防火墙技术

1，概述

• 防火墙（Firewall）是一种将内部网络和外部网络分开的方法，是提供信息安全服务，实现网络和信息系统安全的重要基础设施，主要用于限制被保护的内部网络与外部网络之间进行的信息存取及信息传递等操作。
• 防火墙是一个分离器，一个限制器，也是一个分析器，可有效地监控内部网络和外部网络之间的任何活动，保证内部网络的安全。
• 防火墙作用是阻断来自外部网络对内部网络的威胁和入侵，提供保护网络安全和审计的第一道关卡。
• 防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件。
• 防火墙配置在不同网络或网络安全域之间。

1，防火墙的功能

• 对数据和访问的控制，对网络活动的记录，是防火墙发挥作用的根本和关键。
• 无论何种防火墙都应具备五大基本功能：
  • 过滤进，出网络的数据。
  • 管理进，出网络的访问行为。
  • 封堵某些禁止的业务。
  • 记录通过防火墙的信息内容和活动。
  • 对网络攻击的检测和告警。

1，过滤进，出网络的数据

• 根据事先定义好的策略允许或禁止这些数据进行通信。不为网络中的某一台计算机提供特殊的安全防护，简化了管理，提高了效率。

2，管理进，出网络的访问行为

• 通过将动态的，应用层的过滤能力和认证相结合，实现对WWW，HTTP，FTP和Telnet等的支持。

3，封堵某些禁止的业务

• 传统的内部网络与外界相连后，会将自己的一些隐私服务暴露在外，可利用防火墙对相应的服务进行封堵。

4，记录通过防火墙的信息内容和活动

• 便于网络管理员维护。

5，对网络攻击检测和告警

• 主要通过以下五方面实现

1，控制不安全的服务

• 只有授权的协议和服务才能通过防火墙。

2，站点访问控制

• 从外界可以访问某些主机，却不能非法地访问另一些主机，即在网络的边界上形成一道保护屏障。

3，集中安全保护

• 将需要保护的软件放置到防火墙系统上，而不是分散到每个主机中。

4，强化私有权

• 使用防火墙系统，站点可以防止finger及DNS域名系统。
  • finger会列出当前使用者的名单，他们上次登录的时间，以及是否读过邮件等。finger同时会不经意地告诉攻击者该系统地使用频率，是否有用户正在使用，以及是否可能发动攻击而不被发现。

5，网络连接的日志记录及使用统计

• 日志是对一些可能的攻击进行分析和防范的十分重要的信息。
• 通过对统计结果的分析，可以使网络资源得到更好的使用。

2，防火墙的局限性

1，网络的安全性通常是以网络服务的开放性和灵活性为代价

• 由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍。
• 由于防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。

2，防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失

• 只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力。
• 不能解决来自内部网络的攻击和安全问题。
• 不能防止受病毒感染的文件的传输。
• 不能防止策略配置不当或错误配置引起的安全威胁。
• 不能防止自然或人为的故意破坏。
• 不能防止本身安全漏洞的威胁。

2，防火墙体系结构

• 按照OSI模型的安全要求，防火墙可以在OSI七层中的五层设置。防火墙从功能上分，分为如下结构：

• 防火墙体系结构一般有以下几种：
  • 双重宿主主机体系结构
  • 屏蔽主机体系结构
  • 屏蔽子网体系结构

1，双重宿主主机体系结构

• 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构建的。

• 该计算机至少有两个网络接口。这样主机可以充当与这些接口相连的网络间的路由器。

• 能够从一个网络往另一个网络发送IP数据包。

  • IP数据包并不是直接发送到其他网络的，防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统能与双重宿主主机通信，但是这些系统不能直接互相通信，之间的IP通信被完全阻止。

