議的連接建立過程中，報文頭部的一些標志位的變化是需要注意的：當連接發起者發出連接請求時，請求報文SYN位為1而包括ACK位在內的其它標志位為0。該報文攜帶發起者自行選擇的一個通信初始序號。若接收者接受該請求，則返回連接應答報文。該報文的SYN位和ACK位為1。該報文不但攜帶對發起者通信初始序號的確認（加1），而且攜帶接收者自行選擇的另一個通信初始序號。若接收者拒絕該請求，則返回報文RST位要置1。連接發起者還需要對接收者自行選擇的通信初始序號進行確認，返回該值加1作為希望接收的下一個報文的序號。同時ACK位置1。除了在連接請求的過程中，其它時候SYN位始終為0。結合三次握手的過程，只要通過對SYN=1的報文進行操作，就可實現對連接會話的控制——拒絕這類報文，就相當于阻斷了通信連接的建立。這就是利用TCP協議標志位進行過濾規則設定的基本原理。過濾對象針對TCP協議的過濾

針對IP協議的過濾操作還要注意IP數據包的分片問題。攻擊者可以利用分片技術構造特殊的數據包對網絡展開攻擊。例如Tinyfragment攻擊是指通過惡意操作，發送極小的分片來繞過包過濾系統或者入侵檢測系統的一種攻擊手段。

攻擊者通過惡意操作，可將TCP報頭(通常為20字節)分布在2個分片中，這樣一來，目的端口號可以包含在第二個分片中。

對于包過濾設備或者入侵檢測系統來說，首先通過判斷目的端口號來采取允許/禁止措施。但是由于通過惡意分片使目的端口號位于第二個分片中，因此包過濾設備通過判斷第一個分片,決定后續的分片是否允許通過。但是這些分片在目標主機上進行重組之后將形成各種攻擊。通過這種方法可以迂回一些入侵檢測系統及一些安全過濾系統。目前一些智能的包過濾設備直接丟掉報頭中未包含端口信息的分片。

過濾對象針對UDP協議的過濾

UDP協議與TCP協議有很大的不同，因為它們采用的是不同的服務策略。TCP協議是面向連接的，相鄰報文之間具有著明顯的關系，數據流內部也具有較強的相關性，因此過濾規則的制定比較容易；而UDP協議是基于無連接的服務的，一個UDP用戶數據報報文中攜帶了到達目的地所需的全部信息，不需要返回任何的確認，報文之間的關系很難確定，因此很難制定相應的過濾規則。究其根本原因是因為靜態包過濾技術只針對包本身進行操作而不記錄通信過程的上下文，也就無法從獨立的UDP用戶數據報中得到必要的信息。對于UDP協議，只能是要么阻塞某個端口，要么聽之任之。多數人傾向于前一種方案，除非有很大的壓力要求允許進行UDP傳輸。其實有效的解決辦法是采用動態包過濾技術/狀態檢測技術。安全缺省策略兩種基本策略，或缺省策略沒有被拒絕的流量都可以通過管理員必須針對每一種新出現的攻擊，制定新的規則沒有被允許的流量都要拒絕比較保守根據需要，逐漸開放包過濾路由器示意圖網絡層鏈路層物理層外部網絡內部網絡包過濾防火墻在網絡層上進行監測并沒有考慮連接狀態信息通常在路由器上實現實際上是一種網絡的訪問控制機制優點：實現簡單對用戶透明效率高缺點：正確制定規則并不容易不可能引入認證機制包過濾防火墻的設置(1)從內往外的telnet服務clientserver外部內部往外包的特性(用戶操作信息)IP源是內部地址目標地址為serverTCP協議，目標端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1往內包的特性(顯示信息)IP源是server目標地址為內部地址TCP協議，源端口23目標端口>1023所有往內的包都是ACK=1包過濾防火墻的設置(2)從外往內的telnet服務clientserver內部外部往內包的特性(用戶操作信息)IP源是外部地址目標地址為本地serverTCP協議，目標端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1往外包的特性(顯示信息)IP源是本地server目標地址為外部地址TCP協議，源端口23目標端口>1023所有往內的包都是ACK=1針對telnet服務的防火墻規則*:第一個ACK=0,其他=1服務方向包方向源地址目標地址包類型源端口目標端口ACK往外外內部外部TCP>102323*往外內外部內部TCP23>10231往內外外部內部TCP>102323*往內內內部外部TCP23>10231PacketFilterRules針對包過濾防火墻的攻擊IP地址欺騙，例如，假冒內部的IP地址對策：在外部接口上禁止內部地址源路由攻擊，即由源指定路由對策：禁止這樣的選項小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中對策：丟棄分片太小的分片利用復雜協議和管理員的配置失誤進入防火墻例如，利用ftp協議對內部進行探查包過濾技術的優點

