防火墻的概念與技術說明

　　隨著計算機技術應用的普及，各個組織機構的運行越來越依賴和離不開計算機，各種業(yè)務的運行架構于現(xiàn)代化的網絡環(huán)境中。企業(yè)計算機系統(tǒng)作為信息化程度較高、計算機網絡應用情況比較先進的一個特殊系統(tǒng)，其業(yè)務也同樣地越來越依賴于計算機。保證業(yè)務系統(tǒng)和工作的正常、可靠和安全地進行是信息系統(tǒng)工作的一個重要話題。但是由于計算機系統(tǒng)的安全威脅，給組織機構帶來了重大的經濟損失，這種損失可分為直接損失和間接損失：直接損失是由此而帶來的經濟損失，間接損失是由于安全而導致工作效率降低、機密情報數據泄露、系統(tǒng)不正常、修復系統(tǒng)而導致工作無法進行等。間接損失往往是很難以數字來衡量的。在所有計算機安全威脅中，外部入侵和非法訪問是最為嚴重的事。

　　一、防火墻概念

　　Internet的迅速發(fā)展提供了發(fā)布信息和檢索信息的場所，但也帶來了信息污染和信息破壞的危險, 人們?yōu)榱吮Ｗo其數據和資源的安全，部署了防火墻。防火墻本質上是一種保護裝置，它保護數據、資源和用戶的聲譽。

　　防火墻原是設計用來防止火災從建筑物的一部分傳播到另一部分的設施。從理論上講，Internet防火墻服務也有類似目的，它防止Internet(或外部網絡)上的危險(病毒、資源盜用等)傳播到網絡內部。Internet(或外部網絡)防火墻服務于多個目的：

　　1、限制人們從一個特別的控制點進入;

　　2、防止入侵者接近你的其它防御設施;

　　3、限定人們從一個特別的點離開;

　　4、有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。

　　防火墻常常被安裝在內部網絡連接到因特網(或外部網絡)的節(jié)點上。

　　(一)防火墻的優(yōu)點

　　1、防火墻能夠強化安全策略

　　因為網絡上每天都有上百萬人在收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”和符合規(guī)則的請求通過。

　　2、防火墻能有效地記錄網絡上的活動

　　因為所有進出信息都必須通過防火墻，所以防火墻非常適用于收集關于系統(tǒng)和網絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網絡和外部網絡之間進行記錄。

　　3、防火墻限制暴露用戶點

　　防火墻能夠用來隔開網絡中的兩個網段，這樣就能夠防止影響一個網段的信息通過整個網絡進行傳播。

　　4、防火墻是一個安全策略的檢查站

　　所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

　　(二)防火墻的不足

　　防火墻的缺點主要表現(xiàn)在以下幾個方面。

　　1、不能防范惡意的知情者

　　防火墻可以禁止系統(tǒng)用戶經過網絡連接發(fā)送專有的信息，但用戶可以將數據復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶可以偷竊數據，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅，只能要求加強內部管理，如主機安全和用戶教育等。

　　2、不能防范不通過它的連接

　　防火墻能夠有效地防止通過它的傳輸信息，然而它卻不能防止不通過它而傳輸的信息。例如，如果站點允許對防火墻后面的內部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。

　　3、不能防備全部的威脅

　　防火墻被用來防備已知的威脅，如果是一個很好的防火墻設計方案，就可以防備新的威脅，但沒有一扇防火墻能自動防御所有新的威脅。

　　4、防火墻不能防范病毒

　　防火墻一般不能消除網絡上的病毒。

　　二、防火墻技術

　　一提到網絡安全人們首先想到的是防火墻。防火墻系統(tǒng)針對的是來自系統(tǒng)外部的攻擊，一旦外部入侵者進入了系統(tǒng)，他們便不受任何阻擋。認證手段也與此類似，一旦入侵者騙過了認證系統(tǒng)，便成為了內部人員。

