【文章內容簡介】 言，共有兩層網絡安全策略： ? 網絡服務訪問策略：是高層策略，定義了受保護網絡明確允許和明確拒絕的網絡服務，分析網絡服務的可用性（包括可用條件）、風險性等。 ? 防火墻設計策略：是低層策略，描述了防火墻如何根據高層的網絡服務訪問策略中定義的策略來具體地限制訪問和過濾服務。 安全講座 49 網絡服務訪問策略 ? 不允許外部網絡或 Inter訪問內部網絡，但允許內部網絡訪問外部網絡或 Inter。 ? 允許外部網絡或 Inter訪問部分內部網絡，這些特定的網絡服務是經過嚴格選擇和控制的，如一些信息服務器、電子郵件服務器或域名服務器等等。 防火墻實現策略 安全講座 50 防火墻設計策略 防火墻設計策略必須針對具體的防火墻，它定義過濾規(guī)則等，以實現高層的網絡服務策略。這個策略在設計時必須考慮到防火墻本身的性能、限制及具體協(xié)議如 TCP/IP。常用的兩種基本防火墻設計策略是： ? 允許所有除明確拒絕之外的通信或服務（很少考慮，因為這樣的防火墻可能帶來許多風險和安全問題。攻擊者完全可以使用一種拒絕策略中沒有定義的服務而被允許并攻擊網絡） ? 拒絕所有除明確允許之外的通信或服務（常用，但操作困難，并有可能拒絕網絡用戶的正常需求與合法服務） 防火墻實現策略 安全講座 51 作為一個安全策略的設計者，應懂得以下問題的要點： ? 哪些 Inter服務是本網絡系統(tǒng)打算使用或提供的？（如 TELNET、 FTP、 HTTP） ? 這些 Inter服務在哪或哪個范圍內使用？（如在本地網內、整個 Inter或撥號服務等） ? 可能有哪些額外或臨時的服務或需求？（如加密、撥入服務等） ? 提供這些服務和訪問有哪些風險和總的花費？ 防火墻實現策略 安全講座 52 對防火墻技術與產品發(fā)展的介紹 ? 防火墻技術是建立在現代通信網絡技術和信息安全技 術基礎上的應用性安全技術，越來越多地應用于專用 網絡與公用網絡的互聯(lián)環(huán)境之中，尤其以接入Inter網絡為最甚。 ? Inter的迅猛發(fā)展，使得防火墻產品在短短的幾年內異軍突起，很快形成了一個產業(yè)：據不完全統(tǒng)計，在國際上防火墻產品銷售從 1995年的不到 1萬套， 猛增到 1997年底的 10萬套。 ? 據國際權威商業(yè)調查機構的預測 ,防火墻市場將以 173％的復合增長率增長，到 2022年將達 150萬套，市場營業(yè)額將從 1995年的 2022年的 元。 安全講座 53 防火墻發(fā)展歷程 第一階段：基于路由器的防火墻 第二階段：用戶化的防火墻工具套 第三階段：建立在通用操作系統(tǒng)上的防火墻 第四階段：具有安全操作系統(tǒng)的防火墻 對防火墻技術與產品發(fā)展的介紹 安全講座 54 第一代防火墻產品的特點是： ? 利用路由器本身對分組的解析 ,以訪問控制表 （ access list） 方式實現對分組的過濾； ? 過濾判決的依據可以是：地址 、 端口號 、 IP旗標及其它 網絡特征； ? 只有分組過濾的功能 ， 且防火墻與路由器是一體的 ， 對 安全要求低的網絡可采用路由器附帶防火墻功能的方法 ， 對安全性要求高的網絡則可單獨利用一臺路由器作防火墻 。 第一階段：基于路由器的防火墻 安全講座 55 第一階段：基于路由器的防火墻 第一代防火墻產品的不足之處為： ? 路由協(xié)議十分靈活 ， 本身具有安全漏洞 ， 外部網絡要探尋內部網絡十分容易 。 ? 路由器上的分組過濾規(guī)則的設置和配置存在安全隱患 。 ? 攻擊者可以 “ 假冒 ” 地址 ， 由于信息在網絡上是以明文傳送的， 黑客可以在網絡上偽造假的路由信息欺騙防火墻 。 ? 防火墻的規(guī)則設置會大大降低路由器的性能 。 安全講座 56 第二階段：用戶化的防火墻工具套 作為第二代防火墻產品 ， 用戶化的防火墻工具套具有以下特征： ? 將過濾功能從路由器中獨立出來 ， 并加上審計和告警功能； ? 針對用戶需求 ， 提供模塊化的軟件包； ? 軟件可通過網絡發(fā)送 ， 用戶可根據需要構造防火墻； ? 與第一代防火墻相比 ， 安全性提高了 ， 價格降低了 。 安全講座 57 第二階段：用戶化的防火墻工具套 不足之處： ? 配置和維護過程復雜 、 費時； ? 對用戶的技術要求高； ? 