【正文】 一般地，外部路由器由外部群組 提供 (例如，用戶的 Inter 供應(yīng)商 )，同時(shí)用戶對(duì)它的訪問被限制。實(shí)際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。但是禁止內(nèi)部的客戶端與外部世界之間直接通信 (即撥號(hào)入網(wǎng)方式 )。 b)設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行 (如果用戶的防火墻使用代理軟件 )來允許內(nèi)部的客戶端間接地訪問外部的服務(wù)器。 3)對(duì)于進(jìn)來的域名服務(wù) (DNS)站點(diǎn)查詢等。 (2)堡壘主機(jī) 在屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機(jī)連接到周邊網(wǎng)；這臺(tái)主機(jī)便是接受來自外界連接的 主要入口。一般來說，來往于堡壘主機(jī)，或者外部世界的通信，仍然是可監(jiān)視的。因?yàn)闆]有嚴(yán)格的內(nèi)部通信 (即在兩臺(tái)內(nèi)部主機(jī)之間的通信，這通常是敏感的或?qū)Ｓ械?)能越過周邊網(wǎng)。對(duì)于周邊 網(wǎng)絡(luò)，如果某 防火墻技術(shù)研究 27 人侵入周邊網(wǎng)上的堡壘主機(jī)，他僅能探聽到周邊網(wǎng)上的通信。探聽者可以通過查看那些在Tel、 FTP 以及 Rlogin 會(huì)話期間使用過的口令成功地探測(cè)出口令。 對(duì)于周邊網(wǎng)絡(luò)的作用，舉例說明如下。即使侵襲者侵入堡壘主機(jī)，它將仍然必須通過內(nèi)部路由器，如圖 6 所示 圖 6 被屏蔽子網(wǎng)體系結(jié)構(gòu) 對(duì)圖 6 的要點(diǎn)說明如下： (1)周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)是另一個(gè)安全層 ,是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè) “隔離帶 ”。屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為：兩個(gè)屏蔽路由器，每一個(gè) 都連接到周邊網(wǎng)。如果路由器被損害，整個(gè)網(wǎng)絡(luò)對(duì)侵襲者是開放的。 然而，比較其他體系結(jié)構(gòu)，如在下面要討論的屏蔽子網(wǎng)體系結(jié)構(gòu)也有一些缺點(diǎn)。進(jìn)而言之，保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┓浅Ｓ邢薜姆?wù)組。 因?yàn)檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)的移動(dòng)，所以它的設(shè)計(jì)比沒有外部數(shù)據(jù)包能到達(dá)內(nèi)部網(wǎng)絡(luò)的雙重宿主主機(jī)體系結(jié)構(gòu)似乎是更冒風(fēng)險(xiǎn)。 用戶可以針對(duì)不同的服務(wù)混 合使用這些手段；某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過濾，而其他服務(wù)可以被允許僅僅間接地經(jīng)過代理。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行： 防火墻技術(shù)研究 25 (1)允許其他的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接 (即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù) )。因此，堡壘主機(jī)需要擁有高等級(jí)的安全。即使這樣，也僅有某些確定類型的連接被允許。在這種體系結(jié)構(gòu)中 ,主要的安全由數(shù)據(jù)包過濾。 但這種體系結(jié)構(gòu)中用戶訪問 因特網(wǎng)的速度會(huì)較慢，也會(huì)因?yàn)殡p重宿主主機(jī)的被侵襲而失效。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的系統(tǒng) (在因特網(wǎng)上 )能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。 防火墻技術(shù)研究 23 第三章 防火墻的體系結(jié)構(gòu) 雙重 宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。采用 Winsock 2 SPI 的優(yōu)點(diǎn)是非常明顯的：其工作在應(yīng)用層以 DLL 的形式存在，編程、測(cè)試方便；跨 Windows 平臺(tái)，可以直接在 Windows98/ME/NT/2021/XP 上通用， Windows95 只需安裝上 Winsock 2 for 95，也可以正常運(yùn)行；效率高，由于工作在應(yīng)用層， CPU 占用率低；封包還沒有按照低層協(xié)議進(jìn)行切片，所以比較完整。利用這項(xiàng)技術(shù)可以截獲所有的基于 Socket 的網(wǎng)絡(luò)通信。 此防火墻還采用兩種封包過濾技術(shù)：一是應(yīng)用層封包過濾，采用Winsock 2 SPI ；二是核心層封包過濾，采用 NDIS_HOOK。所以其本身也有可能受到攻擊和出現(xiàn)軟、硬件方面的故障。