防火墙技术

信息安全 信息安全 走进防火墙技术 姓 名：陈祖德 学 号：0605010201 班 级：计算机2班 老 师：李曙红 湖南科技大学计算机科学与学院 2009年12月 随着计算机的应用由单机发展到网络，网络面临着大量的安全威胁，其安全问题日益严重。现在无论是企业，还是个人，信息安全问题都日益成为广泛关注的焦点。在这样一个大环境下，网络安全问题凝了人们的注意力，大大小小的企业纷纷为自己的内部网络“筑墙”，防病毒与防黑客成为确保企业信息系统安全的基本手段。这里所说的“墙”在相当大程度上指的就是本篇要向大家介绍的“防火墙”。它是企事业单位局域网的安全守护神。　防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。 目前的防火墙无论从技术上还是产品发展历程上，都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现，采用了包过滤技术。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第四代防火墙是1992年，USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙，后来演变为目前所说的状态监视技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年，NAI公司推出了一种自适应代理技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义。高级应用代理的研究，克服速度和安全性之间的矛盾，可以称之为第五代防火墙。前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此，它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。 防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口，还具有各种安全功能，价格比较高，企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件，比如天网防火墙、金山网镖、蓝盾防火墙等等。 天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。 所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。 还有我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？或者防火墙真没再做其他事？这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个消息中闻到一点什么气味。如果ICMP“主机不可达”是通信中发生的错误，那么老实的系统可能就真的什么也不发送了。反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时，结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。 当前的防火墙需要具备如下的技术、功能、特性，才可以成为企业用户欢迎的防火墙产品：1、安全、成熟、国际领先的特性；2、具有专有的硬件平台和操作系统平台；3、采用高性能的全状态检测（Stateful Inspection）技术；4、具有优异的管理功能，提供优异的GUI管理界面；5、支持多种用户认证类型和多种认证机制；6、需要支持用户分组，并支持分组认证和授权；7、支持内容过滤；8、支持动态和静态地址翻译(NAT；9、支持高可用性，单台防火墙的故障不能影响系统的正常运行；10、支持本地管理和远程管理；11、支持日志管理和对日志的统计分析；12、实时告警功能，在不影响性能的情况下，支持较大数量的连接数；13、在保持足够的性能指标的前提下，能够提供尽量丰富的功能；14、可以划分很多不同安全级别的区域，相同安全级别可控制是否相互通讯；15、支持在线升级；16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能；17、防火墙能够与入侵检测系统互动。 防火墙主要技术如下： 　　先进的防火墙产品将网关与安全系统合二为一，具有以下技术与功能。 　　双端口或三端口的结构：新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。 　 透明的访问方式：以前的防火墙在访问方式上要么要求用户作系统登录，要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。 灵活的代理系统：代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换（NAT）技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。 　　多级的过滤技术：为保证系统的安全性和防护水平，新一代防火墙采用了三级过滤，并辅以鉴别手段。在 分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。 　　网络地址转换技术（NAT）：新一代防火墙利用NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽每一个主机的通信，确保每个分组送往正确的地址。同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。 NAT的另一个显而易见的用途是解决IP地址匮乏问题。 　　Internet网关技术：由于是直接串连在网络之中，新一代防火墙必须支持用户在Internet互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、 Finger、mail、Ident、News、WWW等）来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用"改变根系统调用（chroot）"作物理上的隔离。在域名服务方面，新一代防火墙采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部份DNS信息。在匿名FTP方面，服务器只提供对有限的受保护的部份目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行，在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境，Ident服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。 　 安全服务器网络（SSN）：为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络（SSN）技术，对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理。SSN的方法提供的安全性要比传统的"隔离区（DMZ）"方法好得多，因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。 　　用户鉴别与加密：为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少，新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。 　　用户定制服务：为满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP，出站UDP、FTP、SMTP等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。 　　审计和告警:新一代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每 一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。 此外新一代防火墙还在网络诊断，数据备份与保全等方面具有特色 防火墙可说是信息安全领域最成熟的产品之一，但是成熟并不意味着发展的停滞，恰恰相反，日益提高的安全需求对信息安全产品提出了越来越高的要求，防火墙也不例外:模式转变、功能扩展、性能提高。不论从功能还是从性能来讲，防火墙产品的演进并不会放慢速度，反而产品的丰富程度和推出速度会不断的加快，这也反映了安全需求不断上升的一种趋势，而相对于产品本身某个方面的演进，更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布，这些变化不仅仅关系到某个环境的某个产品的应用情况，更关系到信息安全领域的未来。