防火墙技术 doc.docx

防火墙技术 doc.docx

《防火墙技术 doc.docx》由会员分享，可在线阅读，更多相关《防火墙技术 doc.docx（9页珍藏版）》请在冰豆网上搜索。

防火墙技术doc

防火墙技术

7.3.1防火墙技术概述

1．防火墙的概念

古代人们在房屋之间修建一道墙，这道墙可以防止发生火灾的时候蔓延到别的房屋，因此被称为防火墙，与之类似，计算机网络中的防火墙是在两个网络之间（如外网与内网之间，LAN的不同子网之间）加强访问控制的一整套设施，可以是软件，硬件或者是软件与硬件的结合体。

防火墙可以对内部网络与外部网络之间的所有连接或通信按照预定的规则进行过滤，合法的允许通过，不合法的不允许通过，以保护内网的安全，如图7-4所示。

图7-4防火墙

随着网络的迅速发展和普及，人们在享受信息化带来的众多好处的同时，也面临着日益突出的网络安全问题，事实证明，大多数的黑客入侵事件都是由于未能正确安装防火墙造成的。

2．防火墙的作用和局限性

防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域和安全区域。

防火墙的基本功能主要表现在：

（1）限制未授权的外网用户进入内部网络，保证内网资源的私有性；

（2）过滤掉内部不安全的服务被外网用户访问；

（3）对网络攻击进行检测和告警；

（4）限制内部用户访问特定站点；

（5）记录通过防火墙的信息内容和活动，为监视Internet安全提供方便。

值得注意的是，安装了防火墙之后并不能保证内网主机和信息资源的绝对安全，防火墙作为一种安全机制，也存在以下的局限性：

（1）防火墙不能防范恶意的知情者。

例如，不能防范恶意的内部用户通过磁盘拷贝将信息泄漏到外部；

（2）防火墙不能防范不通过它的连接。

如果内部用户绕开防火墙和外部网络建立连接，那么这种通信是不能受到防火墙保护的；

（3）防火墙不能防备全部的威胁，即未知的攻击；

（4）防火墙不能查杀病毒，但可以在一定程度上防范计算机受到蠕虫病毒的攻击和感染。

防火墙技术经过不断的发展，已经具有了抗IP假冒攻击、抗木马攻击、抗口令字攻击、抗网络安全性分析、抗邮件诈骗攻击的能力，并且朝着透明接入、分布式防火墙的方向发展。

但是防火墙不是万能的，它需要与防病毒系统和入侵检测系统等其他网络安全产品协同配合，进行合理分工，才能从可靠性和性能上满足用户的安全需求。

7.3.2防火墙的分类

随着防火墙的不断发展，防火墙的分类也在不断细化，但总的来说，从原理上可以分为包过滤型防火墙、代理防火墙、状态检测防火墙和自适应代理防火墙。

1．包过滤型防火墙

包过滤（PacketsFiltering）防火墙在网络层中对数据包实施有选择地通过，根据事先设置的过滤规则检查数据流中的每个包，根据包头信息来确定是否允许数据包通过，拒绝发送可疑的包。

包过滤防火墙工作在网络层，所以又称为网络层防火墙。

网络上的数据都是以包为单位进行传输的，数据在发送端被分割成很多有固定结构的数据包，每个数据包包含包头和数据两大部分，包头中含有源地址和目的地址等信息。

包过滤防火墙读取包头信息，与信息过滤规则进行比较，顺序检查规则表中的每一条规则，直到发现包头信息与某条规则相符。

如果有一条规则不允许发送某个包，则将该包丢弃；如果有一条规则允许通过，则将其进行发送，如果没有任何一条规则符合，防火墙就会使用默认规则，一般情况下，默认规则就是禁止该包通过。

提醒：

防火墙一般有两种设计原则：

一是除非明确允许，否则就禁止；一是除非明确禁止，否则就允许。

常见的包过滤路由器是在普通路由器的基础上加入IP过滤功能而实现的，因而也可以认为是一种包过滤型防火墙。

现在安装在计算机上的软件防火墙（如“天网”等）几乎都采取了包过滤的原理来保护计算机安全。

2．代理防火墙

所谓代理就是用专门的计算机（即代理服务器，位于内网和外网之间）替代网内计算机与外网通信，由于切断了内网计算机和外网的直接连接，故起到了保护内网安全的作用。

代理的基本工作过程是：

当内网的客户机需要访问外网服务器上的数据时，首先将请求发送给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。

代理服务器通常有高速缓存，缓存中有用户经常访问站点的内容，在下一个用户要访问同样的资源时，服务器就不用重复地去取同样的内容，既节省了时间，也节约了网络资源。

3.状态检测防火墙

状态检测防火墙摒弃了包过滤仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。

状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。

该种防火墙由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。

4.自适应代理防火墙

自适应代理技术（Self-adaptiveagentTechnology）,自适应代理技术是一种新颖的防火墙技术，把包过滤和代理服务等功能结合起来，形成新的防火墙结构，所用主机称为堡垒主机，负责代理服务。

在一定程度上反映了防火墙目前的发展动态。

该技术可以根据用户定义的安全策略，动态适应传送中的分组流量。

如果安全要求较高，则安全检查应在应用层完成，以保证代理防火墙的最大安全性；一旦代理明确了会话的所有细节，其后的数据包就可以直接到达速度快得多的网络层。

该技术兼备了代理技术的安全性和其他技术的高效率。

防火墙系统从形式上分为基于软件的防火墙和硬件防火墙，基于软件的防火墙价格便宜，易于在多个位置进行部署，不利方面在于需要大量的管理和配置，而且依赖于操作系统；硬件防火墙的优点在于都使用专用的操作系统，安全性高于基于软件的防火墙，采用专用的处理芯片和电路，可以处理不断增加的通信量，处理速度明显高于软件防火墙，但价格高于软件防火墙。

