【正文】 信息系統(tǒng)安全技術(shù) 防火墻技術(shù)Server Client 防火墻（ Firewall）注解：防火墻類似一堵城墻，將服務(wù)器與客戶主機進行物理隔離，并在此基礎(chǔ)上實現(xiàn)服務(wù)器與客戶主機之間的授權(quán)互訪、互通等功能。l 防火墻概念l 防火墻特征l 防火墻功能l 協(xié)議與服務(wù)l 防火墻技術(shù)內(nèi)容l 防火墻體系結(jié)構(gòu)l 防火墻實現(xiàn)策略l 對防火墻技術(shù)與產(chǎn)品發(fā)展的介紹l 對防火墻技術(shù)的展望內(nèi)容提要防火墻概念 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許 、拒絕 、 監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻特征4保護脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)4集中化的安全管理4加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制4加強隱私4對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計保護脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)保護脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)l 一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。l 防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如 IP選項中的源路由攻擊和 ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員 。防火墻特征 (cont.)防火墻特征 (cont.)集中化的安全管理252。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。加強對網(wǎng)絡(luò)系統(tǒng)的訪問控制l 一個防火墻的主要功能是對整個網(wǎng)絡(luò)的訪問控制。比如防火墻可以屏蔽部分主機，使外部網(wǎng)絡(luò)無法訪問，同樣可以屏蔽部分主機的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問該主機的其它服務(wù)，但無法訪問該主機的特定服務(wù)。l 防火墻不應(yīng)向外界提供網(wǎng)絡(luò)中任何不需要服務(wù)的訪問權(quán)，這實際上是安全政策的要求了。l 控制對特殊站點的訪問：如有些主機或服務(wù)能被外部網(wǎng)絡(luò)訪問，而有些則需被保護起來，防止不必要的訪問。防火墻特征 (cont.)加強隱私l 隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題。一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。l 使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如 Finger， DNS等服務(wù)。 Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用 shell類型等。但是 Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS信息，這樣一臺主機的域名和 IP地址就不會被外界所了解。防火墻特征 (cont.)對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計252。 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。252。 另外，收集一個網(wǎng)絡(luò)的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻特征 (cont.) 從總體上看，防火墻應(yīng)具有以下五大基本功能：l過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；l管理進、出網(wǎng)絡(luò)的訪問行為；l封堵某些禁止的業(yè)務(wù)；l記錄通過防火墻的信息內(nèi)容和活動；l對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻功能協(xié)議－－ ISO/OSI協(xié)議分層 應(yīng)用層應(yīng)用層表示層表示層 會話層會話層傳輸層傳輸層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層協(xié)議－－ ISO/OSI協(xié)議分層 (cont.)252。 物理層： 涉及在物理信道上傳輸原始比特，處理與物理傳輸介質(zhì)有關(guān)的機械的、電氣的和過程的接口。252。 數(shù)據(jù)鏈路層： 分為介質(zhì)訪問控制（ MAC）和邏輯鏈路控制（ LLC）兩個子層。 MAC子層解決廣播型網(wǎng)絡(luò)中多用戶競爭信道使用權(quán)問題。LLC的主要任務(wù)是將有噪聲的物理信道變成無傳輸差錯的通信信道，提供數(shù)據(jù)成幀、差錯控制、流量控制和鏈路控制等功能。252。 網(wǎng)絡(luò)層： 負責(zé)將數(shù)據(jù)從物理連接的一端傳到另一端，即所謂點到點，通信主要功能是尋徑，以及與之相關(guān)的流量控制和擁塞控制等 。協(xié)議－－ ISO/OSI協(xié)議分層 (cont.)252。傳輸層： 主要目的在于彌補網(wǎng)絡(luò)層服務(wù)與用戶需求之間的差距。傳輸層通過向上提供一個標(biāo)準(zhǔn)、通用的界面，使上層與通信子網(wǎng)（下三層）的細節(jié)相隔離。傳輸層的主要任務(wù)是提供進程間通信機制和保證數(shù)據(jù)傳輸?shù)目煽啃浴?52。會話層： 主要針對遠程終端訪問。主要任務(wù)包括會話管理、傳輸同步以及活動管理等。252。表示層： 主要功能是信息轉(zhuǎn)換，包括信息壓縮、加密、與標(biāo)準(zhǔn)格式的轉(zhuǎn)換（以及上述各操作的逆操作）等等。252。應(yīng)用層： 提供最常用且通用的應(yīng)用程序，包括電子郵件（ Email）和文電傳輸?shù)?。應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、 TELNET NFSSMTP、 SNMP XDR RPC TCP、 UDP IPEther、 PDN、 、 、 ICMP ARP RARPOSI參考模型 Inter協(xié)議簇OSI參考模型與 Inter協(xié)議簇注解：通過對每一個協(xié)議簇中各種協(xié)議結(jié)構(gòu)的詳細了解，就可以非常輕松的針對包過濾型、應(yīng)用代理型等防火墻的 ACL（訪問控制列表）進行制定和理解，并有助于了解防火墻的架構(gòu)體系。協(xié)議 －－ TCP/IP協(xié)議分層應(yīng)用層應(yīng)用層傳輸層傳輸層網(wǎng)間網(wǎng)層網(wǎng)間網(wǎng)層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層協(xié)議 －－ TCP/IP協(xié)議分層252。應(yīng)用層： 向用戶提供一組常用的應(yīng)用程序，比如文件傳輸訪問、電子郵件、遠程登錄等。用戶完全可以在 “網(wǎng)間網(wǎng) ”之上（即傳輸層之上），建立自己的專用應(yīng)用程序，這些專用應(yīng)用程序要用到 TCP/IP，但不屬于 TCP/IP。252。傳輸層（ TCP/UDP）： 提供應(yīng)用程序間（即端到端）的可靠（ TCP）或高效（ UDP）的通信。其功能包括：格式化信息流及提供可靠傳輸。傳輸層還要解決不同應(yīng)用程序的識別問題。252。網(wǎng)間網(wǎng)層（ IP）： 負責(zé)相鄰計算機之間的