另外 ,防火墻內(nèi)部各主機(jī)間的攻擊行為 ,防火墻出只有如旁觀者一樣冷視而愛莫能助。 (5)防火墻對(duì)待內(nèi)部主動(dòng)發(fā)起連接的攻擊一般無法阻擊 “外緊內(nèi)松”是一般局域網(wǎng)絡(luò)的特點(diǎn) , 或許一道嚴(yán)密防火墻內(nèi)部的網(wǎng)絡(luò)是一片混亂也有可能。而當(dāng)防火墻謚出的時(shí)候 , 整個(gè)防線就如同虛設(shè) , 原本被禁止的連接也能從容通過了。防火墻的各種策略 ,也是在該攻擊方式經(jīng)過專家 防火墻技術(shù)研究 21 分析后根據(jù)其特征而進(jìn)行設(shè)置的 , 如果世界上新發(fā)現(xiàn)某個(gè)主機(jī)漏洞的 CRACKER 把第一個(gè)攻擊對(duì)象擊中了您的網(wǎng)絡(luò) ,那么防火墻也沒有辦法幫助您的。即使防火墻進(jìn)行了很好的設(shè)置 ,使得攻擊無法滲透防火墻 , 但各種攻擊仍然會(huì)源源不斷地向防火墻發(fā)出嘗試。互聯(lián)網(wǎng)上的病毒 ,惡意試探等造成的攻擊行為絡(luò)繹不絕。某些威脅是防火墻力所不及的。核心技術(shù)是基礎(chǔ) ,必須在這個(gè) 基礎(chǔ)之上加入輔助功能才能流暢的工作。 (5)被攔阻時(shí)能通過聲音或閃爍圖標(biāo)給用戶報(bào)警提示。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度 , 這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng) , 這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。 Finger 顯示了主機(jī)的所有用戶的注冊(cè)名、真名 ,最后登錄時(shí)間和使用 shell 類型等。再者 , 隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題 , 一個(gè)內(nèi)部網(wǎng)絡(luò)中 不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣 , 甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。另外 , 收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。 (3) 對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) 如果所有的訪問都經(jīng)過防火墻 , 那么 ,防火墻就能記錄下這些訪問并作出日志記錄 , 同時(shí)也能提供網(wǎng)絡(luò)使用 情況的統(tǒng)計(jì) 數(shù)據(jù)。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比 , 防火墻的集中安全管理更經(jīng)濟(jì)。防火 墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。如防火墻可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò) , 這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。 防火墻的主體功能歸納為以下幾點(diǎn)： (1) 防火墻是網(wǎng)絡(luò)安全的屏障 一個(gè)防火墻 (作為阻塞點(diǎn)、控制點(diǎn) )能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性 , 并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻的核心功能主要是包過濾。它主要的保護(hù)就是加強(qiáng)外部 Inter 對(duì)內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的連接通過，也可以阻止其它不允許的連接。通常是 指運(yùn)行特別編寫或更改過操作系統(tǒng)的計(jì)算機(jī)，它的目的就是保護(hù)內(nèi)部網(wǎng)的訪問安全。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)點(diǎn)，即保證了安全性又保持了高速度，同時(shí)它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。由于內(nèi)外網(wǎng)的計(jì)算機(jī)對(duì)話機(jī)會(huì)根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。 圖 3 是動(dòng)態(tài)防火墻的示意圖 圖 3 動(dòng)態(tài)包過濾防火墻 應(yīng)用層 表示層 會(huì)話層 傳輸層 應(yīng)用層 表示層 會(huì)話層 傳輸層 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 數(shù)據(jù)鏈路層 物理層 數(shù)據(jù)鏈路層 物理層 連接狀態(tài)表 防火墻技術(shù)研究 18 以下我們了解的是代理防火墻。其中 “ 信息包沖擊 ” 是攻擊者最常用的攻擊手段：主要是攻擊者對(duì)包過濾防火墻發(fā)出一系列地址被替換成一連串順序 IP 地 址的信息包，一旦有一個(gè)包通過了防火墻，那么攻擊者停止再發(fā)測(cè)試 IP 地址的信息包，用這個(gè)成功發(fā)送的地址來偽裝他們所發(fā)出的對(duì)內(nèi)部網(wǎng)有攻擊性的信息。 ●靜態(tài)防火墻缺點(diǎn)：由于用戶的使用記錄沒有記載，如果有不懷好意的人進(jìn)行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的 應(yīng)用層 表示層 會(huì)話層 傳輸層 應(yīng)用層 表示層 會(huì)話層 傳輸層 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 數(shù)據(jù)鏈路層 物理層 數(shù)據(jù)鏈路層 物理層 防火墻技術(shù)研究 17 來源。靜態(tài)包的過濾原理就是：將信息分成若干個(gè)小數(shù)據(jù)片（數(shù)據(jù)包），確認(rèn)符合防火墻的包過濾規(guī)則后，把這些個(gè)小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個(gè)完整的信息這個(gè)就是包過濾的原理。它會(huì)檢查所有 通過信息包里的 IP 地址號(hào)，端口號(hào)及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準(zhǔn)備過濾的信息包一一匹配，其中：如果信息包中存在一點(diǎn)與過濾規(guī)則不符合，那么這個(gè)信息包里所有的信息都會(huì)被防火墻屏蔽掉，這個(gè)信息包就不會(huì)通過防火墻。 圖 1 防火墻在網(wǎng)絡(luò)中的位置 從防火墻的防范方式和側(cè)重點(diǎn)的不同來看，防火墻可以分為很多類型，但是根據(jù)防火墻對(duì)內(nèi)外來往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。及全面規(guī)劃等。在邏輯上，防火墻是過濾器 限制器和分析器；在物理上 ，防火墻的實(shí)現(xiàn)有多種方式。主要用來保護(hù)安全網(wǎng) 免受來自不安全網(wǎng)絡(luò)的入侵，比如安全網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)是因特網(wǎng)。第一章概括了引言，第二章概括了 防火墻的概念及分類，第三章概括了防火墻的體系結(jié)構(gòu)，第四章概括了常見攻擊方式及應(yīng)對(duì)方式，第五章 概括了防火墻的發(fā)展趨勢(shì) ，第六章是結(jié)論。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。支持 IPSEC VPN ，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器 。此外，應(yīng)用層漏洞很多，攻擊特征庫需要頻繁升級(jí)，對(duì)于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻，如此頻繁地升級(jí)也是不 現(xiàn)實(shí)的。因此，防火墻不適宜于集成內(nèi)容過濾、防病毒和 IDS 功能 ( 傳輸層以下的 IDS 除外，這些檢測(cè)對(duì) CPU 消耗小 ) 。目前有的應(yīng)用環(huán)境，動(dòng)輒 應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對(duì)于狀態(tài)防火墻，建立會(huì)話的速度會(huì)十分緩慢。實(shí)現(xiàn)高速防火墻，算法也是一個(gè)關(guān)鍵，因?yàn)榫W(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實(shí)現(xiàn)高速。從國(guó)內(nèi)外歷次測(cè)試的結(jié)果都可以看出，目前防火墻一個(gè)很大的局限性是速度不夠。這些軟件都能夠獨(dú)立運(yùn)行于整個(gè)系統(tǒng)中或針對(duì)對(duì)個(gè)別程序、項(xiàng)目，所以在使用時(shí)十分方便及實(shí)用 目的： 限制網(wǎng)絡(luò)通信，提高安全性能。 關(guān)鍵詞 ： S防火墻、規(guī)則匹配、統(tǒng)計(jì)分析 防火墻技術(shù)研究 9 Abstract Frewall is the present work safe field equipment used extensively, its major purpose is to restrict illegal rate of flow in order to protect internal son . From disposition location, firewall is often located in work export , is the only passageway between internal and external , therefore raises the performance of firewall , avoid it This paper has quoted the writing of statement, is general to have stated type, function and the concept of firewall, leting us overall have known one theoretically firewall. It is analog to have described one Large scale dispersed