防火墙技术简介

防火墙技术简介

一．防火墙的基本知识

1．概念

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合（通常是软件和硬件的组合）。

它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

2．基本功能

●过滤进出网络的数据包；

●管理进出网络的访问行为；

●封堵某些禁止的访问行为；

●记录通过防火墙的信息内容和活动；

●对网络攻击进行检测和告警。

3．防火墙应具备的特性

防火墙最基本的构件既不是软件又不是硬件，而是构造防火墙的人的思想。从某种意义上讲，这种思想极大地影响了如何对网络数据设计路由。所以，构造一个好的防火墙需要直觉、创造和逻辑的共同作用。一个好的防火墙系统应具有以下五方面的特性：

●所有在内部网络和外部网络之间传输的数据都必须通过防火墙；

●只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火

墙；

●防火墙本身不受各种攻击的影响；

●使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡等；

●人机界面良好，用户配置使用方便，易管理。系统管理员可以方便地对防火墙

进行设置，对Internet的访问者、被访问者、访问协议以及访问方式进行控制。

4．发展阶段

若以产品为对象，防火墙技术的发展可以分为四个阶段：

●基于路由器的防火墙：

由于多数路由器本身就包含有分组过滤功能，故网络访问控制功能可通过路由

控制来实现，从而使具有分组过滤功能的路由器称为第一代防火墙产品。它只

具有分组交换的功能，且路由器和防火墙是一体的，由于路由器的主要功能是

为网络访问提供动态的，灵活的路由，而防火墙则要对访问行为实施静态的、

固定的控制。如按规则设置防火墙，会大大降低路由器的性能，反之，防火墙

将会有很大程度的局限性，并且本身也并不安全。

●用户化的防火墙工具套

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系

统来保护自己的网络，从而推动了用户化的防火墙工具套的出现。新增的功能

包括以下几个方面：

a．将过滤功能从路由器中独立出来，并加上审计和告警功能；

b．针对用户需求，提供模块化的软件包；

c．软件可通过网络发送，用户可自己动手构造防火墙；

由于是纯软件产品，第二代防火墙产品无论在实现还是维护上都对系统管理员

提出了相当复杂的要求，并带来很多问题。在此基础上出现了新一代的产品。

●建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了

建立在通用操作系统上的商用防火墙产品，近年来在市场上广泛可用的就是这

一代产品。第三代防火墙既有以纯软件实现的，也有以硬件方式实现的，已得

到广大用户的认同，但也存在一定的问题，如：由于操作系统与内核原码的保

密，使其安全性无从保证，防火墙既要防止来自外部网络的攻击，还要防止来

自操作系统厂商的攻击，所以用户必须依赖两方面的安全支持：一是防火墙厂

商、一是操作系统厂商。

●具有安全操作系统的防火墙

此类型的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有

质量上的提高。

防火墙厂商具有操作系统的源代码，并可实现安全内核；

a．对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强

化安全保护；

b．对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它

将会被隔离在此服务器内，不会对网络的其他部分构成威胁；

c．在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功

能；透明性好，易于使用。

5．防火墙的优缺点

优点：

●允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客、网络破坏

者等）进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种

路线的攻击。

●保护网络中脆弱的服务。防火墙通过过滤存在安全缺陷的网络服务来降低内部

网遭受攻击的威胁，因为只有经过选择的网络服务才能通过防火墙。

●在防火墙上可以很方便的监视网络的安全性，并产生报警。

●集中安全性。

●英特网防火墙可以作为部署NA T(Network Address Translator，网络地址变换）

的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，也可以隐藏内部

网络的结构。

●增强保密性、强化私有权。

●是审计和记录Internet使用量的一个最佳地点。

●可以成为向客户发布信息的地点。

缺陷：

●限制有用的网络服务。

●无法防护内部网络用户的攻击。

●无法防范通过防火墙以外的其它途径的攻击。

●不能完全防止传送已感染病毒的软件或文件。

●无法防范数据驱动型的攻击。所谓数据驱动型的攻击就是从表面上看是无害的

数据被邮寄或拷贝到Internet主机上，但一旦执行就开始攻击。

●不能防备新的网络安全问题。

6．防火墙的整体安全策略

从总体上讲，防火墙有两种截然相反的安全策略：

●拒绝没有特别允许的任何事件。

这种策略是假定防火墙应该阻塞所有的信息，而每一种所期望的服务或应用都

是实现在此策略基础上的。这是一个受推荐的方案。其建立的是一个非常安全

的环境，因为只有审慎选择的服务才能被支持。当然这种方案也有缺点，就是

不易使用，因为它限制了提供给用户们的选择范围。

●允许没有特别拒绝的任何事件。

这种策略是假定防火墙应该转发所有的信息，任何可能存在危害的服务都应在

此策略基础上被屏蔽。这种方案建立的是一个非常灵活的环境，能提供给用户

更多的服务。缺点是，由于将易使用这个特点放在了安全性的前面，网络管理

员处于不断的响应当中，因此，随着网络规模的增大，很难保证网络的安全。

二．防火墙的体系结构

从总体上看，可以分为四类：包过滤型防火墙、双宿网关防火墙、屏蔽主机防火墙和屏蔽子网防火墙，下面就分别进行介绍。

1．包过滤型防火墙

包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。此时，路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。

包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。但数据包过滤防火墙也存在明显的不足：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2．双宿网关防火墙

双宿网关防火墙又称为双重宿主主机防火墙，它是一种拥有两个连接到不同网络上的网络接口的防火墙。比如，一个网络接口连到外部的不可信任的网络上，另一个网络接口连接到内部的可信任的网络上。它的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一般情况下，人们采用代理服务的方法，因为这种方法为用户提供了更为方便的访问手段。

双重宿主主机用两种方式来提供服务，一种是用户直接登录到双重宿主主机上来提供服务，另一种是在双重宿主主机上运行代理服务器。第一种方式需要在双重宿主主机上开许多帐号，这是很危险的。而代理的问题相对要少得多，而且一些服务本身的特点就是“存储转发”型的，如HTTP、SMTP和NNTP，这些服务很适合于进行代理。在双重宿主主机上，运行各种各样的代理服务器，当要访问外部站点时，必须先经过代服务器认证，然后才可以通过代理服务器访问因特网。

双重宿主主机是唯一的隔开内部网和外部因特网之间的屏障，如果入侵者得到了双重宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双重宿主主