　　防火墻的基本類型有：包過濾型、代理服務型和狀態(tài)包過濾型復合型。

　　(一)包過濾型防火墻

　　包過濾(Packet Filter)通常安裝在路由器上，并且大多數商用路由器都提供了包過濾的功能。包過濾是一種保安機制，它控制哪些數據包可以進出網絡而哪些數據包應被網絡所拒絕。

　　網絡中的應用雖然很多，但其最終的傳輸單位都是以數據包的形式出現(xiàn)，這種做法主要是因為網絡要為多個系統(tǒng)提供共享服務。例如，文件傳輸時，必須將文件分割為小的數據包，每個數據包單獨傳輸。每個數據包中除了包含所要傳輸的數據(內容)，還包括源地址、目標地址等。

　　數據包是通過互聯(lián)網絡中的路由器，從源網絡到達目的網絡的。路由器接收到的數據包就知道了該包要去往何處，然后路由器查詢自身的路由表，若有去往目的的路由，則將該包發(fā)送到下一個路由器或直接發(fā)往下一個網段;否則，將該包丟掉。與路由器不同的是，包過濾防火墻，除了判斷是否有到達目的網段的路由之外，還要根據一組包過濾規(guī)則決定是否將包轉發(fā)出去。

　　1、工作機制

　　包過濾技術可以允許或禁止某些包在網絡上傳遞，它依據的是以下的判斷：

　　對包的目的地址作出判斷

　　對包的源地址作出判斷

　　對包的傳送協(xié)議(端口號)作出判斷

　　一般地，在進行包過濾判斷時不關心包的具體內容。包過濾只能讓我們進行類似以下情況的操作，比如：不讓任何工作站從外部網用Telnet登錄、允許任何工作站使用SMTP往內部網發(fā)電子郵件。

　　但包過濾不能允許我們進行如下的操作，如：允許用戶使用FTP，同時還限制用戶只可讀取文件不可寫入文件、允許某個用戶使用Telnet登錄而不允許其他用戶進行這種操作。

　　包過濾系統(tǒng)處于網絡的IP層和TCP層，而不是應用層，所以它無法在應用層的具體操作進行任何過濾。以FTP為例，F(xiàn)TP文件傳輸協(xié)議應用中包含許多具體的操作，如讀取操作、寫入操作、刪除操作等。再有，包過濾系統(tǒng)不能識別數據包中的用戶信息。

　　2、性能特點

　　因為包過濾防火墻工作在IP和TCP層，所以處理包的速度要比代理服務型防火墻快

　　提供透明的服務，用戶不用改變客戶端程序

　　因為只涉及到TCP層，所以與代理服務型防火墻相比，它提供的安全級別很低

　　不支持用戶認證，包中只有來自哪臺機器的信息卻不包含來自哪個用戶的信息

　　不提供日志功能

　　包過濾防火墻的典型代表是早期的CISCO PIX防火墻。

　　(二)代理服務型防火墻

　　代理服務(Proxy Service)系統(tǒng)一般安裝并運行在雙宿主機上。雙宿主機是一個被取消路由功能的主機，與雙宿主機相連的外部網絡與內部網絡之間在網絡層是被斷開的。這樣做的目的是使外部網絡無法了解內部網絡的拓撲。這與包過濾防火墻明顯不同，就邏輯拓撲而言，代理服務型防火墻要比包過濾型更安全。

　　由于內部網絡和外部網絡在網絡層是斷開的，所以要實現(xiàn)內外網絡之間的應用通訊就必須在網絡層之上。代理系統(tǒng)是工作在應用層，代理系統(tǒng)是客戶機和真實服務器之間的中介，代理系統(tǒng)完全控制客戶機和真實服務器之間的流量，并對流量情況加以記錄。目前，代理服務型防火墻產品一般還都包括有包過濾功能。

