【文章內(nèi)容簡介】 ，又稱為智能防火墻。 16 防火墻的功能 防火墻的主要功能 1．包過濾 。 包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間 ?？筛鶕?jù)地址簿進(jìn)行設(shè)置規(guī)則。 2．地址轉(zhuǎn)換。 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地 址轉(zhuǎn)換 Source NAT(SNAT)和目的 地址轉(zhuǎn) 換 Destination NAT(DNAT)。 SNAT 用于對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。 DNAT 主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機。 3．認(rèn)證和應(yīng)用代理。 認(rèn)證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫 。提供 HTTP、 FTP 和 SMTP 代理功能，并可對這三種協(xié)議進(jìn)行訪問控制 。同時支持 URL 過 濾功能。 4．透明和路由 17 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問。 入侵檢測功能 入侵檢測技術(shù) [7]就是一種主動保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容 : 。端口掃描就是指黑客通過遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機的哪些非常用端口是打開的 。是否支持 FTP、 Web 服務(wù) 。且 FTP 服務(wù)是否支持“匿名” ，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進(jìn)而對內(nèi)部網(wǎng)絡(luò)的主機進(jìn)行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有 :關(guān)閉閑置和有潛在危險的端口 。檢查各端口，有端口掃描的癥狀時，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。 。拒絕服務(wù) (DoS)攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，其攻擊方式有很多種 。而分布式的拒絕服務(wù)攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊 (DDoS)。其原理很簡單，就是利用更多的受控主機同時發(fā)起進(jìn)攻，以比 DoS 更大的規(guī)模 (或者說以更高于受攻主機處理能力的進(jìn)攻能力 )來進(jìn)攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、Land、 Ping of Death、 TearDrop、 ICMP flood 和 UDPflod 等多種 18 DOS/DDOS 攻擊。 (Buffer Overflow)。緩沖區(qū)溢出(Buffer Overflow)攻擊指利用軟件的弱點將任意數(shù)據(jù)添加進(jìn)某個程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序 轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作，防火墻設(shè)備可檢測對 FTP、 Tel、 SSH、 RPC 和 SMTP 等服務(wù)的遠(yuǎn)程堆棧溢出入侵。 CGI/IIS 服務(wù)器入侵。 CGI 就是 Common Gateway Inter—— face 的簡稱。是 World Wide Web 主機和 CGI 程序間傳輸資訊的定義。 IIS 就是 Inter Information server 的簡稱，也就是微軟的Inter 信息服務(wù)器。防火墻設(shè)備可檢測包括 針對 Unicode、 ASP 源碼泄漏、 PHF、 NPH、 等已知上百種的有安全隱患的CGI/IIS 進(jìn)行的探測和攻擊方式。 、木馬及其網(wǎng)絡(luò)蠕蟲。后門程序是指采用某種方法定義出一個特殊的端口并依靠某種程序在機器啟動之前自動加載到內(nèi)存，強行控制機器打開那個特殊的端口的程序。木馬程序的全稱是“特洛依木馬”，它們是指尋找后門、竊取計算機的密碼的一類程序。網(wǎng)絡(luò)蠕蟲病毒分為 2 類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進(jìn)行攻擊，可以對整個互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色 代碼”，“尼姆達(dá)”，以及最新的“ sql 蠕蟲王”為代表。另外一種是針對個人用戶的，通過網(wǎng)絡(luò) (主要是電子郵件，惡 19 意網(wǎng)頁形式 )迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。防火墻設(shè)備可檢測試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序 。檢測試圖穿透防火墻系統(tǒng)的蠕蟲程序。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。 VPN 的基本原理是通過 IP 包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的。 其他功能 地址 /MAC 地址綁定?？芍С秩我痪W(wǎng)絡(luò)接口的 IP 地址和MAC 地址的綁定，從而禁止用戶隨意修改 IP 地址。 。要求對使用身份標(biāo)識和認(rèn)證的機制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計功能 :系統(tǒng)管理日志、流量日志和入侵日志。 。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點。 防火墻的原理及分類 國際計算機安全委員會 ICSA 將防火墻分成三大類 :包過濾防火墻，應(yīng)用級代理 服務(wù)器 [8]以及狀態(tài)包檢測防火墻。 包過濾防火墻 20 顧名思義，包過濾防火墻 [9]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信息的比較。包過濾防火墻工作在網(wǎng)絡(luò)層， IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型 (TCP， UDP， ICMP或 IP Tunnel)， TCP/UDP 端口號， ICMP 消息類型， TCP 包頭中的ACK 等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理 。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包 。如 果沒有匹配規(guī)則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)，對用戶來說都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如， HTTP。通常是使用 80 端口。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允 所有 80 端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過濾防火墻的維護(hù)比較困難，定義過濾規(guī)則也比較復(fù)雜，因為任何一條過濾規(guī)則的不完善都會給網(wǎng) 絡(luò)黑客造成可乘之機。同時，包過濾防火墻一般無法提供完善的日志。 應(yīng)用級代理防火墻 應(yīng)用級代理技術(shù)通過在 OSI 的最高層檢查每一個 IP 包，從而實現(xiàn)安全策略。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新 21 的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò) 服務(wù)進(jìn)行全面的控制。但是，這將花費更多的處理時間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問 WEB 站點的 HTTP，用于文件傳輸?shù)?FTP，用于E 一 MAIL 的 SMTP/POP3 等等。如果某種應(yīng)用沒有安裝代理程序，那么該項服務(wù)就不被支持并且不能通過防火墻進(jìn)行轉(zhuǎn)發(fā) 。同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。 代理服務(wù)型防火墻 代理服務(wù) (Proxy Service)也稱鏈路級網(wǎng)關(guān)或 TCP 通道 (Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通 信流的作用。同時 也常結(jié)合入過濾器的功能。它工作在 OSI 模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。 22 復(fù)合型防火墻 由于對更高安全性的要求 ，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter 相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機成為 Inter上其他節(jié)點所能到達(dá)的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用 戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Inter 及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。 防火墻包過濾技術(shù) 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用