【正文】 的信息，而電路級網(wǎng)關(guān)也只能記錄少量的信息。如果你放置全面記錄日志的設(shè)備并在防火墻本身實現(xiàn)這種技術(shù)，那么你有可能捕獲到所有用戶的活動。一些防火墻允許你預(yù)先配置對不期望的活動做出響應(yīng)。 防火墻的目的和作用 l 控制訪問者進(jìn)入一個被嚴(yán)格控制的點； l 防止進(jìn)攻者接近防御設(shè)備； l 控制內(nèi)部人員從一個特別控制點離開； l 檢查 、 篩選 、 過濾和屏蔽信息流中的有害信息 ， 防止對計算機(jī)和計算機(jī)網(wǎng)絡(luò)進(jìn)行惡意破壞 。一般的防火墻模型如圖 81所示。 監(jiān)控出入網(wǎng)絡(luò)的信息 ， 僅讓安全的 、 符合規(guī)則的信息進(jìn)入內(nèi)部網(wǎng)絡(luò) ， 為網(wǎng)絡(luò)用戶提供一個安全的網(wǎng)絡(luò)環(huán)境 。 防火墻系統(tǒng)具有以下幾方面的特性： l 所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都必須通過防火墻 。 l 防火墻本身可以經(jīng)受住各種攻擊 。 比如現(xiàn)代密碼技術(shù) 、 一次口令系統(tǒng) 、 智能卡等 。 系統(tǒng)管理員可以方便地對防火墻進(jìn)行設(shè)置 ，對 Inter的訪問者 、 被訪問者 、 訪問協(xié)議以及訪問方式進(jìn)行控制 。 通過將動態(tài)的 、 應(yīng)用層的過濾能力和認(rèn)證相結(jié)合 ， 可實現(xiàn) WWW瀏覽器 、 HTTP服務(wù)器 、 FTP等； l 私有數(shù)據(jù)的加密支持 。 只允許指定的用戶訪問內(nèi)部網(wǎng)絡(luò)或選擇服務(wù) ， 是企業(yè)本地網(wǎng)與分支機(jī)構(gòu) 、 商業(yè)伙伴和移動用戶間安全通信的附加部分； l 欺騙 。 防火墻的發(fā)展 第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn) ， 采用了包過濾（ Packet filter） 技術(shù) 。 第四代防火墻是 1992年 ， USC信息科學(xué)院的 BobBraden開發(fā)出了基于動態(tài)包過濾 （ Dynamic packet filter） 技術(shù)的第四代防火墻 ， 后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視 （ Stateful inspection） 技術(shù) 。 第五代防火墻是 1998年 ， NAI公司推出了一種自適應(yīng)代理 （ Adaptive proxy） 技術(shù) ， 并在其產(chǎn)品 Gauntlet Firewall for NT中得以實現(xiàn) ， 給代理類型的防火墻賦予了全新的意義 。 今后 ， 防火墻將朝下列技術(shù)和方向發(fā)展： ?動態(tài)包過濾； ?內(nèi)核透明代理； ?用戶強(qiáng)認(rèn)證機(jī)制； ?加密技術(shù)； ?智能日志 、 審計跟蹤和實時報警； ?內(nèi)容和策略感知能力； ?內(nèi)部信息隱藏技術(shù)； ?提高防火墻產(chǎn)品的集成性和采用分布式管理 ， 加強(qiáng)防火墻之間的交互操作性 。 它基于單個包實施網(wǎng)絡(luò)控制 ， 根據(jù)所收到數(shù)據(jù)包的源地址 、 目的地址 、源端口號及目的端口號 、 包出入接口 、 協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù) ， 與用戶預(yù)定的訪問控制表進(jìn)行比較 ， 判定數(shù)據(jù)是否符合預(yù)先制定的安全策略 ， 決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄 ， 即實施信息的過濾 。 這種防火墻的優(yōu)點是簡單、方便、速度快，透明性好，對網(wǎng)絡(luò)性能影響不大，但它缺乏用戶日志（ Log）和審計信息（ Audit），缺乏用戶認(rèn)證機(jī)制，不具備登錄和報告性能，不能進(jìn)行審核管理，且過濾規(guī)則的完備性難以得到檢驗，過濾規(guī)則復(fù)雜難以管理。 