【文章內(nèi)容簡介】 征 ，數(shù)據(jù)報套接口 應(yīng) 用了 與現(xiàn)在許多包交換網(wǎng)絡(luò)（例如以太網(wǎng)）非常 相似 的模型 [4]。 陜西理工學(xué)院畢業(yè)設(shè)計 第 3頁 共 47頁 防火墻是 由 軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障，是一種獲取安全性方法的形象說法，使得 Inter與 Inter 之間建立起一個安全網(wǎng)關(guān)（ Security Gateway）， 這樣 保護內(nèi)部網(wǎng) 系統(tǒng)免受非法用戶的攻擊 。 防火墻基本是由訪問規(guī)則、包過濾結(jié)構(gòu)、應(yīng)用網(wǎng)關(guān)和驗證工具 4個模塊組成 。防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的系統(tǒng)。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。 網(wǎng)絡(luò)中的“防火墻”是一 項將和內(nèi)部系統(tǒng)和外部公共網(wǎng)絡(luò) （如 Inter） 區(qū)別開的 的方法，實際上是一種 將內(nèi)部隔離在外部的技術(shù) 。防火墻是在兩個網(wǎng)絡(luò) 系統(tǒng)通信時執(zhí)行的一種訪問控制規(guī)則，它能允許你“允許”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不允許”的人和數(shù)據(jù)擋在外面，最大程度地阻止公共網(wǎng)絡(luò)中的惡意用戶 來訪問你的網(wǎng)絡(luò)。換句話說，如果不 透過 防火墻，公司內(nèi)部 系統(tǒng)網(wǎng)絡(luò) 的人就無法訪問 Inter, Inter 上的人也 不能 與公司內(nèi)部的人進行 通訊 [5]。 陜西理工學(xué)院畢業(yè)設(shè)計 第 4頁 共 47頁 2 防火墻的類型 常見的“防火墻”從原理上分有兩類，分別是 應(yīng)用于 網(wǎng)絡(luò)層 的 防火墻和應(yīng)用 在應(yīng)用 層 的 防火墻。 網(wǎng)絡(luò)層防火墻：可以將 網(wǎng)絡(luò)層 的 防火墻視為一種 對 IP封包進行過濾的工序 ，運作在底層的TCP/IP 協(xié)議堆棧 段上。我們通過列舉 的方式， 只讓符合規(guī)定的數(shù)據(jù)包通過，其他的一律禁止通過防火墻。這些規(guī)則 一般是可以通過 管理員 自由 定義或者 自由 修改 的。但是有些防火墻系統(tǒng)也 可能只能套用 已經(jīng)存儲或是設(shè)置了的內(nèi)置 的規(guī)則。我們也能以其他 的角度來制定防火墻規(guī)則， 只要封包不符合任何一項“否定規(guī)則”，就予以 通過。 現(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備 基本上都 已內(nèi)置了防火墻的 功能 ，版本性能比較現(xiàn)金的防火墻能利用封包的多種屬性來進行過濾，比方說 源 IP地址、 源端口號、目的 IP 地址和目的 端口號、服務(wù) 的 類型等，也能經(jīng)由通信 的 協(xié)議、 TTL 值、來源的網(wǎng)域名稱或者網(wǎng)段等屬性來進行過濾 。 應(yīng)用層防火墻：應(yīng)用層 的 防火墻是在 TCP/IP堆棧的“應(yīng)用層”上 工作，你通過 使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是 FTP 時的數(shù)據(jù)流都是 歸屬 于這一層。應(yīng)用層 的防火墻可以攔截進入某應(yīng)用程序的所有數(shù)據(jù)包， 并且封鎖其他的數(shù)據(jù)包（通常是直接將封包丟棄）。理論上，這一類的防火墻可以完全杜絕外部的數(shù)據(jù)入侵到受保護的系統(tǒng)中。防火墻通過監(jiān)測所有的數(shù)據(jù)包并找出不符合規(guī)則的部分，不過就實現(xiàn)而言，這個方法即繁鎖又雜亂，故而 大部分防火墻不會考慮以這種方法設(shè)計。 XML 防火墻是一種新形態(tài)的應(yīng)用層防火墻 [6]。 