防火墻的概念與技術(shù)說(shuō)明

防火墻的概念與技術(shù)說(shuō)明

　　隨著計(jì)算機(jī)技術(shù)應(yīng)用的普及，各個(gè)組織機(jī)構(gòu)的運(yùn)行越來(lái)越依賴和離不開計(jì)算機(jī)，各種業(yè)務(wù)的運(yùn)行架構(gòu)于現(xiàn)代化的網(wǎng)絡(luò)環(huán)境中。企業(yè)計(jì)算機(jī)系統(tǒng)作為信息化程度較高、計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用情況比較先進(jìn)的一個(gè)特殊系統(tǒng)，其業(yè)務(wù)也同樣地越來(lái)越依賴于計(jì)算機(jī)。保證業(yè)務(wù)系統(tǒng)和工作的正常、可靠和安全地進(jìn)行是信息系統(tǒng)工作的一個(gè)重要話題。但是由于計(jì)算機(jī)系統(tǒng)的安全威脅，給組織機(jī)構(gòu)帶來(lái)了重大的經(jīng)濟(jì)損失，這種損失可分為直接損失和間接損失：直接損失是由此而帶來(lái)的經(jīng)濟(jì)損失，間接損失是由于安全而導(dǎo)致工作效率降低、機(jī)密情報(bào)數(shù)據(jù)泄露、系統(tǒng)不正常、修復(fù)系統(tǒng)而導(dǎo)致工作無(wú)法進(jìn)行等。間接損失往往是很難以數(shù)字來(lái)衡量的。在所有計(jì)算機(jī)安全威脅中，外部入侵和非法訪問(wèn)是最為嚴(yán)重的事。

　　一、防火墻概念

　　Internet的迅速發(fā)展提供了發(fā)布信息和檢索信息的場(chǎng)所，但也帶來(lái)了信息污染和信息破壞的危險(xiǎn), 人們?yōu)榱吮Ｗo(hù)其數(shù)據(jù)和資源的安全，部署了防火墻。防火墻本質(zhì)上是一種保護(hù)裝置，它保護(hù)數(shù)據(jù)、資源和用戶的聲譽(yù)。

　　防火墻原是設(shè)計(jì)用來(lái)防止火災(zāi)從建筑物的一部分傳播到另一部分的設(shè)施。從理論上講，Internet防火墻服務(wù)也有類似目的，它防止Internet(或外部網(wǎng)絡(luò))上的危險(xiǎn)(病毒、資源盜用等)傳播到網(wǎng)絡(luò)內(nèi)部。Internet(或外部網(wǎng)絡(luò))防火墻服務(wù)于多個(gè)目的：

　　1、限制人們從一個(gè)特別的控制點(diǎn)進(jìn)入;

　　2、防止入侵者接近你的其它防御設(shè)施;

　　3、限定人們從一個(gè)特別的點(diǎn)離開;

　　4、有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

　　防火墻常常被安裝在內(nèi)部網(wǎng)絡(luò)連接到因特網(wǎng)(或外部網(wǎng)絡(luò))的節(jié)點(diǎn)上。

　　(一)防火墻的優(yōu)點(diǎn)

　　1、防火墻能夠強(qiáng)化安全策略

　　因?yàn)榫W(wǎng)絡(luò)上每天都有上百萬(wàn)人在收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。

　　2、防火墻能有效地記錄網(wǎng)絡(luò)上的活動(dòng)

　　因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。

　　3、防火墻限制暴露用戶點(diǎn)

　　防火墻能夠用來(lái)隔開網(wǎng)絡(luò)中的兩個(gè)網(wǎng)段，這樣就能夠防止影響一個(gè)網(wǎng)段的信息通過(guò)整個(gè)網(wǎng)絡(luò)進(jìn)行傳播。

　　4、防火墻是一個(gè)安全策略的檢查站

　　所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門外。

　　(二)防火墻的不足

　　防火墻的缺點(diǎn)主要表現(xiàn)在以下幾個(gè)方面。

　　1、不能防范惡意的知情者

　　防火墻可以禁止系統(tǒng)用戶經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無(wú)能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對(duì)于來(lái)自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等。

　　2、不能防范不通過(guò)它的連接

　　防火墻能夠有效地防止通過(guò)它的傳輸信息，然而它卻不能防止不通過(guò)它而傳輸?shù)男畔?。例如，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵。

