信息安全工程師教程知識點精講(三)

全國計算機技術與軟件專業技術資格(水平)考試，這門新開的信息安全工程

師分屬該考試“信息系統”專業，位處中級資格。官方教材《信息安全工程師

教程》及考試大綱于7月1日出版，希賽小編整理了信息安全工程師教程精講

學習筆記，供大家參考學習。

防火墻

防火墻(Firewall),也稱防護墻，是由CheckPoint創立者GilShwed于1993年

發明并引入國際互聯網(US5606668(A)1993-12-15)<>它是一種位于內部網絡

與外部網絡之間的網絡安全系統。一項信息安全的防護系統，依照特定的規

則，允許或是限制傳輸的數據通過。

基本定義

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、

專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說

法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個

安全網關(SecurityGateway),從而保護內部網免受非法用戶的侵入，防火墻主

要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是

一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所

有網絡通信和數據包均要經過此防火墻。

在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分

開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種

訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不

同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。

換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet,Internet上

的人也無法和公司內部的人進行通信°

什么是防火墻

XP系統相比于以往的Windows系統新增了許多的網絡功能(Windows7的防火

墻一樣很強大，可以很方便地定義過濾掉數據包)，例如Internet連接防火墻

(ICF),它就是用一段“代碼墻”把電腦和Internet分隔開，時刻檢查出入防火墻

的所有數據包，決定攔截或是放行那些數據包。防火墻可以是一種硬件、固件

或者軟件，例如專用防火墻設備就是硬件形式的防火墻，包過濾路由器是嵌有

防火墻固件的路由器，而代理服務器等軟件就是軟件形式的防火墻。

ICF工作原理

ICF被視為狀態防火墻.狀態防火墻可監視通過其路徑的所有通訊，并且檢杳所

處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信

進入專用端，ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中，ICF

將跟蹤源自該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS

計算機的通信和所有源自專用網絡計算機的通信。所有Internet傳入通信都會

針對于該表中的各項進行比較。只有當表中有匹配項時(這說明通訊交換是從

計算機或專用網絡內部開始的)，才允許將傳入Internet通信傳送給網絡中的計

算機。

源自外部源ICF計算機的通訊(如Internet)將被防火墻阻止，除非在“服務”

選項卡上設置允許該通訊通過。ICF不會向你發送活動通知，而是靜態地阻止未

經請求的通訊，防止像端口掃描這樣的常見黑客襲擊。

防火墻的種類

防火墻從誕生開始，已經歷了四個發展階段：基于路由器的防火墻、用戶化的

防火墻工具套、建立在通用操作系統上的防火墻、具有安全操作系統的防火

墻。常見的防火墻屬于具有安全操作系統的防火墻，例如NETEYE、

NETSCREEN、TALENTH■等。

從結構上來分，防火墻有兩種：即代理主機結構和路由器+過濾器結構，后一種

結構如下所示：內部網絡過濾器(Filter)路由器(Router)Internet

從原理上來分，防火墻則可以分成4種類型：特殊設計的硬件防火墻、數據包

過濾型、電路層網關和應用級網關。安全性能高的防火墻系統都是組合運用多

種類型防火墻，構筑多道防火墻“防御T事二

吞吐量

網絡中的數據是由一個個數據包組成，防火墻對每個數據包的處理要耗費資

源。吞吐量是指在沒有幀丟失的情況下，設備能夠接受的最大速率。其測試方

法是：在測試中以一定速率發送一定數量的幀，并計算待測設備傳輸的幀，如

果發送的幀與接收的幀數量相等，那么就將發送速率提高并重新測試；如果接

收幀少于發送幀則降低發送速率重新測試，直至得出最終結果。吞吐量測試結

果以比特/秒或字節/秒表示。

吞吐量和報文轉發率是關系防火墻應用的主要指標，一般采用FDT（FullDuplex

Throughput）來衡量，指64字節數據包的全雙工吞吐量，該指標既包括吞吐量

指標也涵蓋了報文轉發率指標。

主要類型

網絡層防火墻

網絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協議堆棧上，我

們可以以枚舉的方式，只允許符合特定規則的封包通過，其余的一概禁止穿越

防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規則通常可以經由管理員

定義或修改，不過某些防火墻設備可能只能套用內置的規則。

我們也能以另一種較寬松的角度來制定防火墻規則，只要封包不符合任何一項

“否定規則”就予以放行。操作系統及網絡設備大多已內置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源IP地址、來源端

