防火墙的作用.doc

防火墙的作用.doc 阿壊 [学者] 1.什么是防火墙 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。 2.使用Firewall的益处 保护脆弱的服务 通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。 控制对系统的访问 Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。 集中的安全管理 Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。 增强的保密性 使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。 记录和统计网络利用数据以及非法使用数据 Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。 策略执行 Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。 3.防火墙的种类 防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。 数 据 包 过 滤 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 应 用 级 网 关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。 代 理 服 务 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"， 由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 4.设置防火墙的要素 网络策略 影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务， 低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。 服务访问策略 服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。 服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。 典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务; 允许内部用户访问指定的Internet主机和服务。 防火墙设计策略 防火墙设计策略基于特定的Firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略: 允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是安全但不好用， 第二种是好用但不安全，通常采用第二种类型的设计策略。 而多数防火墙都在两种之间采取折衷。 增强的认证 许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于猜测和破译口令， 虽然如此，攻击者仍然在Internet上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡， 认证令牌，生理特征(指纹)以及基于软件(RSA)等技术，来克服传统口令的弱点。虽然存在多种认证技术， 它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。 目前许多流行的增强机制使用一次有效的口令和密钥(如SmartCard和认证令牌)。 5.防火墙在大型网络系统中的部署 根据网络系统的安全需要，可以在如下位置部署防火墙: 局域网内的VLAN之间控制信息流向时。 Intranet与Internet之间连接时(企业单位与外网连接时的应用网关)。 在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统， (通过公网ChinaPac，ChinaDDN，Frame Relay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离， 并利用VPN构成虚拟专网。 总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用NetScreen的VPN组成虚拟专网。 在远程用户拨号访问时，加入虚拟专网。 ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、 存取控制、用户认证、流量控制、日志纪录等功能。 两网对接时，可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT)，地址映射(MAP)， 网络隔离(DMZ), 存取安全控制，消除传统软件防火墙的瓶颈问题。 6.防火墙在网络系统中的作用 防火墙能有效地防止外来的入侵，它在网络系统中的作用是: 控制进出网络的信息流向和信息包; 提供使用和流量的日志和审计; 隐藏内部IP地址及网络结构的细节; 回答:2006-11-03 14:06 评论 台台 [学长] 一、防火墙 由于Internet的迅速发展,提供了发布信息和检索信息的场所,但它也带来了信息污染和信息破坏的危险,人们为了保护其数据和资源的安全,出现了防火墙。防火墙从本质上说是一种保护装置。它保护的是数据、资源和用户的声誉。 1.Internet防火墙 防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙服务也属于类似目的。它防止Internet上的危险(病毒、资源盗用等)传播到你的网络内部。而事实上Internet防火墙不象一座现代化大厦中的防火墙，更象北京故宫的护城河。它服务于多个目的: (1)限制人们从一个特别的控制点进入; (2)防止侵入者接近你的其它设施; (3)限定人们从一个特别的点离开; (4)有效的阻止破坏者对你的计算机系统进行破坏。 因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上。 2.防火墙的优点 (1)防火墙能强化安全策略 因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的"交通警察"，它执行站点的安全策略，仅仅容许"认可的"和符合规则的请求通过。 (2)防火墙能有效地记录Internet上的活动 因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。 (3)防火墙限制暴露用户点 防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 (4)防火墙是一个安全策略的检查站 所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 3.防火墙的不足之处 上面我们叙述了防火墙的优点，但它还是有缺点的，主要表现在: (1)不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育等。 (2)不能防范不通过它的连接 防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 (3)不能防备全部的威胁 防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 (4)防火墙不能防范病毒 防火墙不能消除网络上的PC机的病毒。 二、防火墙体系结构 目前,防火墙的体系结构一般有以下几种: (1)双重宿主主机体系结构; (2)被屏蔽主机体系结构; (3)被屏蔽子网体系结构。 1.双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络(例如，因特网)并不是直接发送到其它网络(例如，内部的、被保护的网络)。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统(在因特网上)能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。 2.屏蔽主机体系结构 双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤。 在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁(例如，传送进来的电子邮件)。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。 数据包过滤也允许堡垒主机开放可允许的连接(什么是"可允许"将由用户的站点的安全策略决定)到外部世界。 在屏蔽的路由器中数据包过滤配置可以按下列之一执行: 允许其它的内部主机为了某些服务与因特网上的主机连接(即允许那些已经由数据包过滤的服务)。 