　　3、不能防備全部的威脅

　　防火墻被用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，就可以防備新的威脅，但沒(méi)有一扇防火墻能自動(dòng)防御所有新的威脅。

　　4、防火墻不能防范病毒

　　防火墻一般不能消除網(wǎng)絡(luò)上的病毒。

　　二、防火墻技術(shù)

　　一提到網(wǎng)絡(luò)安全人們首先想到的是防火墻。防火墻系統(tǒng)針對(duì)的是來(lái)自系統(tǒng)外部的攻擊，一旦外部入侵者進(jìn)入了系統(tǒng)，他們便不受任何阻擋。認(rèn)證手段也與此類似，一旦入侵者騙過(guò)了認(rèn)證系統(tǒng)，便成為了內(nèi)部人員。

　　防火墻的基本類型有：包過(guò)濾型、代理服務(wù)型和狀態(tài)包過(guò)濾型復(fù)合型。

　　(一)包過(guò)濾型防火墻

　　包過(guò)濾(Packet Filter)通常安裝在路由器上，并且大多數(shù)商用路由器都提供了包過(guò)濾的功能。包過(guò)濾是一種保安機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕。

　　網(wǎng)絡(luò)中的應(yīng)用雖然很多，但其最終的傳輸單位都是以數(shù)據(jù)包的形式出現(xiàn)，這種做法主要是因?yàn)榫W(wǎng)絡(luò)要為多個(gè)系統(tǒng)提供共享服務(wù)。例如，文件傳輸時(shí)，必須將文件分割為小的數(shù)據(jù)包，每個(gè)數(shù)據(jù)包單獨(dú)傳輸。每個(gè)數(shù)據(jù)包中除了包含所要傳輸?shù)臄?shù)據(jù)(內(nèi)容)，還包括源地址、目標(biāo)地址等。

　　數(shù)據(jù)包是通過(guò)互聯(lián)網(wǎng)絡(luò)中的路由器，從源網(wǎng)絡(luò)到達(dá)目的網(wǎng)絡(luò)的。路由器接收到的數(shù)據(jù)包就知道了該包要去往何處，然后路由器查詢自身的路由表，若有去往目的的路由，則將該包發(fā)送到下一個(gè)路由器或直接發(fā)往下一個(gè)網(wǎng)段;否則，將該包丟掉。與路由器不同的是，包過(guò)濾防火墻，除了判斷是否有到達(dá)目的網(wǎng)段的路由之外，還要根據(jù)一組包過(guò)濾規(guī)則決定是否將包轉(zhuǎn)發(fā)出去。

　　1、工作機(jī)制

　　包過(guò)濾技術(shù)可以允許或禁止某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)的是以下的判斷：

　　對(duì)包的目的地址作出判斷

　　對(duì)包的源地址作出判斷

　　對(duì)包的傳送協(xié)議(端口號(hào))作出判斷

　　一般地，在進(jìn)行包過(guò)濾判斷時(shí)不關(guān)心包的具體內(nèi)容。包過(guò)濾只能讓我們進(jìn)行類似以下情況的操作，比如：不讓任何工作站從外部網(wǎng)用Telnet登錄、允許任何工作站使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件。

　　但包過(guò)濾不能允許我們進(jìn)行如下的操作，如：允許用戶使用FTP，同時(shí)還限制用戶只可讀取文件不可寫入文件、允許某個(gè)用戶使用Telnet登錄而不允許其他用戶進(jìn)行這種操作。

　　包過(guò)濾系統(tǒng)處于網(wǎng)絡(luò)的IP層和TCP層，而不是應(yīng)用層，所以它無(wú)法在應(yīng)用層的具體操作進(jìn)行任何過(guò)濾。以FTP為例，F(xiàn)TP文件傳輸協(xié)議應(yīng)用中包含許多具體的操作，如讀取操作、寫入操作、刪除操作等。再有，包過(guò)濾系統(tǒng)不能識(shí)別數(shù)據(jù)包中的用戶信息。

　　2、性能特點(diǎn)

