防火墻的概念與技術(shù)說明

　　隨著計算機技術(shù)應(yīng)用的普及，各個組織機構(gòu)的運行越來越依賴和離不開計算機，各種業(yè)務(wù)的運行架構(gòu)于現(xiàn)代化的網(wǎng)絡(luò)環(huán)境中。企業(yè)計算機系統(tǒng)作為信息化程度較高、計算機網(wǎng)絡(luò)應(yīng)用情況比較先進的一個特殊系統(tǒng)，其業(yè)務(wù)也同樣地越來越依賴于計算機。保證業(yè)務(wù)系統(tǒng)和工作的正常、可靠和安全地進行是信息系統(tǒng)工作的一個重要話題。但是由于計算機系統(tǒng)的安全威脅，給組織機構(gòu)帶來了重大的經(jīng)濟損失，這種損失可分為直接損失和間接損失：直接損失是由此而帶來的經(jīng)濟損失，間接損失是由于安全而導致工作效率降低、機密情報數(shù)據(jù)泄露、系統(tǒng)不正常、修復系統(tǒng)而導致工作無法進行等。間接損失往往是很難以數(shù)字來衡量的。在所有計算機安全威脅中，外部入侵和非法訪問是最為嚴重的事。

　　一、防火墻概念

　　Internet的迅速發(fā)展提供了發(fā)布信息和檢索信息的場所，但也帶來了信息污染和信息破壞的危險, 人們?yōu)榱吮Ｗo其數(shù)據(jù)和資源的安全，部署了防火墻。防火墻本質(zhì)上是一種保護裝置，它保護數(shù)據(jù)、資源和用戶的聲譽。

　　防火墻原是設(shè)計用來防止火災從建筑物的一部分傳播到另一部分的設(shè)施。從理論上講，Internet防火墻服務(wù)也有類似目的，它防止Internet(或外部網(wǎng)絡(luò))上的危險(病毒、資源盜用等)傳播到網(wǎng)絡(luò)內(nèi)部。Internet(或外部網(wǎng)絡(luò))防火墻服務(wù)于多個目的：

　　1、限制人們從一個特別的控制點進入;

　　2、防止入侵者接近你的其它防御設(shè)施;

　　3、限定人們從一個特別的點離開;

　　4、有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。

　　防火墻常常被安裝在內(nèi)部網(wǎng)絡(luò)連接到因特網(wǎng)(或外部網(wǎng)絡(luò))的節(jié)點上。

　　(一)防火墻的優(yōu)點

　　1、防火墻能夠強化安全策略

　　因為網(wǎng)絡(luò)上每天都有上百萬人在收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”和符合規(guī)則的請求通過。

　　2、防火墻能有效地記錄網(wǎng)絡(luò)上的活動

　　因為所有進出信息都必須通過防火墻，所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行記錄。

　　3、防火墻限制暴露用戶點

　　防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個網(wǎng)段，這樣就能夠防止影響一個網(wǎng)段的信息通過整個網(wǎng)絡(luò)進行傳播。

　　4、防火墻是一個安全策略的檢查站

　　所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

　　(二)防火墻的不足

　　防火墻的缺點主要表現(xiàn)在以下幾個方面。

　　1、不能防范惡意的知情者

　　防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅，只能要求加強內(nèi)部管理，如主機安全和用戶教育等。

　　2、不能防范不通過它的連接

　　防火墻能夠有效地防止通過它的傳輸信息，然而它卻不能防止不通過它而傳輸?shù)男畔?。例如，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。

　　3、不能防備全部的威脅

　　防火墻被用來防備已知的威脅，如果是一個很好的防火墻設(shè)計方案，就可以防備新的威脅，但沒有一扇防火墻能自動防御所有新的威脅。

　　4、防火墻不能防范病毒

　　防火墻一般不能消除網(wǎng)絡(luò)上的病毒。

　　二、防火墻技術(shù)

　　一提到網(wǎng)絡(luò)安全人們首先想到的是防火墻。防火墻系統(tǒng)針對的是來自系統(tǒng)外部的攻擊，一旦外部入侵者進入了系統(tǒng)，他們便不受任何阻擋。認證手段也與此類似，一旦入侵者騙過了認證系統(tǒng)，便成為了內(nèi)部人員。

　　防火墻的基本類型有：包過濾型、代理服務(wù)型和狀態(tài)包過濾型復合型。

　　(一)包過濾型防火墻

　　包過濾(Packet Filter)通常安裝在路由器上，并且大多數(shù)商用路由器都提供了包過濾的功能。包過濾是一種保安機制，它控制哪些數(shù)據(jù)包可以進出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕。