2，屏蔽主机体系结构

• 屏蔽主机体系结构中，提供安全保护的主机仅仅与被保护的内部主机相连。屏蔽主机体系结构还使用一个单独的过滤路由器来提供主要安全。
• 堡垒主机位于内部的网络上，是外部网络上的主机连接到内部网络上的系统的桥梁。
• 数据包过滤也允许堡垒主机开放可允许的连接（由用户站点的安全策略决定什么是可允许的）到外部网络。
• 路由器中数据包过滤配置可以按下列方法执行。
  • 允许其他的内部主机为了某些服务与外部网络上的主机连接。
  • 不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）
• 多数情况下，被屏蔽主机体系结构比双重宿主主机体系结构能提供更好的安全性和可用性。

3，屏蔽子网体系结构

• 屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，通过添加周边网络更进一步地把内部网络与Internet隔离开。
• 屏蔽子网体系结构地最简单地形式为两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与被保护地内部网络之间，另一个位于周边网与外部网络之间（一般为Internet）。
  

1，周边网络

• 周边网络是另一个安全层，是在外部网络与用户地被保护地内部网络之间附加的网络。如果侵袭者成功地侵入用户地防火墙地外层领域，周边网络在那个侵入者与用户的内部系统之间提供一个附加的保护层。
• 对于周边网络，如果某人入侵周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信仅从周边网络来往于外部网络或者从周边网络来往于堡垒主机，因为没有严格的内部通信能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。

2，堡垒主机

• 主要功能如下
  • 接受外来的电子邮件（SMTP），再分发给相应的站点。
  • 接受外来的FTP连接，再转接到内部网的匿名FTP服务器。
  • 接受外来的对有关内部网站点的域名服务（DNS）查询。

3，内部路由器

• 内部路由器保护内部的网络使之免受外部网和周边网的侵犯。
• 内部路由器完成防火墙的大部分数据包过滤工作。允许从内部网络到外部网的有选择的外连服务。

4，外部路由器

• 理论上，外部路由器保护周边网和内部网使之免受来自外部网络的侵犯。
• 事实上，外部路由器倾向于几乎让所有周边网的外出请求通过，通常只执行非常少的数据包过滤。
• 外部路由器一般由外界提供（如：ISP），所以用户对外部路由器的访问是受限的。
• 外部路由器能有效地执行的安全任务是：阻断从外部网络上伪造源地址进来的任何数据包。这样的数据包自称来自内部网络，但实际上是来自外部网络。

4，防火墙体系结构的组合形式

1. 使用多堡垒主机。
2. 合并内部路由器与外部路由器。
3. 合并堡垒主机与外部路由器。
4. 合并堡垒主机与内部路由器。
5. 使用多台内部路由器。
6. 使用多台外部路由器。
7. 使用多个周边网络。
8. 使用双重宿主主机与屏蔽子网。

3，防火墙技术

• 从工作原理角度防火墙主要可以分为网络层防火墙和应用层防火墙。具体实现技术主要有包过滤技术，代理服务技术，状态检测技术和NAT技术等。

1，包过滤技术

• 包过滤防火墙工作在网络层，通常基于IP数据包的源地址，目的地址，源端口和目的端口进行过滤。
• 优缺点：
  • 优点：效率比较高，对用户来说是透明的。
  • 缺点：对于大多数服务和协议不能提供安全保障，无法有效地区分同一IP地址的不同用户，并且包过滤防火墙难于配置，监控和管理，不能提供足够的日志和报警。
• 数据包过滤（Packet Filtering）技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（Access Control List，ACL）。通过检查数据流中每个数据包的源地址，目的地址，所用的端口号和协议状态等因素或它们的结合，来确定是否允许该数据包通过。
• 数据包过滤器通常安装在路由器上。
• 数据包过滤防火墙的缺点：
  • 非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击。
  • 数据包的源地址，目的地址及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

