防火墙入侵测与VPN.docVIP

防火墙入侵检测与VPN 防火墙篇 为什么要使用防火墙？ 首先，联网之后计算机可能会受到大量的攻击。 其次，联网主机受到攻击的方式更加复杂。 再次，联网主机受到攻击的事件处理起来 非常困难。 最后，很多网络协议都不完善。 防火墙技术就是人们为解决这些问题而付出的努力之一。防火墙是部署在用户内联网络和外联网络之间的一道屏障，一切内联网络和外联网络间交换的数据都应该通过防火墙设备。以预先定义好的安全规则为标准，防火墙将通过它的数据流进行安全检测，符合安全规则的数据流将准予放行，而不符合安全规则的数据流将被阻隔。 防火墙基础知识 防火墙的定义（从以下文字简化 概括） 从广泛、宏观的意义上说，防火墙是隔离在内部网络与外部网络之间的一个防御系统。防火墙拥有内联网络与外联网络之间的唯一进出口，因此能够使内联网络与外联网络，尤其是与Internet相互隔离。它通过限制内联网络与外联网络之间的访问来防止外部用户非法使用内部资源，保护内联网络的设备不被破坏，防止内联网络的敏感数据被窃取，从而达到保护内联网络的目的。 ATT的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定义，他们认为防火墙是位于两个网络之间的一组构件或一个系统，具有以下属性： 防火墙是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过防火墙。 只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防火墙。 防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影响。 简而言之，防火墙是位于两个(或多个)网络间，实施访问控制策略的一个或一组组件集合。 防火墙的物理位置 常识 从设备部署位置上看，防火墙要部署在本地受保护区域与外部网络的交界点上。 从具体的实现上看，防火墙运行在任何要实现访问控制功能的设备上。 再次强调一下，防火墙不是万能的，为了保护内联网络的安全，使得内联网络免受威胁和攻击，内部资源不被非法使用或恶意泄露，任何网络之间交换的数据流都必须通过防火墙，否则将无法对数据进行监控。 下图为防火墙在网络中的常见位置： 防火墙的逻辑位置 防火墙与网络层次关系如下表所示： ISO OSI/RM七层模型 防火墙级别 应用层 网关级 表示层 会话层 传输层 电路级 网络层 路由器级 数据连路层 网桥级 物理层 中继器级 五类安全服务 1 鉴别服务用于保证通信的真实性，证实数据源和目的地是通信双方所同意的包括对等实体鉴别和数据源鉴别； 2 访问控制服务用于保证系统的可控性，防止未授权用户对系统资源的非法使用； 3 数据保密性服务保证数据的秘密性，防止数据因被截获而泄密； 4 数据完整性服务用于保证数据接收与发送的一致性，防止主动攻击，包括可恢复的连接完整性，无恢复的连接完整性，选择字段的连接完整性，选择字段的无连接完整性； 5 禁止否认服务用于保证通信的不可抵赖性，防止发送方否认发送数据或者接受方否认接受过数据的事件发生，它包括不得否认发送和不得否认接收。 防火墙面对的安全威胁 通过更改防火墙配置参数和其它相关安全数据而展开的攻击。 攻击者利用高层协议和服务对内部受保护网络或主机进行的攻击。 绕开身份认证和鉴别机制，伪装身份，破坏已有连接。 任何通过伪装内部网络地址进行非法内部资源访问的地址欺骗攻击。 未经授权访问内部网络中的目标数据。 用户对防火墙等重要设备未经授权的访问。 破坏审计记录。 防火墙的实际功能（标题内容加上扩展） 1包过滤 网络通信通过计算机之间的连接实现，而连接则是由两台主机之间相互传送的若干数据包组成。防火墙的基本功能之一就是对由数据包组成的逻辑连接进行过滤，即包过滤。数据包的过滤参数有很多，最基本的是通信双方的IP地址和端口号。随着过滤技术的不断发展，各层网络协议的头部字段以及通过对字段分析得到的连接状态等等内容都可以作为过滤技术考察的参数。包过滤技术也从早期的静态包过滤机制发展到动态包过滤、状态检测等机制。总的说来，现在的包过滤技术主要包括针对网络服务的过滤以及针对数据包本身的过滤。 2 代理 代理技术是与包过滤技术截然不同的另外一种防火墙技术。这种技术在防火墙处将用户的访问请求变成由防火墙代为转发，外部网络看不见内部网络的结构，也无法直接访问内部网络的主机。在防火墙代理服务中，主要有两种实现方式：一是透明代理（Transparent proxy），指内部网络用户在访问外部网络的时候，本机配置无需任何