【正文】 信息系統(tǒng)安全技術(shù) 防火墻技術(shù)Server Client 防火墻（ Firewall）注解：防火墻類似一堵城墻，將服務(wù)器與客戶主機(jī)進(jìn)行物理隔離，并在此基礎(chǔ)上實(shí)現(xiàn)服務(wù)器與客戶主機(jī)之間的授權(quán)互訪、互通等功能。l 防火墻概念l 防火墻特征l 防火墻功能l 協(xié)議與服務(wù)l 防火墻技術(shù)內(nèi)容l 防火墻體系結(jié)構(gòu)l 防火墻實(shí)現(xiàn)策略l 對(duì)防火墻技術(shù)與產(chǎn)品發(fā)展的介紹l 對(duì)防火墻技術(shù)的展望內(nèi)容提要防火墻概念 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡(luò)（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許 、拒絕 、 監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻特征4保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)4集中化的安全管理4加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問控制4加強(qiáng)隱私4對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)服務(wù)l 一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。l 防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP選項(xiàng)中的源路由攻擊和 ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員 。防火墻特征 (cont.)防火墻特征 (cont.)集中化的安全管理252。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問控制l 一個(gè)防火墻的主要功能是對(duì)整個(gè)網(wǎng)絡(luò)的訪問控制。比如防火墻可以屏蔽部分主機(jī)，使外部網(wǎng)絡(luò)無法訪問，同樣可以屏蔽部分主機(jī)的特定服務(wù)，使得外部網(wǎng)絡(luò)可以訪問該主機(jī)的其它服務(wù)，但無法訪問該主機(jī)的特定服務(wù)。l 防火墻不應(yīng)向外界提供網(wǎng)絡(luò)中任何不需要服務(wù)的訪問權(quán)，這實(shí)際上是安全政策的要求了。l 控制對(duì)特殊站點(diǎn)的訪問：如有些主機(jī)或服務(wù)能被外部網(wǎng)絡(luò)訪問，而有些則需被保護(hù)起來，防止不必要的訪問。防火墻特征 (cont.)加強(qiáng)隱私l 隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題。一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。l 使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如 Finger， DNS等服務(wù)。 Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用 shell類型等。但是 Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS信息，這樣一臺(tái)主機(jī)的域名和 IP地址就不會(huì)被外界所了解。防火墻特征 (cont.)對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)252。 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。252。 另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻特征 (cont.) 從總體上看，防火墻應(yīng)具有以下五大基本功能：l過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；l管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；l封堵某些禁止的業(yè)務(wù)；l記錄通過防火墻的信息內(nèi)容和活動(dòng)；l對(duì)網(wǎng)絡(luò)攻擊的檢測和告警。防火墻功能協(xié)議－－ ISO/OSI協(xié)議分層 應(yīng)用層應(yīng)用層表示層表示層 會(huì)話層會(huì)話層傳輸層傳輸層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層協(xié)議－－ ISO/OSI協(xié)議分層 (cont.)252。 物理層： 涉及在物理信道上傳輸原始比特，處理與物理傳輸介質(zhì)有關(guān)的機(jī)械的、電氣的和過程的接口。252。 數(shù)據(jù)鏈路層： 分為介質(zhì)訪問控制（ MAC）和邏輯鏈路控制（ LLC）兩個(gè)子層。 MAC子層解決廣播型網(wǎng)絡(luò)中多用戶競爭信道使用權(quán)問題。LLC的主要任務(wù)是將有噪聲的物理信道變成無傳輸差錯(cuò)的通信信道，提供數(shù)據(jù)成幀、差錯(cuò)控制、流量控制和鏈路控制等功能。252。 網(wǎng)絡(luò)層： 負(fù)責(zé)將數(shù)據(jù)從物理連接的一端傳到另一端，即所謂點(diǎn)到點(diǎn)，通信主要功能是尋徑，以及與之相關(guān)的流量控制和擁塞控制等 。協(xié)議－－ ISO/OSI協(xié)議分層 (cont.)252。傳輸層： 主要目的在于彌補(bǔ)網(wǎng)絡(luò)層服務(wù)與用戶需求之間的差距。傳輸層通過向上提供一個(gè)標(biāo)準(zhǔn)、通用的界面，使上層與通信子網(wǎng)（下三層）的細(xì)節(jié)相隔離。傳輸層的主要任務(wù)是提供進(jìn)程間通信機(jī)制和保證數(shù)據(jù)傳輸?shù)目煽啃浴?52。會(huì)話層： 主要針對(duì)遠(yuǎn)程終端訪問。主要任務(wù)包括會(huì)話管理、傳輸同步以及活動(dòng)管理等。252。表示層： 主要功能是信息轉(zhuǎn)換，包括信息壓縮、加密、與標(biāo)準(zhǔn)格式的轉(zhuǎn)換（以及上述各操作的逆操作）等等。252。應(yīng)用層： 提供最常用且通用的應(yīng)用程序，包括電子郵件（ Email）和文電傳輸?shù)?。應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、 TELNET NFSSMTP、 SNMP XDR RPC TCP、 UDP IPEther、 PDN、 、 、 ICMP ARP RARPOSI參考模型 Inter協(xié)議簇OSI參考模型與 Inter協(xié)議簇注解：通過對(duì)每一個(gè)協(xié)議簇中各種協(xié)議結(jié)構(gòu)的詳細(xì)了解，就可以非常輕松的針對(duì)包過濾型、應(yīng)用代理型等防火墻的 ACL（訪問控制列表）進(jìn)行制定和理解，并有助于了解防火墻的架構(gòu)體系。協(xié)議 －－ TCP/IP協(xié)議分層應(yīng)用層應(yīng)用層傳輸層傳輸層網(wǎng)間網(wǎng)層網(wǎng)間網(wǎng)層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層協(xié)議 －－ TCP/IP協(xié)議分層252。應(yīng)用層： 向用戶提供一組常用的應(yīng)用程序，比如文件傳輸訪問、電子郵件、遠(yuǎn)程登錄等。用戶完全可以在 “網(wǎng)間網(wǎng) ”之上（即傳輸層之上），建立自己的專用應(yīng)用程序，這些專用應(yīng)用程序要用到 TCP/IP，但不屬于 TCP/IP。252。傳輸層（ TCP/UDP）： 提供應(yīng)用程序間（即端到端）的可靠（ TCP）或高效（ UDP）的通信。其功能包括：格式化信息流及提供可靠傳輸。傳輸層還要解決不同應(yīng)用程序的識(shí)別問題。252。網(wǎng)間網(wǎng)層（ IP）： 負(fù)責(zé)相鄰計(jì)算機(jī)之間的