包過濾技術實現簡單、快速。經典的解決方案只需要在內部網絡與外部網絡之間的路由器上安裝過濾模塊即可。包過濾技術的實現對用戶是透明的。用戶無需改變自己的網絡訪問行為模式，也不需要在主機上安裝任何的客戶端軟件，更不用進行任何的培訓。包過濾技術的檢查規則相對簡單，因此檢查操作耗時極短，執行效率非常高，不會給用戶網絡的性能帶來不利的影響。包過濾技術存在的問題

包過濾技術過濾思想簡單，對信息的處理能力有限。只能訪問包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網絡防護能力。當過濾規則增多的時候，對于過濾規則的維護是一個非常困難的問題。不但要考慮過濾規則是否能夠完成安全過濾任務，還要考慮規則之間的關系防止沖突的發生。尤其是后一個問題是非常難于解決的。包過濾技術控制層次較低，不能實現用戶級控制。特別是不能實現對用戶合法身份的認證以及對冒用的IP地址的確定。包過濾技術存在的問題

包過濾技術過濾思想簡單，對信息的處理能力有限。只能訪問包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網絡防護能力。包過濾技術存在的問題黑客可以利用第二條規則的漏洞，在WWW服務器上偽造源端口為80的IP包，根據規則2，防火墻將不對來自www服務器，源端口為80，目的端口是任意的IP包作檢查，這樣黑客的惡意數據包就可以穿越防火墻到達內部主機客戶端。在這種情況下，黑客可以通過WWW服務器來訪問客戶端上任意的Internet服務。規則1permit5protocoltcpportanytoport80規則2permit25.20.l77.5protocoltcpport80tol92.l68.26.55portany5WWW服務器狀態檢測防火墻reviewspacketheaderinformationbutalsokeepsinfoonTCPconnectionstypicallyhavelow,“known”portnoforserverandhigh,dynamicallyassignedclientportnosimplepacketfiltermustallowallreturnhighportnumberedpacketsbackinstatefulinspectionpacketfirewalltightensrulesforTCPtrafficusingadirectoryofTCPconnectionsonlyallowincomingtraffictohigh-numberedportsforpacketsmatchinganentryinthisdirectorymayalsotrackTCPseqnumbersaswell狀態檢測技術2

狀態的概念1狀態檢測技術基本原理4

狀態檢測技術的優缺點3

深度狀態檢測本書的封面狀態檢測技術基本原理

狀態檢測技術根據連接的“狀態”進行檢查。當一個連接的初始數據報文到達執行狀態檢測的防火墻時，首先要檢查該報文是否符合安全過濾規則的規定。如果該報文與規定相符合，則將該連接的信息記錄下來并自動添加一條允許該連接通過的過濾規則，然后向目的地轉發該報文。以后凡是屬于該連接的數據防火墻一律予以放行，包括從內向外的和從外向內的雙向數據流。在通信結束、釋放該連接以后，防火墻將自動地刪除關于該連接的過濾規則。動態過濾規則存儲在連接狀態表中并由防火墻維護。為了更好地為用戶提供網絡服務以及更精確地執行安全過濾，狀態檢測技術往往需要察看網絡層和應用層的信息，但主要還是在傳輸層上工作。狀態的概念TCP協議及狀態

