【正文】 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 第 8章 防火墻技術(shù)及應(yīng)用 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 防火墻技術(shù)概述 ? 防火墻的概念 ? 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，通過監(jiān)測、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ? 防火墻是實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，一個高效可靠的防火墻應(yīng)用具備以下的基本特性： ? 防火墻是不同網(wǎng)絡(luò)之間，或網(wǎng)絡(luò)的不同安全域之間的唯一出入口，從里到外和從外到里的所有信息都必須通過防火墻； ? 通過安全策略來控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)不同安全域之間的通信，只有本地安全策略授權(quán)的通信才允許通過； ? 防火墻本身是免疫的，即防火墻本身具有較強(qiáng)的抗攻擊能力。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 防火墻的基本功能 ?1．監(jiān)控并限制訪問 ?2．控制協(xié)議和服務(wù) ?3．保護(hù)內(nèi)部網(wǎng)絡(luò) ?4．網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT） ?5．虛擬專用網(wǎng)（ VPN） ?6．日志記錄與審計 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 防火墻的基本原理 ? 所有的防火墻功能的實現(xiàn)都依賴于對通過防火墻的數(shù)據(jù)包的相關(guān)信息進(jìn)行檢查，而且檢查的項目越多、層次越深，則防火墻越安全。由于現(xiàn)在計算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)采用自頂向下的分層模型，而分層的主要依據(jù)是各層的功能劃分，不同層次功能的實現(xiàn)又是通過相關(guān)的協(xié)議來實現(xiàn)的。所以，防火墻檢查的重點是網(wǎng)絡(luò)協(xié)議及采用相關(guān)協(xié)議封裝的數(shù)據(jù)。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 防火墻的基本準(zhǔn)則 ?1．所有未被允許的就是禁止的 ? 所有未被允許的就是禁止的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，所有未被允許的通信禁止通過防火墻。 ?2．所有未被禁止的就是允許的 ? 所有未被禁止的就是允許的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，防火墻轉(zhuǎn)發(fā)所有信息流，允許所有的用戶和站點對內(nèi)部網(wǎng)絡(luò)的訪問，然后網(wǎng)絡(luò)管理員按照 IP地址等參數(shù)對未授權(quán)的用戶或不信任的站點進(jìn)行逐項屏蔽。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 防火墻的應(yīng)用 ? 防火墻在網(wǎng)絡(luò)中的位置 ? 防火墻多應(yīng)用于一個局域網(wǎng)的出口處（如圖 81（ a）所示）或置于兩個網(wǎng)絡(luò)中間（如圖 81（ b）所示）。 圖 81 防火墻在網(wǎng)絡(luò)中的位置 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 使用了防火墻后的網(wǎng)絡(luò)組成 ? 防火墻是構(gòu)建可信賴網(wǎng)絡(luò)域的安全產(chǎn)品。如圖 82所示，當(dāng)一個網(wǎng)絡(luò)在加入了防火墻后，防火墻將成為不同安全域之間的一個屏障，原來具有相同安全等級的主機(jī)或區(qū)域?qū)驗榉阑饓Φ慕槿攵l(fā)生變化 . 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 圖 82 使用防火墻后的網(wǎng)絡(luò)組成 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?1． 信賴域和非信賴域 ? 當(dāng)局域網(wǎng)通過防火墻接入公共網(wǎng)絡(luò)時，以防火墻為節(jié)點將網(wǎng)絡(luò)分為內(nèi)、外兩部分，其中內(nèi)部的局域網(wǎng)稱為信賴域，而外部的公共網(wǎng)絡(luò)（如 Inter）稱為非信賴域。 ?2． 信賴主機(jī)和非信賴主機(jī) ? 位于信賴域中的主機(jī)因為具有較高的安全性，所以稱為信賴主機(jī)；而位于非信賴域中的主機(jī)因為安全性較低，所以稱為非信賴主機(jī)。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?3． DMZ ? DMZ（ Demilitarized zone）稱為 “隔離區(qū) ”或 “非軍事化區(qū) ”，它是介于信賴域和非信賴域之間的一個安全區(qū)域。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 防火墻應(yīng)用的局限性 ?1． 防火墻不能防范未通過自身的網(wǎng)絡(luò)連接 ? 對于有線網(wǎng)絡(luò)來說，防火墻是進(jìn)出網(wǎng)絡(luò)的唯一節(jié)點。但是如果使用無線網(wǎng)絡(luò)（如無線局域網(wǎng)），內(nèi)部用戶與外部網(wǎng)絡(luò)之間以及外部用戶與內(nèi)部網(wǎng)絡(luò)之間的通信就會繞過防火墻，這時防火墻就沒有任何用處。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?2． 防火墻不能防范全部的威脅 ? 防火墻安全策略的制定建立在已知的安全威脅上，所以防火墻能夠防范已知的安全威脅。 ?3． 防火墻不能防止感染了病毒的軟件或文件的傳輸 ? 即使是最先進(jìn)的數(shù)據(jù)包過濾技術(shù)在病毒防范上也是不適用的，因為病毒的種類太多，操作系統(tǒng)多種多樣，而且目前的病毒編寫技術(shù)很容易將病毒隱藏在數(shù)據(jù)中。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?4．防火墻不能防范內(nèi)部用戶的惡意破壞 ? 據(jù)相關(guān)資料統(tǒng)計，目前局域網(wǎng)中有 80%以上的網(wǎng)絡(luò)破壞行為是由內(nèi)部用戶所為，如在局域網(wǎng)中竊取其他主機(jī)上的數(shù)據(jù)、對其他主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊、散布計算機(jī)病毒等。這些行為都不通過位于局域網(wǎng)出口處的防火墻，防火墻對其無能為力。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?5． 防火墻本身也存在安全問題 ? 防火墻的工作過程要依賴于防火墻操作系統(tǒng)，與我們平常所使用的 Windows、Linux等操作系統(tǒng)一樣，防火墻操作系統(tǒng)也存在安全漏洞，而且防火墻的功能越強(qiáng)、越復(fù)雜，其漏洞就會越多 。 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 防火墻的基本類型 ? 包過濾防火墻 ? 包過濾防火墻是最早使用的一種防火墻技術(shù)，它在網(wǎng)絡(luò)的進(jìn)出口處對通過的數(shù)據(jù)包進(jìn)行檢查，并根據(jù)已設(shè)置的安全策略決定數(shù)據(jù)包是否允許通過。 ?1． IP分組的組成 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 《 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 》 ?2． 包過濾防火墻的工作原理 ? 包過濾（ Packet Filter）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問策略（過濾規(guī)則），檢查每一個數(shù)據(jù)包的源 IP地址、目的 IP地址以及