系统安全性之防火墙技术

用于实现防火墙功能的技术可分为两类：
(1) 包过滤技术。基于该技术所构建的防火墙简单、价廉。
(2) 代理服务技术。基于该技术所构建的防火墙安全可靠。
上述两者之间有很强的互补性，因而在Intranet上经常是同时采用这两种防火墙技术来保障网络的安全。

包过滤防火墙

1. 包过滤防火墙的基本原理

所谓“包过滤技术”是指：将一个包过滤防火墙软件置于Intranet的适当位置，通常是在路由器或服务器中，使之能对进出Intranet的所有数据包按照指定的过滤规则进行检查，仅对符合指定规则的数据包才准予通行，否则将之抛弃。图中示出了基于包过滤技术的防火墙的位置。

包过滤防火墙是工作在网络层。在Internet和Intranet中， 由于网络层所传输的是IP数据包，所以包过滤器就是对IP数据包进行检查并加以过滤。包过滤器在收到IP数据包后， 先扫描该数据包的包头，对其中的某些字段进行检查，这些字段包括数据包的类型(TCP或UDP等)、源IP地址、目标IP地址、 目标TCP/IP端口等。然后利用系统中事先设置好的过滤规则(或称逻辑)——通常是访问控制表，来检查数据包的有关字段，把凡能满足过滤规律的数据包都转发到相应的目标地址端口；否则，便将该数据包从数据流中摘除掉。
假设在某公司的网络(Intranet)中，有一个B类地址为123.45.0.0, 该地址不允许Internet上的无关网络对它访问。但在该公司网中，有一个地址为123.45.6.0的子网正在与某科研机构合作，这个科研机构网络的B类地址为135.79.0.0，该公司只允许其内部的指定地址为135.79.30.0、135.79.32.0及地址为135.79.36.0的三个子网，能访问上述的地址为123.45.6.0的子网，但不允许上述三个子网去访问在123.45.0.0中的其他子网。在图中列出了上述的过滤规则集，其中的0.0.0.0代表任何地址，规则E是最后的规则，仅当没有其它规则可满足时，才用此规则。

从图可以看出，当第一个数据包进入包过滤器时，由于该包是要访问公司网络中的1号子网，根据规则D而被拒绝；数据包2是要访问公司网中的6号子网，根据规则C而被允许访问；数据包3同样要访问6号子网，根据规则B也被允许访问；而数据包4根据规则D被拒绝；此外，第5个数据包的报文是来自于101.60.2.1网络的，根据规则E也被拒绝。注意， 在利用过滤规则对数据包进行检查时，应按先A、B、C后D的次序， 依次用各规则进行检查，次序颠倒将会出现错误。 这是因为规则D和E本身是有前提的，只有在依次用A、B、 C规则检查之后，亦即先将135.79网络中的30、 32、 36号子网排除在外，再执行规则D检查(这时因为第4包中的源子网地址1.1是属于D规则中的其余子网的，因而是不被允许通行的)才不会出错。同样，也应当在执行A、B、C、D的检查之后， 再执行E规则。

包过滤防火墙的优缺点

(1)有效灵活。
(2) 简单易行。
防火墙机制本身存在固有的缺陷：
(1)不能防止假冒。
(2) 只在网络层和传输层实现。
(3) 缺乏可审核性。
(4) 不能防止来自内部人员造成的威胁。

代理服务技术

代理服务的基本原理

为了防止在Internet上的其他用户能直接获得Intranet中的信息， 在Intranet中设置了一个代理服务器，并将外部网(Internet)与内部网之间的连接分为两段，一段是从Internet上的主机引到代理服务器；另一段是由代理服务器连到内部网中的某一个主机(服务器)。每当有Internet的主机请求访问Intranet的某个应用服务器时，该请求总被送到代理服务器，并在其中通过安全检查后，再由代理服务器与内部网中的应用服务器建立链接。以后， 所有的Internet上的主机对内部网中应用服务器的访问，都被送到代理服务器，由后者去代替在Internet上的相应主机，对Intranet的应用服务器进行访问。这样就把Internet主机对Intranet应用服务器的访问，置于代理服务器的安全控制之下， 从而使访问者无法了解到Intranet的结构和运行情况。