防火墻的結(jié)構(gòu) 分 組 包 過濾技術(shù)的基礎(chǔ)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)是分組以 “包 ”的形式傳輸?shù)?，每個 封 包 都包含數(shù)據(jù)的源地址、目 的 地址、 TCP/UDP源端口和目 的 端口 等信息。分組 包 過濾技術(shù)就是 根據(jù) 系統(tǒng) 內(nèi)部 預(yù) 先 設(shè) 計 的過濾邏輯條件， 查核 數(shù)據(jù)流中的每 一 組數(shù)據(jù)， 依據(jù) 數(shù)據(jù)包的源地址、目標(biāo)地址、 TCP/UDP源端口 號和目的端口號以及數(shù)據(jù)包頭中的標(biāo)志位來確定是否允許通過，拒絕非安全站點的數(shù)據(jù) 的來源 。 通過 采用這種技術(shù)的防火墻 的 核心在于 包 過濾算法的設(shè)計。例如：在以太網(wǎng)中，得到的數(shù)據(jù)包大致是如下結(jié)構(gòu)：以太幀頭 14個字節(jié)，放在 PUCHAR 結(jié)構(gòu)數(shù)組的第 0 個元素到第 13 個元素中，其中前六個字節(jié)是目的 MAC 地址，之后是六個字節(jié)源 MAC 地址，最后兩個字節(jié)是協(xié)議類型，通常的協(xié)議類型有 0x08 0x00IP， 0x08 0x06ARP， 0x08 0x35RARP，所以，可以通過數(shù)組的第 12個元素和第 13個元素來判斷協(xié)議類型，過濾規(guī)則就是在這個基礎(chǔ)之上建立。如果要過濾特定協(xié)議，只要在相應(yīng)的字節(jié)讀取數(shù)據(jù)，判斷是否符合要過濾的規(guī)則即可 [7]。 分組過濾技術(shù)的優(yōu)點是邏輯簡單、速度快、易于安裝和使用， 網(wǎng)絡(luò)性能和透明性好且價格便宜，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與 Inter 連接必不可少的設(shè)備， 因此在原有網(wǎng)絡(luò)上增加這樣的防火墻不需要很多額外的費用 。 分組過濾技術(shù)的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行擊 ；二是數(shù)據(jù)包的源地址、目的地址以及 IP 的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒，且由于不同操作系統(tǒng)環(huán)境下 TCP 和 UDP端口號所代表的應(yīng)用服務(wù)協(xié)議類型有所不同，故兼容性差 【 7】 。 應(yīng)用網(wǎng)關(guān)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾，它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制的輸入輸出通信環(huán)境進行嚴(yán)格控制，以防止內(nèi)部數(shù)據(jù)被竊取。另外，應(yīng)用層網(wǎng)關(guān)還負(fù)責(zé)對網(wǎng)絡(luò)交流的信息進行記錄，比如用戶登錄的時間，登錄的網(wǎng)址，用戶頻繁使用的網(wǎng)絡(luò)界面等。數(shù)據(jù)包過濾和應(yīng) 用網(wǎng)關(guān)防火墻 之間擁有一個共通性 ， 它 們都是 根據(jù) 特定的邏輯判定來決定是否 對 數(shù)據(jù)包 放行 。如果滿足邏輯條件，則防火墻內(nèi) 和 外的計算機系統(tǒng) 之間 建立直接聯(lián)系， 防火墻外 的用戶 就 有直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài) 的機會 ，這有利于實施非法訪問和攻擊。 應(yīng)用網(wǎng)關(guān)技術(shù)的優(yōu)點是可以在 LAN 機器上被透明配置、保護在一個或多個外部 IP 地址之后的許多機器，簡化管理任務(wù)、用戶到 LAN 的出入可以通過打開和關(guān)閉 NAT 防火墻 /網(wǎng)關(guān)上的端口來限制。應(yīng)用網(wǎng)關(guān)技術(shù)的缺點是一旦用戶從防火墻外連接了服務(wù)，則無法防止其蓄意活動。