防火墻 的優(yōu)缺點 (1)優(yōu)點 防火墻 對每條傳入和傳出網(wǎng)絡(luò)的包實行控制 。 防火墻 將基于這些信息應(yīng)用過濾規(guī)則 。 包過濾 防火墻 是兩個網(wǎng)絡(luò)之間訪問的唯一來源 。 包過濾通常被包含在 路由器 數(shù)據(jù)包中 ， 所以不必額外的 系統(tǒng) 來處理這個特征 。 因為包過濾 防火墻 很復(fù)雜 ， 人們經(jīng)常會忽略建立一些必要的規(guī)則 ， 或者錯誤配置了已有的規(guī)則 ， 在防火墻上留下漏洞 。 為特定服務(wù)開放的端口存在著危險 ， 可能會被用于其他傳輸 。 就這樣 ， RealPlayer無意中利用了 Web服務(wù)器的端口 。 攻擊者繞過 防火墻 進(jìn)入網(wǎng)絡(luò)，例如撥號 連接 。 代理服務(wù)器 1． 代理服務(wù)器防火墻的基本功能 代理服務(wù)器防火墻 （ Proxy Service Firewall） 通過在主機(jī)上運行代理服務(wù)程序 ， 直接對特定的應(yīng)用層進(jìn)行服務(wù) ， 因此也稱為應(yīng)用層防火墻 。代理服務(wù)可以實施用戶認(rèn)證 、 詳細(xì)日志 、 審計跟蹤 、 數(shù)據(jù)加密等功能和對具體協(xié)議及應(yīng)用的過濾 ， 如阻止 Java或 Java Script程序的運行 。 它只接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信 ， 然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨的連接 。 另外 ， 如果不為特定的應(yīng)用程序 安裝 代理程序代碼 ， 這種服務(wù)是不會被支持的 ， 不能建立任何 連接 。 應(yīng)用程序代理 防火墻 可以配置成允許來自內(nèi)部網(wǎng)絡(luò)的任何 連接 ，它也可以配置成要求用戶認(rèn)證后才建立連接。如果網(wǎng)絡(luò)受到危害，這個特征使得從內(nèi)部發(fā)動攻擊的可能性大大減少。 通過限制某些協(xié)議的傳輸請求 ， 以減少網(wǎng)絡(luò)中不必要的服務(wù) 。這些信息對追蹤攻擊和發(fā)生的未授權(quán)訪問的事件是很有用的 。 一些應(yīng)用程序不支持代理 連接 。 電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息 ， 這樣來決定該會話 (Session) 是否合法 ， 電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包的 。另外，電路級網(wǎng)關(guān)還提供一個重要的安全功能：代理服務(wù)器（ ProxyServer），代理服務(wù)器是在其上運行一個叫做 “ 地址轉(zhuǎn)移 ” 的進(jìn)程，將所有內(nèi)部 IP地址映射到一個外部 IP地址，這個地址是由防火墻使用的。 混合型防火墻 混合型防火墻 （ Hybrid Firewall） 是 把過濾和代理服務(wù)等功能結(jié)合起來 ， 形成新的防火墻 ， 所用主機(jī)稱為堡壘主機(jī) ， 負(fù)責(zé)代理服務(wù) 。 應(yīng)用級網(wǎng)關(guān) 應(yīng)用級網(wǎng)關(guān) （ Application Gateway） 使用專用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù) ， 如 Tel、 FTP等服務(wù)連接 。 應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議 ， 能夠做一些復(fù)雜的訪問控制 。 常用的應(yīng)用級防火墻已有了相應(yīng)的代理服務(wù) ， 例如： HTTP、 NNTP、FTP、 Tel、 Rlogin、 XWindows等 ， 但是 ， 對于新開發(fā)的應(yīng)用 ， 尚沒有相應(yīng)的代理服務(wù) ， 它們將通過網(wǎng)絡(luò)級防火墻和一般的代理服務(wù) 。