1，包过滤模型

• 包过滤检查模块位于网络层和数据链路层之间，抢在操作系统或路由器的TCP层对IP包的所有处理之前对IP包进行处理。

2，包过滤的工作原理

• 数据包过滤技术可以允许或不允许某些数据包在网络上传输，主要依据如下：
  • 数据包的源地址。
  • 数据包的目的地址。
  • 数据包的协议类型（TCP，UDP，ICMP等）。
  • TCP或UDP的源端口。
  • TCP或UDP的目的端口。
  • ICMP消息类型。
• 大多数包过滤系统判决是否传送数据包时都不关心包的具体内容。包过滤系统只能进行类似下面情况的操作：
  • 不让任何用户从外部网用Telnet登录。
  • 允许任何用户使用SMTP往内部网发电子邮件。
  • 只允许某台计算机通过NNTP往内部网发新闻。
• 包过滤不能允许进行如下的操作：
  • 允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。
  • 允许用户传送一些文件而不允许用户传送其他文件。
• 包过滤系统的主要特点是可在一台计算机上提供对整个网络的保护。
• 包过滤不需要用户软件的支持，也不要求对客户机进行特别的设置，也没有必要对用户进行任何培训。

3，包过滤路由器的配置

• 首先要确定那些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。
• 有关服务翻译成包过滤规则时非常重要的概念：
  • 协议的双向性
    • 协议包括一方发送一个请求而另一方返回一个应答。
    • 在制定包过滤规则时，要注意包是从两个方向来到路由器的。
  • “往内”与“往外”的含义
    • 必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的含义。
    • 一个往外的服务同时包含往外的包和往内的包。
  • “默认允许”与“默认拒绝”
    • 网络的安全策略中有两种方法：默认拒绝（没有明确地被允许就应被拒绝）与默认允许（没有明确地被拒绝就应被允许）
    • 从安全角度考虑，用默认拒绝更合适。

4，包过滤处理内核

1，网络安全策略

• 包过滤可用来实现大范围内的网络安全策略。网络安全策略必须清楚地说明被保护的网络和服务的类型，它们的重要程度和这些服务要保护的对象。
• 网络安全策略主要集中在阻截入侵者。其工作重点是阻止外来用户的突然侵入和故意暴露敏感性数据。
• 网络安全策略的目标就是要提供一个透明机制，以便这些策略不会对用户产生障碍。

2，包过滤策略

• 包过滤器通常置于一个或多个网段之间。网段分为外部网段和内部网段。
• 包过滤器设备的每个端口都可用来完成网络安全策略，该策略描述了通过此端口可访问的网络服务类型。
• 一般情况包过滤设备只连接两个网段，即外部网段和内部网段。
• 包过滤用来限制那些它拒绝的服务的网络流量。

3，包过滤器操作

• 包过滤设备的工作方式
  • 包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准称为包过滤规则。
  • 当包到达端口时，对包的报头进行语法分析，大部分的包过滤设备只检查IP，TCP或UDP报头中的字段，不检查数据的内容。
  • 包过滤规则以特殊的方式存储。
  • 如果一条规则阻止包传输或接收，此包便不允许通过。
  • 如果一条规则允许包传输或接收，该包可以继续处理。
  • 如果一个包不满足任何一条规则，该包被丢弃。

5，包过滤技术的缺陷

• 不能彻底防止地址欺骗。
• 无法执行某些安全策略。
• 安全性较差。
• 一些应用协议不适合于数据包过滤。
• 管理功能弱。

2，代理服务技术

• 代理服务（Proxy）技术，分为应用层网关和电路层网关。

1，代理服务原理

• 代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接收服务器应答，并进行进一步处理后，将应答交给发出请求的最终客户。
• 代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内，外部网络的作用，所以又被称为代理防火墙。
• 代理防火墙工作于应用层。通过编程来弄清楚用户应用层的流量，并能在用户层和应用协议层间提供访问控制。记录和控制所有进出流量的能力是应用层网关的主要优点之一。
• 代理服务器（Proxy Server）作为内部网络客户端的服务器，拦截所有请求，也向客户端转发请求。代理客户机（Proxy Client）负责代表内部客户端向外部服务器发出请求，也向代理服务器转发响应。

2，应用层网关型防火墙

1，原理

• 应用层网关（Application Level Gateways）防火墙是传统代理型防火墙，核心技术就是代理服务器技术，基于软件的，通常安装在专用工作站系统上。
• 当某个用户想和一个运行代理的网络建立联系时，此代理会阻塞这个连接，然后在过滤的同时，对数据包进行必要的分析，登记和统计，形成检查报告。

