【文章內(nèi)容簡介】 聯(lián)網(wǎng)服務(wù)，如超文本傳輸 (HTTP)和遠程文件傳輸 (FTP)等。應(yīng)用級網(wǎng)關(guān)比單一的包過濾更為可靠，而且會詳細地記錄所有的訪問狀態(tài)信息。 防火墻的分類 LOGO 1．應(yīng)用級代理 應(yīng)用級代理有兩種情況，一種是內(nèi)部網(wǎng)通過代理訪問外部網(wǎng)。另一種情況是，外部網(wǎng)通過代理訪問內(nèi)部網(wǎng)。 代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過濾路由器更嚴(yán)格的安全策略，它會對應(yīng)用程序的數(shù)據(jù)進行校驗以確保數(shù)據(jù)格式可以接受。 LOGO Tel代理服務(wù) LOGO Inter客戶通過代理服務(wù)器訪問內(nèi)部網(wǎng)主機 LOGO 60 ? 但是應(yīng)用級網(wǎng)關(guān)也存在一些不足之處 ， 首先它會使訪問速度變慢 ， 因為它不允許用戶直接訪問網(wǎng)絡(luò) ， 而且應(yīng)用級網(wǎng)關(guān)需要對每一個特定的互聯(lián)網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件 ， 用戶不能使用未被服務(wù)器支持的服務(wù) ， 對每一類服務(wù)要使用特殊的客戶端軟件 ， 并且不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器 。 防火墻的分類 LOGO 61 ? 應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實施一個較包過濾更為嚴(yán)格的安全策略 ， 為每一個期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼 (一個代理服務(wù) )，同時 ， 代理代碼也可以配置成支持一個應(yīng)用服務(wù)的某些特定的特性 。 對應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理服務(wù)實現(xiàn)的 ， 而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān) 。 ? 應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買網(wǎng)關(guān)硬件平臺的費用為代價的 。 防火墻的分類 LOGO 62 ? 應(yīng)用層網(wǎng)關(guān)的好處在于代理服務(wù)限制了命令集合和內(nèi)部主機支持的服務(wù) 。 它授予網(wǎng)絡(luò)管理員對每一個服務(wù)的完全控制權(quán) 。 另外 ， 應(yīng)用層網(wǎng)關(guān)安全性較好 ， 支持強用戶認(rèn)證 、 提供詳細的日志信息以及較包過濾更易于配置和測試的過濾規(guī)則 。 ? 應(yīng)用層網(wǎng)關(guān)的最大的局限性在于它需要在訪問代理服務(wù)的系統(tǒng)上安裝特殊的軟件 ， 此外速度相對比較慢 。 防火墻的分類 LOGO 63 ?電路層網(wǎng)關(guān)防火墻：另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)或 TCP通道 。在電路層網(wǎng)關(guān)中 ， 包被提交用戶應(yīng)用層處理 。 電路層網(wǎng)關(guān)用來在兩個通信的終點之間轉(zhuǎn)換包 。 防火墻的分類 LOGO 64 ? 電路層網(wǎng)關(guān)工作在會話層 。 在兩主機首次建立TCP連接時創(chuàng)立一個電子屏障 。 它作為服務(wù)器接收外來請求 ， 并轉(zhuǎn)發(fā)請求 ， 與被保護的主機連接時則擔(dān)當(dāng)客戶機角色 ， 起代理服務(wù)的作用 。 它監(jiān)視兩主機建立連接時的握手信息是否合乎邏輯 ，信號有效后網(wǎng)關(guān)僅復(fù)制 、 傳遞數(shù)據(jù) ， 而不進行過濾 。 電路層網(wǎng)關(guān)中特殊的客戶程序只在初次連接時進行安全協(xié)商控制 ， 其后透明 。 只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機才能到達防火墻另一邊的服務(wù)器 。 防火墻的分類 LOGO 65 ? 電路層網(wǎng)關(guān)防火墻的特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段 。 防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的 “ 鏈接 ” ， 由兩個終止代理服務(wù)器上的 “ 鏈接 ” 來實現(xiàn) ， 外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器 ， 從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用 。 此外 ， 代理服務(wù)也對過往的數(shù)據(jù)包進行分析 、 注冊登記 ， 形成報告 ， 同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報 ， 并保留攻擊痕跡 。 防火墻的分類 LOGO 66 ? 