口號、目的IP地址或端口號、服務類型（如HTTP或是FTP）。也能經由通信協

議、TTL值、來源的網域名稱或網段…等屬性來進行過濾。

應用層防火墻

應用層防火墻是在TCP/IP堆棧的“應用層”上運作，您使用瀏覽器時所產生的

數據流或是使用FTP時的數據流都是屬于這一層。應用層防火墻可以攔裁進出

某應用程序的所有封包，并且封鎖其他的封包（通常是直接將封包丟棄）。理論

上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。

防火墻借由監測所有的封包并找出不符規則的內容，可以防范電腦蠕蟲或是木

馬程序的快速蔓延。不過就實現而言，這個方法既煩且雜（軟件有千千百百種

啊），所以大部分的防火墻都不會考慮以這種方法設計。

XML防火墻是一種新型態的應用層防火墻。

根據側重不同，可分為：包過濾型防火墻、應用層網關型防火墻、服務器型防

火墻。

數據庫防火墻

（三）防火墻自身應具有非常強的抗攻擊免疫力

這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。防火墻處于

網絡邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就

要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防

火墻操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論

系統的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火

墻嵌入系統外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能

說是相對的。

目前國內的防火墻幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要

是在技術和知名度上比國內產品高。而國內防火墻廠商對國內用戶了解更加透

徹，價格上也更具有優勢。防火墻產品中，國外主流廠商為思科（Cisco）.

CheckpointsNetScreen等，國內主流廠商為東軟、天融信、山石網科、網御神

州、聯想、方正等，它們都提供不同級別的防火墻產品。

（四）應用層防火墻具備更細致的防護能力

自從Gartner提出下一代防火墻概念以來，信息安全行業越來越認識到應用層

攻擊成為當下取代傳統攻擊，最大程度危害用戶的信息安全，而傳統防火墻由

于不具備區分端口和應用的能力，以至于傳統防火墻僅僅只能防御傳統的攻

擊，基于應用層的攻擊則毫無辦法。

從2022年開始，國內廠家通過多年的技術積累，開始推出下一代防火墻，在國

內從第一家推出真正意義的下一代防火墻的網康科技開始，至今包擴東軟，天

融信等在內的傳統防火墻廠商也開始相互⑶效仿，陸續推出了下一代防火墻，

下一代防火墻具備應用層分析的能力，能夠基于不同的應用特征，實現應用層

的攻擊過濾，在具備傳統防火墻、IPS、防毒等功能的同時，還能夠對用戶和內

容進行識別管理，兼具了應用層的高性能和智能聯動兩大特性，能夠更好的針

對應用層攻擊進行防護。

（五）數據庫防火墻針對數據庫惡意攻擊的阻斷能力

虛擬補丁技術：針對CVE公布的數據庫漏洞，提供漏洞特征檢測技術。

高危訪問控制技術：提供對數據庫用戶的登錄、操作行為，提供根據地點、時

間、用戶、操作類型、對象等特征定義高危訪問行為。

SQL注入禁止技術：提供SQL注入特征庫。

返回行超標禁止技術：提供對敏感表的返回行數控制。

SQL黑名單技術：提供對非法SQL的語法抽象描述。

代理服務

代理服務設備（可能是一臺專屬的硬件，或只是普通機器上的一套軟件）也能

像應用程序一樣回應輸入封包（例如連接要求），同時封鎖其他的封包，達到類

似于防火墻的效果。

代理使得由外在網絡竄改一個內部系統更加困難，并且一個內部系統誤用不一

定會導致一個安全漏洞可從防火墻外面（只要應用代理剩下的原封和適當地被

配置）被入侵。相反地，入侵者也許劫持一個公開可及的系統和使用它作為代

理人為他們自己的目的；代理人然后偽裝作為那個系統對其它內部機器。當對

內部地址空間的用途加強安全，破壞狂也許仍然使用方法譬如IP欺騙試圖通過

小包對目標網絡。

防火墻經常有網絡地址轉換（NAT）的功能，并且主機被保護在防火墻之后共

同地使用所謂的“私人地址空間”，依照被定義在［RFC1918］。管理員經常設置

了這樣的情節：假裝內部地址或網絡是安全的。