第六章防火墙技术.doc

第六章 防火墙技术 第一节 防火墙功能及分类 一、防火墙的功能 防火墙是网络安全的第一道防线。防火墙在一个机构的私有网络和外部网络间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视、过滤所有流入和流出的网络流量。只有经过精心选择的数据包才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中式安全管理在经济性方面占优势。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 防火墙可以对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并记录在日志中，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙还能进行适当的报警，并提供网络是否受到监听和攻击的详细信息；另外，收集一个网络的使用和误用情况也是非常重要的。首先可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防火墙可以防止内部信息的外泄。防火墙在内部网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的信息。当远程节点侦测内部网络时，他们仅仅能看到防火墙。内部细节如Finger，DNS等服务被很好地隐蔽起来。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。Finger所显示的信息非常容易被攻击者所获悉并利用。通过Finger攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙同样可阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。另外，利用防火墙对内部网络的划分，可实现对内部网的重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 除了安全作用，防火墙还可以支持虚拟专用网(VPN)。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，通过Internet有机地联成一个整体。不必使用昂贵的专用通信线路，而且通过使用IPsec等通信安全协议可保证信息在Internet上传递时的安全性。 二、防火墙的分类 防火墙有许多种形式，有以软件形式运行在普通计算机上的，也有以固件形式设置在路由器之中的。按照不同的角度可对防火墙做出不同的分类。 （一）按照软硬件功能分配分类 软件防火墙：软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。常用的“个人防火墙”也属于这类。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。软件防火墙中具有代表性的产品是Checkpoint。 硬件防火墙：这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上所谓二字是针对芯片级防火墙来说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有Unix、Linux和FreeBSD系统。值得注意的是，此类防火墙采用的是别人的内核，因此依然会受到操作系统本身的安全性影响。 芯片级防火墙：芯片级防火墙基于专门的硬件平台。专有的ASIC芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙采用固化于硬件的专用操作系统，防火墙本身的漏洞比较少，不过价格相对比较高昂。 （二）按照检查协议深度分类 包（packet）是网络上信息流动的单位，在网上传输的文件一般在发送端被划分成一系列包，经过网络上的中间站点转发，最终到达目的地，然后这些包中的数据又重新组成原来的信息。每个包包括两部分：数据部分和包头，包头中含有源地址和目的地址等信息。防火墙按照其分析网络包的协议深度可分为三种：包过滤防火墙、应用级网关和状态检测防火墙。 1、包过滤防火墙 包过滤通过拦截数据包，检查包头，过滤掉不应转发的信息，放行合法数据包。包过滤器又称为筛选路由器，它通过将包