【正文】 一、防火墻概述n 防火墻是建立在 內(nèi)外網(wǎng)絡(luò)邊界上 的過濾封鎖機(jī)制，它的作用是在保證網(wǎng)絡(luò)暢通的情況下，防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過 邊界控制 強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。防火墻概述（續(xù)）n 如果沒有防火墻，則整個(gè)內(nèi)部網(wǎng)絡(luò)的安全性完全依賴于每個(gè)主機(jī)n 也就是說，網(wǎng)絡(luò)的安全水平是由最低的那個(gè)安全水平的主機(jī)決定的，這就是所謂的 “木桶原理 ”，木桶能裝多少水由最低的地方?jīng)Q定。n 網(wǎng)絡(luò)越大，對(duì)主機(jī)進(jìn)行管理使它們達(dá)到統(tǒng)一的安全級(jí)別水平就越不容易。n 如果采用了防火墻，內(nèi)部網(wǎng)絡(luò)中的主機(jī)將不再直接暴露給來自 Inter的攻擊n 因此， 對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)的安全管理就變成了防火墻的安全管理 ，這樣就使安全管理變得更為方便，易于控制，也會(huì)使內(nèi)部網(wǎng)絡(luò)更加安全。防火墻的設(shè)計(jì)目標(biāo)n 所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的通信必須通過防火墻；n 所有通過防火墻的通信必須經(jīng)過安全策略的過濾或者防火墻的授權(quán)；n 防火墻本身應(yīng)該具有很強(qiáng)的抵抗攻擊能力。防火墻的功能n 主要功能：n 訪問控制功能；n 內(nèi)容控制功能；n 全面的日志功能；n 集中管理功能；n 自身的安全和可用性。n 附加功能：n 流量控制；n 網(wǎng)絡(luò)地址轉(zhuǎn)換（ Network Address Translation—NAT）；n 虛擬專用網(wǎng)（ Virtual Private Network—VPN ）。防火墻的邊界保護(hù)機(jī)制n 防火墻的 安放位置是可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的邊界 ，它所保護(hù)的對(duì)象是網(wǎng)絡(luò)中有明確閉合邊界的網(wǎng)段n 注意： “可信網(wǎng)絡(luò) ”和 “不可信網(wǎng)絡(luò) ”是相對(duì)的 ；n 一般說來內(nèi)部網(wǎng)絡(luò)是可信的， Inter是不可信的；n 但在內(nèi)部網(wǎng)絡(luò)中，還可能劃分可信和不可信網(wǎng)絡(luò)，比如財(cái)務(wù)部網(wǎng)絡(luò)需要特殊保護(hù)，則財(cái)務(wù)部網(wǎng)絡(luò)是可信網(wǎng)絡(luò)，而其他內(nèi)部網(wǎng)絡(luò)就變成不可信網(wǎng)絡(luò)。n 防火墻是一種邊界保護(hù)，它對(duì)可信網(wǎng)絡(luò)內(nèi)部之間的訪問無法控制，僅對(duì)穿過邊界的訪問進(jìn)行控制防火墻面臨的潛在的攻擊n 防火墻放在可信網(wǎng)絡(luò)的邊界，直接面對(duì)的是不可信網(wǎng)絡(luò)可能的攻擊，面臨 Inter中的惡意訪問者的攻擊。n 惡意破壞者主要有以下幾種可能的攻擊：n 1） 入侵內(nèi)部網(wǎng)絡(luò)： 包括沒有授權(quán)地訪問內(nèi)部網(wǎng)絡(luò)，盜取信息。比如進(jìn)行地址欺騙，不可信網(wǎng)絡(luò)的用戶偽裝成可信網(wǎng)絡(luò)的地址，從而繞過系統(tǒng)的認(rèn)證實(shí)現(xiàn)進(jìn)入被攻擊系統(tǒng)；或者通過在內(nèi)部網(wǎng)絡(luò)中安裝木馬程序，實(shí)現(xiàn)對(duì)內(nèi)部機(jī)器的控制。n 2） 針對(duì)防火墻的攻擊，使其失去功能 ：包括各種協(xié)議漏洞攻擊和碎片攻擊，使防火墻死機(jī)或者失去本身應(yīng)有功能。n 3） 拒絕服務(wù)攻擊 ：此種攻擊現(xiàn)在非常普遍，對(duì)網(wǎng)絡(luò)的危害非常大，是防火墻較難阻擋的攻擊之一。拒絕服務(wù)攻擊的方式n 1） Syn Flood： n 該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送 SYN包，而在收到目的主機(jī)的 SYN ACK后并不回應(yīng)；n 這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒有收到 ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。 n 2） Smurf： n 該攻擊向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求（如 ICMP回應(yīng)請(qǐng)求）的包，并且將源地址偽裝成想要攻擊的主機(jī)地址；n 子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請(qǐng)求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。n 3） Land based、 Ping of Death、 Teardrop、 Ping Sweep、 Ping Flood…….