在實際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問 Inter時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄（ Login）才能訪問 Inter或 Intra。這一目標(biāo)是在使用了基本 包過濾防火墻 的通信上應(yīng)用一些技術(shù)實現(xiàn)的。如果數(shù)據(jù)包中沒有包含任何描述它在信息流中的位置的信息，則認(rèn)為該包是無狀態(tài)的，一個狀態(tài)包檢查 防火墻 跟蹤的包中必須包含所需的信息。只有按要求傳入的數(shù)據(jù)被允許通過，直到 連接 被關(guān)閉為止。 狀態(tài) /動態(tài)檢測 防火墻 可提供的額外服務(wù)有： l 將某些類型的 連接 重定向到審核服務(wù)中去。 l 拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含 ActiveX程序的 Web頁面。通常情況下， 防火墻 丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來處理。它們只包含源地址、目的地址、校驗碼和攜帶的數(shù)據(jù)。對傳入的包，若它所使用的地址和 UDP包攜帶的協(xié)議與傳出的連接請求匹配，該包就被允許通過。 /動態(tài)檢測 防火墻 的優(yōu)缺點 (1)優(yōu)點 l 具有檢查 IP包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則。 l 包過濾 防火墻 是兩個網(wǎng)絡(luò)之間訪問的唯一來源。 l 基于應(yīng)用程序信息驗證一個包的狀態(tài)的能力，例如基于一個已經(jīng)建立的 FTP連接 ，允許返回的 FTP包通過。 l 記錄有關(guān)通過的每個包的詳細(xì)信息的能力。 (2)缺點： 狀態(tài) /動態(tài)檢測 防火墻 唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡(luò) 連接 的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時。 網(wǎng)絡(luò)地址翻譯 NAT 網(wǎng)絡(luò)地址翻譯 NAT(Netware Address Translation)協(xié)議是將內(nèi)部網(wǎng)絡(luò)的多個 IP地址轉(zhuǎn)換到一個公共 IP地址與 Inter連接 。 一旦建立了連接 ， 在內(nèi)部計算機(jī)和 Web站點之間來回流動的通信就都是透明的 。如果沒有事先定義好的規(guī)則， NAT可丟棄所有未經(jīng)請求的傳入連接，就像包過濾 防火墻 所做的那樣。 (2)動態(tài)翻譯 為了隱藏內(nèi)部主機(jī)的身份或擴(kuò)展內(nèi)部網(wǎng)絡(luò)的地址空間 ， 一個大的 Inter客戶群共享一組較小的 Inter IP地址 。 (4)網(wǎng)絡(luò)冗余翻譯 多個 Inter聯(lián)接被附加在一個 NAT防火墻上，而這個防火墻根據(jù)負(fù)載和可用性對這些聯(lián)接進(jìn)行選擇和使用。 因為這個原因 ， 網(wǎng)絡(luò)之外沒有人可以通過指定 IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺特定的計算機(jī)發(fā)起攻擊 。 可以啟用基本的包過濾防火墻安全機(jī)制 ， 因為所有傳入的包如果沒有專門指定配置到 NAT， 那么就會被丟棄 。 (2)缺點 NAT的缺點和包過濾防火墻的缺點是一樣的。而且內(nèi)網(wǎng)可以利用現(xiàn)流傳較廣的木馬程序，可以通過 NAT做外部連接，就像穿過包過濾防火墻一樣的容易。 個人防火墻是安裝在計算機(jī)網(wǎng)絡(luò)接口的較低級別上 ， 用以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信 。 然后個人防火墻便記住響應(yīng)方式 ，并應(yīng)用于以后遇到的相同網(wǎng)絡(luò)通信 。用戶可能允許所有的 Web連接、來自某些特定 IP地址范圍的連接等，個人防火墻然后把這條規(guī)則應(yīng)用于所有傳入的 Web連接。 個人防火墻除了可以抵擋外來攻擊的同時 ， 還可以抵擋內(nèi)部的攻擊 。