【文章內容簡介】 墻的通信和訪問，不能防范來自內部變節(jié)者和用戶失誤帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅動型的攻擊，但這并不妨礙防火墻在大多數(shù)情況下有效地保障用戶的網(wǎng)絡安全，因此，防火墻不但是最先受到人們重視的網(wǎng)絡安全產(chǎn)品，也成為了當今最流行的網(wǎng)絡安全產(chǎn)品。 （二） 、防火墻的體系結構目前，防火墻的體系結構一般有以下幾種：雙宿主主機體系結構、屏蔽主機體系結構和屏蔽子網(wǎng)體系結構。7雙宿主主機體系結構雙宿主主機體系結構是圍繞具有雙宿主的主機而構筑的。雙宿主主機至少有兩個網(wǎng)絡接口。這樣的主機可以充當與這些接口相連的網(wǎng)絡之間路由器；它能夠從一個網(wǎng)絡到另外一個網(wǎng)絡發(fā)送 IP 數(shù)據(jù)包。然而雙宿主主機的防火墻體系結構禁止這種發(fā)送。因此 IP 數(shù)據(jù)包并不是從一個網(wǎng)絡（如外部網(wǎng)絡）直接發(fā)送到另一個網(wǎng)絡（如內部網(wǎng)絡） 。外部網(wǎng)絡能與雙宿主主機通信，內部網(wǎng)絡也能與雙宿主主機通信。但是外部網(wǎng)絡與內部網(wǎng)絡不能直接通信，它們之間的通信必須經(jīng)過雙宿主主機的過濾和控制。如圖 1： 圖 1 雙宿主主機體系結構雙宿主主機的缺點是，一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內部網(wǎng)。網(wǎng)絡使用雙宿主主機防火墻時，最重要的一點是必須使主機內部路由無效。隨著路由的無效，數(shù)據(jù)必須穿過阻塞點，應用層是在網(wǎng)絡或網(wǎng)段之間的惟一路徑。網(wǎng)絡可以是網(wǎng)絡中的任何部分。屏蔽主機體系結構雙宿主主機體系結構防火墻沒有使用路由器。而屏蔽主機體系結構防火墻則使用一個路由器把內部網(wǎng)絡和外部網(wǎng)絡隔離開，如圖 2。在這種體系結構中，主要安全由數(shù)據(jù)包過濾提供（例如數(shù)據(jù)包過濾用于防止人們繞過代理服務器直接相連） 。屏蔽主機體統(tǒng)結構防火墻系統(tǒng)提供的安全等級比雙宿主主機體系結構的防火墻系統(tǒng)要高，因為它實現(xiàn)了網(wǎng)絡層安全（包過濾）和應用層安全（代理服務） 。因此，入侵者在破壞內部網(wǎng)絡的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。這種體系結構涉及到堡壘主機。堡壘主機是因特網(wǎng)上的主機能連接到的唯一的內部網(wǎng)絡上的系統(tǒng)。任何外部的系統(tǒng)要訪問內部的系統(tǒng)或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。數(shù)據(jù)包過濾容許堡壘主機開放可允許的連接（什么是“可允許連接”將由你的站點的特殊安全策略決定）到外部世界。8 圖 2 屏蔽主機體系結構在屏蔽路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：①允許其他的內部主機為了某些服務與互聯(lián)網(wǎng)上的主機連接（即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務） 。②不允許來自內部主機的所有連接（強迫那些主機經(jīng)由堡壘主機使用代理服務） 。③用戶可以針對不同的服務混合使用這些手段。某些服務可以被允許直接經(jīng)由數(shù)據(jù)包過濾，而其他服務可以被允許只間接地經(jīng)過代理。這完全取決于用戶衽的安全策略。多數(shù)情況下，被屏蔽的主機體系結構提供比雙宿主主機體系結構更好的安全性和可用性。然而，與其他體系結構相比，也存在一些缺點：①如果侵襲者不能侵入堡壘主機，而且在堡壘主機和其余的內部主機之間不存在任何保護網(wǎng)絡安全的措施，此時路由器同樣出現(xiàn)一個單點失效。②如果路由器受損，則整個網(wǎng)絡對侵襲者就是一個開放的了。屏蔽子網(wǎng)體系結構屏蔽子網(wǎng)體系結構添加額外的安全層到屏蔽主機體系結構，即通過添加周邊網(wǎng)絡更進一步地把內部網(wǎng)絡與外部網(wǎng)絡（通常是 Inter）隔離開。屏蔽子網(wǎng)體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內部網(wǎng)絡之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡（通常稱為 Inter）之間。這樣就在內部網(wǎng)絡與外部網(wǎng)絡之間形成了一個“隔離帶” 。為了侵入用這種體系結構構筑的內部網(wǎng)絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器。如圖 3：9 圖 3 屏蔽子網(wǎng)體系結構（三） 、防火墻的分類根據(jù)防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡地址轉換NAT、代理型和監(jiān)測型。具體如下：包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以包為單位進行傳輸?shù)?,數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包 ,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP 源端口和目標端口等， （如圖 4） 。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些包 是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。圖 4 包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的 Java 小程序以及電子郵件中附帶的病毒。有經(jīng)驗10的黑客很容易偽造 IP 地址,騙過包過濾型防火墻。網(wǎng)絡地址轉化NAT網(wǎng)絡地址轉換是一種用于把 IP 地址轉換成臨時的、外部的、注冊的 IP 地址標準。它允許具有私有 IP 地址的內部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡中每一臺機器取得注冊的 IP 地址（如圖 5） 。