【正文】 次安全 系統(tǒng)的全面信息安全策略，在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品， 結(jié)合了不同的防火墻安全策略和技術(shù)，例如地址翻譯技術(shù)、數(shù)據(jù)包過(guò)濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、電路級(jí)網(wǎng)關(guān)技術(shù)和應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)，多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) VI 來(lái)創(chuàng)建一個(gè)比單一防護(hù)有效得多的綜合保護(hù)屏障， 增加攻擊者侵入所花費(fèi)的時(shí)間、成本和所需要的資源，從而卓有成效地降低被攻擊的危險(xiǎn)，達(dá)到安全防護(hù)的目標(biāo)。 事實(shí)上，多層次防護(hù)已經(jīng)成為當(dāng)今網(wǎng)絡(luò)安全的主流策略。網(wǎng)絡(luò)的安全性成為當(dāng)今最熱門(mén)的話題之一，很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。下面我們一起來(lái)討論一下防火墻的概念，以及防火墻的功能，并且討論了每一種防火墻的特性及其發(fā)展 。 這里所說(shuō)的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你 “ 同意 ” 的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你 “ 不同意 ” 的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。圖 顯示了防火墻的基本目的。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。 一般的防火墻都可以達(dá)到以下目的： ① 是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶； ② 是防止入侵者接近你的防御設(shè)施； ③ 是限定用戶訪問(wèn)特殊站點(diǎn)； ④ 是為監(jiān)視 Inter 安全提供方便。這就是為什么許多公司建立多層防火墻的原因，當(dāng)黑客闖過(guò)一層防火墻后他只能獲取一部分?jǐn)?shù)據(jù)，其他的數(shù)據(jù)仍然被安全地保護(hù)在內(nèi)部防火墻之后。 事實(shí)上，防火墻正在成為控制對(duì)網(wǎng)絡(luò)系統(tǒng)訪問(wèn)的非常流行的方法。 防火墻的 功能 ① 防火墻是網(wǎng)絡(luò)安全的屏障： 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。如防火墻 可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻應(yīng)該可以拒絕所有以上類型多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 10 攻擊的報(bào)文并通知防火墻管理員。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。 ③ 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) ： 如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。 Finger 顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell 類型等。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程 度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。 除了安全作用，防火墻還支持具有 Inter 服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN（虛擬專用網(wǎng)） 。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)及數(shù)據(jù)傳輸，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問(wèn)和過(guò)濾不良信息的目的。 防火墻技術(shù)的發(fā)展 隨著 Inter/Intra 技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題必將愈來(lái)愈引起人們的重視。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。事實(shí)上 60%以上的網(wǎng)絡(luò)安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)部。