真正的防火墻應(yīng)當(dāng)監(jiān)視并控制兩個或更多的網(wǎng)絡(luò)接口之間的通信。 智能防火墻 智能防火墻從技術(shù)特征上 ， 是利用統(tǒng)計 、 記憶 、 概率和決策的智能方法來對數(shù)據(jù)進(jìn)行識別 ， 并達(dá)到訪問控制的目的 。傳統(tǒng)的防火墻對包的檢查，就像對人的相貌的識別，采用圖像識別一樣。通過檢查上千萬個像素之后，告訴你，這是誰。智能防火墻無須海量計算就可以輕松找到網(wǎng)絡(luò)行為的特征值來識別網(wǎng)絡(luò)行為，從而輕松的執(zhí)行訪問控制。智能防火墻可以有效地解決 SYN Flooding， Land Attack， UDP Flooding，F(xiàn)raggle Attack， Ping Flooding， Smurf， Ping of Death， Unreachable Host等攻擊 。 (2)防掃描技術(shù) 智能防火墻能智能識別黑客的惡意掃描 ， 并有效地阻斷或欺騙惡意掃描者 。 防掃描技術(shù)還可以有效地解決代表或惡意代碼的惡意掃描攻擊 。將防火墻的訪問控制擴(kuò)展到 OSI的第二層。 入侵防御技術(shù)采用了多種檢測技術(shù) ， 特征檢測可以準(zhǔn)確檢測已知的攻擊 ， 特征庫涵蓋了目前流行的網(wǎng)絡(luò)攻擊；異常檢測基于對監(jiān)控網(wǎng)絡(luò)的自學(xué)習(xí)能力 ， 可以有效地檢測新出現(xiàn)的攻擊；檢測引擎中還集成了針對緩沖區(qū)溢出等特定攻擊的檢測 。 (5)包擦洗和協(xié)議正?；夹g(shù) 智能防火墻支持包擦洗技術(shù)，對 IP， TCP， UDP， ICMP等協(xié)議的擦洗，實現(xiàn)協(xié)議的正?；?，消除潛在的協(xié)議風(fēng)險和攻擊。 智能防火墻成功地解決了普遍存在的拒絕服務(wù)攻擊的問題 、 病毒傳播的問題和高級應(yīng)用入侵的行為 ， 代表著防火墻的主流發(fā)展方向 。 智能防火墻執(zhí)行全訪問的訪問控制策略 ， 而不是簡單的過濾 。 智能防火墻具備集中網(wǎng)絡(luò)管理平臺 ， 具備配置管理 、 性能管理 、 故障管理 、 安全管理 、 審計管理五大管理域 。 支持監(jiān)控防火墻的性能如 CPU、 內(nèi)存 、網(wǎng)絡(luò)和硬盤的使用率等信息 。 支持實時監(jiān)控 ， 包括性能監(jiān)控 、 接口流量監(jiān)控等 。并支持條件查詢。 保護(hù)網(wǎng)絡(luò)和站點免受黑客的攻擊 。 采用智能防火墻 ， 可以有效解決 DDoS攻擊 。 智能防火墻可以智能識別病毒的惡意掃描和流量攻擊 ，有效切斷惡意病毒的傳播途徑 。 有效監(jiān)控和管理內(nèi)部局域網(wǎng) 。 智能防火墻的防欺騙功能和 MAC控制功能 ， 能有效發(fā)現(xiàn)內(nèi)部惡意流量 ， 幫助安全管理員來找到攻擊源 。 智能防火墻的入侵防護(hù)功能 ， 深層的應(yīng)用數(shù)據(jù)檢測可以有效的發(fā)現(xiàn)對應(yīng)用的惡意攻擊 ， 并加以制止 。對優(yōu)化進(jìn)行身份鑒別授權(quán)和審計，是網(wǎng)絡(luò)安全的要素之一，基于人而不是 IP進(jìn)行管理，更能有效的進(jìn)行網(wǎng)絡(luò)安全管理。 防火墻的設(shè)計與實現(xiàn) 本節(jié)內(nèi)容 防火墻的設(shè)計技術(shù) 防火墻的實現(xiàn)技術(shù) 防火墻的設(shè)計技術(shù) 為了網(wǎng)絡(luò)的安全可靠 ， 防火墻必須滿足以下要求： l 防火墻應(yīng)由多個構(gòu)件組成 ， 形成一個有一定冗余度的安全系統(tǒng) ， 避免成為網(wǎng)絡(luò)的單失效點 。 這樣的網(wǎng)絡(luò)結(jié)點 ， 稱為阻塞點 。 l 防火墻應(yīng)提供強(qiáng)制認(rèn)證服務(wù) ， 外部網(wǎng)絡(luò)站點對內(nèi)部網(wǎng)絡(luò)的訪問應(yīng)經(jīng)過防火墻的認(rèn)證檢查 ， 包括對網(wǎng)絡(luò)用戶和數(shù)據(jù)源的認(rèn)證 。 l 防火墻對內(nèi)部網(wǎng)絡(luò)應(yīng)做到屏蔽作用 ， 并且隱藏內(nèi)部