第8章防火墻技術防火墻基本概念防火墻的核心技術防火墻的分類防火墻的體系結構智能防火墻8.1防火墻基本概念8.1防火墻基本概念防火墻主要由硬件設備與軟件系統共同組成,在內部網與外部網之間所構造起來的保護屏障,從而保護內部網絡免受非法用戶的入侵。在互聯網中,防火墻主要是指一種隔離技術,在兩個網絡進行通訊時對訪問尺度進行控制,最大限度的阻止網絡黑客對網絡進行訪問。1.防火墻的定義防火墻是在兩個網絡之間執行訪問控制策略的一個或一組系統，包括硬件和軟件。它隔離了內部、外部網絡，是內、外部網絡通信的唯一途徑，能夠根據制定的訪問規則對流經它的信息進行監控和審查，從而保護內部網絡不受外界的非法訪問和攻擊。8.1防火墻基本概念防火墻就是位于內部網或Web站點與因特網之間的一個路由器或一臺計算機，控制并檢查站點的訪問者。防火墻由管理員為保護自己的網絡免遭外界非授權訪問但又允許與因特網聯接而發展起來的。通常防火墻是一組硬件設備，即路由器、主計算機或者是路由器、計算機和配有適當軟件的網絡的多種組合。8.1防火墻基本概念2.防火墻的主要功能實際上，防火墻其實是一個分離器、限制器或分析器，它能夠有效監控內部網絡和外部網絡之間的所有活動，主要功能如下：（1）過濾進出網絡的數據包；（2）管理進出網絡的訪問行為；（3）封堵某些禁止的訪問行為；（4）記錄通過防火墻的信息內容和活動；（5）對網絡攻擊進行檢測和告警。除此以外，防火墻還應具備的一些附加功能：（1）NAT（NetworkAddressTranslation）網絡地址轉換（2）VPN（VirtualPersonalNetwork）虛擬專用網（3）RM（RouteManagement）路由管理8.1防火墻基本概念3.防火墻的特性（1）內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻這是防火墻所處網絡位置特性，同時也是一個前提。因為只有當防火墻是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護企業網內部網絡不受侵害。根據美國國家安全局制定的《信息保障技術框架》，防火墻適用于用戶網絡系統的邊界，屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火墻的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進出內部網絡的服務和訪問的審計和控制。典型的防火墻體系網絡結構如下圖所示。從圖中可以看出，防火墻的一端連接企事業單位內部的局域網，而另一端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻。8.1防火墻基本概念3.防火墻的特性（2）只有符合安全策略的數據流才能通過防火墻防火墻最基本的功能是確保網絡流量的合法性，并在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網絡接口，同時擁有兩個網絡層地址。防火墻將網絡上的流量通過相應的網絡接口接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然后將符合通過條件的報文從相應的網絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網絡接口>=2）轉發設備，它跨接于多個分離的物理網段之間，并在報文轉發過程之中完成對報文的審查工作。8.1防火墻基本概念3.防火墻的特性（3）防火墻自身應具有非常強的抗攻擊免疫力這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。防火墻處于網絡邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。目前國內的防火墻幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火墻廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火墻產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、山石網科、網御神州、聯想、方正等，它們都提供不同級別的防火墻產品。8.1防火墻基本概念3.防火墻的特性（4）應用層防火墻具備更細致的防護能力自從Gartner提出下一代防火墻概念以來，信息安全行業越來越認識到應用層攻擊成為當下取代傳統攻擊，最大程度危害用戶的信息安全，而傳統防火墻由于不具備區分端口和應用的能力，以至于傳統防火墻僅僅只能防御傳統的攻擊，基于應用層的攻擊則毫無辦法。