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 12 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 13 第二章 多層防火墻技術(shù)的研究背景 多層防火墻技術(shù)的研究背景 防火墻技術(shù)是一種安全防范措施，所謂網(wǎng)絡(luò)入侵和安全防范，實(shí)際上就是指網(wǎng)絡(luò)攻防技術(shù)。攻擊技術(shù)包括目標(biāo)網(wǎng)絡(luò)信息收集技術(shù)、目標(biāo)網(wǎng)絡(luò)權(quán)限提升技術(shù)、目標(biāo)網(wǎng)絡(luò)滲透技術(shù)、目標(biāo)網(wǎng)絡(luò)摧毀技術(shù)四大類。黑客技術(shù)的提升和黑客工具的泛濫，造成大量的企業(yè)、機(jī)構(gòu)和個(gè)人的電腦系統(tǒng)遭受程度不同的入侵和攻擊，或面臨隨時(shí)被攻擊的危險(xiǎn)。 對(duì)于用戶而言，不管你是否已經(jīng)受到這些攻擊，不管這些攻擊是否會(huì)產(chǎn)生比較嚴(yán)重的后果，你都必須假設(shè)它們對(duì)信息系統(tǒng)的威脅總是存在的。所以在任何時(shí)候，對(duì)信息系統(tǒng)實(shí)施連續(xù)不斷的保護(hù)是非常必要的。 但是 對(duì)攻防技術(shù)發(fā)展和網(wǎng)絡(luò)安全實(shí)踐的研究分析表明， 單一的 防火墻有許多“ 難言之隱 ” —— 即 “ 三難防 ” 困擾 。 單一的 防火墻不能防范不經(jīng)由防火墻的攻擊。 “ 二難防 ” 。由于操作系統(tǒng)、病毒、二進(jìn)制文件類型的復(fù)雜性，而且更新速度很快， 它 無(wú)法逐個(gè)掃描每個(gè)文件查找病毒，病毒很可能隱藏在合法郵寄的數(shù)據(jù)包內(nèi)， 它 很難對(duì)其進(jìn)行識(shí)別。 單一的 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。例如，一種數(shù)據(jù)驅(qū)動(dòng)式的攻擊，可以導(dǎo)致主機(jī)修改與系統(tǒng)安全有關(guān)的配多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 14 置文件，從而使入侵者下一次更容易攻擊該系統(tǒng)。 在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品以增加攻擊者侵入時(shí)所需花費(fèi)的時(shí)間、成本和所需要的資源，大大減少了他們的攻擊頻度，從而卓有成效地降低被攻擊的危險(xiǎn)，達(dá)到安全防護(hù)的目標(biāo)。 鞏固我們的網(wǎng)絡(luò)安全性能， 提高網(wǎng)絡(luò)的安全防范能力 ，使 信息系統(tǒng)的安全系數(shù)得到了大大的提升。 所謂“多級(jí)過(guò)濾技術(shù)”，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。 我們所研究的多層防火墻系統(tǒng)，就是采用多種防火墻技術(shù)構(gòu)成多層防護(hù)屏障，對(duì)網(wǎng)絡(luò)中傳送的信息進(jìn)行重重檢測(cè)，鑒定其安全性，從而來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行層層多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 15 防護(hù)。 該 多層防火墻最大的優(yōu)點(diǎn)就是可以成倍地增加了 攻擊者侵入時(shí)所需花費(fèi)的時(shí)間、成本和所需要的資源，大大減少了他們的攻擊頻度，即而卓有成效地降低被攻擊的危險(xiǎn)，達(dá)到安全防護(hù)的目標(biāo)， 使信息系統(tǒng)得到連續(xù)不斷的保護(hù) 。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 16 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 17 第三章 多層防火墻系統(tǒng)的功 能及其組成 隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和應(yīng)用的日漸普及，黑客工具不僅變得越來(lái)越先進(jìn)，而且也越來(lái)越容易被一般人獲取和濫用。這就迫使大家不得不加強(qiáng)對(duì)自身電腦網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，甚至追求所謂徹底的、一勞永逸的、 100%的網(wǎng)絡(luò)安全解決方案。安全總是相對(duì)的。 在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品， 采用“多層過(guò)濾技術(shù)”， 構(gòu)成多層防護(hù)屏障，對(duì)網(wǎng)絡(luò)中傳送的信息進(jìn)行重重檢測(cè)，鑒定其安全性，從而來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行層層防護(hù)， 從而增加攻擊者侵入所花費(fèi)的時(shí)間、成本和所需要的資源， 既而 卓有成效地降低被攻擊的危險(xiǎn)，達(dá)到安全防護(hù)的目標(biāo)。 