第四章防火墙技术

一、本章复习建议

在历年考题中，本章是重点章节之一，其知识点在试卷各个题型中均有反映，且在难度和灵活度最大的应用题中基本上有一道题涉及本章节的防火墙部署，因而学员必须重视本章节的学习。学习层次涵盖识记、领会和应用各个层面，建议学员不仅仅要求在学习和复习阶段透彻理解本章节的相关内容，而且需要平时针对多种防火墙部署的练习，打好基础。
 

二、本章重要知识点讲解

防火墙的主要功能；防火墙的局限性；防火墙的体系结构；个人防火墙的功能和特点。
 
第一节  4.1 概述
（一）4.1.1 防火墙的概念
是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。

 
防火墙是一种高级访问控制设备，是在被保护网和外网之间执行访问控制策略的一种或一系列部件的组合，是不同网络安全域间通信流的通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。它是网络的第一道防线，也是当前防止网络系统被人恶意破坏的一个主要网络安全设备。它本质上是一种保护装置，在两个网之间构筑了一个保护层。所有进出此保护网的传播信息都必须经过此保护层，并在此接受检查和连接，只有授权的通信才允许通过，从而使被保护网和外部网在一定意义下隔离，防止非法入侵和破坏行为。
 
（二）4.1.2 防火墙的功能
①过滤进、出网络的数据
②管理进、出网络的访问行为
③封堵某些禁止的业务
④记录通过防火墙的信息和内容
⑤对网络攻击检测和告警
{
（三）4.1.3 防火墙的局限性★
①网络的安全性通常是以网络服务的开放性和灵活性为代价
②防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。
l 只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；
l 不能解决来至内部网络的攻击和安全问题；
l 不能防止受病毒感染的文件的传输；
l 不能防止策略配置不当或错误配置引起的安全威胁；
l 不能防止自然或人为的故意破坏；
l 不能防止本身安全漏洞的威胁。
 
 
第二节  4.2 防火墙的体系结构
 
目前防火墙的体系结构一般有以下几种：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。★
 
（一）4.2.1 双重宿主主机体系结构
双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机而构成的。这种主机还可以充当与这台主机相连的若干网络之间的路由器。它能将一个网络的IP数据包在无安全控制下传递给另外一个网络。但是在将一台双宿主主机安装到防火墙结构时，首先要使双宿主主机的这种路由功能失效，从一个外部网络来的IP数据包不能无条件地传递给另外的一个网络。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信。内外部网络之间的IP数据流被双宿主主机完全切断。
基于双宿主主机的防火墙结构相当简单，双宿主主机位于内外部网络之间并与内外部网络相连。

 
（二）4.2.2 屏蔽主机体系结构
在屏蔽主机体系结构中，提供安全保护的主机仅仅与内部网相连。另外屏蔽主机体系结构还有一台单独的过滤路由器。

 
过滤路由器可按如下规则之一进行配置：
• 允许其他内部主机（非堡垒主机）为某些类型的服务请求与外部网建立直接连接。
• 不允许所有来自内部主机的直接连接。
一般来讲，屏蔽主机体系结构比较双宿主主机结构能提供更好的安全保护，同时也更具有可操作性。一个主要缺陷是：只要入侵者设法通过了堡垒主机，那么对入侵者来讲，整个内部网与堡垒主机之间就再也没有任何阻碍。
 
（三）4.2.3 屏蔽子网体系结构
屏蔽子网体系结构就是在主机过滤结构中再增加一层参数网络的安全机制，使得内部网与外部网之间有二层隔断。用参数网络来隔离堡垒主机与内部网，就能减轻入侵者冲开堡垒主机后而给内部网的冲击力。入侵者即使冲过堡垒主机也不能对内部网进行任意操作，而只可进行部分操作。有些站点还可用多层参数网络加以保护。低可靠性的保护由外层网络提供，高可靠性的保护由内层参数网提供。

 
（四）4.2.4 防火墙体系结构的组合形式
﹡ 使用多堡垒主机
在防火墙结构中配置多台堡垒主机，这样做可以提高系统效能，增加系统冗余，分离数据和程序。
 ﹡ 合并内外路由器
 ﹡ 合并堡垒主机和外部路由器
 ﹡ 使用多外部路由器
 ﹡ 多周边网络
 ﹡ 双宿主主机加屏蔽子网
 
 
第三节  4.3 防火墙技术
 
防火墙可以分为网络层防火墙和应用层防火墙，这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。★
 
 
（一）4.3.1 包过滤技术★
 
 
 
 
 
 
 
 
 
包过滤技术的工作原理：
工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。
 
包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。
 
 
 
 
 