從2011年開始，國內廠家通過多年的技術積累，開始推出下一代防火墻，在國內從第一家推出真正意義的下一代防火墻的網康科技開始，至今包擴東軟，天融信等在內的傳統防火墻廠商也開始相互效仿，陸續推出了下一代防火墻，下一代防火墻具備應用層分析的能力，能夠基于不同的應用特征，實現應用層的攻擊過濾，在具備傳統防火墻、IPS、防毒等功能的同時，還能夠對用戶和內容進行識別管理，兼具了應用層的高性能和智能聯動兩大特性，能夠更好的針對應用層攻擊進行防護。8.1防火墻基本概念3.防火墻的特性（5）數據庫防火墻針對數據庫惡意攻擊的阻斷能力虛擬補丁技術：針對CVE公布的數據庫漏洞，提供漏洞特征檢測技術。高危訪問控制技術：提供對數據庫用戶的登錄、操作行為，提供根據地點、時間、用戶、操作類型、對象等特征定義高危訪問行為。SQL注入禁止技術：提供SQL注入特征庫。返回行超標禁止技術：提供對敏感表的返回行數控制。SQL黑名單技術：提供對非法SQL的語法抽象描述。8.1防火墻基本概念4.防火墻的優缺點防火墻的主要優點：（1）防火墻能強化安全策略。（2）防火墻能有效地記錄Internet上的活動。（3）防火墻限制暴露用戶點。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。（4）防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。8.1防火墻基本概念4.防火墻的優缺點防火墻的主要缺陷：（1）不能防范不經由防火墻的攻擊。（2）防火墻是一種被動安全策略執行設備。（3）防火墻不能防止利用標準網絡協議中的缺陷進行的攻擊。（4）防火墻不能防止利用服務器系統漏洞進行的攻擊。（5）防火墻不能防止數據驅動式的攻擊。（6）防火墻無法保證準許服務的安全性。（7）防火墻不能防止本身的安全漏洞威脅。（8）防火墻不能防止感染了病毒的軟件或文件的傳輸。此外，防火墻在性能上不具備實時監控入侵的能力，其功能與速度成反比。防火墻的功能越多，對CPU和內存的消耗越大，速度越慢。管理上，人為因素對防火墻安全的影響也很大。因此，僅僅依靠現有的防火墻技術，是遠遠不夠的。8.2防火墻的核心技術8.2防火墻的核心技術無論防火墻的性能如何差異巨大，也無論防火墻如何部署，其核心技術發展都包含了包過濾、代理服務及狀態監視三個階段。不同廠商的防火墻都是在這三種核心技術的基礎上進行改革，從而也導致了防火墻在可靠性、性能以及價格等方面有較大差異，下面就來介紹這三種核心技術。8.2.1包過濾技術1.基本概念包過濾是一種保安機制，它控制哪些數據包可以進出網絡而哪些數據包應被網絡拒絕。我們在這兒首先簡單介紹一些高層IP（因特網協議）網絡的概念。一個文件要穿過網絡，必須將文件分成小塊，每小塊文件單獨傳輸。把文件分成小塊的做法主要是為了讓多個系統共享網絡，每個系統可以依次發送文件塊。在IP網絡中，這些小塊被稱為包。所有的信息傳輸都是以包的方式來實施的。8.2.1包過濾技術1.基本概念每個數據包都包含有特定信息的一組報頭，其主要信息是：IP協議類型（TCP、UDP，ICMP等）；IP源地址；IP目標地址；IP選擇域的內容；TCP或UDP源端口號；TCP或UDP目標端口號；ICMP消息類型。包過濾技術可以允許或不允許某些包在網絡上傳遞，它依據以下的判據：（1）將包的目的地址作為判據；（2）將包的源地址作為判據；（3）將包的傳送協議作為判據。8.2.1包過濾技術2.包過濾工作原理包過濾系統的規則只能讓我們進行類似以下情況的操作：（1）不讓任何用戶從外部網用Telnet登錄；（2）允許任何用戶使用SMTP往內部網發電子郵件；（3）只允許某臺機器通過NNTP往內部網發新聞包過濾不能允許我們進行如下的操作：（1）允許某個用戶從外部網用Telnet登錄而不允許其它用戶進行這種操作。（2）允許用戶傳送一些文件而不允許用戶傳送其它文件。8.2.1包過濾技術8.2.1包過濾技術3.包過濾路由器的配置在配置包過濾路由器時，首先要確定哪些服務允許通過而哪些服務應被拒絕，并將這些規定翻譯成有關的包過濾規則。下面給出將有關服務翻譯成包過濾規則時非常重要的幾個概念。協議的雙向性。協議總是雙向的，協議包括一方發送一個請求而另一方返回一個應答。在制定包過濾規則時，要注意包是從兩個方向來到路由器的。“往內”與“往外”的含義。在我們制定包過濾規則時，必須準確理解“往內”與“往外”的包和“往內”與“往外”的服務這幾個詞的語義。“默認允許”與“默認拒絕”。網絡的安全策略中的有兩種方法：默認拒絕（沒有明確地被允許就應被拒絕）與默認允許（沒有明確地被拒絕就應被允許）。