1UDP協議及狀態

2ICMP協議及狀態

3狀態的概念TCP協議及狀態

1TCP協議是一個面向連接的協議，對于通信過程各個階段的狀態都有很明確的定義，并可以通過TCP協議的標志位進行跟蹤。

TCP協議共有11個狀態，這些狀態標識由RFC793定義，分別為：CLOSED、LISTEN、SYN-SENT、SYN-RECEIVED、ESTABLISHED、FIN-WAIT-1、CLOSE-WAIT、FIN-WAIT-2、LAST-ACK、TIME-WAIT、CLOSING。以上述狀態為基礎，結合相應的標志位信息，再加上通信雙方的IP地址和端口號，即可很容易地建立TCP協議的狀態連接表項并進行精確地跟蹤監控。當TCP連接結束后，應從狀態連接表中刪除相關表項。為了防止無效表項長期存在于連接狀態表中給攻擊者提供進行重放攻擊的機會，可以將連接建立階段的超時參數設置得較短，而連接維持階段的超時參數設置得較長。最后連接釋放階段的超時參數也要設置得較短。狀態的概念TCP協議及狀態

1狀態的概念狀態檢測的流程1

首先需要建立好規則，通常此時規則需要指明網絡連接的方向，即是進還是出，然后在客戶端打開IE向某個網站請求WEB頁面，當數據包到達防火墻時，狀態檢測引擎會檢測到這是一個發起連接的初始數據包(由SYN標志)，然后就會把這個數據包中的信息與防火墻規則做比較，如果沒有相應規則允許，防火墻就會拒絕這次連接。當然在這里它會發現有一條規則允許訪問外部WEB服務，于是允許數據包外出并且在狀態表中新建一條會話，通常這條會話會包括此連接的源地址、源端口、目標地址、目標端口、連接時間等信息，對于TCP連接，它還應該會包含序列號和標志位等信息。當后續數據包到達時，如果這個數據包不含SYN標志，也就是說這個數據包不是發起一個新的連接時，狀態檢測引擎就會直接把它的信息與狀態表中的會話條目進行比較，如果信息匹配，就直接允許數據包通過，這樣不再去接受規則的檢查，提高了效率，如果信息不匹配，數據包就會被丟棄或連接被拒絕，并且每個會話還有一個超時值，過了這個時間，相應會話條目就會被從狀態表中刪除掉。狀態檢測的流程2500100036:80:3000TCPACKSYN目的地址源地址協議內部網絡4匹配ACL和會話狀態會話狀態主機B36Internet32狀態檢查訪問控制列表原理圖11、當一個內部主機與一個外部主機建立連接時，首先發送一個TCPSYN包或UDP數據包，包含目的IP、端口號，源IP和端口號2、當內部主機發送的數據包通過狀態檢查包過濾防火墻時，防火墻將在他的狀態表中建立一條狀態信息規則，然后將數據包發送到外部網絡上3、外部主機返回請求響應時，防火墻從狀態表中查找是否存在相應規則4、如果尋找到匹配的狀態信息，就讓該數據包通過，否則數據包被放棄，因為它不是內部的請求當會話關閉或一段延遲后，防火墻就將相應的狀態信息規則從狀態表中刪除，保證了放棄的連接不會在狀態表中留下漏洞TCP狀態檢測

