[5.3防火墙的安全体系结构.ppt

5.3 防火墙的安全体系结构 目前市场上的大多数防火墙为避免单一技术的不足，通常都是包过滤（Packet filtering firewall）、电路级网关（Circuit level gateway）、应用级网关（Application level gateway）、 状态监测防火墙（Stateful Inspection Firewall）这几种技术中的二、三种相结合的设计方式。 采用的安全体系结构一般是在网络层进行IP包过滤，在应用层实现代理服务机制的体系结构，并实时的进行状态监控。这些防火墙将信息分析功能、包过滤功能、多种反电子欺骗手段等多种安全措施综合运用。根据系统管理员事先设定的安全规则 （Security Rules）保护内部网络，可以提供完善的安全性设置，通过高性能的网络核心进行访问控制，同时提供网络地址转换（Network Address Translation）、透明的代理服务（Transparent Proxy）、信息过滤（Filter）、双机热备份、流量控制和分析、用户认证授权等功能。 这样防火墙标准配置提供四个网络接口，将网络信息划分为不同的安全通道。基于每个安全通道定义不同的安全策略。 其结构如图 5.15所示 内部网即内部网络是被保护的网络，不对外开放，也不对外提供任何服务，所以外部用户不能直接访问内部网络，并且检测不到内部网络的IP地址段，防火墙的主要目的就是屏蔽外部攻击，保证内部网络安全。 DMZ 区又称非军事化区，主要部署服务器，同时对外部网和内部网提供服务，属于的开放性区域，也是被攻击的对象。由于该部分是与内部网络相隔离开的，因此即使服务器受到攻击，也不会危及内部网络的安全。 外部网即外部网络（主要指Internet），针对内部网络和DMZ区的大多数威胁和入侵都从这里发起。 管理接口对防火墙的所有配置进行设置，方法是通过加密的信息通道对防火墙进行设置和操作。 防火墙四个网络接口相对独立，管理员能够通过管理接口实现对四个网络接口间的通讯进行访问控制，监视和查询网络故障，并提供内部监控、日志审计等功能。 以上安全体系结构的防火墙是目前市场上专业防火墙采用的典型配置，当然用户可以在此基础上针对自身网络的特点，依据实际情况灵活地使用防火墙的各个网络接口。例如，有些网络不提供DMZ区。 高端防火墙一般都是以TCP/IP和相关的应用协议为基础，分别在应用层、传输层、网络层与数据链路层对内外通讯进行监控。应用层主要于对连接所用的具体协议内容进行检测。传输层和网络层主要对IP、ICMP、TCP和UDP协议的安全策略进行访问控制。数据链路层实现 MAC 地址检查， 防止IP 欺骗。 在没有安装防火墙时的网络结构图如下: 通过防火墙安全体系结构的特点，用户一般对防火墙采取如下选择原则。 设计和选用防火墙首先要明确哪些内部数据是必须保护的，这些数据的被侵入会造成的后果，并对内部网络采用分区域管理，对不同区域设置不同等级的安全级别。根据安全级别确定在该区域需要采用的防火墙安全标准。另外设计和选用防火墙还必须与网络接口相匹配。尽量防止所有可能遭受的威胁。防火墙作为网络安全体系的基础和核心控制设备，它位于受保护网络（一般为内部网络）的通信主干线，对通过通信主干线的任何通信行为进行安全处理、审核。针对不同情况采取控制数据流向、审计、抛弃数据包、报警反应等行动，同时也承担着繁重的通信任务即数据转发。由于防火墙本身处于网络系统中的核心位置和主要被攻击点，因此在品种繁多的防火墙品种中选用一个安全、稳定和可靠的防火墙产品，其重要性是不言而喻，直接关系到整个网络系统的安全与否。 1．防火墙自身的安全性 防火墙自身的安全主要体现在自身设计和管理两个方面。防火墙自身软件系统主要分为防火墙操作系统和应用系统。而设计的安全关键就是在于防火墙的操作系统，只有操作系统自身具有完整信任关系才可以保证系统的安全。而应用系统的安全又是以操作系统的安全为基础的，应用系统是衡量一个防火墙性能的关键。可见防火墙自身的安全实现也直接影响整体系统的安全性。通过经验只有那些防火墙采用了专用硬件平台，并采用基于安全的专用操作系统的防火墙才可能最大限度的保证防火墙自身安全。 例如，在当前的网络攻中，拒绝服务攻击是使用频率最高的方法，很多大型网站遭受的大多是拒绝服务攻击，因此在为网站选择防火墙时一定要首先确保防火墙本身具有较强的抗拒绝服务攻击的能力。拒绝服务攻击一般分为两类：一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的，由此带来的攻击种类很多，只有通过打补丁的办法来解决；另一类是由于TCP／IP协议本身的缺陷造成的，这种情况目前只有几种，但危害性非常大，很难从根本上解决。由于系统缺陷被攻击和病毒的直接