【正文】 的安全功能應(yīng)確保在所有授權(quán)管理員、可信主機(jī)和主機(jī)請(qǐng)求執(zhí)行的任何操作之前，對(duì)每個(gè)授權(quán)管理員、可信主機(jī)和主機(jī)進(jìn)行唯一身份識(shí)別。 授權(quán)管理員、可信主機(jī)和主機(jī)唯一屬性定義防火墻的安全功能應(yīng)為每一個(gè)規(guī)定的授權(quán)管理員、可信主機(jī)和主機(jī)提供一套唯一的，為了執(zhí)行安全策略所必須的安全屬性。 鑒別失敗的基本處理防火墻的安全功能應(yīng)能夠在鑒別嘗試經(jīng)一個(gè)可設(shè)定的次數(shù)失敗以后，終止可信主機(jī)建立會(huì)話的過(guò)程。b）主機(jī)名。 管理員屬性修改防火墻應(yīng)執(zhí)行訪問(wèn)控制的功能策略（SFP）：未鑒別的端到端策略，向授權(quán)管理員提供修改下述參數(shù)的能力：a）標(biāo)識(shí)與角色（例如：管理員）的關(guān)聯(lián)。b）防火墻應(yīng)拒絕從外部網(wǎng)絡(luò)發(fā)出的、但擁有廣播網(wǎng)絡(luò)上的主機(jī)源地址的訪問(wèn)或服務(wù)請(qǐng)求。防火墻的安全功能應(yīng)執(zhí)行未鑒別的端到端策略。以及安全功能策略所包括主體和客體上的所有操作。本章分別規(guī)定了包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻的最低安全要求。 使用多臺(tái)外部路由器； 合并內(nèi)部路由器與外部路由器；這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)風(fēng)險(xiǎn)。 這種配置的危險(xiǎn)帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者設(shè)法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會(huì)受到很大威脅。例如，一個(gè)分組過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）雙穴主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。它的缺點(diǎn)是一旦被攻陷后很難發(fā)現(xiàn)，而且不能識(shí)別不同的用戶。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過(guò)檢查。不建議廣泛使用。第三種手段設(shè)備投資和管理的成本很高。但是，由于防火墻只能根據(jù)IP地址、服務(wù)端口阻斷攻擊包，如果有來(lái)自代理服務(wù)器IP地址的某個(gè)攻擊的話，來(lái)自該IP地址的所有訪問(wèn)都將被阻斷。結(jié)果，服務(wù)器仍然受到了攻擊。3）與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)通常入侵檢測(cè)設(shè)備工作在旁路的方式下，通過(guò)檢查每個(gè)數(shù)據(jù)包的特征，并與攻擊特征做對(duì)比，從而分析出攻擊包是否存在。如：超時(shí)等待時(shí)間、最大半開(kāi)連接數(shù)、最大半開(kāi)連接時(shí)間等。這將是非常大的安全漏洞，而在電信企業(yè)內(nèi)部網(wǎng)絡(luò)的環(huán)境中，更容易產(chǎn)生這種問(wèn)題。通常，防火墻能夠防御不低于30種的目前較為流行的網(wǎng)絡(luò)攻擊。 附加功能：攻擊保護(hù)，聯(lián)動(dòng)功能，入侵檢測(cè)攻擊保護(hù)：防火墻作為網(wǎng)絡(luò)通訊的安全控制門(mén)戶，對(duì)來(lái)自?xún)?nèi)/外網(wǎng)絡(luò)的攻擊，也需要能夠提供足夠的抵擋功能。在實(shí)施的過(guò)程中，防火墻的流量算法可以精確控制帶寬分配：類(lèi)似于幀中繼技術(shù)中的帶寬管理功能，對(duì)特定的網(wǎng)絡(luò)服務(wù)設(shè)定最小網(wǎng)絡(luò)帶寬（最小是10K）和最大網(wǎng)絡(luò)帶寬；另外，通過(guò)設(shè)置8級(jí)隊(duì)列的優(yōu)先級(jí)，為不同的流量分配優(yōu)先權(quán)。