　　因?yàn)榘^(guò)濾防火墻工作在IP和TCP層，所以處理包的速度要比代理服務(wù)型防火墻快

　　提供透明的服務(wù)，用戶不用改變客戶端程序

　　因?yàn)橹簧婕暗絋CP層，所以與代理服務(wù)型防火墻相比，它提供的安全級(jí)別很低

　　不支持用戶認(rèn)證，包中只有來(lái)自哪臺(tái)機(jī)器的信息卻不包含來(lái)自哪個(gè)用戶的信息

　　不提供日志功能

　　包過(guò)濾防火墻的典型代表是早期的CISCO PIX防火墻。

　　(二)代理服務(wù)型防火墻

　　代理服務(wù)(Proxy Service)系統(tǒng)一般安裝并運(yùn)行在雙宿主機(jī)上。雙宿主機(jī)是一個(gè)被取消路由功能的主機(jī)，與雙宿主機(jī)相連的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間在網(wǎng)絡(luò)層是被斷開的。這樣做的目的是使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)洹＿@與包過(guò)濾防火墻明顯不同，就邏輯拓?fù)涠裕矸?wù)型防火墻要比包過(guò)濾型更安全。

　　由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在網(wǎng)絡(luò)層是斷開的，所以要實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的應(yīng)用通訊就必須在網(wǎng)絡(luò)層之上。代理系統(tǒng)是工作在應(yīng)用層，代理系統(tǒng)是客戶機(jī)和真實(shí)服務(wù)器之間的中介，代理系統(tǒng)完全控制客戶機(jī)和真實(shí)服務(wù)器之間的流量，并對(duì)流量情況加以記錄。目前，代理服務(wù)型防火墻產(chǎn)品一般還都包括有包過(guò)濾功能。

　　1、工作機(jī)制

　　代理服務(wù)型防火墻按如下標(biāo)準(zhǔn)步驟對(duì)接收的數(shù)據(jù)包進(jìn)行處理：

　　接收數(shù)據(jù)包

　　檢查源地址和目標(biāo)地址

　　檢查請(qǐng)求類型

　　調(diào)用相應(yīng)的程序

　　對(duì)請(qǐng)求進(jìn)行處理

　　下面，我們以一個(gè)外部網(wǎng)絡(luò)的用戶通過(guò)Telnet訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的主機(jī)為例，詳細(xì)介紹這些標(biāo)準(zhǔn)步驟。

　　接收數(shù)據(jù)包

　　外部網(wǎng)絡(luò)的路由器將外部網(wǎng)絡(luò)主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)資源的請(qǐng)求路由至防火墻的外部網(wǎng)卡。同樣，內(nèi)部網(wǎng)絡(luò)中的主機(jī)通過(guò)內(nèi)部網(wǎng)絡(luò)中的路由選擇信息將對(duì)外部網(wǎng)絡(luò)資源的請(qǐng)求路由至防火墻的內(nèi)部網(wǎng)卡。

　　在本例中，當(dāng)外部網(wǎng)絡(luò)用戶通過(guò)Telnet請(qǐng)求對(duì)內(nèi)部網(wǎng)絡(luò)中的主機(jī)進(jìn)行訪問(wèn)時(shí)，路由信息將該請(qǐng)求傳送至防火墻的外部網(wǎng)卡上。

　　檢查源地址和目標(biāo)地址

　　一旦防火墻接收到數(shù)據(jù)包，它必須確定如何處理該數(shù)據(jù)包。首先，防火墻檢查數(shù)據(jù)包中的源地址并確定該包是由哪塊網(wǎng)卡接收的。這樣做是為了確定數(shù)據(jù)包是否有IP地址欺騙的行為，例如，如果發(fā)現(xiàn)從外部網(wǎng)卡接收的一個(gè)數(shù)據(jù)包中的源地址屬于內(nèi)部網(wǎng)絡(luò)的地址范圍，則表明這是地址欺騙行為，防火墻將拒絕繼續(xù)對(duì)該包進(jìn)行處理并將此事件記錄到日志中。

　　接下來(lái)，防火墻對(duì)包中的目標(biāo)地址進(jìn)行檢查并確定是否需要對(duì)該包做進(jìn)一步處理。這一點(diǎn)與包過(guò)濾類似，即檢查是否允許對(duì)目標(biāo)地址進(jìn)行訪問(wèn)。