地址轉(zhuǎn)換技術(shù) 地址轉(zhuǎn)換技術(shù)（ Network Address Translation,NAT） 。它是多層防火墻技術(shù) 的第一道防護(hù)屏障。 NAT 的實(shí)現(xiàn)過(guò)程是這樣的：通常在一個(gè) firewall 或者 router 上起 NAT，firewall 有兩個(gè) NIC，一個(gè)接 Inter，為合法 IP，一個(gè)接 LAN，為保留 IP。改了源 IP地址的包送到 Inter，他的應(yīng)答包肯定能夠回到 NAT 的外部接口， NAT 接到應(yīng)答包后，通過(guò)查看自己的連接表的記錄，更改應(yīng)答包的目標(biāo) I P，然后送到發(fā)出請(qǐng)求的工作站。但由于合法因特網(wǎng) IP 地址有限，而且受保護(hù)網(wǎng)絡(luò)往往有自己的一套本地 IP 地址規(guī)劃。同時(shí)，對(duì)于內(nèi)部的某些服務(wù)器如 Web服務(wù)器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個(gè)固定的合法地址，內(nèi)部網(wǎng)絡(luò)用戶就可通過(guò)防火墻來(lái)訪問(wèn)外部網(wǎng)絡(luò)。如果防火墻使用了 NAT技術(shù)，所有的內(nèi)部地址將會(huì)被轉(zhuǎn)換成防火墻 WAN 端口上合法的因特網(wǎng) IP 地址，以達(dá)到隱藏了內(nèi)部網(wǎng)絡(luò)用戶身份的目的。 SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)是屏蔽的，使得外部非常用戶對(duì)內(nèi)部主機(jī)的攻擊更加困難，同時(shí)可以節(jié)省有限的公網(wǎng) IP 資源，通過(guò)少數(shù)一個(gè)或幾個(gè)公網(wǎng) IP 地址共享上網(wǎng)。在防火墻中主要用于外部網(wǎng)絡(luò)主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū) (非軍事區(qū) )主機(jī)的訪問(wèn)。數(shù)據(jù)包過(guò)濾技術(shù)在網(wǎng)絡(luò)的入口，根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過(guò)。 所謂的數(shù)據(jù)包過(guò)濾技術(shù)。防火墻的產(chǎn)生也是從這一技術(shù)開(kāi)始的，最早是于 1989 所提出的。這個(gè)安全規(guī)則就是防火墻技術(shù)的根本，它是通過(guò)對(duì)各種網(wǎng)絡(luò)應(yīng)用、通信類型和端口的使用來(lái)規(guī)定的。它的 優(yōu)點(diǎn)是它對(duì)于用戶來(lái)說(shuō)是透明的，處理速度快而且易于 維護(hù)，通常被做為一道基本防線。之所以通用，是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過(guò)濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。 先來(lái)看一下防火墻方案部署的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，所有的防火墻方案網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)都可簡(jiǎn)化為如圖 所示。而外部網(wǎng)絡(luò)通常是直接通過(guò)防火墻與內(nèi)部網(wǎng)絡(luò)連接，中間不會(huì)有其它網(wǎng)絡(luò)設(shè)備 。這就有效地保證了外部網(wǎng)絡(luò)的所有通信請(qǐng)求，當(dāng)然包括黑客所發(fā)出的非法請(qǐng)求都能在防火墻中進(jìn)行過(guò)濾。實(shí)現(xiàn)起來(lái)非常容易，只需要在原有的路由器上進(jìn)行適當(dāng)?shù)呐渲眉纯蓪?shí)現(xiàn)防火墻方案。 ①第一代靜態(tài)包過(guò)濾類型防火墻 這類防火墻幾乎是與路由器同時(shí)產(chǎn)生的，它是根據(jù)定義好的 過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。報(bào)頭信息中包括 IP 源地址、 IP目標(biāo)地址、傳輸協(xié)議 (TCP、 UDP、ICMP 等等 )、 TCP/UDP 目標(biāo)端口、 ICMP 消息類型等。這種技術(shù)后來(lái)發(fā)展成為包狀態(tài)監(jiān)測(cè) (Stateful Inspection)技術(shù)。 包過(guò)濾技術(shù)的應(yīng)用非常廣泛，因?yàn)榘^(guò)濾技術(shù)相對(duì)較為簡(jiǎn)單，只需對(duì)每個(gè)數(shù)據(jù)包與相應(yīng)的安全規(guī)則進(jìn)行比較即可得出是否通過(guò)的結(jié)論，所以防火墻主機(jī) CPU用來(lái)處理包過(guò)濾的時(shí)間非常短，執(zhí)行效率也非常高。 