電路層網(wǎng)關(guān)常用于向外連接 ， 這時網(wǎng)絡(luò)管理員對其內(nèi)部用戶是信任的 。 電路層網(wǎng)關(guān)防火墻可以被設(shè)置成混合網(wǎng)關(guān) ， 對內(nèi)連接支持應(yīng)用層或代理服務(wù) ， 而對外連接支持電路層功能 。 這樣使得防火墻系統(tǒng)對于要訪問 Inter服務(wù)的內(nèi)部用戶來說使用起來很方便 ， 由于連接似乎是起源于防火墻 ， 因而可以隱藏受保護網(wǎng)絡(luò)的有關(guān)信息 ， 又能提供保護內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能 。 防火墻的分類 LOGO 電路級網(wǎng)關(guān) LOGO Socks服務(wù)器 Socks是一種非常強大的電路級網(wǎng)關(guān)防火墻，它只中繼基于 TCP的數(shù)據(jù)包 LOGO 69 ? 代理技術(shù)的優(yōu)點： 1. 代理易于配置 。 因為代理是一個軟件 ， 所以它較包過濾更易配置 ， 配置界面十分友好 。 如果代理實現(xiàn)得好 ， 可以對配置協(xié)議要求較低 ， 從而避免了配置錯誤 。 2. 代理能生成各項記錄 。 因為代理工作在應(yīng)用層 ，它檢查各項數(shù)據(jù) ， 所以可以按一定準(zhǔn)則 ， 讓代理生成各項日志 、 記錄 。 這些日志 、 記錄對于流量分析和安全檢驗是十分重要和寶貴的 。 當(dāng)然 ， 也可以用于記費等應(yīng)用 。 防火墻的分類 LOGO 70 3. 代理能靈活 、 完全地控制進出流量和內(nèi)容 。通過采取一定的措施 ， 按照一定的規(guī)則 ， 可以借助代理實現(xiàn)一整套的安全策略 ， 比如可說控制 “ 誰 ” 、 “ 什么 ” 、 “ 時間 ” 、 “ 地點 ” 。 4. 代理能過濾數(shù)據(jù)內(nèi)容 。 可以把一些過濾規(guī)則應(yīng)用于代理 ， 讓它在高層實現(xiàn)過濾功能 ， 例如文本過濾 、 圖像過濾 (目前還未實現(xiàn) ， 但這是一個熱點研究領(lǐng)域 )， 預(yù)防病毒或掃描病毒等 。 防火墻的分類 LOGO 71 5. 代理能為用戶提供透明的加密機制 。 用戶通過代理進出數(shù)據(jù) ， 可以讓代理完成加解密的功能 ， 從而方便用戶 ， 確保數(shù)據(jù)的機密性 。 這點在虛擬專用網(wǎng)中特別重要 。 代理可以廣泛地用于企業(yè)外部網(wǎng)中 ， 提供較高安全性的數(shù)據(jù)通信 。 6. 代理可以方便地與其他安全手段集成。目前的安全問題解決方案很多，如認(rèn)證、授權(quán)、賬號、數(shù)據(jù)加密和安全協(xié)議等。如果把代理與這些手段聯(lián)合使用，將大大增加網(wǎng)絡(luò)安全性。這也是近期網(wǎng)絡(luò)安全的發(fā)展方向。 防火墻的分類 LOGO 72 ? 代理技術(shù)的缺點 1. 代理速度較包過濾慢 。 包過濾只是簡單查看 TCP/IP報頭 ， 檢查特定的幾個域 ， 不作詳細分析和記錄 。 而代理工作于應(yīng)用層 ， 要檢查數(shù)據(jù)包的內(nèi)容 ， 按特定的應(yīng)用協(xié)議 (如 HTTP)進行審查 、 掃描數(shù)據(jù)包內(nèi)容 ， 并進行代理 (轉(zhuǎn)發(fā)請求或響應(yīng) )， 故其速度較慢 。 2. 代理對用戶不透明 。 許多代理要求客戶端作相應(yīng)改動或安裝定制客戶端軟件 ， 這給用戶增加了不透明度 。為龐大的互異網(wǎng)絡(luò)的每一臺內(nèi)部主機安裝和配置特定的應(yīng)用程序既耗費時間 ， 又容易出錯 ， 原因是硬件平臺和操作系統(tǒng)都存在差異 。 防火墻的分類 LOGO 73 3. 對于每項服務(wù)代理可能要求不同的服務(wù)器 。 可能需要為每項協(xié)議設(shè)置一個不同的代理服務(wù)器 ， 因為代理服務(wù)器不得不理解協(xié)議以便判斷什么是允許的和不允許的 ， 并且還裝扮一個對真實服務(wù)器來說是客戶 、 對代理客戶來說是服務(wù)器的角色 。 挑選 、 安裝和配置所有這些不同的服務(wù)器也可能是一項較大的工作 。 4. 除了一些為代理而設(shè)的服務(wù)外 ， 代理服務(wù)器要求對客戶 、過程之一或兩者進行限制 ， 每一種限制都有不足之處 ，由于這些限制 ， 代理應(yīng)用就不能像非代理應(yīng)用運行得那樣好 ， 往往可能曲解協(xié)議說明 ， 并且缺少靈活性 。 防火墻的分類 LOGO 74 5. 代理服務(wù)不能保證免受所有協(xié)議弱點的限制 。 作為一個安全問題的解決方法 ， 代理取決于對協(xié)議中哪些是安全操作的判斷能力 。 每個應(yīng)用層協(xié)議 ， 都或多或少存在一些安全問題 ， 對于一個代理服務(wù)器來說 ， 要徹底避免這些安全隱患幾乎是不可能的 ， 除非關(guān)掉這些服務(wù) 。 6. 代理不能改進底層協(xié)議的安全性 。 因為代理工作于TCP/IP之上 ， 屬于應(yīng)用層 ， 所以它就不能改善底層通信協(xié)議的能力 。 如 IP欺騙 、 SYN泛濫 、 ICMP欺騙和一些拒絕服務(wù)的攻擊 。 而這些方面 ， 對于一個網(wǎng)絡(luò)的健壯性是相當(dāng)重要的 。 防火墻的分類 LOGO 75 ?狀態(tài)監(jiān)測防火墻 ? 