防火墻系統(tǒng)通常會(huì)被部署在外網(wǎng)到內(nèi)網(wǎng)、內(nèi)網(wǎng)子網(wǎng)之間的關(guān)鍵位置，因此，防火墻具備必要的帶寬管理功能對(duì)提高整個(gè)網(wǎng)絡(luò)效率會(huì)起到非常重要的作用。應(yīng)要求防火墻將內(nèi)容請(qǐng)求信息及時(shí)轉(zhuǎn)發(fā)給過(guò)濾服務(wù)器和應(yīng)用服務(wù)器，但對(duì)應(yīng)用服務(wù)器的響應(yīng)內(nèi)容做緩存，當(dāng)過(guò)濾服務(wù)器的判決結(jié)果被收到后立即對(duì)緩存內(nèi)容進(jìn)行轉(zhuǎn)發(fā)或丟棄。 過(guò)濾策略數(shù)據(jù)庫(kù)的維護(hù)是工作重點(diǎn)。信息的過(guò)濾處理需要進(jìn)行大量的查找工作，而且查找所基于的數(shù)據(jù)庫(kù)通常非常巨大而且不斷在被修改，因此不適于在防火墻內(nèi)部進(jìn)行數(shù)據(jù)庫(kù)的維護(hù)和查找。 可以參與路由協(xié)議的運(yùn)行,以支持復(fù)雜的網(wǎng)絡(luò)拓?fù)鋺?yīng)用環(huán)境：路由模式主要應(yīng)用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（如因特網(wǎng)）的連接。對(duì)于 VPN信息流，可使用目的地區(qū)段接口 IP 地址或其相關(guān) DIP 池的地址，或者通道接口 IP 地址或其相關(guān) DIP 池的地址，來(lái)執(zhí)行 NAT。與Transparent 模式（透明模式）不同， Trust 區(qū)段中的接口和Untrust 區(qū)段中的接口在不同的子網(wǎng)中。使用Transparent 模式（透明模式）有以下優(yōu)點(diǎn)：216。接口為T(mén)ransparent 模式（透明模式）時(shí)， 防火墻設(shè)備過(guò)濾通過(guò)防火墻的封包，而不會(huì)修改 IP 封包包頭中的任何源或目的地信息。 防火墻的冗余解決方案為系統(tǒng)的自然增長(zhǎng)提供了完備的可擴(kuò)縮性，能夠方便地管理一群相對(duì)低價(jià)位的防火墻或者VPN系統(tǒng)協(xié)同工作，而不用花費(fèi)大量的投資升級(jí)到單個(gè)不具容錯(cuò)能力卻價(jià)格昂貴的防火墻。但NAT也潛在地影響到一些網(wǎng)絡(luò)性能和安全設(shè)施及部分網(wǎng)絡(luò)應(yīng)用，這就需要網(wǎng)絡(luò)管理員謹(jǐn)慎地使用它。而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。每個(gè)私有地址包通過(guò)NAT設(shè)備都被翻譯成合法的全局IP地址發(fā)往下一級(jí)設(shè)備，這給NAT設(shè)備的處理器帶來(lái)了一定的負(fù)擔(dān)。因此在移動(dòng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部私有空間地址，通過(guò)NAT把內(nèi)部私有地址翻譯成合法的公用全局IP地址。國(guó)內(nèi)外的一些主流防火墻廠商已經(jīng)開(kāi)始采用深度包檢測(cè)技術(shù)。深度包檢測(cè)防火墻提供了入侵檢測(cè)和攻擊防范的功能，它能深入檢查信息包流，查出惡意行為，可以根據(jù)特征檢測(cè)和內(nèi)容過(guò)濾，來(lái)尋找已知的攻擊，并理解什么是“正常的”通信，同時(shí)阻止異常的訪問(wèn)。作為自適應(yīng)安全計(jì)劃的一部分，自適應(yīng)代理將允許經(jīng)過(guò)正確驗(yàn)證的設(shè)備在安全傳感器和掃描儀發(fā)現(xiàn)重要的網(wǎng)絡(luò)威脅時(shí)，根據(jù)防火墻管理員事先確定的安全策略，自動(dòng)“適應(yīng)”防火墻級(jí)別。