2，优点

• 安全，由于每个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网络。

3，缺点

• 速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时（如达到75M~100Mbit/s时），代理防火墙就会成为内外网络之间的瓶颈。

3，电路层网关防火墙

• 电路层网关（Circuit Level Gateway）或TCP通道（TCP Tunnels）。
• 防火墙不建立被保护的内部网和外部网的直接连接，而是通过电路层网关中继TCP连接。在电路层网关中，包被提交到用户应用层处理。电路层网关用来在两个通信的终点之间转换包。
• 电路层网关是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。一般采用自适应代理技术，也称为自适应代理防火墙。它结合了应用层网管型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高了10倍以上。在电路层网关中需要安装特殊的客户机软件。组成这种类型防火墙的基本要素有两个：
  • 自适应代理服务器（Adaptive Proxy Server）
  • 动态包过滤器（Dynamic Packet Filter）
• 在自适应代理和动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型和安全级别等信息通过相应Proxy的管理界面进行设置就可以了。
• 电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分成两段。防火墙内外计算机系统间应用层的“链接”由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。

4，代理技术优点

• 易于配置
• 生成各项记录
• 灵活，完全地控制进出流量，内容
• 过滤数据内容
• 为用户提供透明的加密机制
• 方便地与其他安全手段集成

5，代理技术缺点

• 代理速度较路由器慢
• 代理对用户不透明
• 对于每项服务代理可能要求不同的服务器
• 代理服务不能保证免受所有协议弱点的限制
• 代理不能改进底层协议的安全性

3，状态检测技术

1，状态检测技术的工作原理

• 状态检测技术也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的情况下，采用抽取有关数据的方法对网络通信的各层实施检测。将抽取的状态信息动态地保存起来作为以后执行安全策略地参考。检测引擎维护一个动态地状态信息表并对后续地数据包进行检查，一旦发现某个连接地参数有意外变化，则立即将其终止。
• 状态检测防火墙监视和跟踪每一个有效连接地状态，并根据这些信息决定是否允许网络数据包通过防火墙。在协议栈底层截取数据包，分析这些数据包地当前状态，并将其与前一时刻对应地状态信息进行比对，得到对该数据包的控制信息。
• 状态检测技术采用一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。

2，状态检测防火墙可提供的额外服务

• 将某些类型的连接重定向到审核服务中去。
• 拒绝携带某些数据的网络通信。

3，状态检测技术的特点

• 高安全性
• 高效性
• 可伸缩性和易扩展性
• 应用范围广

4，NAT技术

1，NAT技术的工作原理

• 网络地址转换（Network Address Translation，NAT），是一个Internet工程任务组（Internet Engineering Task Force，IETF）的标准，允许一个整体机构以一个公用IP地址出现在互联网上。即是一种把内部私有IP地址翻译成合法网络IP地址的技术。
• 通过这种技术，可以只申请一个合法IP地址，就把整个局域网中的计算机接入互联网。此时，NAT屏蔽了内部网络，所有内部网络计算机对于公共网络来说是不可见的，而内部网络计算机用户通常不会意识到NAT的存在。
• NAT通常被集成到路由器，防火墙，ISDN路由器或单独的NAT设备中。

2，NAT技术类型

• 静态NAT（Static NAT）
  • 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
• 动态NAT（Pooled NAT）
  • 在外部网络中定义了一系列的合法地址没采用动态分配的方法映射到内部网络。
  • 只转换IP地址，它为每个内部的IP地址分配一个临时的外部IP地址，主要用于拨号。
• 网络地址端口转换NAPT（Port-Level NAT）
  • 把内部地址映射到外部网络的一个IP地址的不同端口上。

3，NAT技术优点

• 内部的IP地址对外面的人来说是隐藏的。
• 用于解决IP地址资源紧张问题。
• 可以启用基本的包过滤防火墙安全机制。