狀態(tài) 監(jiān)測 （ Stateful Inspection） 防火墻安全特性非常好 ， 它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎 ， 稱之為檢測模塊 。 檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下 ， 采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測 ，抽取部分?jǐn)?shù)據(jù) ， 即狀態(tài)信息 ， 并動態(tài)地保存起來作為以后指定安全決策的參考 。 防火墻的分類 LOGO 狀態(tài)包檢查的邏輯流程 LOGO 77 ? 監(jiān)測型防火墻技術(shù)實際已經(jīng)超越了最初的防火墻定義 。 監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的 、 實時的監(jiān)測 ， 在對這些數(shù)據(jù)加以分析的基礎(chǔ)上 ， 監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入 。 同時 ， 這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器 ， 這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中 ， 不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊 ， 同時對來自內(nèi)部的惡意破壞也有極強的防范作用 。 據(jù)權(quán)威機構(gòu)統(tǒng)計 ， 在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中 ， 有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部 。 因此 ， 監(jiān)測型防火墻不但超越了傳統(tǒng)防火墻的定義 ， 而且在安全性上也超越了前幾代產(chǎn)品 。 防火墻的分類 LOGO 78 LOGO 79 LOGO 80 LOGO 81 ? 狀態(tài)監(jiān)測防火墻的優(yōu)點 1. 監(jiān)測模塊支持多種協(xié)議和應(yīng)用程序 ， 并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充 。 2. 監(jiān)測 RPC和 UDP之類的端口信息 ， 而包過濾和代理網(wǎng)關(guān)都不支持此類端口 。 3. 性能堅固 。 防火墻的分類 LOGO 82 ? 狀態(tài)監(jiān)視器防火墻的缺點 1. 配置非常復(fù)雜 。 2. 會降低網(wǎng)絡(luò)的速度 。 防火墻的分類 LOGO 防火墻的能力 包 過 濾 器 代 理 狀 態(tài) 檢 查 傳輸?shù)男畔? 部分 部分 能 傳輸狀態(tài) 不能 部分 能 應(yīng)用的狀態(tài) 不能 能 能 信息處理 部分 能 能 表 防火墻技術(shù)比較表 LOGO 84 第 5章 防火墻技術(shù) ?防火墻技術(shù)概述 ?防火墻的分類 ?新一代防火墻的主要技術(shù) ?防火墻體系結(jié)構(gòu) ?防火墻技術(shù)發(fā)展動態(tài)和趨勢 ?防火墻的選購和使用 ?防火墻產(chǎn)品介紹 LOGO 85 ?雙端口或三端口的結(jié)構(gòu)： 新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡 ， 內(nèi)外兩個網(wǎng)卡可不作 IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間 ， 另一個網(wǎng)卡可專用于對服務(wù)器的安全保護 。 ?透明的訪問方式： 以前的防火墻在訪問方式上或者要求用戶進行系統(tǒng)登錄 ， 或者要求用戶安裝防火墻的客戶端軟件 。 新一代防火墻利用了透明的代理系統(tǒng)技術(shù) ， 從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率 。 新一代防火墻的主要技術(shù) LOGO 86 ?靈活的代理系統(tǒng) ： 代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊 。新一代防火墻采用了兩種代理機制 ， 一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接 ，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接 。 前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)技術(shù)來解決 ， 后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決 。 新一代防火墻的主要技術(shù) LOGO 87 ?多級的過濾技術(shù)： 為保證系統(tǒng)的安全性和防護水平 ， 新一代防火墻采用了三級過濾措施 ，并輔以鑒別手段 。 在分組過濾一級 ， 能過濾掉所有的源路由分組和假冒的 IP源地址；在應(yīng)用級網(wǎng)關(guān)一級 ， 能利用 FTP、 SMTP等各種網(wǎng)關(guān) ， 控制和監(jiān)測 Inter提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級 ， 實現(xiàn)內(nèi)部主機與外部