自適應(yīng)代理防火墻允許用戶根據(jù)具體需求，定義防火墻策略，而不會(huì)犧牲速度或安全性。目前市場(chǎng)上的主流防火墻，一般都是全狀態(tài)檢測(cè)防火墻。全狀態(tài)檢測(cè)防火墻保留狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。 全狀態(tài)檢測(cè)（Stateful Inspection）動(dòng)態(tài)包過(guò)濾技術(shù)后來(lái)演變?yōu)槿珷顟B(tài)檢測(cè)。防火墻可以動(dòng)態(tài)的決定哪些數(shù)據(jù)包可以通過(guò)內(nèi)部網(wǎng)絡(luò)的鏈路和應(yīng)用程序?qū)臃?wù)。如果支持應(yīng)用程序，那也很可能是TCP/IP應(yīng)用程序。在電路層網(wǎng)關(guān)中，包被提交到用戶應(yīng)用層處理。應(yīng)用層代理為一特定應(yīng)用服務(wù)提供代理，它對(duì)應(yīng)用協(xié)議進(jìn)行解析并解釋?xiě)?yīng)用協(xié)議的命令。包過(guò)濾防火墻的優(yōu)點(diǎn)是速度快、邏輯簡(jiǎn)單、成本低、易于安裝和使用，網(wǎng)絡(luò)性能和透明度好，不需要改變用戶的行為。 包過(guò)濾（Packet Filter）包過(guò)濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。 防火墻分類(lèi)根據(jù)技術(shù)實(shí)現(xiàn)方式的不同，傳統(tǒng)的防火墻的類(lèi)型主要有三種：包過(guò)濾、應(yīng)用層代理、電路層代理。網(wǎng)絡(luò)連接的日志記錄及使用統(tǒng)計(jì)日志是對(duì)一些可能的攻擊進(jìn)行分析和防范的十分重要的情報(bào)。強(qiáng)化安全管理 透過(guò)分布式防火墻/網(wǎng)絡(luò)管理系統(tǒng)對(duì)網(wǎng)絡(luò)內(nèi)部設(shè)備的監(jiān)管，可有效控制內(nèi)部工作站對(duì)內(nèi)部主機(jī)、外部Internet的登陸與訪問(wèn)，通過(guò)對(duì)其使用的協(xié)議、端口以及通訊數(shù)據(jù)的過(guò)濾，加之根據(jù)具體應(yīng)用的規(guī)則限定與流量控制，可有效防止發(fā)自于網(wǎng)絡(luò)內(nèi)部的攻擊，從整體上強(qiáng)化系統(tǒng)的安全管理增強(qiáng)抗攻擊能力。簡(jiǎn)要來(lái)講，防火墻具有以下幾方面主要作用：控制不安全的服務(wù)防火墻可以控制不安全的服務(wù)，因?yàn)橹挥惺跈?quán)的協(xié)議和服務(wù)才能通過(guò)防火墻進(jìn)入到內(nèi)部子網(wǎng)。密 級(jí)：文檔編號(hào)：項(xiàng)目代號(hào)：中國(guó)移動(dòng)企業(yè)信息化防火墻安全規(guī)范Version 中國(guó)移動(dòng)通信有限公司二零零四年十二月擬 制:審 核:批 準(zhǔn):會(huì) 簽:標(biāo)準(zhǔn)化:版本控制版本號(hào)日期參與人員更新說(shuō)明分發(fā)控制編號(hào)讀者文檔權(quán)限與文檔的主要關(guān)系1創(chuàng)建、修改、讀取負(fù)責(zé)編制、修改、審核2批準(zhǔn)負(fù)責(zé)本文檔的批準(zhǔn)程序3標(biāo)準(zhǔn)化審核作為本項(xiàng)目的標(biāo)準(zhǔn)化負(fù)責(zé)人，負(fù)責(zé)對(duì)本文檔進(jìn)行標(biāo)準(zhǔn)化審核4讀取5讀取目錄1 綜述 62 防火墻簡(jiǎn)介和分類(lèi) 7 防火墻簡(jiǎn)介 7 防火墻分類(lèi) 8 包過(guò)濾（Packet Filter） 8 應(yīng)用層代理（Proxy） 9 電路層代理（Circuit Proxy） 9 動(dòng)態(tài)包過(guò)濾（Dynamic Packet Filter） 10 全狀態(tài)檢測(cè)（Stateful Inspection） 10 