從安全角度來看，用默認拒絕應該更合適。8.2.1包過濾技術3.包過濾路由器的配置（1）包的基本構造包的構造有點像洋蔥一樣，它是由各層連接的協議組成的。每一層，包都由包頭與包體兩部分組成。在包頭中存放與這一層相關的協議信息，在包體中存放包在這一層的數據信息。這些數據信息也包含了上層的全部信息。在每一層上對包的處理是將從上層獲取的全部信息作為包體，然后依本層的協議再加上包頭。這種對包的層次性操作（每一層均加裝一個包頭）一般稱為封裝。（2）包過濾規則制定包過濾規則時應注意的事項：聯機編輯過濾規則；要用IP地址值，而不用主機名。在包過濾系統中，最簡單的方法是依據地址進行過濾。用地址進行過濾可以不管使用什么協議，僅根據源地址/目的地址對流動的包進行過濾。我們可用這種方法只讓某些被指定的外部主機與某些被指定的內部主機進行交互。還可以防止黑客用偽包裝成來自某臺主機，而其實并非來自于那臺主機的包對網絡進行的侵擾。8.2.1包過濾技術4.包過濾技術的優缺點（1）包過濾技術的優點包過濾方式有許多優點，而其主要優點之一是僅用一個放置在重要位置上的包過濾路由器就可保護整個網絡。如果我們的站點與因特網間只有一臺路由器，那么不管站點規模有多大，只要在這臺路由器上設置合適的包過濾，我們的站點就可獲得很好的網絡安全保護。（2）包過濾技術的缺點在機器中配置包過濾規則比較困難；對系統中的包過濾規則的配置進行測試也較麻煩；許多產品的包過濾功能有這樣或那樣的局限性，要找一個比較完整的包過濾產品比較困難。8.2.2代理服務代理服務的條件是具有訪問因特網能力的主機才可以作為那些無權訪問因特網的主機的代理，這樣使得一些不能訪問因特網的主機通過代理服務也可以完成訪問因特網的工作。代理服務是在雙重宿主主機或堡壘主機上運行一個具有特殊協議或一組協議。使一些僅能與內部用戶交談的主機同樣也可以與外界交談，這些用戶的客戶程序通過與該代理服務器交談來代替直接與外部因特網中的服務器的“真正的”交談。代理服務器判斷從客戶端來的請求并決定哪些請求允許傳送而哪些應被拒絕。當某個請求被允許時，代理服務器就代表客戶與真正的服務器進行交談，并將從客戶端來的請求傳送給真實服務器，將真實服務器的回答傳送給客戶。8.2.2代理服務8.2.2代理服務2.代理服務的工作方法代理工作的細節對每一種服務是不同的，代理服務在服務器上要求運行合適的代理服務器軟件。在客戶端可以有以下不同的方法。（1）定制客戶軟件。（2）定制客戶過程。8.2.2代理服務3.用于因特網服務的代理特性因特網上的主要服務功能有電子郵件E-mail．簡單郵件傳輸協議SMTP、郵局協議POP、文件傳輸FTP、遠程登錄Telnet、存儲轉發協議NNTP、萬維網WWW、域名服務DNS等。（1）電子郵件（E-mail）（2）簡單郵件傳輸協議（SMTP）的代理特點（3）郵局協議（POP）的代理特點（4）文件傳輸FTP（5）遠程登錄（Telnet）（6）存儲轉發協議（NNTP）（7）萬維網（WWW）（8）域名服務（DNS）8.2.2代理服務4.代理服務的優缺點代理服務允許用戶“直接”訪問因特網，適合于做日志。但是，代理服務落后于非代理服務，每個代理服務要求不同的服務器，代理服務一般要求對客戶或程序進行修改，對某些服務來說是不合適的。而且，代理服務不能保護你不受協議本身缺點的限制。8.2.3狀態檢測技術1.狀態檢測技術的定義狀態檢測技術是防火墻近幾年才應用的新技術。傳統的包過濾防火墻只是通過檢測IP包頭的相關信息來決定數據流的通過還是拒絕，狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別。這里動態連接狀態表中的記錄可以是以前的通信信息，也可以是其他相關應用程序的信息，與傳統包過濾防火墻的靜態過濾規則表相比，狀態檢測技術具有更好的靈活性和安全性。8.2.3狀態檢測技術2.幾個概念通信信息：即所有7層協議的當前信息。防火墻的檢測模塊位于操作系統的內核，在網絡層之下，能在數據包到達網關操作系統之前對它們進行分析。防火墻先在低協議層上檢查數據包是否滿足企業的安全策略，對于滿足的數據包，再從更高協議層上進行分析。它驗證數據的源地址、目的地址和端口號、協議類型、應用信息等多層的標志，因此具有更全面的安全性。通信狀態：即以前的通信信息。應用狀態：即其他相關應用的信息。狀態檢測模塊能夠理解并學習各種協議和應用，以支持各種最新的應用，它比代理服務器支持的協議和應用要多得多；并且，它能從應用程序中收集狀態信息存入狀態表中，以供其他應用或協議做檢測策略。例如，已經通過防火墻認證的用戶可以通過防火墻訪問其他授權的服務。8.2.3狀態檢測技術3.狀態檢測原理工作在TCP/IP各層，檢查由防火墻轉發的包，并創建相應的結構記錄連接的狀態。