目前，国外防火墙厂家比较著名的是Cisco、Juniper、Checkpoint、Amaranten等，国内的主要有天融信、安氏、启明星辰等品牌。

防火墙根据应用的范围还分为网络防火墙和个人防火墙，网络防火墙一般是在网络边界布置，实现不同网络的隔离与访问控制。

个人防火墙安装在个人计算机上，用于保护个人计算机的安全。

7.3.3常用个人防火墙简介

个人防火墙指的是以软件形式安装在计算机上，用于保护个人计算机网络安全的防火墙，它是相对于企业级防火墙来说的。

个人防火墙能有效防止黑客入侵计算机，屏蔽非法程序访问网络等。

常见的个人防火墙如下：

1.天网个人防火墙

天网防火墙是国内著名的防火墙之一，能有效保护计算机安全，其功能和使用方法将在本章后续内容进行详细介绍。

2.金山网镖

金山网镖是金山公司的个人防火墙产品，主要基于安全规则，通过高、中、低三种安全级别的设定，达到不同程度地保护用户安全的目的，能够通过对已知端口的检查，防御特洛伊木马。

软件占用的资源少，稳定性较高，但功能简单，设置与管理功能明显不足，扩展与升级性一般。

3.瑞星个人防火墙

“瑞星个人防火墙”是瑞星公司的个人防火墙产品。

软件基于规则设置，具备防御特洛伊木马和入侵检测功能。

在受到攻击时，系统会自动切断攻击连接，发出报警声音并用闪烁图标提示用户。

软件占用的资源较少，但稳定性较差。

使用界面一般，警报与帮助文件、使用手册比较简单。

4.诺顿个人防火墙

“诺顿个人防火墙”是“诺顿互连网特警”的一个部分，它曾在国外的评比中获得最佳个人安全防护系统的荣誉。

该软件性能稳定，提供自动识别程序，帮助用户设置计算机系统上应用程序的安全规则，允许用户为不同的网络区域指定安全策略，方便的在线升级功能，可以使诺顿个人防火墙更好地检测特洛伊木马和黑客入侵。

软件的设置与管理方便，警报与帮助文件以及使用手册内容详细。

一旦受到某个IP地址的攻击，会在30分钟内自动禁止所有来自该地址的连接请求，使对方无法试图使用其他方式攻击。

但软件占用的系统资源较大，而且由于需要对应用程序逐一指定安全规则，容易对用户造成困扰。

由于各个防火墙厂商之间的商业竞争，设计的防火墙有可能会被别的防火墙检测为病毒之类的东西，因此采用个人防火墙并不是多种产品互补效果就好，例如最明显的是瑞星和诺顿同时安装，这个时候会常出现死机现象，就是因为两者在打“打架”，互相不让对方通过。

7.3.4软件防火墙的安装和配置

1．天网防火墙简介

天网防火墙个人版SkyNetFireWall（以下简称为天网防火墙）是由广州众达天网技术有限公司研发提供给个人计算机使用的网络安全工具，它可以根据管理者设定的安全规则把守网络，提供强大的访问控制、信息过滤等功能，有效地抵挡网络入侵和攻击，防止信息泄露。

重点：

软件防火墙的配置。

2．天网防火墙的功能和使用

天网防火墙的主要功能有基于IP规则的数据包过滤、应用程序访问网络管理、应用程序访问网络监视、日志记录等。

（1）应用程序访问网络管理

点击“应用程序规则”按钮

，可以看到如图7-5所示的界面，对于程序列表中列出的程序，其后的“√”、“×”分别表示允许、禁止该程序访问网络，而“?

”表示该程序尝试访问网络时，将向用户进行询问，如图7-6所示。

图7-5应用程序访问网络管理

图7-6天网防火墙警告信息

（2）IP规则管理

IP规则管理是防火墙的精髓所在，通过IP规则管理可以实现禁止或允许来自于哪些源地址和端口号的数据包，以及禁止或允许数据包发向本机的哪些端口，也能够防范受到利用ICMP、IGMP协议发起的攻击等等。

点击“IP规则管理”按钮

弹出如图7-7所示的对话框，列表中凡是勾选的规则表示处于启用状态，一般不需要修改默认的规则即可达到较好的安全效果。

这里以屏蔽本机445端口为例讲解IP规则的定义方法。

依次点击：

IP规则管理→增加规则→输入名称和说明；数据包方向设置为“接收”；对方IP设置为“任何”；协议类型设置为“TCP”；本地端口设置为从445到445；对方端口设置为从0到0；TCP标志位设置为“SYN”（同步请求）；满足要求时设置为“拦截”→保存规则，设置窗口如图7-8所示。

图7-7IP规则管理

图7-8编辑IP规则

（3）应用程序访问网络监视

天网防火墙可以对本机和外界建立的网络连接进行监视，并且直观地显示出来，让用户清楚地知道本机上有哪些程序正在访问网络，从而发现是否有木马和恶意程序正在非法地和外界通信。

点击“当前系统中所有应用程序网络使用状况”按钮

，可以看到如图7-9所示的监视界面。

图7-9天网防火墙的网络监视功能

（4）日志查看

点击“日志”按钮

，弹出如图7-10所示的对话框，在对话框中会显示违反IP规则的数据包相关信息，供用户参考。

通过该功能，用户可以很容易发现是否有非法用户对本机进行网络扫描或者对本机进行PING等操作。

图7-10天网防火墙的事件记录

除了以上主要功能外，天网防火墙还提供了“断开/接通网络开关”、入侵检测等功能，这里不再做介绍。