　　本例中，Telnet的目標(biāo)地址是內(nèi)部網(wǎng)絡(luò)的某臺(tái)主機(jī)，防火墻是通過(guò)外部網(wǎng)卡收到該Telnet請(qǐng)求的，且發(fā)現(xiàn)請(qǐng)求包中沒(méi)有地址欺騙行為，防火墻接收了該數(shù)據(jù)包。

　　檢查請(qǐng)求類型

　　防火墻檢查數(shù)據(jù)包的內(nèi)容(請(qǐng)求的服務(wù)端口號(hào))并對(duì)照防火墻中已配置好的各種規(guī)則，以便確定是否向數(shù)據(jù)包提供相應(yīng)的服務(wù)。如果防火墻對(duì)所請(qǐng)求的端口號(hào)不提供服務(wù)，則將這一企圖作為潛在的威脅記錄下來(lái)并拒絕該請(qǐng)求。

　　本例中，數(shù)據(jù)包的內(nèi)容表明請(qǐng)求服務(wù)是Telnet，即請(qǐng)求端口號(hào)為23且防火墻的配置規(guī)則是支持這類請(qǐng)求的服務(wù)。

　　調(diào)用相應(yīng)的程序

　　由于防火墻對(duì)所請(qǐng)求的服務(wù)提供支持，所以防火墻利用其他配置信息將該服務(wù)請(qǐng)求傳送至相應(yīng)的代理服務(wù)。

　　本例中，防火墻將Telnet請(qǐng)求傳送給Telnet代理進(jìn)行處理。

　　對(duì)請(qǐng)求進(jìn)行處理

　　現(xiàn)在代理服務(wù)以目的主機(jī)的身份并采用與應(yīng)用請(qǐng)求相同的協(xié)議對(duì)請(qǐng)求進(jìn)行響應(yīng)。應(yīng)用請(qǐng)求方認(rèn)為它是與目標(biāo)主機(jī)進(jìn)行對(duì)話。

　　然后，代理服務(wù)通過(guò)另一塊網(wǎng)卡以自己真實(shí)的身份代替客戶方，向目標(biāo)主機(jī)發(fā)送應(yīng)用請(qǐng)求。如果應(yīng)用請(qǐng)求成功，則表明客戶端至目標(biāo)主機(jī)之間的應(yīng)用連接成功地建立了。注意，與包過(guò)濾防火墻不同，代理服務(wù)型防火墻是通過(guò)兩次連接實(shí)現(xiàn)客戶機(jī)至目標(biāo)主機(jī)之間的連接的，即客戶機(jī)至防火墻、防火墻至目標(biāo)主機(jī)。

　　另外，通過(guò)對(duì)防火墻進(jìn)行適當(dāng)?shù)呐渲?，可以在防火墻替客戶機(jī)向目標(biāo)主機(jī)發(fā)送應(yīng)用請(qǐng)求之前對(duì)客戶方進(jìn)行身份驗(yàn)證。驗(yàn)證方法包括SecureID、S/Key、RADIUS等。

　　本例中，客戶方現(xiàn)與防火墻建立Telnet連接，然后防火墻立即向客戶方發(fā)出身份驗(yàn)證要求。若驗(yàn)證通過(guò)，則防火墻替客戶方向目標(biāo)主機(jī)發(fā)送應(yīng)用請(qǐng)求;否則，防火墻斷開它與客戶方已建立的連接。

　　2、性能特點(diǎn)

　　提供的安全級(jí)別高于包過(guò)濾型防火墻

　　代理服務(wù)型防火墻可以配置成唯一的可被外部看見的主機(jī)以保護(hù)內(nèi)部主機(jī)免受外部攻擊

　　可以強(qiáng)制執(zhí)行用戶認(rèn)證

　　代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控制會(huì)話，所以能提供較詳細(xì)的審計(jì)日志

　　代理的速度比包過(guò)濾慢

　　代理服務(wù)型防火墻中的佼佼者AXENT Raptor完全是基于代理技術(shù)的軟件防火墻。

　　隨著因特網(wǎng)絡(luò)技術(shù)的發(fā)展，不論在速度上還是在安全上都要求防火墻技術(shù)也要更新發(fā)展，基于上下文的動(dòng)態(tài)包過(guò)濾防火墻就是對(duì)傳統(tǒng)的包過(guò)濾型和代理服務(wù)型防火墻進(jìn)行了技術(shù)更新。