防火墙技术

防火墙技术

防火墙（Firewall）通常是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合（包括硬件和软件）。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器、限制器，也是一个分析器，能有效地监控内部网与Internet之间的任何活动，保证内部网络的安全。

由于防火墙设定了网络边界和服务，因此，更适合于相对独立的网络，例如Intranet等。防火墙成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护的，这是对黑客最严格的防范，是安全性较强的一种方式。任何关键性的服务器，都应放在防火墙之后。

防火墙的特性

• 内部网络和外部网络之间的所有网络数据流都必须经过防火墙
• 只有符合安全策略的数据流才能通过防火墙
• 防火墙自身应具有非常强的抗攻击免疫力

防火墙的功能

防火墙能增强内部网络的安全性，加强网络间的访问控制，防止外部用户非法使用内部网络资源，保护内部网络不被破坏，防止内部网络的敏感数据被窃取。防火墙系统能够决定外界可以访问哪些内部服务，以及内部人员可以访问哪些外部服务。

• 支持安全策略。即使在没有其他安全策略的情况下，也应该支持“除非特备许可，否则拒绝所有的服务“的设计原则。
• 易于扩充新的服务和更改所需的安全策略
• 具有代理服务功能（例如FTP、Telnet等），包含先进的鉴别技术。
• 采用过滤技术，根据需求，允许或拒绝某些服务。
• 具有灵活的编程语言，界面友好，且具有很多过滤属性，包括源和目的IP地址、协议类型、源和目的TCP/UDP端口，以及进入和输出的接口地址。
• 具有缓冲存储功能，提高访问速度。
• 能够接纳对本地网的公共访问，对本地网的公共信息服务进行保护，并根据需要删减或扩充。
• 具有对拨号访问内部网的集中处理和过滤能力。
• 具有记录和审计功能，包括允许等级通信和记录可以活动的方法，便于检查和审计。
• 防火墙设备上所使用的操作系统和开发工具都应该具备相当等级的安全性。
• 防火墙应该是可检验和可管理的。

防火墙的体系结构

堡垒主机在防火墙体系结构中起着至关重要的作用，它专门用来击退攻击行为。网络防御的第一步，是寻找堡垒主机的最佳位置，堡垒主机为内网和外网之间的所有通道提供一个阻塞点。没有堡垒主机，就不能连接外网，同样，外网也不能访问内网。如果通过堡垒主机来集中网络权限，就可以轻松地配置软件来保护网络。

双宿主主机体系结构

双宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口，其中一些接口连接到另一个网段，这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另外一个网络发送IP数据包。

屏蔽主机体系结构
防火墙没有使用路由器，但能提供来自于多个网络相连的主机的服务，而屏蔽主机体系结构使用一个单独的路由器，提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包过滤提供。

屏蔽子网体系结构
屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络，更进一步地把内部网络和外部网络（通常是Internet）隔离开。屏蔽子网体系结构最简单的形式为：两个屏蔽路由器，每一个都连接到周边网络。一个位于周边网络与内部网络之间，另一个位于周边网络与外部网络（通常为Internet）之间。这样，就在内部网络与外部网络之间形成了一个”缓冲区“，即所谓的非军事区（DeMilitarized Zone，DMZ）。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，它将仍然必须通过内部路由器。

• 内部路由器：有时被称为阻塞路由器，保护内部的网络，使之免受Internet和周边网络的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。
• 外部路由器：有时被称为访问路由器，保护周边网和内部网，使之免受来自Internet的侵犯。
• 周边网络：周边网路是另一个安全层，是在外部网络与用户的被保护的内部网络之间附加的网络。

防火墙体系结构的组合形式
在构造防火墙体系时，一般较少使用单一的技术，通常都是多种解决方案的组合。这种组合主要取决于网管中心向用户提供什么服务，以及网管中心能接受什么等级的风险。还要看投资经费、技术人员的水平和时间等问题。
一般包括一下几种形式：

• 使用多个堡垒主机
• 合并内部路由器和外部路由器
• 合并堡垒主机和外部路由器
• 合并堡垒主机和内部路由器
• 使用多个内部路由器
• 使用多个外部路由器
• 使用多个周边网络
• 使用双宿主主机与屏蔽子网

防火墙技术

包过滤技术
基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息，并根据匹配和规则决定包的前行或被舍弃，以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点，同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。

应用网关技术
应用网关技术是建立在网络应用层上的协议过滤，它针对特别的网络应用服务协议，即数据过滤协议，并且能够对数据包分析，并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信环境给予严格的控制，以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录，如什么样的用户在什么时间连接了什么站点。在实际工作中，应用网关一般由专用工作站系统来完成。

代理服务器技术
代理服务器作用在应用层，它用来提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接的作用。内部网络只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求。

防火墙的分类

从防火墙的软、硬件形式分类

• 软件防火墙
• 硬件防火墙
• 芯片级防火墙

从防火墙的技术实现分类

• 包过滤防火墙
• 应用代理防火墙
• 状态检测防火墙

从防火墙结构上分类

• 单一主机防火墙
• 路由集成防火墙
• 分布式防火墙

按防火墙的应用部署位置分类

• 边界防火墙
• 个人防火墙
• 混合防火墙

防火墙的局限性

• 不能防止来自内部变节者和不经心的用户们带来的威胁
• 无法防范通过防火墙以外的其他途径的攻击
• 不能防止传送已感染病毒的软件或文件
• 无法防范数据驱动型的攻击

防火墙的创建

• 指定安全策略
• 搭建安全体系结构
• 制定规则次序
• 落实规则集
• 注意更换控制
• 做好审计工作