代理服務(wù)也稱 鏈路級網(wǎng)關(guān)或 TCP 通道。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)， 陜西理工學(xué)院畢業(yè)設(shè)計 第 5頁 共 47頁 其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的 鏈接 ， 由兩個終止代理服務(wù)器上的 鏈接 來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器， 從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記， 形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。代理服務(wù)技術(shù)的優(yōu)點是使管理員擁有對 LAN 之外的應(yīng)用程序和協(xié)議功能的控制權(quán)、某些代理服務(wù) 器可以緩存數(shù)據(jù)，因此當(dāng)客戶存取頻繁請求的數(shù)據(jù)時，這些數(shù)據(jù)就可以從本地緩存調(diào)出而不必使用互聯(lián)網(wǎng)連接，這有助于減少不必要的帶寬用量、代理服務(wù)可以被密切地監(jiān)視和記錄，從而允許在網(wǎng)絡(luò)資源用量方面進行更嚴(yán)格的控制。代理服務(wù)技術(shù)的缺點是代理通常是應(yīng)用程序特有的（ HTTP、 tel 等）或在協(xié)議方面有限制的（多數(shù)代理只能用于 TCP 連接的服務(wù)）、應(yīng)用程序服務(wù)無法在代理后面運行，因此用戶的應(yīng)用程序服務(wù)器必須使用另一種網(wǎng)絡(luò)保安措施、代理可能會成為網(wǎng)絡(luò)的瓶頸，因為所有的請求和傳輸都要經(jīng)過一個中介而不是讓客戶直接連接遠(yuǎn)程服 務(wù) 【 7】 。 Packet filter 包過濾技術(shù) (IP Filtering or packet filtering) 的 技術(shù)依據(jù) 在于利用路由器監(jiān)視 并將網(wǎng)絡(luò)上流出流入的不符合規(guī)則 IP 包進行過濾 ， 拒絕發(fā)送和接受可以的數(shù)據(jù)包 。 因為 Inter 的網(wǎng)絡(luò)鏈接很多都要應(yīng)用路由器 ，所以 Router 成為內(nèi) 部與 外 部 通信的必經(jīng)端口， Router 的 制造 商在 Router 上加入 IP 過濾 功能，過濾 用 路由器也可以 被稱為 包過濾路由器或篩選路由器（ Packet FilterRouter）。 一般的 防火墻 就是這樣一個具備包過濾功能 結(jié)構(gòu) 的簡單路由器，這種 Firewall 應(yīng)該是 能夠滿足 安全 性要求 的，但 合理的 前提是 合理的規(guī)則配置 。 可以 一個 或者一組 包過濾 數(shù)據(jù) 規(guī)則 是否完全嚴(yán)密及 是否 必要是很難 被人為 判 斷或判定 的，因 此 在安全要求較高的場合， 一般 還 要 配合 應(yīng)用 其它的 安保 技術(shù)來加強安全性。 包過濾技術(shù)是指網(wǎng)絡(luò)設(shè)備（路由器或防火墻）根據(jù)包過濾規(guī)則檢查所接收的每個數(shù)據(jù)包，做出允許數(shù)據(jù)包通過或丟棄數(shù)據(jù)包的決定。包過濾規(guī)則主要基于 IP包頭信息設(shè)置，包括如下內(nèi)容： TCP/UDP的源或目的端口號協(xié)議類型： TCP、 UDP、 ICMP等源或目的 IP地址數(shù)據(jù)包的入接口和出接口數(shù)據(jù)包中的信息如果與某一條過濾規(guī)則相匹配并且該規(guī)則允許數(shù)據(jù)包通過，則該數(shù)據(jù)包會被轉(zhuǎn)發(fā)，如果與某一條過濾規(guī)則匹配但規(guī)則拒絕數(shù)據(jù)包通過，則該數(shù)據(jù)包會被丟棄。如果沒有可匹配的規(guī)則，缺省規(guī)則會決定數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是被丟棄。 簡單包過濾：是對單個包的檢查，目前 大部分路由器商品 都 能夠提供這樣的功能，所以如果你已經(jīng)擁有 邊界路由器，那么完全沒有 再 購買一個 具有 簡單包過濾的防火墻產(chǎn)品 的必要。