不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。 用户可以针对不同的服务混合使用这些手段;某些服务可以被允许直接经由数据包过滤，而其它服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。 因为这种体系结构允许数据包从因特网向内部网的移动，所以，它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。话说回来，实际上双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败(因为这种失败类型是完全出乎预料的，不大可能防备黑客侵袭)。进而言之，保卫路由器比保卫主机较易实现，因为它提供非常有限的服务组。多数情况下，被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。 然而，比较其它体系结构，如在下面要讨论的屏蔽子网体系结构也有一些缺点。主要的是如果侵袭者没有办法侵入堡垒主机时，而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下，路由器同样出现一个单点失效。如果路由器被损害，整个网络对侵袭者是开放的。 3.屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。 为什么这样做,由它们的性质决定。堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它，它仍是最有可能被侵袭的机器，因为它本质上是能够被侵袭的机器。如果在屏蔽主机体系结构中，用户的内部网络对来自用户的堡垒主机的侵袭门户洞开，那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时(除了它们可能有的主机安全之外，这通常是非常少的)。如果有人成功地侵入屏蔽主机体系结构中的堡垒主机，那就毫无阻挡地进入了内部系统。 通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。可以说，它只给入侵者一些访问的机会，但不是全部。屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间(通常为Internet)。为了侵入用这种类型的体系结构构筑的内部网络，侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机，他将仍然必须通过内部路由器。在此情况下，没有损害内部网络的单一的易受侵袭点。作为入侵者，只是进行了一次访问。要点说明如下: (1)周边网络 周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。 对于周边网络的作用，举例说明如下。在许多网络设置中，用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的，对大多数以太网为基础的网络确实如此(而且以太网是当今使用最广泛的局域网技术);对若干其它成熟的技术，诸如令牌环和FDDI也是如此。探听者可以通过查看那些在Telnet、FTP以及rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破，探听者仍然能偷看或访问他人的敏感文件的内容，或阅读他们感兴趣的电子邮件等等;探听者能完全监视何人在使用网络。 对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。 因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。 一般来说，来往于堡垒主机，或者外部世界的通信，仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不致于机密到阅读它将损害你的站点的完整性。 (2)堡垒主机 在屏蔽的子网体系结构中，用户把堡垒主机连接到周边网;这台主机便是接受来自外界连接的主要入口。例如: 1对于进来的电子邮件(SMTP)会话，传送电子邮件到站点; 2对于进来的FTP连接，转接到站点的匿名FTP服务器; 3对于进来的域名服务(DNS)站点查询等等。另一方面，其出站服务(从内部的客户端到在Internet上的服务器)按如下任一方法处理: 1在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 2设置代理服务器在堡垒主机上运行(如果用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈，反之亦然。但是禁止内部的客户端与外部世界之间直接通信(即拨号入网方式)。 (3)内部路由器 内部路由器(在有关防火墙著作中有时被称为阻塞路由器)保护内部的网络使之免受Internet和周边网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。 内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。 (4)外部路由器 在理论上，外部路由器(在有关防火墙著作中有时被称为访问路由器)保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的;如果在规则中有允许侵袭者访问的错误，错误就可能出现在两个路由器上。 一般，外部路由器由外部群组提供(例如，用户的Internet供应商)，同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器，但是不愿意使维护复杂或者使用频繁变化的规则组。 外部路由器实际上需要做什么呢,外部路由器能有效地执行的安全任务之一(通常别的任何地方不容易做的任务)是:阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。 三、防火墙体系结构的组合形式 建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式: 1使用多堡垒主机; 2合并内部路由器与外部路由器; 3合并堡垒主机与外部路由器; 4合并堡垒主机与内部路由器; 5使用多台内部路由器; 6使用多台外部路由器; 7使用多个周边网络; 8使用双重宿主主机与屏蔽子网。 四、内部防火墙 在本文的大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。 因为网络中每一个用户所需要的服务和信息经常是不一样的，它们对安全保障的要求也不一样，所以我们可以将网络组织结构的一部分与其余站点隔离。例如，财务部分与其它部分分开，人事档案部分与办公管理分开等。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。 五、防火墙的未来发展趋势 目前，防火墙技术已经引起了人们的注意，随着新技术的发展，混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。 越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如，许多WWW客户服务软件包就具有代理能力。而许多象SOCKS这样的软件在运行编译时也支持类代理服务。 包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统，在CheckPointFirewall,1、KarlBrige/KarlBrouter以及MorningStarSecureConnectrouter中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则，允许其对应的UDP包进入内部网。 被称为"第三代"产品的第一批系统已开始进入市场。例如，Border网络技术公司的Border产品和Truest信息系统公司的Gauntlet3.0产品从外部向内看起来像是代理服务(任何外部服务请求都来自于同一主机)，而由内部向外看像一个包过滤系统(内部用户认为他们直接与外部网交互)。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像。KarlBridge/KarlBroute r产品拓展了包过滤的范围，它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。 目前，人们正在设计新的IP协议(也被称为IPversion6)。IP协议的变化将对防火墙的建立与运行产生深刻的影响。同时，目前大多数网络上的机器的信息流都有可能被偷看到，但更新式的网络技术如帧中继，异步传输模式(ATM)可将数据包源地址直接发送给目的地址，从而防止信息流在传输中途被泄露。 回答:2006-11-03 14:12