所謂Tinyfragment攻擊是指通過惡意操作，發送極小的分片來繞過包過濾系統或者入侵檢測系統的一種攻擊手段。

。攻擊者通過惡意操作，可將TCP報頭(通常為20字節)分布在2個分片中，這樣一來，目的端口號可以包含在第二個分片中。對于包過濾設備或者入侵檢測系統來說，首先通過判斷目的端口號來采取允許/禁止措施。但是由于通過惡意分片使目的端口號位于第二個分片中，因此包過濾設備通過判斷第一個分片,決定后續的分片是否允許通過。但是這些分片在目標主機上進行重組之后將形成各種攻擊。通過這種方法可以迂回一些入侵檢測系統及一些安全過濾系統。目前一些智能的包過濾設備直接丟掉報頭中未包含端口信息的分片。TCP協議及狀態

1狀態的概念UDP協議及狀態

2UDP協議與TCP協議有很大的不同，它是一種無連接的協議，其狀態很難進行定義和跟蹤。通常的做法是將某個基于UDP協議的會話的所有數據報文看作是一條UDP連接，并在這個連接的基礎之上定義該會話的偽狀態信息。偽狀態信息主要由源IP地址、目的IP地址、源端口號以及目的端口號構成。雙向的數據流源信息和目的信息正好相反。由于UDP協議是無連接的，所以無法定義連接的結束狀態，只能是設定一個不長的超時參數，在超時到來的時候從狀態連接表中刪除該UDP連接信息。此外，UDP協議對于通信中的錯誤無法進行處理，需要通過ICMP協議報文傳遞差錯控制信息。這就要求狀態檢測機制必須能夠從ICMP報文中提取通信地址和端口等信息來確定它與UDP連接的關聯性，判斷它到底屬于哪一個UDP連接，然后再采取相應的過濾措施。這種ICMP報文的狀態屬性通常被定義為RELATED。狀態的概念ICMP協議及狀態

3ICMP協議是無連接的協議，還具有單向性的特點。在ICMP協議的13種類型中，有4對類型的報文具有對稱的特性，即屬于請求/響應的形式。這4對類型的ICMP報文分別是回送請求/回送應答、信息請求/信息應答、時間戳請求/時間戳回復和地址掩碼請求/地址掩碼回復。其它類型的報文都不是對稱的，而是由主機或節點設備直接發出的，無法預先確定報文的發出時間和地點。因此，ICMP協議的狀態和連接的定義要比UDP協議更難。

ICMP協議的狀態和連接的建立、維護與刪除與UDP協議類似。但是在建立的過程中不是簡單地只通過IP地址來判別連接屬性。ICMP協議的狀態和連接需要考慮ICMP報文的類型和代碼字段的含義，甚至還要提取ICMP報文的內容來決定其到底與哪一個已有連接相關。其維護和刪除過程一是通過設定超時計時器來完成，二是按照部分類型的ICMP報文的對稱性來完成。當屬于同一連接的ICMP報文完成請求——應答過程后，即可將其從狀態連接表中刪除。

深度狀態檢測

深度狀態檢測技術能夠很好地實現對TCP協議的順序號進行檢測的功能，通過對TCP報文的順序號字段的跟蹤監測報文的變化，防止攻擊者利用已經處理的報文的順序號進行重放攻擊。對于FTP協議，深度狀態檢測機制可以深入到報文的應用層部分來獲取FTP協議的命令參數，從而進行狀態規則的配置。其中最主要的，FTP協議連接端口的選擇具有隨機的特點。深度狀態檢測機制可以分析應用層的命令數據，找出其中的端口號等信息，從而精確地決定打開哪些端口。與FTP協議類似的協議由很多，譬如RTSP、H.323等。深度狀態檢測機制都可以對它們的連接建立報文的應用層數據進行分析來決定相關的轉發端口等信息，因此具有部分的應用層信息過濾功能。狀態檢測技術的優缺點優點1缺點2狀態檢測技術的優缺點優點1