由于這類技術(shù)無法 跟蹤 TCP的狀態(tài)，所以對 TCP協(xié)議的控制是有缺陷 的，比如當(dāng)你的這樣的產(chǎn)品上 設(shè)置 了僅允許從內(nèi)到外的 TCP訪問時，一些以 TCP應(yīng)答包的形式進行攻擊。簡單包過濾的產(chǎn)品由于其保護的不完善 [8]。 狀態(tài)檢測包過濾：利用 特制的 狀態(tài) 監(jiān)測表跟蹤每一對 網(wǎng)絡(luò)會話的狀態(tài)，對每一個 數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，又考慮到數(shù)據(jù)包是否滿足通信所處的狀態(tài)。因此提供了對傳輸層更完整的 控制能力。同時 又因為一系列 技術(shù) 優(yōu)化性能的采用，狀態(tài)檢測包過濾的性能也顯然要比 簡單包過濾產(chǎn)品 更優(yōu)，尤其是在一些 復(fù)雜 規(guī)則 的大型網(wǎng)絡(luò)上。 優(yōu)勢： 包 過濾路由器能 夠 協(xié)助保護整個網(wǎng)絡(luò) 系統(tǒng) 。 大部分 Inter 防火墻系統(tǒng)只 需要 一個 包過濾路由器 ； 它的運行 速度快、 執(zhí)行 效率高。 進行 包過濾所 需要 的時間很 短 或 甚至 不需要什么時間，因為包 過濾路由器只 對數(shù)據(jù)包 報頭相應(yīng)的字段 進行檢查 ，一般 情況下 不查看數(shù)據(jù)報 除報頭外 的內(nèi)容，而且某些 核心區(qū)域 是由 專門的 硬件實現(xiàn)的，如果通信 所需的 負(fù)載 合適而且已經(jīng) 定義的過濾 規(guī)則 很少的話，則對路由器性能沒有多大影響；包過濾路由器對 于 終端用戶和應(yīng)用程序是 透明 的。當(dāng)數(shù)據(jù)包過濾路由器 執(zhí)行 決定讓數(shù)據(jù)包 通行 時，它 和 普通路由器沒什么區(qū) 分 ，甚至用戶沒有 意識 到它的存在，因此不需要專門的用戶培訓(xùn)或在每主機上設(shè)置特別的軟件。 劣勢： 定義 與配置 包過濾器 很大程度上 是一項 繁雜且很難 的工作。 因此網(wǎng)絡(luò)管理員 需要 詳細(xì) 的學(xué)習(xí)和了解 Inter 各種 類型的 服務(wù)、包頭 的 格式和他們 所 希望 的特定查找值的計算 。 若是一定要支持復(fù)雜的過濾 規(guī)則要求 的 情況下 ，過濾規(guī)則 的集合 可能會 形成 很復(fù)雜 的情況 ， 而且沒有什么可以用來檢驗過濾規(guī)則正確性的工具 。 路由器對數(shù)據(jù) 包 的吞吐量 會與過濾數(shù)量成反比 。 路由器用來從每 陜西理工學(xué)院畢業(yè)設(shè)計 第 6頁 共 47頁 一個數(shù)據(jù)包中拿出目的 IP地址 、 查詢 一個相對簡單的路由表， 然后 將 數(shù)據(jù) 包 正 向運行到適當(dāng)轉(zhuǎn)發(fā)接口。如果 可執(zhí)行 過濾 ，路由器還 得 對每個包執(zhí)行 一遍 所有 的 過濾規(guī)則 【 9】 。這 有可能造成 CPU 的資源 的大量占用 ， 而且可能會 影 響一個完全飽和的系統(tǒng)性能。 Proxy 這種防火墻通過代理（ Proxy）技術(shù) 參加 到 一個有著 TCP連接的全過程當(dāng)中 。 數(shù)據(jù)包經(jīng)由處理后從內(nèi)部發(fā)出 ， 就好比是給防火墻設(shè)置了一個外部網(wǎng)卡一般 ，從而可以達到 將內(nèi)部 。 這一種類型的防火墻被公認(rèn)為網(wǎng)絡(luò)安全性最可靠的防火墻 。 代理防火墻為它們所支持的協(xié)議提供全面的協(xié)議意識安全分析。相比于那些只考慮數(shù)據(jù)包頭信息的產(chǎn)品，這使得它們能做出更安全的判定。例如，特定的支持 FTP的代理防火墻，它能夠監(jiān)視實際流出命令通道的 FTP命令，并能夠停止任何禁止的活動。由于服務(wù)器被代理防火墻所保護，而且代理防火墻允許協(xié)議意識記錄，這使得識別攻擊方法以及備份現(xiàn)有記錄更容易。 代理防火墻增加安全性也是要付出代價的。額外的代價是為每個會話建立兩個連接所需的花費，加上應(yīng)用層驗證請求所需的時間，以及