狀態(tài)檢測(cè)技術(shù) 狀態(tài)檢測(cè) （ Check Point） 技術(shù) 是基于 OSI 網(wǎng)絡(luò) 參考模型的 第四層的包過(guò)濾技術(shù) 。狀態(tài)檢測(cè)防火墻通過(guò)建立動(dòng)態(tài) TCP 連接狀態(tài)表并對(duì) 每次會(huì)話連接進(jìn)行驗(yàn)證來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制。狀態(tài)檢測(cè)防火墻技術(shù)示意如下圖 所示。監(jiān)測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存 起來(lái)作為以后執(zhí)行安全策略的參考。與前兩種防火墻不同，當(dāng)用戶訪問(wèn)請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。 狀態(tài)監(jiān)測(cè)防火墻的另一個(gè)優(yōu)點(diǎn)是它會(huì)監(jiān)測(cè)無(wú)連接狀態(tài)的遠(yuǎn)程過(guò)程調(diào)用（ RPC）應(yīng)用層 內(nèi) 核 規(guī) 則 表 規(guī)則 1 規(guī)則 2 規(guī)則 3 連接狀態(tài)表 連接 1 連接 2 連接 3 狀態(tài)檢測(cè) 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 22 和用 戶數(shù)據(jù)報(bào) (UDP)之類的端口信息，而包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻都不支持此類應(yīng)用。好在有關(guān)防火墻廠商已注意到這一問(wèn)題，如 CheckPoint 公司的防火墻產(chǎn)品 Firewall1，它所有的安全策略規(guī)則都是通過(guò)面向?qū)ο蟮膱D形用戶界面（ GUI）來(lái)定義以簡(jiǎn)化配置過(guò)程。 電路級(jí)網(wǎng)關(guān)技術(shù) 電路級(jí)網(wǎng)關(guān)防火墻屬于第三代防火墻技術(shù)，其初步結(jié)構(gòu)是于 1989 年由貝爾實(shí)驗(yàn)室的 Dave Presotto 和 Howard Trickey 提出的。電路級(jí)網(wǎng)關(guān)是在 OSI 網(wǎng)絡(luò)參考模型的會(huì)話層過(guò)濾數(shù)據(jù)包，這樣比包過(guò)濾防火墻要高兩層。 電路級(jí)網(wǎng)關(guān)也是一種代理，但是只是建立起一個(gè)回路，對(duì)數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用。這種代理的 優(yōu)點(diǎn)是它可以對(duì)不同的協(xié)議提供服務(wù)，但這種代理需要改進(jìn)客戶程序，這種網(wǎng)關(guān)對(duì)外像一個(gè)代理，對(duì)內(nèi)則是一個(gè)過(guò)濾路由器，其工作原理如圖 所示。 實(shí)際上電路級(jí)網(wǎng)關(guān)并非作為一個(gè)獨(dú)立的產(chǎn)品存在，它與其他的應(yīng)用級(jí)網(wǎng)關(guān)結(jié)合在一起， 如 TrustInformationSystems 公司的 GauntletInterFirewall；DEC 公司的 AltaVistaFirewall 等產(chǎn)品。但是，作為電路級(jí)網(wǎng)關(guān)也存在著一些缺陷，因?yàn)樵摼W(wǎng)關(guān)是在會(huì)話層工作的，它就無(wú)法檢查應(yīng)用層級(jí)的數(shù)據(jù)包 。 它屬于第五代防火墻技術(shù)，它最早是由于 1998 年，由 NAI公司推出的，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)。 應(yīng)用代理型防火墻（ Application Proxy） 是工作在 OSI 的最高層，即應(yīng)用層。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖 所示。允許通過(guò)的數(shù)據(jù)包由網(wǎng)關(guān)復(fù)制并傳遞，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。通常是需在防火墻主機(jī)上安裝相應(yīng)服務(wù)器軟件來(lái)實(shí)現(xiàn)以上功能的。 圖 應(yīng)用級(jí)網(wǎng)關(guān)的工作原理 在代理型防火墻技術(shù)的發(fā)展過(guò)程中，它也經(jīng)歷了兩個(gè)不同的版本，即：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而 可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。它的核心技術(shù)就是代理服