自適應(yīng)代理（Adaptive Proxy） 11 深度包檢測(cè)（Deep Packet Inspection） 113 防火墻技術(shù) 13 NAT 13 雙機(jī)熱備 14 橋接、路由 14 內(nèi)容過(guò)濾 16 帶寬管理 17 附加功能：攻擊保護(hù)，聯(lián)動(dòng)功能，入侵檢測(cè)，防止攻擊 184 防火墻的體系結(jié)構(gòu) 21 屏蔽路由器（Screening Router） 21 雙穴主機(jī)網(wǎng)關(guān)（Dual Homed Gateway） 21 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway） 22 屏蔽子網(wǎng) （Screened Subnet） 225 防火墻的功能要求 24 包過(guò)濾防火墻應(yīng)具備的基本安全功能 24 用戶數(shù)據(jù)保護(hù)功能 24 識(shí)別與鑒別功能 26 保密功能 27 可信安全功能保護(hù) 27 安全審計(jì)功能 28 應(yīng)用網(wǎng)關(guān)防火墻應(yīng)具備的基本安全功能 30 用戶數(shù)據(jù)保護(hù)功能 30 識(shí)別與鑒別功能 33 保密功能 34 可信安全功能保護(hù) 34 安全審計(jì)功能 35 防火墻的特殊安全功能要求 37 選擇防火墻的考慮 396 防火墻的管理與配置 41 安全策略配置 41 通信策略 42 訪問(wèn)策略 44 應(yīng)用策略 44 安全策略流程管理 46 增添安全策略流程 47 更改安全策略流程 48 刪除安全策略流程 49 防火墻分級(jí)管理 50 管理員角色定義 50 用戶參數(shù)管理 52 日志審計(jì)及監(jiān)控 54 安全審計(jì)原則 54 審計(jì)方法及過(guò)程 55 日常維護(hù)管理 59 防火墻系統(tǒng)資源監(jiān)控 59 系統(tǒng)日志監(jiān)控 60 數(shù)據(jù)包捕獲分析 60 定期備份 607 防火墻適用環(huán)境與部署原則 62 適用環(huán)境 62 部署原則 631 綜述本規(guī)范的目的是介紹防火墻的分類(lèi)、常用技術(shù)和體系結(jié)構(gòu)，并為中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)提供使用防火墻時(shí)需要考慮的功能要求、策略配置和管理要求，以及防火墻系統(tǒng)的維護(hù)和審計(jì)方式，幫助中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全管理人員建設(shè)新的防火墻系統(tǒng)，或是對(duì)現(xiàn)有的防火墻系統(tǒng)進(jìn)行改造、調(diào)整、維護(hù)，以滿足企業(yè)信息化業(yè)務(wù)發(fā)展對(duì)網(wǎng)絡(luò)安全的要求。防火墻是一個(gè)中心“扼制點(diǎn)”來(lái)防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。比如，從外界可以訪問(wèn)內(nèi)網(wǎng)的某些主機(jī)，而對(duì)內(nèi)網(wǎng)內(nèi)的其它主機(jī)的訪問(wèn)則會(huì)被視為非法。封鎖這些信息，可以防止攻擊者從中獲得一些有用信息。其它安全控制各部門(mén)可以根據(jù)本單位的特殊要求來(lái)配置防火墻系統(tǒng)的使用規(guī)則與應(yīng)用參數(shù)，從而保障自己部門(mén)的網(wǎng)絡(luò)安全運(yùn)行。目前，新的發(fā)展方向是采用深度包過(guò)濾技術(shù)。包過(guò)濾主要檢查包頭中的下列內(nèi)容：IP源地址、IP目標(biāo)地址、協(xié)議類(lèi)型（TCP包、UDP包和ICMP包）、TCP或UDP包的目的端口、TCP或UDP包的源端口、ICMP消息類(lèi)型、TCP包頭的ACK位、TCP包的序列號(hào)、IP校驗(yàn)和等。代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專(zhuān)門(mén)的應(yīng)用程序或者服務(wù)器程序。 