圖 5NAT 的工作過程是：在內部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內部網(wǎng)絡時，它并不知道內部網(wǎng)絡的連接情況，而只是通過一個開放的 IP地址和端口來請求訪問。OLM 防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。代理型代理型防火墻也可以被稱為代理服務器（如圖 6） ，它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器。 而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內部網(wǎng)絡系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基11于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。圖 6監(jiān)測型監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據(jù)權威機構統(tǒng)計,在針對網(wǎng)絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡內部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品。雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網(wǎng)絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。四、防火墻示例當今防火墻的產(chǎn)品很多，比如：Check Point FireWall1，聯(lián)想網(wǎng)御 2022 千兆防火墻，綠盟科技“冰之眼”網(wǎng)絡入侵檢測系統(tǒng)千兆產(chǎn)品，天融信網(wǎng)絡衛(wèi)士防火墻 4000（千兆） ，SonicWALL TELE3 防火墻， Nokia IP110 防火墻，NetScreen5XP 防火墻等。NetScreen50 是面向大企業(yè)分支辦事處和遠程辦事處、以及集成安全產(chǎn)品。它可以提供網(wǎng)絡周邊安全解決方案，并帶有多個 DMZ 和 VPN，可以確保無線 LAN 的安全性，或保12護內部網(wǎng)絡的安全。NetScreen50 設備是高性能的集成安全產(chǎn)品，可提供 170Mbps 的防火墻和 45Mbps 的 3DES 或 AES VPN 性能，可扶持 64，000 條并發(fā)會話和 500 條 VPN 隧道。這里以 NetScreen 50 防火墻為例，介紹其 VPN 配置。（一） 、VPN 技術簡介VPN（Virtual Private Network）是指利用密碼技術和訪問控制技術在公共網(wǎng)絡（如Inter）中建立的專用通信網(wǎng)絡。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成，虛擬專用網(wǎng)絡對用戶端透明，用戶好像使用一條專用線路進行通信。VPN 技術非常復雜，它涉及到通信技術、密碼技術和現(xiàn)代認證技術，是一項交叉科學。目前，主要包含兩種技術：隧道技術與安全技術。 隧道技術隧道技術的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)(可以是 ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡層數(shù)據(jù))作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道” 。要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信協(xié)議是保證的核心。目前 VPN 隧道協(xié)議有 4 種：點到點隧道協(xié)議 PPTP、第二層隧道協(xié)議 L2TP、網(wǎng)絡層隧道協(xié)議 IPSec 以及SOCKS v5。各協(xié)議工作在不同層次，無所謂誰更有優(yōu)勢。不同的網(wǎng)絡環(huán)境適合不同的協(xié)議。安全技術VPN 是在不安全的 Inter 中通信，通信的內容可能涉及企業(yè)的機密數(shù)據(jù)，因此其安全性非常重要。VPN 中的安全技術通常由加密、認證及密鑰交換與管理組成。①認證技術防止數(shù)據(jù)的偽造和被篡改，它采用一種稱為“摘要”的技術。 “摘要”技術主要采用 HASH 函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文即摘要。由于 HASH 函數(shù)的特性，兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術在 VPN 中有兩個用途：驗證數(shù)據(jù)的完整性、用戶認證。②IPSec 通過 ISAKMP/IKE/Oakley 協(xié)商確定幾種可選的數(shù)據(jù)加密算法，如 DES 、3DES 等。DES 密鑰長度為 56 位，容易被破譯，3DES 使用三重加密增加了安全性。當然國外還有更好的加密算法，但國外禁止出口高位加密算法。基于同樣理由，國內也禁止重要部門使用國外算法。國內算法不對外公開，被破解的可能性極小。③VPN 中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過手工配置的方式，另一種采用密鑰交換協(xié)議動態(tài)分發(fā)。手工配置的方法由于密鑰更新困難，只適合于簡單網(wǎng)絡的情況。密鑰交換協(xié)議采用軟件方式動態(tài)生成密鑰，適合于復雜網(wǎng)絡的情況且13密鑰可快速更新，可以顯著提高 VPN 的安全性。目前主要的密鑰交換與管理標準有 IKE （互聯(lián)網(wǎng)密鑰交換） 、SKIP （互聯(lián)網(wǎng)簡單密鑰管理）和 Oakley。（二） 、具體配置首先，按圖 7 進行設備連接。 圖 7通道的配置①初始化防火墻（參照圖 8） 圖 8Netscreen 防火墻的默認 IP 為 ，用戶名和密碼相同：screen；可采用下一步中的 WEB　UI 方法來進行配置，但容易發(fā)生錯誤，建議使用設備自帶的配置線連接計算機的 COM 口采用超級終端來行配置。上圖中的第一步為配置通道類型，第二步為配置端口的 IP 地址（這里所指的是一端口） ，第三步為配置管理