全軟件實現 ， 安全性和處理速度均有局限； ? 實踐表明 ， 使用中出現差錯的情況很多 。 安全講座 58 第三階段：建立在通用操作系統(tǒng)上的防火墻 具有以下特點： ? 是批量上市的專用防火墻產品； ? 包括分組過濾或者借用路由器的分組過濾功能； ? 裝有專用的代理系統(tǒng) ， 監(jiān)控所有協(xié)議的數據和指令； ? 保護用戶編程空間和用戶可配置內核參數的設置； ? 安全性和速度大為提高 。 安全講座 59 第三階段：建立在通用操作系統(tǒng)上的防火墻 存在的問題： ? 作為基礎的操作系統(tǒng)及其內核往往不為防火墻管理者所知 ， 由于原碼的保密 ， 其安全性無從保證； ? 由于大多數防火墻廠商并非通用操作系統(tǒng)的廠商 ，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負責； ? 從本質上看 ， 第三代防火墻既要防止來自外部網絡的攻擊 ， 還要防止來自操作系統(tǒng)廠商的攻擊 。 ? 用戶必須依賴兩方面的安全支持：一是防火墻廠商、 一是操作系統(tǒng)廠商 。 安全講座 60 第四階段：具有安全操作系統(tǒng)的防火墻 具有以下特點： ? 防火墻廠商具有操作系統(tǒng)的源代碼 ， 并可實現安全內核； ? 對安全內核實現加固處理 :即去掉不必要的系統(tǒng)特性 ， 加固內核 ，強化安全保護； ? 對每個服務器 、 子系統(tǒng)都作了安全處理 ， 一旦黑客攻破了一個服務器 ， 它將會被隔離在此服務器內 ， 不會對網絡的其它部份構成威脅； ? 在功能上包括了分組過濾 、 應用網關 、 電路級網關 ， 且具有加密與鑒別功能； ? 透明性好 ， 易于使用 。 安全講座 61 第四代防火墻的主要技術與功能 第四代防火墻產品將網關與安全系統(tǒng)合二為一 ， 具有以下技術與功能特點： ? 雙端口或三端口的結構 ? 透明的訪問方式 ? 靈活的代理系統(tǒng) ? 多級的過濾技術 ? 網絡地址轉換技術 ? Inter網關技術 ? 安全服務器網絡（ SSN） ? 用戶鑒別與加密 ? 用戶定制服務 ? 審計和告警 安全講座 62 雙端口或三端口的結構 新一代防火墻產品具有兩個或三個獨立 的網卡 ， 內外兩個網卡可不作 IP轉化而串接于內部網與外部網之間 ， 另一個網卡可專用于對服務器的安全保護 。 安全講座 63 透明的訪問方式 以前的防火墻在訪問方式上要么要求用戶作 系統(tǒng)登錄 ， 要么需要通過 SOCKS等庫路徑修改客 戶機的應用 。 第四代防火墻利用了透明的代理系 統(tǒng)技術 ， 從而降低了系統(tǒng)登錄固有的安全風險和 出錯概率 。 安全講座 64 靈活的代理系統(tǒng) 代理系統(tǒng)是一種將信息從防火墻的一側傳送到另一側的軟件模塊 。 第四代防火墻采用了兩種代理機制 ，一種用于代理從內部網絡到外部網絡的連接 ， 采用網絡地址轉換 (NAT)技術來解決 ， 另一種用于代理從外部網絡到內部網絡的連接 。 采用非保密的用戶定制代理或保密的代理系統(tǒng)技術來解決 。 安全講座 65 多級的過濾技術 為保證系統(tǒng)的安全性和防護水平 ， 第四代防火墻采用了三級過濾措施 ， 并輔以鑒別手段 。 在分組過濾一級 ， 能過濾掉所有的源路由分組和假冒的 IP源地址；在應用級網關一級 ,能利用 FTP、 SMTP等各種網關 ，控制和監(jiān)測 Inter提供的所有通用服務；在電路網關一級 ， 實現內部主機與外部站點的透明連接 ， 并對服務的通行實行嚴格控制 。 安全講座 66 網絡地址轉換技術 第四代防火墻利用 NAT技術能透明地對所有內部地址作轉換， 使外部網絡無法了解內部網絡的內部結構 ， 同時允許內部網絡使用自己編的 IP地址和專用網絡 ， 防火墻能詳盡記錄每一個主機的通信 ， 確保每個分組送往正確的地址 。 安全講座 67 Inter網關技術 由于是直接串連在網絡之中，第四代防火墻必須支持 用戶在 Inter互連的所有服務，同時還要防止與Inter服務有關的安全漏洞。故它要能以多種安全的應用服務器 (包括 FTP、 Finger、 mail、 Ident、 News、WWW等 )來實現網關功能。 在域名服務方面，第四代防火墻采用兩種獨立的域名 服務器。在匿名