安全性比靜態包過濾技術高。狀態檢測機制可以區分連接的發起方與接收方；可以通過狀態分析阻斷更多的復雜攻擊行為；可以通過分析打開相應的端口而不是“一刀切”，要么全打開要么全不打開。與靜態包過濾技術相比，提升了防火墻的性能。狀態檢測機制對連接的初始報文進行詳細檢查，而對后續報文不需要進行相同的動作，只需快速通過即可。狀態檢測技術的優缺點缺點2

主要工作在網絡層和傳輸層，對報文的數據部分檢查很少，安全性還不夠高。檢查內容多，對防火墻的性能提出了更高的要求。全狀態檢測(StatefulInspection)ApplicationPresentationSessionTransportDataLinkPhysicalDataLinkPhysicalApplicationPresentationSessionTransportDataLinkPhysicalNetworkNetworkNetworkPresentationSessionTransportEngineINSPECTApplicationDynamicStateTables代理技術2

代理技術的具體作用1

代理技術概述4

代理技術的優缺點3

代理技術的種類本書的封面代理技術概述

代理代碼

2代理的執行1代理技術與包過濾技術的安全性比較4代理服務器的部署與實現

3代理技術的具體應用隱藏內部主機

1

代理服務器的作用之一隱藏內部網絡中的主機。由于有代理服務器的存在，所以外部主機無法直接連接到內部主機。它只能看到代理服務器，因此只能連接到代理服務器上。這種特性是十分重要的，因為外部用戶無法進行針對內部網絡的探測，也就無法對內部網絡上的主機發起攻擊。代理服務器在應用層對數據包進行更改，以自己的身份向目的地重新發出請求，徹底改變了數據包的訪問特性。代理技術概述代理的執行1

代理的執行分為兩種情況：一種情況是代理服務器監聽來自內部網絡的服務請求。當請求到達代理服務器時按照安全策略對數據包中的首部和數據部分信息進行檢查。通過檢查后，代理服務器將請求的源地址改成自己的地址再轉發到外部網絡的目標主機上。外部主機收到的請求將顯示為來自代理服務器而不是源內部主機。代理服務器在收到外部主機的應答時，首先要按照安全策略檢查包的首部和數據部分的內容是否符合安全要求。通過檢查后，代理服務器將數據包的目的地址改為內部源主機的IP地址，然后將應答數據轉發至該內部源主機。另外一種情況是內部主機只接收代理服務器轉發的信息而不接收任何外部地址主機發來的信息。這個時候外部主機只能將信息發送至代理服務器，由代理服務器轉發至內部網絡，相當于代理服務器對外部網絡執行代理操作。具體來說，所有發往內部網絡的數據包都要經過代理服務器的安全檢查，通過后將源IP地址改為代理服務器的IP地址，然后這些數據包才能被代理服務器轉發至內部網絡中的目標主機。代理服務器負責監控整個的通信過程以保證通信過程的安全性。代理技術概述代理代碼2

代理服務器的作用之一隱藏內部網絡中的主機。由于有代理服務器的存在，所以外部主機無法直接連接到內部主機。它只能看到代理服務器，因此只能連接到代理服務器上。這種特性是十分重要的，因為外部用戶無法進行針對內部網絡的探測，也就無法對內部網絡上的主機發起攻擊。代理服務器在應用層對數據包進行更改，以自己的身份向目的地重新發出請求，徹底改變了數據包的訪問特性。代理技術概述代理服務器的部署與實現

3

代理服務器通常安裝在堡壘主機或者雙宿主網關上。如果將代理服務器程序安裝在堡壘主機上，則可能采取不同的部署與實現結構。比如說采用屏蔽主機或者屏蔽子網方案，將堡壘主機置于過濾路由器之后。這樣堡壘主機還可以獲得過濾路由器提供的、額外的保護。缺點則是如果過濾路由器被攻陷，則數據將旁路安裝代理服務器程序的堡壘主機，即代理服務器將不起作用。代理技術概述代理技術與包過濾技術的安全性比較

