防火墙

1.简介

计算机可以连接到世界上任何计算机，不管相距多吗遥远，但是，这也给网络支持人员带来了难题，防止公司网络免受各种攻击是一项非常艰巨的工作。广义上看，这些攻击有如下两大类：
1.大多数公司的网络中有大量不宝贵和机密的数据。
2.除内部信息泄露外，病毒和蠕虫之类的东西也可能进入公司网络，从而造成危害。
下图描述了来自公司网络内外的各种威胁：

只要信息经过加密，即使泄露到公司外部，其他人也看不懂，但是加密不能防止外部危险的侵入。为此，需要用更好的机制防止外部攻击，这就是防火墙（firewall）。防火墙就相当于重要场所的门卫，一经启用，就可以站在公司网与外部世界之间，保护公司网络，公司网络与Internet之间的任何听信流都要经过防火墙。防火墙确定让通信流通过与否，如下图所示：

从技术上说，防火墙是路由器的特殊版本。除了基本路由功能与规则之外，路由器还可以配置防火墙功能，但这要借助其他软件资源。好的防火墙应具有系列特征：
1.从内到外和从外到内的所有通信流都要经过防火墙，为此，首先要防止对本地网的所有访问，任何访问都必须经过防火墙允许。
2.只允许本地安全策略授权的通信经过。
3.防火墙本身要足够强大，使得不会被攻破。

2.防火墙的类型

根据过滤通信流所用的准则，可以将防火墙分成两类，分别为分组过滤和应用网关。

2.1 分组过滤

分组过滤（packet filter）对每个分组采用一组过滤准则，然后根据结果确定是转发还是丢弃该分组。分组过滤也称为扫描路由器或扫描过滤。这种防火墙将一个路由器配置成过滤两个方向的分组，从本地网到外部网到本地网。其过滤规则是基于IP与TCP/UDP头中的几个字段。下图显示了分组过滤的思想：

分组过滤完成下列功能：
1.接收每个到达的分组。
2.对分组采用规则，根据IP和传输头字段内容进行处理。如果匹配一组规则，则根据该规则确定是转发还是丢弃该分组。
3.如果没有匹配的规则，则采用默认动作。默认动作可以丢弃所有分组或接收所有分组。通常，防火墙首先默认认为默认为丢弃所有分组，然后再逐个执行规则，以加强分组过滤。
分组过滤的主要优点是简单性。用户根本不必意识到分组过滤的存在。分组过滤非常快，但是，存在两个缺点：一个缺点是很难正确设置分组过滤规则，另一个是缺乏认证支持。
攻击者可以用下列技术来破解分组过滤安全性：
1.IP地址伪装：来自公司网络外部的入侵者可以向公司网络发送一个分组，将源IP地址设置为等于内部用户的一个IP地址。要对付这种攻击，可以丢弃防火墙输入端收到的源IP地址设置为内部地址的所有分组。
2.源路由攻击：攻击者可以指定分组在Internet上移动时要经过的路由。攻击者希望，通过指定这个选项，可以绕过分组过滤器的正常检查。要对付这种攻击，可以丢弃使用了这个选项的所有分组。
3.微小数据段攻击：IP分组经过各种物理网络，所有这些网络都预定了最大的帧长度，称为最大传输单元（Maximum Transmission Unit，MTU）。很多时候，IP分组长度大于底层网络所允许的最大长度。这是，IP分组要进行分段，以便物理帧可以容纳和进一步传递。攻击者可以利用TCP/IP协议族的这个特性，故意生成原原IP分组的数据段进行发送，目的是想蒙骗分组过滤器，使其检查第一个块，而不检查后面的块。
一种高级的分组过滤是动态分组过滤（dynamic packet filter）或有状态分组过滤（stateful packet filter）。动态分组过滤可以根据网络当前状态检查分组，即根据当前信息进行调整，而正常分组过滤的路由规则是固定的。动态分组过滤需要维护当前打开的连接和输出分组列表，以使用这个规则，因此，它是动态的和有状态的。

2.2 应用网关

应用网关（application gateway）也称为代理服务器（proxy server），这是因为他想代理一样，决定应用层通信流的流向。应用网关通常工作如下：
1.内部用户用HTTP与TELNET之类TCP/IP应用程序访问应用网关。
2.应用网关向用户查询，用户要建立连接进行实际通信的是哪台远程主机（域名、IP地址等）。应用网关还询问访问应用网关所需要的用户名和口令。
3.用户向应用网关提供这些信息。
4.应用网关以用户身份访问远程主机，将用户的分组传递到远程主机。应用网关有个变体称为电路网关，它可以执行与应用网关不同的其他一些功能。事实上，电路网关在自己与远程主机之间建立一个新连接，而用户并没有意识到这些，以为是自己与远程主机之间有直接连接。而且，电路网关将分组的源IP地址从用户IP地址改变成自己的IP地址，这样，外部世界不知道内部用户计算机的IP地址。
5.应用网关成为实际终端用户的代理，在用户与远程主机之间传递分组。
应用网关通常比分组过滤更安全，因为它不是用一组规则检查每个分组，而是检查用户是否可以使用某个TCP/IP应用程序。应用网关的缺点是连接开销，这里实际上有两组连接：一组是在终端用户与应用网关之间，另一组在应用网关与远程主机之间。应用网关也称为堡垒主机，通常堡垒主机是网络安全的关键点。