应用层网关的类型

代理服务技术是利用一个应用层网关作为代理服务器的。应用层网关可分三种类型： ① 双穴主机网关； ② 屏蔽主机网关； ③ 屏蔽子网网关。 这三种网关都要求有一台主机，通常称为“桥头堡主机”(Bastion Host)， 它起着防火墙的作用，也起着Internet与Intranet之间的隔离作用。
1) 双穴主机网关(Dual-Homed Gateway)
图(a)示出了双穴主机网关的结构。其中，桥头堡主机充当应用层网关。在主机中需要插入两块网卡，用于将主机连接到被保护网和Internet上。在主机上运行防火墙软件， 被保护网与Internet间的通信必须通过主机，因而可以将被保护网很好地屏蔽起来。Intranet可以通过桥头堡主机获得Internet提供的服务。这种应用层网关能有效地保护和屏蔽Intranet，且要求的硬件较少，因而是目前应用较多的一种防火墙；但桥头堡主机本身缺乏保护，容易受到攻击。

2) 屏蔽主机网关(Screened Host Gateway)
为了保护桥头堡主机而将它置入被保护网的范围中， 在被保护网与Internet之间设置一个屏蔽路由器(Screened Router)。 它不允许Internet对被保护网进行直接访问，只允许对桥头堡主机进行访问，屏蔽路由器也只接收来自桥头堡主机的数据。与前述的双穴主机网关类似，也在桥头堡主机上运行防火墙软件。图(b)示出了屏蔽主机网关的结构。屏蔽主机网关是一种更为灵活的防火墙软件，它可以利用屏蔽路由器来做更进一步的安全保护。但此时的路由器又处于易受攻击的地位。此外，网络管理员应该管理在路由器和桥头堡主机中的访问控制表，使两者协调一致，避免出现矛盾。
3) 屏蔽子网网关(Screened Subnet Gateway)
不少被保护网有这样一种要求，即它能向Internet上的用户提供部分信息。这部分存放在公用信息服务器上的信息，应允许由Internet上的用户直接读取。针对这种情况，应当在被保护网与Internet之间，建立一个小型的独立子网，同时再增加一个外部路由器来对该子网进行保护。这样，Internet上的用户要访问公共信息服务器时，只须通过外部路由器。但若该用户要访问Intranet中的信息时，则须通过外部和内部路由器先去访问桥头堡主机，然后再通过主机访问Intranet。 图©示出了屏蔽子网网关的结构。

代理服务技术的优缺点

代理服务技术的主要优点如下：
(1)屏蔽被保护网。
(2) 对数据流的监控。
代理服务技术的主要缺点是：
(1)实现起来比较复杂。
(2) 需要特定的硬件支持。
(3) 增加了服务的延迟。

规则检查防火墙

规则检查防火墙的引入

包过滤防火墙和应用级网关分别工作在OSI/RM的不同层次上，且采用了不同的方法来保障网络的安全。这两种方法各有自己的优点，但也都存在某些不足之处。而规则检查防火墙(Stateful Inspection Firewall)则是集这两种防火墙技术的优点所形成的另一种防火墙。它能像包过滤防火墙一样，在网络层上通过检查IP地址等手段，过滤掉对Intranet进行访问的非法数据包；它也能像应用级网关一样，对服务的类型和服务信息的内容进行检查，过滤掉其中的非法访问。仅此，即可见规则检查防火墙已是一种性能更好的防火墙。为了进一步提高防火墙的性能，在规则检查防火墙中又增加了用于保障网络安全的新功能。

规则检查防火墙新增加的功能

(1) 认证。
在防火墙中增加了三种认证方法：第一种是用户认证，用于对用户的访问权限进行认证；第二种是客户认证，是对用户客户机IP地址进行认证；第三种是会晤认证，是审查是否允许在访问者和被访问服务器之间建立直接的连接。
(2) 内容安全检查。
内容安全检查包括：为网络中的每个计算机站点进行病毒检查，为电子邮件服务提供安全控制的机制，该机制可以隐藏Intranet的结构和用户的真实身份等；此外，还可以进行基于FTP命令的内容安全控制，以禁止用户使用这些命令。
(3) 数据加密。
在防火墙中还提供了多种加密方案， 以保障Intranet中信息的安全。
(4) 负载均衡。
当网络上配置了多个能提供相同服务的服务器时，负载均衡功能可在多个服务器之间实现负载的均衡， 避免出现忙闲不均的现象。
综上所述可知，规则检查防火墙具有非常强大的安全保障功能，使防火墙的性能又上了一个台阶，从而成为当今最为流行的防火墙。
欢迎大家加我微信交流讨论（请备注csdn上添加）