防火墻的局限性n 防火墻不能防范不經(jīng)防火墻的攻擊；n 防火墻不能防止感染了病毒的軟件或文件的傳輸；n 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊；n 有些表面看起來無害的數(shù)據(jù)通過電子郵件發(fā)送或者其他方式復(fù)制到內(nèi)部主機(jī)上，一旦被執(zhí)行就形成攻擊。n 一個(gè)數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件，使得入侵者很容易獲得對(duì)系統(tǒng)的訪問權(quán)。n 防火墻不能防范惡意的內(nèi)部人員侵入；n 防火墻不能防范不斷更新的攻擊方式n 防火墻制定的安全策略是在已知的攻擊模式下制定的，所以對(duì)全新的攻擊方式缺少阻止功能。防火墻的分類n 從防火墻實(shí)現(xiàn)的技術(shù)方式分：n 包過濾防火墻；n 應(yīng)用層網(wǎng)關(guān)防火墻；n 電路層網(wǎng)關(guān)防火墻；n 狀態(tài)檢測(cè)防火墻。n 從形態(tài)上分：n 軟件防火墻；n 硬件防火墻n 硬件防火墻是將防火墻軟件安裝在專用的硬件平臺(tái)和專有操作系統(tǒng)（有些硬件防火墻甚至沒有操作系統(tǒng)）之上，以硬件形式出現(xiàn)，如 Cisco的 PIX防火墻。n 有的還使用一些專有的 ASIC硬件芯片負(fù)責(zé)數(shù)據(jù)包的過濾，性能更好。防火墻的訪問效率和安全需求n 防火墻是 網(wǎng)絡(luò)的開放性和安全的控制性矛盾對(duì)立的產(chǎn)物 。n 一方面網(wǎng)絡(luò)的優(yōu)勢(shì)是它的互聯(lián)互通性，用戶希望快捷順暢地訪問網(wǎng)站、收發(fā)電子郵件等；n 另一方面，網(wǎng)絡(luò)也是不安全的，所以需要使用防火墻對(duì)網(wǎng)絡(luò)進(jìn)行控制，添加安全規(guī)則，讓用戶通過登錄來完成訪問授權(quán)，可這樣會(huì)使用戶感到繁瑣，而且需要檢查的安全規(guī)則越多，網(wǎng)絡(luò)性能就會(huì)越差。n 所以防火墻的訪問效率和安全需求是一對(duì)矛盾，應(yīng)該努力尋找平衡。防火墻的主要性能指標(biāo)n 1）吞吐量： n 指防火墻在不丟失數(shù)據(jù)包的情況下能達(dá)到的最大的轉(zhuǎn)發(fā)數(shù)據(jù)包的速率。n 吞吐量是防火墻性能中的一項(xiàng)非常重要的指標(biāo)。如果防火墻的吞吐量指標(biāo)太低就會(huì)造成網(wǎng)絡(luò)瓶頸，影響網(wǎng)絡(luò)的性能。n 2）時(shí)延： n 對(duì)存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備，如路由器，是指從入口處進(jìn)入的輸入幀的最后一個(gè)比特到達(dá)，到從出口發(fā)出的輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔。n 這個(gè)指標(biāo)能夠衡量出防火墻處理數(shù)據(jù)的快慢。 n 3）丟包率： n 在特定負(fù)載下，指應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由資源耗盡而丟棄幀的百分比。n 丟包率是衡量防火墻設(shè)備穩(wěn)定性和可靠性的重要指標(biāo)。防火墻的主要性能指標(biāo)（續(xù)）n 4） 背對(duì)背： n 指從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)所發(fā)送的幀數(shù)。n 背對(duì)背的測(cè)試結(jié)果能夠反映出防火墻設(shè)備的緩存能力、對(duì)網(wǎng)絡(luò)突發(fā)數(shù)據(jù)流量的處理能力。n 5） 并發(fā)連接數(shù)： n 指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)。n 并發(fā)連接數(shù)的測(cè)試主要用來測(cè)試被防火墻建立和維持TCP連接的性能。二、防火墻技術(shù)n 包過濾（ Packet Filter ）n 代理服務(wù)器（ Proxy Server）n 電路級(jí)網(wǎng)關(guān)（ Circuit Level Gateway）n 狀態(tài)檢測(cè)（ State Inspection）包過濾技術(shù)n 包過濾 (Packet Filter)技術(shù)是在 網(wǎng)絡(luò)層（或傳輸層） 中根據(jù)數(shù)據(jù)包中的包頭信息 對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。n 包過濾依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾規(guī)則，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的包頭后， 根據(jù)包頭中的各個(gè)數(shù)據(jù)項(xiàng)來確定是否允許數(shù)據(jù)包通過， 其核心是安全策略即過濾規(guī)則的設(shè)計(jì)。n 例如， 利用特定的因特網(wǎng)服務(wù)的服務(wù)器駐留在特定的端口號(hào)的事實(shí) （如 TCP端口 23用于 Tel連接），使包過濾器可以通過規(guī)定適當(dāng)?shù)亩丝谔?hào)來達(dá)到阻止或允許一定類型的連接的目的，并可進(jìn)一步組成一套數(shù)據(jù)包過濾規(guī)則。包過濾技術(shù)（續(xù)）n 包過濾技術(shù)在防火墻上的應(yīng)用非常廣泛，其主要優(yōu)點(diǎn)是：