2.3 网络地址转换

防火墙或代理服务器要完成的一个有趣工作是进行网络地址转换（Network Address Transmission，NAT）。NAT允许用户在自己内部拥有大量的IP地址，但外部只有一个IP地址。只有外部流量才需要外部地址，内部流量可以内部地址工作。Internet机构规定，某些IP地址必须只能用作内部IP地址。其他的则必须用作外部IP地址。只需查询一个IP地址，就可以确定它是内部还是外部地址。同样，有了这种分类，路由器和主机也不会发生混淆。
任何个人或组织可以使用这些范围之内的任意地址作为内部IP地址，无须获得任何人的许可。在一个组织的网络中，该地址范围内的任何地址都是唯一的，但在组织的网络外部则不必是唯一的。
在现实实际中，NAT的配置类似于下图所示：

可以看到，路由器有两个地址：一个外部IP地址，一个内部IP地址。外部世界（即Internet的其余部分）
通常外部地址201.26.7.9来引用路由器，而内部主机则通过内部地址192.168.100.10来引用该路由器。注意，内部主机具有内部IP地址（192.168.x.x）。这意味着，外部世界永远只看到一个IP地址：NAT路由器的外部IP地址。

3.防火墙配置

在实际实现时，防火墙通常是分组过滤与应用网关的组合，因此，可以有三种可能的防火墙配置，分别为：单宿堡垒的扫描主机防火墙、双宿堡垒扫描主机防火墙和扫描子网际防火墙。

3.1 单宿堡垒的扫描主机防火墙

在单宿堡垒的扫描主机防火墙配置中，防火墙设置由两个部分组成：一个分组过滤路由器和一个应用网关。它们的作用是：1分组过滤保证只允许要发送到应用网关的输入通信流，即从Internet到公司网络，才能通过。这可以通过检查每个输入IP分组的目的地地址字段来实现。同样，它还保证只有来自应用网关的输出通信流才能通过，这可以通过检查每个输出IP分组的源地址字段来实现。应用网关完成认证与代理功能。下图显示了这个配置：

这个配置要同时检查分组和应用层，从而提高了网络安全性。网络管理员可以定义更详细的安全策略，因此更加灵活。但是可以看出，这里的一个缺点是内部用户需要与应用网关和分组过滤连接，因此，如果分组过滤被破解，则攻击者就可以访问整个内部网路。

3.2 双宿堡垒的扫描主机防火墙

这个配置避免了内部主机与分组过滤的直接连接，分组过滤只是连接应用网关，应用网关再连接内部主机。因此，即使分组过滤被破解，攻击者只能访问应用网关，从而保护主机，如下图所示：

3.3 扫描子网防火墙

扫描子网防火墙是最安全的防火墙配置。它在双宿堡垒的扫描主机防火墙基础上进一步改进。这里使用两个分组过滤，一个在Internet与应用网关之间，另一个在应用网关与内部网络之间，如下图所示：

这样，攻击者入侵需要破解三道防线，因此难度大增。攻击者要进入内部网路，首先要破解分组过滤和应用网关。

4.非军事区网络

非军事区（Demilitarized Zone，DMZ）网络与防火墙体系结构非常相似。防火墙可以布置成非军事区。只要某个组织需要提供能让外部访问的服务器时才需要用到非军事区。为此，防火墙至少有3个网络接口，一个接口连接内部专用网，第二个连接外部公用网，第三个连接公用服务器（构成非军事区网络）。
这种模式的主要优点是可以限制非军事区任何服务的访问。内部专用网并不直接连接非军事区，因此，即使攻击者能攻进非军事区，内部专用网也是安全的，攻击者也无法访问它。

5.防火墙的局限性

防火墙的局限性如下：
1.内部攻击：防火墙系统能够地址外部攻击，但如果内部用户攻击内部网络，则无法用防火墙来防止。
2.直接Internet通信流：防火墙的配置要格外小心，必须是企业网络的唯一出入口时才有效。但如果防火墙只是多个出入口的一个，则用户可以越过防火墙，通过其他出入口与Internet进行信息交换，从而可以通过这些出入口攻击内部网络。
3.病毒攻击：防火墙无法防止病毒攻击内部网络。这是因为，防火墙无法扫描每个文件或分组中的病毒内容。因此，必须用单独的病毒探测装置与删除机制来防止病毒攻击。有些提供商把防火墙产品与反病毒软件捆绑在一起，同时提供这两个防御设施。