　　1、工作機制

　　代理服務型防火墻按如下標準步驟對接收的數據包進行處理：

　　接收數據包

　　檢查源地址和目標地址

　　檢查請求類型

　　調用相應的程序

　　對請求進行處理

　　下面，我們以一個外部網絡的用戶通過Telnet訪問內部網絡中的主機為例，詳細介紹這些標準步驟。

　　接收數據包

　　外部網絡的路由器將外部網絡主機對內部網絡資源的請求路由至防火墻的外部網卡。同樣，內部網絡中的主機通過內部網絡中的路由選擇信息將對外部網絡資源的請求路由至防火墻的內部網卡。

　　在本例中，當外部網絡用戶通過Telnet請求對內部網絡中的主機進行訪問時，路由信息將該請求傳送至防火墻的外部網卡上。

　　檢查源地址和目標地址

　　一旦防火墻接收到數據包，它必須確定如何處理該數據包。首先，防火墻檢查數據包中的源地址并確定該包是由哪塊網卡接收的。這樣做是為了確定數據包是否有IP地址欺騙的行為，例如，如果發(fā)現(xiàn)從外部網卡接收的一個數據包中的源地址屬于內部網絡的地址范圍，則表明這是地址欺騙行為，防火墻將拒絕繼續(xù)對該包進行處理并將此事件記錄到日志中。

　　接下來，防火墻對包中的目標地址進行檢查并確定是否需要對該包做進一步處理。這一點與包過濾類似，即檢查是否允許對目標地址進行訪問。

　　本例中，Telnet的目標地址是內部網絡的某臺主機，防火墻是通過外部網卡收到該Telnet請求的，且發(fā)現(xiàn)請求包中沒有地址欺騙行為，防火墻接收了該數據包。

　　檢查請求類型

　　防火墻檢查數據包的內容(請求的服務端口號)并對照防火墻中已配置好的各種規(guī)則，以便確定是否向數據包提供相應的服務。如果防火墻對所請求的端口號不提供服務，則將這一企圖作為潛在的威脅記錄下來并拒絕該請求。

　　本例中，數據包的內容表明請求服務是Telnet，即請求端口號為23且防火墻的配置規(guī)則是支持這類請求的服務。

　　調用相應的程序

　　由于防火墻對所請求的服務提供支持，所以防火墻利用其他配置信息將該服務請求傳送至相應的代理服務。

　　本例中，防火墻將Telnet請求傳送給Telnet代理進行處理。

　　對請求進行處理

　　現(xiàn)在代理服務以目的主機的身份并采用與應用請求相同的協(xié)議對請求進行響應。應用請求方認為它是與目標主機進行對話。

　　然后，代理服務通過另一塊網卡以自己真實的身份代替客戶方，向目標主機發(fā)送應用請求。如果應用請求成功，則表明客戶端至目標主機之間的應用連接成功地建立了。注意，與包過濾防火墻不同，代理服務型防火墻是通過兩次連接實現(xiàn)客戶機至目標主機之間的連接的，即客戶機至防火墻、防火墻至目標主機。

　　另外，通過對防火墻進行適當的配置，可以在防火墻替客戶機向目標主機發(fā)送應用請求之前對客戶方進行身份驗證。驗證方法包括SecureID、S/Key、RADIUS等。

　　本例中，客戶方現(xiàn)與防火墻建立Telnet連接，然后防火墻立即向客戶方發(fā)出身份驗證要求。若驗證通過，則防火墻替客戶方向目標主機發(fā)送應用請求;否則，防火墻斷開它與客戶方已建立的連接。

　　2、性能特點

　　提供的安全級別高于包過濾型防火墻

　　代理服務型防火墻可以配置成唯一的可被外部看見的主機以保護內部主機免受外部攻擊

　　可以強制執(zhí)行用戶認證

　　代理工作在客戶機和真實服務器之間，完全控制會話，所以能提供較詳細的審計日志

　　代理的速度比包過濾慢

　　代理服務型防火墻中的佼佼者AXENT Raptor完全是基于代理技術的軟件防火墻。

　　隨著因特網絡技術的發(fā)展，不論在速度上還是在安全上都要求防火墻技術也要更新發(fā)展，基于上下文的動態(tài)包過濾防火墻就是對傳統(tǒng)的包過濾型和代理服務型防火墻進行了技術更新。