它的檢查項包括鏈路層、網絡層、傳輸層、應用層的各種信息，并根據規則表或狀態表來決定是否允許轉發包通過。8.2.3狀態檢測技術3.狀態檢測原理（1）數據鏈路層：在數據包到達IP層以前進行檢測，如果不滿足安全策略，數據包被拋棄。（2）IP層：在此層對地址、端口（如TCP協議，UDP協議等）、IP分片、ICMP協議等進行檢測。（3）TCP數據包的狀態：在此層對6個標志位進行檢測：SYN、ACK、RST、FIN、STN、URG。（4）UDP協議：在此層檢測數據包是否超時以及是否有以前的UDP數據包。（5）應用層：在此層主要對FTP、HTTP、用戶認證等內容進行檢測。4.狀態檢測技術的優缺點使用狀態檢測技術的安全性強度更高，配置更靈活。但是使用狀態檢測技術后的允許速度更慢，管理也更復雜。8.3防火墻的分類8.3防火墻的分類按照防火墻的技術分類，分為包過濾型和應用代理型。（1）包過濾(Packetfiltering)型包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層，根據數據包頭源地址，目的地址、端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地，其余數據包則被從數據流中丟棄。在整個防火墻技術的發展過程中，包過濾技術出現了兩種不同版本，稱為“第一代靜態包過濾”和“第二代動態包過濾”。8.3防火墻的分類按照防火墻的技術分類，分為包過濾型和應用代理型。（2）應用代理(ApplicationProxy)型應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。8.3防火墻的分類以防火墻體系結構分類主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（1）單一主機防火墻是最為傳統的防火墻，獨立于其它網絡設備，它位于網絡邊界。（2）路由器集成式防火墻是將防火墻功能集成在中、高檔路由器中，大大降低了網絡設備購買成本。（3）分布式防火墻不是只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。如果按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。因為防火墻通常位于網絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth)，或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用代理所產生的延時也越小，對整個網絡通信性能的影響也就越小。8.4防火墻的體系結構8.4防火墻的體系結構防火墻體系結構主要分為三種：雙宿主機體系結構、屏蔽主機體系結構和屏蔽子網體系結構。1.雙宿主機體系結構雙宿主機（DualHomed）體系結構是用一臺裝有兩塊網卡的堡壘主機所做的防火墻來實現的。兩塊網卡各自與受保護網和外部網相連。8.4防火墻的體系結構2.屏蔽主機體系結構屏蔽主機（ScreenedHomed）體系結構由同時部署的包過濾路由器和堡壘主機組成。其中，包過濾路由器作為第一道防線，可以實現網絡層安全。堡壘主機作為第二道防線，可以實現應用層安全，并通過代理服務，將內網中的主機都屏蔽了。在這種體系結構中，包過濾路由器被配置在外網和堡壘主機之間，堡壘主機被配置在內網（被保護的網）中。8.4防火墻的體系結構2.屏蔽主機體系結構（1）雙連點的堡壘主機有兩個網絡接口，一個連接包過濾路由器的內網側，一個連接內網。迫使外部與內部主機之間必須經過代理服務器轉發才能實現通信。（2）單連點的堡壘主機只有一個網絡接口，使得堡壘主機與內部主機一樣地處在同一網絡上。8.4防火墻的體系結構3.屏蔽子網體系結構屏蔽子網（ScreenedSubnet）體系結構使用兩個包過濾路由器和一個堡壘主機在內部網絡和外部網絡之間建立一個“非軍事區”（DemilitarizedZone，DMZ）。DMZ又稱為屏蔽子網，它將內部網絡和外部網絡分開，內部網絡和外部網絡均可訪問DMZ，但禁止它們穿過DMZ通信。從而迫使源于內網主機的業務流和源于外網主機的業務流都必須經過堡壘主機。8.5智能防火墻8.5智能防火墻1.基本概念智能防火墻從技術特征上，是利用統計、記憶、概率和決策的智能方法來對數據進行識別，并達到訪問控制的目的。新的數學方法，消除了匹配檢查所需要的海量計算，高效發現網絡行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學科采用的方法，因此，又