上海交通大学考研复试模块小结——防火墙技术

既然上次开了这个系列，索性就把这个信息安全这一块的主流技术都介绍一遍好了。上篇博客讲了密码学，今天就来说说防火墙技术。

防火墙技术

防火墙技术是位于两个新人程度不同的网络之间的软件或者硬件设备的组合，实质上是一种控制隔离技术。它要求：

• 所有进出网络的数据流都应该通过它，并且所有穿过它的数据流都必须通过安全策略的审计和授权。
• 记录有关连接的信息和服务器的通信量。
• 记录试图闯入者的任何企图，以便管理员的检测和跟踪。

防火墙本身不是一个单独的计算机程序或者设备，而是能够提供安全策略及其实现方式的完整的系统。

防火墙的主要作用

• 限制人们从一个特定点进入
• 防止入侵者接近其他的防御设施
• 限制人们从一个特点点离开

设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道，不让那些来自不受保护的网络上的多余的未授权的信息进入专用网络，而仍能允许本地网络上的用户访问Internet，并能简化网络的安全管理。

防火墙技术的分类

一、技术分类

目前防火墙使用的技术主要有数据包过滤、应用网关和代理服务。

• 数据包过滤技术
  数据包过滤是最早使用的一种防火墙技术，它工作在网络层和传输层，把这两层的数据作为监控对象。包过滤截获所有流经的IP包，从其IP数据包包头信息、传输层协议包头以及应用层协议数据中获取过滤所需的相关信息。系统内设置有访问控制表包过滤防火墙根据控制表的过滤规则，对每个接收和发送的IP包应用这些规则，然后决定是传送此包还是丢弃此包。防火墙一般会配置成双向过滤，过滤规则基于网络包中所包含的信息，比如源IP地址、目的IP地址；目的端口号，源端口号；IP协议栈和接口等。
  可以抵御的攻击手段：能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP。
  在实际应用中，通常把包过滤防火墙作为网络的第一道安全防线！
  优点：

  • 对于一个小型的、不太复杂的站点，包过滤比较容易实现。
  • 因为过滤 路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。
  • 过滤路由器为用户提供了一种透明的服务，用户不需要改变 客户端的任何应用程序，也不需要用户学习任何新的东西。
  • 过滤 路由器在价格上一般比代理服务器便宜。

  缺点：

  • 一些包过滤网关不支持有效的 用户认证。
  • 规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能 性也会增加。
  • 这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户甚至可能还不知道。
  • 在一般情况下，如果外部用户被允许访问内部 主机，则它就可以访问内部网上的任何主机。
  • 包过滤 防火墙只能阻止一种类型的IP欺骗，即外部 主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。

• 应用网关
  应用网关防火墙在网络的应用层完成协议过滤和转发功能。它针对特定的网络应用协议使用指定的数据过滤逻辑，并在过滤的同时对数据包进行必要的登记、统计和分析，形成日志报告。数据包过滤防火墙和应用网关防火墙的共同点是仅依靠特定的逻辑来判断是否允许数据包通过。一旦满足逻辑，防火墙内外的计算机就会直接建立联系，防火墙外部的用户便有可能直接了解内部网的结构和运行状态。因此，这种方式不能有效地组织非法访问和攻击。
  可以抵御的攻击手段：可以防止一些不被允许的网络服务和不常用的应用程序与内部网络建立联系，造成内网敏感信息泄漏。

• 代理服务
  代理服务是针对数据包过滤防火墙和应用网关防火墙的缺点而引入的。它将所有跨越防火墙的网络通信链路分为两段，然后用代理服务器以软件方式来实现防火墙内外计算机系统间应用层的连接。
  

可低于的攻击手段：可有效阻止非法访问和攻击。

通常较为理想的防火墙不依赖于一种技术，而是把数据包过滤技术和代理服务器技术结合起来使用，实现二者在网络安全性、性能和透明度方面的优势互补。从而获得更高的网络安全性能和系统性能。

二、结构分类

从应用体系 结构的角度，防火墙可以分为 双宿主主机结构、屏蔽主机体系结构和屏蔽子网体系结构。

• 双宿主主机体系结构
  双宿主主机有 两个接口：一个接口与内部网络连接；另一个 接口与外部网络连接。内外网络之间不可直接通信，但可以通过应用层代理（在主机中运行代理服务器 ）的方式通信。双宿主主机防火墙结构简单，易于实现。但也十分脆弱，一旦被入侵，内部网络便向入侵者敞开大门。
  
• 屏蔽主机体系结构
  屏蔽主机体系结构使用一个屏蔽路由器和一个堡垒主机构成防火墙。堡垒主机是一种被加固的可以防御 进攻的计算机。屏蔽路由器应保证所有的输入信息必须先送往堡垒主机，并且只接收来自堡垒主机的输出信息。内部网络上的其他站点也只能访问堡垒主机。如果屏蔽路由器被穿过，整个儿网络将对入侵者开放。
  
• 屏蔽子网体系结构
  屏蔽子网体系结构增加一个把内部网与因特网隔离的周边网络（也称为非军事区，DMZ），从而进一步增强堡垒主机的安全性。它通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。
  

非军事化区域DMZ是网络管理员为了保证网络安全的同时，又要保持与外界的通信所采取的一种措施。DMZ是公司网络的一部分，但是它被放置在防火墙的外部，是进入网络的入口。我们通常将那些经常需要与外界Internet进行连接，为外部提供访问的服务器，比如web服务器，E-mail服务器等放置在DMZ区域。这样既能保证外部的访问需求，又能避免外部网络频繁访问内网而造成的安全问题。

防火墙的优点

• 防火墙定义一个遏制点用于把未授权用户阻止在受保护的网络之外 ，阻止潜在安全威胁的服务进入或离开网络，并且提供各种防止IP假冒攻击和路由攻击。使用遏制点简化了安全管理，因为单系统或多系统的安全性被巩固了。
• 防火墙提供了监视安全相关事件的场所。防火墙系统可以执行审计和警告。
• 防火墙是一个可以用于一些与安全性不想关的互联网功能的便利平台。
• 防火墙可以作为IPsec平台。

防火墙的缺点

• 防火墙不能阻止那些绕开防火墙的攻击。
• 防火墙不能完全防止内部威胁。
• 一个安全性不当的无线局域网可能会受到来自该系统外的访问。
• 笔记本电脑，掌上电脑（PDA），或者掌上存储设备可能会被使用中的网络外部利用、感染，然后再被接入到内网和在内网中被使用。
• 防火墙不能防止感染了病毒的软件或者文件的传输。
• 防火墙不能防止数据驱动式的攻击。

最后再来一个小问题：画图并简述使用公钥加密的对称密钥分发过程

【分析】
题目意思就是要对对称密钥进行分发，而为了保证对称密钥的安全，所以采用公钥对对称密钥进行加密，防止对称密钥进行泄漏。其分发过程如下图所示：

当Bob与Alice进行通信时，

• 准备消息，即需要传输的对称密钥
• 利用一次性传统会话密钥对要传输的对称密钥进行加密
• 利用Alice的公钥，使用公钥加密的方法对会话密钥进行加密
• 把加密的会话密钥附在消息上，一块发送给Alice

欢迎关注微信公众号：蜂蜜橘子！有关电子产品和考研的话题都可以聊，欢迎来找我玩耍！