1、防火墙技术概论姓名:李攀(学号:2000714056 E-mail: phone:66186548)摘要:论述防火墙的概念,分类和基本的原理关键字:防火墙 包过滤 网络安全 代理引言: 现在,每天都有数不清的公司和个人加入到 Internet 中,而 Internet 本身也成为世界上空前庞大以至于无法确切统计的网络系统。它是一部真正的百科全书,信息的海洋令人们沉浸其中而流连忘返,它给人们带来了无尽的便捷,拉近了每个人的距离,把地球缩成一个村落,大大提高了工作效率。但是每个网络用户又都面临着严峻的安全性问题,如存在网上的信息可能被非法调用、复制和篡改等。怎么样才能既充分利用Internet,
2、同时又不受外来的各种侵犯呢?这就要采用防火墙技术。一,防火墙的基本概念.防火墙即 Firewall 是加强 Internet 与 Intranet(内部网)之间安全防范的一个或一组系统。具体来说是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。以此来实现网络的安全保护, 图 1 所示的是防火墙在网络中所处的位置。图 1 通过
3、防火墙建立的防御二,防火墙的基本类型 防火墙有许多种形式,有的以软件形式运行在普通计算机之上,有的以硬件形式单独实现,也有的以固件形式设计在路由器之中。总的来说,防火墙分为三种:包过滤防火墙、应用级网关和状态监视器。 1包过滤防火墙 它允许或拒绝所接收的每个数据包。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给 IP 转发过程的包头信息。包头信息中包括 IP源地址、IP 目标端 F 地址、内装协议(ICP、UDP、ICMP 或 IPTunnel) 、TCP/UDP 目标端口、ICMP 消息类型等。如果包的出入接口相匹配,并且规则允许该数据包,那么该数据包就会按
4、照路由表中的信息被转发。但是,即使是包的出入接口相匹配,但是规则拒绝该数据包,那么该数据包就会被丢弃。如果出入接口不设有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的 TCP/UDP 端口号上。例如,Telnet 服务器在 TCP 的 23 号端口上监听远地连接,而 SMTP 服务器在 TCP 的 25 号端口上监听人连接。为了阻塞所有进入的 Telnet 连接,路由器只需简单地丢弃所有 TCP 端口号等于 23 的数据包。为了将进来的 Telnet 连接限制到内部的数台机器上,路由器必须拒绝
5、所有 TCP 端口号等于 23 并且目标 IP 地址不等于允许主机的 IP 地址的数据包。包过滤路由器遇到的常见攻击主要有:源 IP 地址欺骗式攻击 。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包,即数据包中所包含的 IP 地址为内部网络上的 IP 地址。入侵者希望借助于一个假的源 IP 地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中,来自内部的信任主机的数据包被接受,而来自其它主机的数据包全部被丢弃。挫败此类攻击的方法是:丢弃所有来自路由器外部端口的使用内部源地址的数据包。源路由攻击 。此类攻击的特点是源站点制定了数据包在因特网中所走的路线。防止方法
6、是:丢弃所有包含源路由选项的数据包。极小数据段式攻击 。此类攻击的特点是入侵者使用了 IP 分段的特性,创建极小的分段并强行将 TCP 头信息分成多个数据包段。这种攻击意在绕过用户定义的过滤规则。防止方法是:丢弃协议类型为 TCP,IPFragmentOffset 等于 1 的数据包。2 应用级网关 应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理因特网服务在防火墙系统中的进出,而是采用为每种所需服务安装在网关上特殊代码(代理服务)的方式来管理因特网服务。如果网络管理员没有为某种应用安装代理编码,那么该项服务就不支持并不能通过防火墙系统来转发。
7、同时,代理编码可以配置成只支持网络管理员认为必须的部分功能。允许用户访问代理服务是很严重的,但是用户是绝对不允许注册到应用层网关中的。否则系统的安全就会受到威胁,因为入侵者可能会在暗地里进行某些损害防火墙有效性的动作。例如,入侵者获取 Root 权限,安装特洛伊马来截取口令,并修改防火墙的安全配置文件等。 3状态监测防火墙 这种防火墙具有非常好的安全特性,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并
8、可以很容易地实现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 三. 防火墙不能防什么“火”有万能的网络安全技术,防火墙也不例外。比如,它至少有以下局限:1.防火墙无法防范通过防火墙以外的其它途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过 SLIP 或 PPP 连接进入外部网络。2.防火墙不能防止来自内部变节者和粗心用户带来的威胁。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那
9、些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令或授予其临时的网络访问权限。防火墙不能防止传送已感染病毒的软件或文件。所以不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。3.防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到因特网主机上。但一旦执行就形成攻击,可能导致主机修改与安全相关的文件,使得入侵者获得对系统的访问权。四,防火墙的基本技术原理尽管防火墙的发展经过了上述的几代,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙) 。前者以以色列的 Checkpoint 防
10、火墙和 Cisco 公司的 PIX 防火墙为代表,后者以美国 NAI 公司的Gauntlet 防火墙为代表。1 包过滤防火墙第一代:静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP 源地址、IP 目标地址、传输协议(TCP、UDP、ICMP 等等)、TCP/UDP 目标端口、ICMP 消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则” ,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。 图 1 简单包过滤防火墙第二代:动态包过滤 这种类型的防火墙采用动态设置
11、包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更改包过滤规则图 2 动态包过滤防火墙2 代理防火墙 第一代:代理防火墙 代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个 TCP 连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最
12、安全的防火墙。它的核心技术就是代理服务器技术。 所谓代理服务器,是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时,它们将核实客户请求,并经过特定的安全化的 Proxy 应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。 代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy 的介入和转换,通过专门为特定的服务如 Http 编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的
13、计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样,如果你先将这份声明交给你的律师,然后律师就会审查你的声明,确认没有什么负面的影响后才由他交给那个陌生人。在此期间,陌生人对你的存在一无所知,如果要对你进行侵犯,他面对的将是你的律师,而你的律师当然比你更加清楚该如何对付这种人。图 3 传统代理型防火墙 代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时, (比如要求达到 75-100Mbps 时)代理防火墙就会成为内外网络之间的瓶颈。所幸的是,目
14、前用户接入 Internet 的速度一般都远低于这个数字。在现实环境中,要考虑使用包过滤类型防火墙来满足速度要求的情况,大部分是高速网(ATM 或千兆位以太网等)之间的防火墙。第二代:自适应代理防火墙 自适应代理技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高 10 倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter) 。 图 4 自适
15、应代理防火墙 在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应 Proxy 的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。五结束语防火墙仅仅是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保万无一失,机构必须知道其保护的是什么?机构的安全策略必须建立在精心进行的安全分析,风险评估,以及商业需要分析基础之上。如果机构没有详尽的安全策略,无论如
16、何精心构建的防火墙都会被绕过去,从而整个内部网络都暴露在攻击者面前。防火墙系统需要管理,比如:一般性的维、软件升级、安全上的补漏和事故处理等。附:小资料 防火墙的发展史 第一代防火墙 第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。 第二、三代防火墙 1989 年,贝尔实验室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙应用层防火墙(代理防火墙)的初步结构。第四代防火墙 1992 年,USC 信息科学院的 BobBraden 开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994 年,以色列的 CheckPoint 公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙 1998 年,NAI 公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT 中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。参考文献: 赛迪网-网络通信频道-防火墙 技术专区中国 IT 认证实验室-防火墙技术