　　網(wǎng)絡(luò)中的應(yīng)用雖然很多，但其最終的傳輸單位都是以數(shù)據(jù)包的形式出現(xiàn)，這種做法主要是因為網(wǎng)絡(luò)要為多個系統(tǒng)提供共享服務(wù)。例如，文件傳輸時，必須將文件分割為小的數(shù)據(jù)包，每個數(shù)據(jù)包單獨傳輸。每個數(shù)據(jù)包中除了包含所要傳輸?shù)臄?shù)據(jù)(內(nèi)容)，還包括源地址、目標地址等。

　　數(shù)據(jù)包是通過互聯(lián)網(wǎng)絡(luò)中的路由器，從源網(wǎng)絡(luò)到達目的網(wǎng)絡(luò)的。路由器接收到的數(shù)據(jù)包就知道了該包要去往何處，然后路由器查詢自身的路由表，若有去往目的的路由，則將該包發(fā)送到下一個路由器或直接發(fā)往下一個網(wǎng)段;否則，將該包丟掉。與路由器不同的是，包過濾防火墻，除了判斷是否有到達目的網(wǎng)段的路由之外，還要根據(jù)一組包過濾規(guī)則決定是否將包轉(zhuǎn)發(fā)出去。

　　1、工作機制

　　包過濾技術(shù)可以允許或禁止某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)的是以下的判斷：

　　對包的目的地址作出判斷

　　對包的源地址作出判斷

　　對包的傳送協(xié)議(端口號)作出判斷

　　一般地，在進行包過濾判斷時不關(guān)心包的具體內(nèi)容。包過濾只能讓我們進行類似以下情況的操作，比如：不讓任何工作站從外部網(wǎng)用Telnet登錄、允許任何工作站使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件。

　　但包過濾不能允許我們進行如下的操作，如：允許用戶使用FTP，同時還限制用戶只可讀取文件不可寫入文件、允許某個用戶使用Telnet登錄而不允許其他用戶進行這種操作。

　　包過濾系統(tǒng)處于網(wǎng)絡(luò)的IP層和TCP層，而不是應(yīng)用層，所以它無法在應(yīng)用層的具體操作進行任何過濾。以FTP為例，F(xiàn)TP文件傳輸協(xié)議應(yīng)用中包含許多具體的操作，如讀取操作、寫入操作、刪除操作等。再有，包過濾系統(tǒng)不能識別數(shù)據(jù)包中的用戶信息。

　　2、性能特點

　　因為包過濾防火墻工作在IP和TCP層，所以處理包的速度要比代理服務(wù)型防火墻快

　　提供透明的服務(wù)，用戶不用改變客戶端程序

　　因為只涉及到TCP層，所以與代理服務(wù)型防火墻相比，它提供的安全級別很低

　　不支持用戶認證，包中只有來自哪臺機器的信息卻不包含來自哪個用戶的信息

　　不提供日志功能

　　包過濾防火墻的典型代表是早期的CISCO PIX防火墻。

　　(二)代理服務(wù)型防火墻

　　代理服務(wù)(Proxy Service)系統(tǒng)一般安裝并運行在雙宿主機上。雙宿主機是一個被取消路由功能的主機，與雙宿主機相連的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間在網(wǎng)絡(luò)層是被斷開的。這樣做的目的是使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓撲。這與包過濾防火墻明顯不同，就邏輯拓撲而言，代理服務(wù)型防火墻要比包過濾型更安全。

　　由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在網(wǎng)絡(luò)層是斷開的，所以要實現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的應(yīng)用通訊就必須在網(wǎng)絡(luò)層之上。代理系統(tǒng)是工作在應(yīng)用層，代理系統(tǒng)是客戶機和真實服務(wù)器之間的中介，代理系統(tǒng)完全控制客戶機和真實服務(wù)器之間的流量，并對流量情況加以記錄。目前，代理服務(wù)型防火墻產(chǎn)品一般還都包括有包過濾功能。

　　1、工作機制

　　代理服務(wù)型防火墻按如下標準步驟對接收的數(shù)據(jù)包進行處理：

　　接收數(shù)據(jù)包

　　檢查源地址和目標地址

　　檢查請求類型

　　調(diào)用相應(yīng)的程序

　　對請求進行處理

　　下面，我們以一個外部網(wǎng)絡(luò)的用戶通過Telnet訪問內(nèi)部網(wǎng)絡(luò)中的主機為例，詳細介紹這些標準步驟。

　　接收數(shù)據(jù)包

　　外部網(wǎng)絡(luò)的路由器將外部網(wǎng)絡(luò)主機對內(nèi)部網(wǎng)絡(luò)資源的請求路由至防火墻的外部網(wǎng)卡。同樣，內(nèi)部網(wǎng)絡(luò)中的主機通過內(nèi)部網(wǎng)絡(luò)中的路由選擇信息將對外部網(wǎng)絡(luò)資源的請求路由至防火墻的內(nèi)部網(wǎng)卡。