包过滤技术的缺陷：
①不能彻底防止地址欺骗
只能阻止一种类型的地址欺骗，即外部主机伪装内部主机的IP，而对外部主机伪装其他外部主机的IP却不能阻止，另外不能防止DNS欺骗。
 
②无法执行某些安全策略
③安全性较差
④一些应用协议不适合于数据包过滤
⑤管理功能弱
（二）4.3.3 状态检测技术
状态包检测技术是包过滤技术的延伸，常被称为“动态包过滤”，是一种与包过滤相类似但更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。适合网络流量大的环境。
 
状态检测技术的工作原理：也称为动态包过滤防火墙。
基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性，检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测，并将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。
 
状态检测技术的特点：
①高安全性②高效性③可伸缩性和易扩展性④应用范围广
高安全性：工作在数据链路层和网络层之间，确保截取和检测所有通过网络的原始数据包。虽然工作在协议栈的较低层，但可以监视所有应用层的数据包，从中提取有用的信息，安全性得到较大提高。
高效性：一方面，通过防火墙的数据包都在协议栈的较低层处理，减少了高层协议栈的开销；另一方面，由于不需要对每个数据包进行规则检查，从而使得性能得到了较大提高。
可伸缩和易扩展：由于状态表是动态的，当有一个新的应用时，它能动态的产生新的规则，而无需另外写代码，因而具有很好的可伸缩和易扩展。
应用范围广：不仅支持基于TCP的应用，而且支持基于无连接协议的应用。
 
 
（三）4.3.2 代理服务技术★
代理服务技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。
代理(Proxy)服务技术是运行于内部网络与外部网络之间的主机(堡垒主机)之上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器将代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。
 
代理服务技术的工作原理：
所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进行下一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。
代理技术的优点：
①代理易于配置
②代理能生成各项记录
③代理能灵活、完全地控制进出流量、内容
④代理能过滤数据内容
⑤代理能为用户提供透明的加密机制
⑥代理可以方便地与其它安全手段集成。
代理技术的缺点：
①代理速度较路由器慢
②代理对用户不透明
③对每项服务代理可能要求不同的服务器
④代理服务不能保证免受所有协议弱点的限制
⑤代理不能改进底层协议的安全性。
 
（四）4.3.4 NAT技术★
NAT技术的工作原理：
网络地址转换，是一个internet工程任务组的标准，允许一个整体机构以一个公用IP地址出现在互联网上。即是一种把内部私有IP地址翻译成合法网络IP地址的技术。
NAT有三种类型：静态NAT、动态NAT和网络地址端口转换NAPT。
  
 
 
第四节  4.4 防火墙的安全防护技术
 
攻击者往往通过发掘信任关系和最薄弱环节上的安全脆弱点来绕过防火墙，或者经由拔号帐号实施攻击来避开防火墙。典型技巧：
①用获取防火墙标识进行攻击。
凭借端口扫描和标识获取等技巧，攻击者能有效地确定目标网络上几乎每个防火墙的类型、版本和规则。
②穿透防火墙进行扫描。
利用原始分组传送进行穿透防火墙扫描和利用源端口扫描进行穿透防火墙扫描。
③利用分组过滤的脆弱点进行攻击。
利用ACL规则设计不完善的防火墙，允许某些分组不受约束的通过。
④利用应用代理的脆弱点进行攻击。
 
 
第五节  4.5 防火墙应用示例
 
给定某企业网的网络拓扑结构，其中防火墙采用了网络卫士防火墙3000，防火墙工作于路由和透明混合的综合模式，分配给防火墙3个接口(EO、E1、E2)的IP地址、边界路由器接口的IP地址、服务器和工作站的子网地址已标示。要能写出防火墙各接口（地址、属性）和路由表的配置命令。
 
 
第六节  4.6 个人防火墙
（一）4.6.2个人防火墙的主要功能
①IP数据包过滤功能
②安全规则的修订功能
③对特定网络攻击数据包的拦截功能
④应用程序网络访问控制功能
⑤网络快速切断、恢复功能
⑥日志记录功能
⑦网络攻击的报警功能
⑧产品自身安全功能
 
（二）4.6.2个人防火墙的特点
优点：
①增加了保护级别，不需要额外的硬件资源；
②除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击；
③是对公共网络中的单位系统提供了保护，能够为用户陷隐蔽暴露在网络上的信息，比如IP地址之类的信息等。
缺点：
①对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁；
②在运行时需要战胜个人计算机的内存、CPU时间等资源；
③只能对单机提供保护，不能保护网络系统。
 
 
第七节  4.7防火墙发展动态和趋势
 
防火墙的发展趋势：
①优良的性能②可扩展的结构和功能③简化的安装与管理④主动过滤⑤防病毒与防黑客⑥发展联动技术