4

相對于包過濾技術而言，代理技術能夠為用戶提供更高的安全等級：代理服務器不僅掃描數據包頭部的各個字段，還要深入到包的內部，理解數據包載荷部分內容的含義。這可為安全檢測和日志記錄提供詳細的信息。包過濾技術采用的是基于包頭信息的過濾機制，很難與代理技術相提并論。對于外網來說，只能見到代理服務器而不能看見內網；對于內網來說，也只能看見代理服務器而看不見外網。實現了網絡隔離，降低了用戶網絡受到直接攻擊的風險。而且對外網隱藏了內網的結構以及用戶，進一步降低了用戶網絡遭受探測的風險。而包過濾技術在網絡隔離和預防探測方面做的不是很好。包過濾技術通常由路由器實現。若過濾機制被破壞，則內網將毫無遮攔地直接與外網接觸。將不可避免地出現網絡攻擊和信息泄露的現象。而代理服務器要是損壞的話，只能是內網與外網的連接中斷，但無法出現網絡攻擊和信息泄漏的現象。從這個角度看，代理技術比包過濾技術安全。代理技術的具體應用過濾內容2隱藏內部主機

1保障安全

4提高系統性能

3保護電子郵件

6阻斷URL

5信息重定向

8身份認證

7代理技術的具體應用隱藏內部主機

1

代理服務器的作用之一隱藏內部網絡中的主機。由于有代理服務器的存在，所以外部主機無法直接連接到內部主機。它只能看到代理服務器，因此只能連接到代理服務器上。這種特性是十分重要的，因為外部用戶無法進行針對內部網絡的探測，也就無法對內部網絡上的主機發起攻擊。代理服務器在應用層對數據包進行更改，以自己的身份向目的地重新發出請求，徹底改變了數據包的訪問特性。代理技術的具體應用過濾內容2

在應用層進行檢查的另一個重要的作用是可以掃描數據包的內容。這些內容可能包含敏感的或者被嚴格禁止流出用戶網絡的信息，以及一些容易引起安全威脅的數據。后者包括不安全的Javaapplet小程序、ActiveX控件以及電子郵件中的附件等等。而這些內容是包過濾技術無法控制的。支持內容的掃描是代理技術與其它安全技術的一個重要區別。代理技術的具體應用提高系統性能

3

雖然從訪問控制的角度考慮，代理服務器因為執行了很細致的過濾功能而加大了網絡訪問的延遲。但是它身處網絡服務的最高層，可以綜合利用緩存等多種手段優化對網絡的訪問，由此還進一步減少了因為網絡訪問產生的系統負載。因此，精心配置的代理技術可以提高系統的整體性能。代理技術的具體應用保障安全

4

安全性的保障不僅僅指過濾功能的強大，還包括對過往數據日志的詳細分析和審計。這是因為從這些數據中能夠發現過濾功能難以發現的攻擊行為序列，可以及時地提醒管理人員采取必要的安全保護措施；還可以對網絡訪問量進行統計進而優化網絡訪問的規則，為用戶提供更好的服務。代理技術處于網絡協議的最高層，可以為日志的分析和審計提供最詳盡的信息，由此提高了網絡的安全性。代理技術的具體應用阻斷URL

5

在代理服務器上可以實現針對特定網址及其服務器的阻斷，以實現阻止內部用戶瀏覽不符合組織或機構安全策略的網站內容。代理技術的具體應用保護電子郵件

6

電子郵件系統是互聯網最重要的信息交互系統之一，但是它的開放性特點使得它非常脆弱，而且由于安全性較弱所以經常被攻擊者做為網絡攻擊的重要途徑。代理服務器可以實現對重要的內部郵件服務器的保護。通過郵件代理對郵件信息的重組與轉發，使得內部郵件服務器不與外部網絡發生直接的聯系，從而達到保護的目的。代理技術的具體應用身份認證