　　在本例中，當外部網(wǎng)絡(luò)用戶通過Telnet請求對內(nèi)部網(wǎng)絡(luò)中的主機進行訪問時，路由信息將該請求傳送至防火墻的外部網(wǎng)卡上。

　　檢查源地址和目標地址

　　一旦防火墻接收到數(shù)據(jù)包，它必須確定如何處理該數(shù)據(jù)包。首先，防火墻檢查數(shù)據(jù)包中的源地址并確定該包是由哪塊網(wǎng)卡接收的。這樣做是為了確定數(shù)據(jù)包是否有IP地址欺騙的行為，例如，如果發(fā)現(xiàn)從外部網(wǎng)卡接收的一個數(shù)據(jù)包中的源地址屬于內(nèi)部網(wǎng)絡(luò)的地址范圍，則表明這是地址欺騙行為，防火墻將拒絕繼續(xù)對該包進行處理并將此事件記錄到日志中。

　　接下來，防火墻對包中的目標地址進行檢查并確定是否需要對該包做進一步處理。這一點與包過濾類似，即檢查是否允許對目標地址進行訪問。

　　本例中，Telnet的目標地址是內(nèi)部網(wǎng)絡(luò)的某臺主機，防火墻是通過外部網(wǎng)卡收到該Telnet請求的，且發(fā)現(xiàn)請求包中沒有地址欺騙行為，防火墻接收了該數(shù)據(jù)包。

　　檢查請求類型

　　防火墻檢查數(shù)據(jù)包的內(nèi)容(請求的服務(wù)端口號)并對照防火墻中已配置好的各種規(guī)則，以便確定是否向數(shù)據(jù)包提供相應(yīng)的服務(wù)。如果防火墻對所請求的端口號不提供服務(wù)，則將這一企圖作為潛在的威脅記錄下來并拒絕該請求。

　　本例中，數(shù)據(jù)包的內(nèi)容表明請求服務(wù)是Telnet，即請求端口號為23且防火墻的配置規(guī)則是支持這類請求的服務(wù)。

　　調(diào)用相應(yīng)的程序

　　由于防火墻對所請求的服務(wù)提供支持，所以防火墻利用其他配置信息將該服務(wù)請求傳送至相應(yīng)的代理服務(wù)。

　　本例中，防火墻將Telnet請求傳送給Telnet代理進行處理。

　　對請求進行處理

　　現(xiàn)在代理服務(wù)以目的主機的身份并采用與應(yīng)用請求相同的協(xié)議對請求進行響應(yīng)。應(yīng)用請求方認為它是與目標主機進行對話。

　　然后，代理服務(wù)通過另一塊網(wǎng)卡以自己真實的身份代替客戶方，向目標主機發(fā)送應(yīng)用請求。如果應(yīng)用請求成功，則表明客戶端至目標主機之間的應(yīng)用連接成功地建立了。注意，與包過濾防火墻不同，代理服務(wù)型防火墻是通過兩次連接實現(xiàn)客戶機至目標主機之間的連接的，即客戶機至防火墻、防火墻至目標主機。

　　另外，通過對防火墻進行適當?shù)呐渲?，可以在防火墻替客戶機向目標主機發(fā)送應(yīng)用請求之前對客戶方進行身份驗證。驗證方法包括SecureID、S/Key、RADIUS等。

　　本例中，客戶方現(xiàn)與防火墻建立Telnet連接，然后防火墻立即向客戶方發(fā)出身份驗證要求。若驗證通過，則防火墻替客戶方向目標主機發(fā)送應(yīng)用請求;否則，防火墻斷開它與客戶方已建立的連接。

　　2、性能特點

　　提供的安全級別高于包過濾型防火墻

　　代理服務(wù)型防火墻可以配置成唯一的可被外部看見的主機以保護內(nèi)部主機免受外部攻擊

　　可以強制執(zhí)行用戶認證

　　代理工作在客戶機和真實服務(wù)器之間，完全控制會話，所以能提供較詳細的審計日志

　　代理的速度比包過濾慢

　　代理服務(wù)型防火墻中的佼佼者AXENT Raptor完全是基于代理技術(shù)的軟件防火墻。

　　隨著因特網(wǎng)絡(luò)技術(shù)的發(fā)展，不論在速度上還是在安全上都要求防火墻技術(shù)也要更新發(fā)展，基于上下文的動態(tài)包過濾防火墻就是對傳統(tǒng)的包過濾型和代理服務(wù)型防火墻進行了技術(shù)更新。