防火墻技術(shù)與應(yīng)用

《普通高等院校信息安全專(zhuān)業(yè)規(guī)劃教材:防火墻技術(shù)與應(yīng)用》每章均附有思考與練習(xí)題，還給出了大量的參考文獻(xiàn)以供讀者進(jìn)一步閱讀。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

在具體應(yīng)用防火墻技術(shù)時(shí)，還要考慮到兩個(gè)方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱(chēng)其具有這個(gè)功能。 二是防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題，如果延遲太大將無(wú)法支持實(shí)時(shí)服務(wù)請(qǐng)求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購(gòu)置高速路由器，又會(huì)大大提高經(jīng)濟(jì)預(yù)算。

總之，防火墻是企業(yè)網(wǎng)安全問(wèn)題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪問(wèn)受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。

(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。

(2)設(shè)置DNS為61.177.7.1。

(3)Linux防火墻設(shè)置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設(shè)置防火墻，使能信任TCP協(xié)議的POP3端口。

一個(gè)個(gè)人防火墻, 通常軟件應(yīng)用過(guò)濾信息進(jìn)入或留下。一臺(tái)電腦和一個(gè)傳統(tǒng)防火墻通常跑在一臺(tái)專(zhuān)用的網(wǎng)絡(luò)設(shè)備或電腦被安置在兩個(gè)或更多網(wǎng)絡(luò)或DMZs (解除軍事管制區(qū)域) 界限。 這樣防火墻過(guò)濾所有信息進(jìn)入或留下被連接的網(wǎng)絡(luò)。 后者定義對(duì)應(yīng)于"防火墻" 的常規(guī)意思在網(wǎng)絡(luò), 和下面會(huì)談?wù)勥@類(lèi)型防火墻。

以下是兩個(gè)主要類(lèi)型防火墻: 網(wǎng)絡(luò)層防火墻和 應(yīng)用層防火墻。 這兩類(lèi)型防火墻也許重疊; 的確, 單一系統(tǒng)會(huì)兩個(gè)一起實(shí)施。

網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過(guò)濾器，運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過(guò)，其余的一概禁止穿越防火墻。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過(guò)某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來(lái)制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)"否定規(guī)則"就予以放行。現(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾，例如:來(lái)源 IP 地址、來(lái)源端口號(hào)、目的 IP 地址或端口號(hào)、服務(wù)類(lèi)型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來(lái)源的網(wǎng)域名稱(chēng)或網(wǎng)段...等屬性來(lái)進(jìn)行過(guò)濾。

應(yīng)用層防火墻

應(yīng)用層防火墻是在 TCP/IP 堆棧的"應(yīng)用層"上運(yùn)作，您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類(lèi)的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。

防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲(chóng)或是木馬程序的快速蔓延。不過(guò)就實(shí)現(xiàn)而言，這個(gè)方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。

XML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。

代理服務(wù)

代理服務(wù)設(shè)備(可能是一臺(tái)專(zhuān)屬的硬件，或只是普通機(jī)器上的一套軟件)也能像應(yīng)用程序一樣回應(yīng)輸入封包(例如連接要求)，同時(shí)封鎖其他的封包，達(dá)到類(lèi)似于防火墻的效果。

代理由外在網(wǎng)絡(luò)使竄改一個(gè)內(nèi)部系統(tǒng)更加困難, 并且一個(gè)內(nèi)部系統(tǒng)誤用不一定會(huì)導(dǎo)致一個(gè)安全漏洞可開(kāi)采從防火墻外面(只要應(yīng)用代理剩下的原封和適當(dāng)?shù)乇慌渲? 。 相反地, 入侵者也許劫持一個(gè)公開(kāi)可及的系統(tǒng)和使用它作為代理人為他們自己的目的; 代理人然后偽裝作為那個(gè)系統(tǒng)對(duì)其它內(nèi)部機(jī)器。 當(dāng)對(duì)內(nèi)部地址空間的用途加強(qiáng)安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過(guò)小包對(duì)目標(biāo)網(wǎng)絡(luò)。

防火墻經(jīng)常有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 的功能, 并且主機(jī)被保護(hù)在防火墻之后共同地使用所謂的"私人地址空間", 依照被定義在[RFC 1918] 。 管理員經(jīng)常設(shè)置了這樣情節(jié)在努力(無(wú)定論的有效率) 假裝內(nèi)部地址或網(wǎng)絡(luò)。

防火墻的適當(dāng)?shù)呐渲靡蠹记珊椭悄堋?它要求管理員對(duì)網(wǎng)絡(luò)協(xié)議和電腦安全有深入的了解。 因小差錯(cuò)可使防火墻不能作為安全工具.