7

代理技術能夠實現包過濾技術無法實現的身份認證功能。將身份認證技術融合進安全過濾功能中能夠大幅度提高用戶的安全性。支持身份認證技術是現代防火墻的一個重要特征。具體的方式有傳統的用戶賬號/口令、基于密碼技術的挑戰/響應等等。代理技術的具體應用信息重定向

8

代理技術從本質上是一種信息的重定向技術。這是因為它可以根據用戶網絡的安全需要改變數據包的源或目的地址，將數據包導引到符合系統需要的地方去。這在基于HTTP協議的多WWW服務器應用領域中尤為重要。在這種環境下，代理服務器起到負載分配器和負載平衡器的作用。代理技術的種類應用層網關1電路級網關2代理技術的種類應用層網關1

應用層網關能夠在應用層截獲進出內部網絡的數據包，運行代理服務器程序來轉發信息。它能夠避免內部主機與外部不可信網絡之間的直接連接。它僅接收、過濾和轉發特定服務的數據包。對于那些沒有在應用層網關上安裝代理的服務來說，將無法進行網絡訪問。它對數據包進行深度過濾，檢查行為一直深入到網絡協議的應用層。它的缺點是對每一種服務都要開發一種專用的代理代碼，實現麻煩，不及時，而且缺乏透明性。其優點是配置簡單、安全性高、還能支持很多應用。下圖為應用層網關實現HTTP協議代理的示意圖：代理技術的種類電路級網關2

電路級網關工作在會話層。可作為服務器接收并轉發外部請求，與內部主機連接時則起代理客戶機的作用。它使用自己獨立的網絡協議棧完成TCP的連接而不使用操作系統的協議棧，因此可以監視主機建立連接時的各種數據是否合乎邏輯、會話請求是否合法。一旦連接建立，則只負責數據的轉發而不進行過濾。用戶需要改變自己的客戶端程序來建立與電路級網關的通信通道，只有這樣才能到達防火墻另一邊的服務器。下圖為電路級網關示意圖：應用層網關也稱為代理服務器特點所有的連接都通過防火墻，防火墻作為網關在應用層上實現可以監視包的內容可以實現基于用戶的認證所有的應用需要單獨實現可以提供理想的日志功能非常安全，但是開銷比較大應用層網關的結構示意圖應用層網關的協議棧結構HTTPFTPTelnetSmtp傳輸層網絡層鏈路層應用層網關的優缺點優點允許用戶“直接”訪問Internet易于記錄日志缺點新的服務不能及時地被代理每個被代理的服務都要求專門的代理軟件客戶軟件需要修改，重新編譯或者配置有些服務要求建立直接連接，無法使用代理比如聊天服務、或者即時消息服務代理服務不能避免協議本身的缺陷或者限制應用層網關實現編寫代理軟件代理軟件一方面是服務器軟件但是它所提供的服務可以是簡單的轉發功能另一方面也是客戶軟件對于外面真正的服務器來說，是客戶軟件針對每一個服務都需要編寫模塊或者單獨的程序實現一個標準的框架，以容納各種不同類型的服務軟件實現的可擴展性和可重用性客戶軟件軟件需要定制或者改寫對于最終用戶的透明性？協議對于應用層網關的處理協議設計時考慮到中間代理的存在，特別是在考慮安全性，比如數據完整性的時候應用層網關——代理服務器發展方向——智能代理不僅僅完成基本的代理訪問功能還可以實現其他的附加功能，比如對于內容的自適應剪裁增加計費功能提供數據緩沖服務兩個代理服務器的實現例子MSP–MicrosoftProxyServersquidMicrosoftProxyServer2.0一個功能強大的代理服務器提供常用的Internet服務除了基本的WebProxy，還有SocksProxy和WinsockProxy強大的cache和log功能對于軟硬件的要求比較低安裝管理簡單與NT/2000集成的認證機制擴展的一些功能反向proxy:proxy作為Internet上的一個Webserver反向hosting，以虛擬WebServer的方式為后面的WebServer獨立地發布到Internet上安全報警MicrosoftProxyServerv2管理示意圖squid關于squid是一個功能全面的WebProxyCache可以運行在各種UNIX版本上是一個自由軟件，而且源碼開放功能強大，除了http協議之外，還支持許多其它的協議，如ftp、ssl、DNS等代理服務管理和配置/usr/local/squid

