防火墻主要技術(shù)

(1)優(yōu)良的性能

(2)可擴(kuò)展的結(jié)構(gòu)和功能

(3)簡(jiǎn)化的安裝與管理

(4)主動(dòng)過濾

(5)防病毒與防黑客

防火墻主要技術(shù)

先進(jìn)的防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)與功能。

雙端口或三端口的結(jié)構(gòu)

新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。

透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄，要么需要通過SOCKS等庫(kù)路徑修改客戶機(jī)的應(yīng)用。新一代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。

靈活的代理系統(tǒng)

代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。新一代防火墻采用了兩種代理機(jī)制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。

多級(jí)的過濾技術(shù)

為保證系統(tǒng)的安全性和防護(hù)水平，新一代防火墻采用了三級(jí)過濾措施，并輔以鑒別手段。在 分組過濾一級(jí)，能過濾掉所有的源路由分組和假冒的IP源地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù);在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)

新一代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己定制的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。

同時(shí)使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。 NAT的另一個(gè)顯而易見的用途是解決IP地址匱乏問題。

Internet網(wǎng)關(guān)技術(shù)

由于是直接串連在網(wǎng)絡(luò)之中，新一代防火墻必須支持用戶在Internet互連的所有服務(wù)，同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的應(yīng)用服務(wù)器(包括FTP、 Finger、mail、Ident、News、WWW等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用"改變根系統(tǒng)調(diào)用(chroot)"作物理上的隔離。

在域名服務(wù)方面，新一代防火墻采用兩種獨(dú)立的域名服務(wù)器，一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)的DNS信息，另一種是外部DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部份DNS信息。

在匿名FTP方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部份目錄的只讀訪問。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行，在Finger服務(wù)器中，對(duì)外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件作處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境，Ident服務(wù)器對(duì)用戶連接的識(shí)別作專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。

設(shè)置防火墻的目的和功能

(1)防火墻是網(wǎng)絡(luò)安全的屏障

(2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略

(3)對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)

(4)防止內(nèi)部信息的外泄

(1)防火墻防外不防內(nèi)。

(2)防火墻難于管理和配置，易造成安全漏洞。

(3)很難為用戶在防火墻內(nèi)外提供一致的安全策略。

(4)防火墻只實(shí)現(xiàn)了粗粒度的訪問控制。

安全服務(wù)器網(wǎng)絡(luò)(SSN)

為適應(yīng)越來越多的用戶向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器保護(hù)的需要，新一代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù)，它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理，對(duì)外服務(wù)器既是內(nèi)部網(wǎng)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離。這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)，對(duì)SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。

SSN的方法提供的安全性要比傳統(tǒng)的"隔離區(qū)(DMZ)"方法好得多，因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù)，SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù)，而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。

用戶鑒別與加密

為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少，新一代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。

用戶定制服務(wù)

為滿足特定用戶的特定需求，新一代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有:通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫(kù)的代理，便可利用這些支持，方便設(shè)置。

審計(jì)和告警

新一代防火墻產(chǎn)品的審計(jì)和告警功能十分健全，日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器、名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。 此外新一代防火墻還在網(wǎng)絡(luò)診斷，數(shù)據(jù)備份與保全等方面具有特色。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

在具體應(yīng)用防火墻技術(shù)時(shí)，還要考慮到兩個(gè)方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個(gè)功能。 二是防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題，如果延遲太大將無法支持實(shí)時(shí)服務(wù)請(qǐng)求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購(gòu)置高速路由器，又會(huì)大大提高經(jīng)濟(jì)預(yù)算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。

(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。

(2)設(shè)置DNS為61.177.7.1。

(3)Linux防火墻設(shè)置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設(shè)置防火墻，使能信任TCP協(xié)議的POP3端口。

從實(shí)現(xiàn)原理上分，防火墻的技術(shù)包括四大類:網(wǎng)絡(luò)級(jí)防火墻(也叫包過濾型防火墻)、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長(zhǎng)，具體使用哪一種或是否混合使用，要看具體需要。

一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個(gè)IP包的端口來作出通過與否的判斷。一個(gè)路由器便是一個(gè)"傳統(tǒng)"的網(wǎng)絡(luò)級(jí)防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè)IP包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通 過定義基于TCP或UDP數(shù)據(jù)包的端口號(hào)，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊(cè)和稽核。它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制，以防有價(jià)值的程序和數(shù)據(jù)被竊取。 在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級(jí)防火墻。 應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏"透明度"。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí)，經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄(Login)才能訪問Internet或Intranet。

電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會(huì)話(Session)是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能:代理服務(wù)器(Proxy Server)。代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級(jí)代碼。這種代理服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個(gè)應(yīng)用的特定功能。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng) 絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便"暴露"在外來用戶面前，這就引入了代理服務(wù)的概念，即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的"鏈接"由兩個(gè)終止于代理服務(wù)的"鏈接"來實(shí)現(xiàn)，這就成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。同時(shí)，代理服務(wù)還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。代理服務(wù)技術(shù)主要通過專用計(jì)算機(jī)硬件(如工作站)來承擔(dān)。

該防火墻結(jié)合了包過濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號(hào)，過濾進(jìn)出的數(shù)據(jù)包。它也象電路級(jí)網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級(jí)網(wǎng)關(guān)一樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)，但是不同于一個(gè)應(yīng)用級(jí)網(wǎng) 關(guān)的是，它并不打破客戶機(jī)/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效。