電路層代理（Circuit Proxy）另一種類(lèi)型的代理技術(shù)稱(chēng)為電路層網(wǎng)關(guān)（Circuit Gateway）。雖然它們包含支持某些特定TCP/IP應(yīng)用程序的代碼，但通常要受到限制。動(dòng)態(tài)包過(guò)濾只有在用戶的請(qǐng)求下才打開(kāi)端口，并且在服務(wù)完畢之后關(guān)閉端口，這樣可以降低受到與開(kāi)放端口相關(guān)的攻擊的可能性。對(duì)于許多應(yīng)用程序協(xié)議而言，例如媒體流，動(dòng)態(tài)IP包過(guò)濾提供了處理動(dòng)態(tài)分配端口的最安全方法。當(dāng)用戶訪問(wèn)請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。全狀態(tài)檢測(cè)技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類(lèi)網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。自適應(yīng)代理不僅能維護(hù)系統(tǒng)安全，還能夠動(dòng)態(tài)“適應(yīng)”傳送中的分組流量。自適應(yīng)代理可以和安全脆弱性掃描器、病毒安全掃描器和入侵檢測(cè)系統(tǒng)之間實(shí)現(xiàn)更加靈活的集成。今后，越來(lái)越多的攻擊是應(yīng)用層攻擊和DDOS攻擊，而傳統(tǒng)的防火墻所起的作用有限。深度包檢測(cè)防火墻應(yīng)能防范惡意數(shù)據(jù)攻擊：能識(shí)別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊，解決SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻擊，有效的切斷惡意病毒或木馬的流量攻擊；能防范黑客攻擊，能識(shí)別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。3 防火墻技術(shù) NATNAT可以節(jié)約公用IP地址，同時(shí)外部也不能直接查找到中國(guó)移動(dòng)內(nèi)部的網(wǎng)絡(luò)設(shè)備，可以起到隱藏和保護(hù)內(nèi)部信息的作用。路由器或防火墻等設(shè)備利用NAT表把私有IP地址映射到合法的全局IP地址上去。其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。Class A: to Class B: to Class C: to 雙機(jī)熱備雖然使用網(wǎng)絡(luò)地址翻譯可以帶來(lái)許多優(yōu)點(diǎn)，例如可以幫助網(wǎng)絡(luò)管理員向互聯(lián)網(wǎng)隱藏內(nèi)部網(wǎng)絡(luò)地址，并把內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法的公有地址；使現(xiàn)有網(wǎng)絡(luò)不必重新編址、減少了ISP接入費(fèi)用，還可以起平衡負(fù)載的作用。為了防止這種情況的出現(xiàn)，應(yīng)該使用冗余的防火墻來(lái)提供系統(tǒng)的容錯(cuò)性，同時(shí)也可以提高系統(tǒng)的處理能力。 橋接、路由橋接模式：在橋接模式下，防火墻在網(wǎng)絡(luò)中被配置成為一個(gè)橋接設(shè)備，在各個(gè)網(wǎng)段之間轉(zhuǎn)發(fā)數(shù)據(jù)，而網(wǎng)絡(luò)中的其他設(shè)備并不會(huì)感覺(jué)到網(wǎng)橋設(shè)備的存在。Transparent 模式（透明模式）是一種保護(hù) Web 服務(wù)器、或者主要從不可信源接收信息流的其它任意類(lèi)型服務(wù)器的方便手段。接口為Route 模式（路由模式）時(shí)， 防火墻設(shè)備在不同區(qū)段間轉(zhuǎn)發(fā)信息流時(shí)不執(zhí)行 NAT ；即，當(dāng)信息流過(guò)防火墻設(shè)備時(shí)，