/etc/squid.conf默認端口3128一種使用方案Linux+Squid電路級網關電路級網關本質上，也是一種代理服務器有狀態的包過濾器動態包過濾器狀態上下文環境流狀態認證和授權方案例子：sockssocks專門設計用于防火墻在應用層和傳輸層之間墊了一層Sockslib和socksserver不支持ICMPSocksv4和socksv5基于用戶的認證方案對UDP的支持正在普及和流行可以參考有關的RFCsocks應用傳輸層網絡層鏈路層clientSocksserverpolicyserverSocksv5在socksv4的基礎上發展起來Socksv4支持基于TCP的應用穿越防火墻Socksv5增加了對于UDP協議的支持Socksv5增加了對于認證方案的支持Socksv5支持IPv6地址Socks要求修改客戶程序，鏈接到sockslibrary，以便socksified首先連接到socksserver，然后再同目標服務器連接對于UDP協議，首先同socksserver建立一個TCP連接，然后再傳送UDP數據TCP客戶的處理過程客戶首先與socksserver建立一個TCP連接，通常SOCKS端口為1080然后客戶與服務器協商認證方案然后進行認證過程認證完成之后客戶發出請求服務器送回應答一旦服務器應答指示成功，客戶就可以傳送數據了UDP客戶的處理過程請求命令為“UDPassociate”客戶->UDPrelayserver->目標機器每一個UDP包包含一個UDP請求頭UDPpacket+-----+--------+-------+--------------+-------------+-----------+|RSV|FRAG|ATYP|DST.ADDR|DST.PORT|DATA|+-----+--------+-------+--------------+-------------+-----------+|2|1|1|Variable|2|Variable|+-----+--------+-------+--------------+-------------+-----------+FRAG:currentfragmentnumber電路層網關的優缺點優點效率高精細控制，可以在應用層上授權為一般的應用提供了一個框架缺點客戶程序需要修改動態鏈接庫？廣州大學929.4防火墻的布置防火墻的配置幾個概念堡壘主機(BastionHost)：對外部網絡暴露，同時也是內部網絡用戶的主要連接點雙宿主主機(dual-homedhost)：至少有兩個網絡接口的通用計算機系統DMZ(DemilitarizedZone，非軍事區或者停火區)：在內部網絡和外部網絡之間增加的一個子網堡壘主機定義：堡壘主機由一臺計算機擔當，并擁有兩塊或者多塊網卡分別連接各內部網絡和外部網絡。作用：隔離內部網絡和外部網絡，為內部網絡設立一個檢查點，對所有進出內部網絡的數據包進行過濾，集中解決內部網絡的安全問題。設計原則：最小服務原則、預防原則。類型：內部堡壘主機、外部堡壘主機、犧牲主機。系統需求：強健性、可用性、可擴展性、易用性。服務：堡壘主機一般要設置用戶網絡所需的網絡服務，并且還要設置對外提供的網絡服務。分為無風險服務、低風險服務、高風險服務和禁用的服務4個級別。部署位置：堡壘主機的位置問題是事關堡壘主機和內部網絡的安全性的重要問題。堡壘主機criticalstrongpointinnetworkhostsapplication/circuit-levelgatewayscommoncharacteristics:runssecureO/S,onlyessentialservicesmayrequireuserauthtoaccessproxyorhosteachproxycanrestrictfeatures,hostsaccessedeachproxysmall,simple,checkedforsecurityeachproxyisindependent,non-privilegedlimiteddiskuse,henceread-onlycode基于主機的防火墻usedt