【文章內容簡介】 ? 對每種類型的服務都需要一個代理 ? 網絡性能不高 ? 防火墻對用戶不透明 ? 客戶應用可能需要修改 ? 需要多個防火墻主機 防火墻技術內容－ 應用代理 (cont.) 防火墻體系結構 ? 分組過濾防火墻結構 ? 分組過濾＋應用網關（ I） ? 分組過濾＋應用網關（ II） ? 屏蔽子網防火墻結構 分組過濾防火墻 ? 適合于較小的、簡單的系統(tǒng) ? 如規(guī)則復雜，則難于管理 分組過濾＋應用網關（ I） ? 簡化路由配置 ? 加強隱私 ? 雙重保護 ? 花費高一些 ?只有網關上的代理服務支持的應用才能通過 分組過濾＋應用網關（ II） ? 路由器過濾應用網關不支持的危險協(xié)議 ? 應用網關僅需一個網絡接口，不要求在應用網關與路由器之間有一個分離的子網 ? 路由器允許轉發(fā)可信服務到網關周圍和直接到內部網絡 分組過濾＋應用網關（ II） ? 也叫屏蔽主機防火墻結構，屏蔽路由器使用分組過濾技術，堡壘主機運行應用網關程序，為內部主機提供代理服務。 ? 路由過濾器根據以下規(guī)則來路由內外部通信 ? 路由從 Inter外部訪問應用網關的通信 ? 拒絕來自任何 Inter外部的其它訪問 ? 拒絕路由任何內部網絡訪問 Inter外部的請求，除非來自內部的應用代理。 ? 適于需要靈活性的網絡，但安全性降低。 屏蔽子網防火墻結構 ?適于通信量很大或高速網絡通信的內部網絡 ?強化安全，但配置較為復雜 屏蔽子網防火墻結構 (cont.) 屏蔽子網防火墻結構 (cont.) 防火墻實現(xiàn)策略 (cont.) 對防火墻系統(tǒng)而言，共有兩層網絡安全策略： ? 網絡服務訪問策略：是高層策略，定義了受保護網絡明確允許和明確拒絕的網絡服務，分析網絡服務的可用性（包括可用條件）、風險性等。 ? 防火墻設計策略：是低層策略，描述了防火墻如何根據高層的網絡服務訪問策略中定義的策略來具體地限制訪問和過濾服務。 網絡服務訪問策略 ? 不允許外部網絡或 Inter訪問內部網絡，但允許內部網絡訪問外部網絡或 Inter。 ? 允許外部網絡或 Inter訪問部分內部網絡，這些特定的網絡服務是經過嚴格選擇和控制的，如一些信息服務器、電子郵件服務器或域名服務器等等。 防火墻實現(xiàn)策略 (cont.) 防火墻設計策略 防火墻設計策略必須針對具體的防火墻，它定義過濾規(guī)則等，以實現(xiàn)高層的網絡服務策略。這個策略在設計時必須考慮到防火墻本身的性能、限制及具體協(xié)議如 TCP/IP。常用的兩種基本防火墻設計策略是： ? 允許所有除明確拒絕之外的通信或服務（很少考慮，因為這樣的防火墻可能帶來許多風險和安全問題。攻擊者完全可以使用一種拒絕策略中沒有定義的服務而被允許并攻擊網絡） ? 拒絕所有除明確允許之外的通信或服務（常用，但操作困難，并有可能拒絕網絡用戶的正常需求與合法服務） 防火墻實現(xiàn)策略 (cont.) 作為一個安全策略的設計者，應懂得以下問題的要點： ? 哪些 Inter服務是本網絡系統(tǒng)打算使用或提供的？（如 TELNET、 FTP、 HTTP） ? 這些 Inter服務在哪或哪個范圍內使用？（如在本地網內、整個 Inter或撥號服務等） ? 可能有哪些額外或臨時的服務或需求？（如加密、撥入服務等） ? 提供這些服務和訪問有哪些風險和總的花費？ 防火墻實現(xiàn)策略 (cont.) 對防火墻技術與產品發(fā)展的介紹 ? 防火墻技術是建立在現(xiàn)代通信網絡技術和信息安全技 術基礎上的應用性安全技術，越來越多地應用于專用 網絡與公用網絡的互聯(lián)環(huán)境之中，尤其以接入Inter網絡為最甚。 ? Inter的迅猛發(fā)展，使得防火墻產品在短短的幾年內異軍突起，很快形成了一個產業(yè)：據不完全統(tǒng)計，在國際上防火墻產品銷售從 1995年的不到 1萬套， 猛增到 1997年底的 10萬套。 ? 據國際權威商業(yè)調查機構的預測 ,防火墻市場將以 173％的復合增長率增長，到 2023年將達 150萬套，市場營業(yè)額將從 1995年的 2023年的 元。 防火墻發(fā)展歷程 第一階段：基于路由器的防火墻 第二階段：用戶化的防火墻工具套 第三階段：建立在通用操作系統(tǒng)上的防火墻 第四階段：具有安全操作系統(tǒng)的防火墻 對防火墻技術與產品發(fā)展的介紹 (cont.) 第一代防火墻產品的特點是： ? 利用路由器本身對分組的解析 ,以訪問控制表 （ access list） 方式實現(xiàn)對分組的過濾； ? 過濾判決的依據可以是：地址 、 端口號 、 IP旗標及其它 網絡特征； ? 只有分組過濾的功能 ， 且防火墻與路由器是一體的 ， 對 安全要求低的網絡可采用路由器附帶防火墻功能的方法 ， 對安全性要求高的網絡則可單獨利用一臺路由器作防火墻 。 第一階段：基于路由器的防火墻 第一階段：基于路由器的防火墻 (cont.) 第一代防火墻產品的不足之處為： ? 路由協(xié)議十分靈活 ， 本身具有安全漏洞 ， 外部網絡要探尋內部網絡十分容易 。 ? 路由器上的分組過濾規(guī)則的設置和配置存在安全隱患 。 ? 攻擊者可以 “ 假冒 ” 地址 ， 由于信息在網絡上是以明文傳送的 ， 黑客可以在網絡上偽造假的路由信息欺騙防火墻 。 ? 防火墻的規(guī)則設置會大大降低路由器的性能 。 第二階段：用戶化的防火墻工具套 作為第二代防火墻產品 ， 用戶化的防火墻工 具套具有以下特征： ? 將過濾功能從路由器中獨立出來 ， 并加上審計和告警功能； ? 針對用戶需求 ， 提供模塊化的軟件包； ? 軟件可通過網絡發(fā)送 ， 用戶可根據需要構造防火墻； ? 與第一代防火墻相比 ， 安全性提高了 ， 價格降低了 。 第二階段：用戶化的防火墻工具套 (cont.) 不足之處： ? 配置和維護過程復雜 、 費時； ? 對用戶的技術要求高； ? 全軟件實現(xiàn) ， 安全性和處理速度均有局限； ? 實踐表明 ， 使用中出現(xiàn)差錯的情況很多 。 第三階段：建立在通用操作系統(tǒng)上的防火墻 具有以下特點： ? 是批量上市的專用防火墻產品； ? 包括分組過濾或者借用路由器的分組過濾功能； ? 裝有專用的代理系統(tǒng) ， 監(jiān)控所有協(xié)議的數據和指令； ? 保護用戶編程空間和用戶可配置內核參數的設置； ? 安全性和速度大為提高 。 第三階段：建立在通用操作系統(tǒng)上的防火墻 (cont.) 存在的問題： ? 作為基礎的操作系統(tǒng)及其內核往往不為防火墻管理者所知 ， 由于原碼的保密 ， 其安全性無從保證； ? 由于大多數防火墻廠商并非通用操作系統(tǒng)的廠商 ， 通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負責； ? 從本質上看 ， 第三代防火墻既要防止來自外部網絡的攻擊 ， 還要防止來自操作系統(tǒng)廠商的攻擊 。 ? 用戶必須依賴兩方面的安全支持：一是防火墻廠商 、一是操作系統(tǒng)廠商 。 第四階段：具有安全操作系統(tǒng)的防火墻 具有以下特點： ? 防火墻廠商具有操作系統(tǒng)的源代碼 ， 并可實現(xiàn)安全內核； ? 對安全內核實現(xiàn)加固處理 :即去掉不必要的系統(tǒng)特性 ， 加固內核 ，強化安全保護； ? 對每個服務器 、 子系統(tǒng)都作了安全處理 ， 一旦黑客攻破了一個服務器 ， 它將會被隔離在此服務器內 ， 不會對網絡的其它部份構成威脅； ? 在功能上包括了分組過濾 、 應用網關 、 電路級網關 ， 且具有加密與鑒別功能； ? 透明性好 ， 易于使用 。 第四代防火墻的主要技術與功能 第四代防火墻產品將網