信息安全技术08章.docVIP

第八章 防火墙的构造与选择 8．1 防火墙概述 8．1．1 什么是防火墙 防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。 图8.1 防火墙示意图 一个网络防火墙通常安装在被保护的内部网与互联网的连接点上。各站点的防火墙的构造是不同的，通常一个防火墙由一套硬件(一个路由器，或路由器的组合，一台主机)和适当的软件组成。组成的方式可以有很多种。这要取决于站点的保安要求、经费的多少以及其他的综合因素。 8．1．2 防火墙的基本类型 防火墙的基本类型有： (1)包过滤型(Packet Filter)：包过滤功能通常由路由器来完成，大多数商用路由器都提供了包过滤的功能。另外，PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础，对IP源地址、IP目标地址、封装协议(TCP／WP／ICMP／IP Tunne1)、端口号等进行筛选。包过滤在OSI协议的网络层进行。 (2)代理服务型(Proxy Service)：代理服务型防火墙通常由两部分构成；服务器端程序和客户端程序。客户端程序与中间节点(Proxy server)连接，中间节点再与要访问的外部服务器实际连接。与包过滤防火墙不同的是，内部网与外部网之间不存在直接的连接，同时提供日志(Log)及审计(Audit)服务。代理服务运行在OSI协议的应用层。 (3)复合型(Hybrid)防火墙：把包过滤和代理服务两种方法结合起来，构成复合型的防火墙。所用主机称为堡垒主机(Bastion Host)，负责提供代理服务。 防火墙基本的安全保护规则可以分为以下两种： (1)一切未被允许的就是禁止的。 (2)一切未被禁止的就是允许的。 8．2 防火墙相关概念与定义 8．2．1 一些有关的定义 (1)防火墙：限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取传递操作的部件或部件集。 (2)主机：与网络系统相连的计算机系统。 (3)堡垒主机：是指一个计算机系统，它对外部网络(互联网络)暴露户的主要连接点，所以非常容易被侵入，因此这个系统需要严加保护。 (4)双宿主主机：具有至少两个网络接口的通用计算机系统。 (5)包：在互联网络上进行通信时的基本信息单位。 (6)路由：为转发的包分组选择正确的接口和下一个路径片段的过程。 (7)包过滤：设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选探路由的同时对数据包进行过滤操作(通常是对从互联网络到内部网络的包进行过滤)。用户可以设定一系列的规则，指定允许哪些类型的数据包可以流人或流出内部网络(例如只允许来自某些指定的IP地址的数据包或者内部网络的数据包可以流向某些指定的端口)，哪些类型的数据包的传输应该被阻断。包过滤操作可以在路由器上进行，也可以在网桥．甚至在一个单独的主机上进行。 (8)参数网络；为了增加一层安全控制，而在外部网络与内部网络之间增加的一个网络。参数网络有时也被称为停火带（非军事区）。 (9)代理服务器：代表内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求送达外部服务器，同时将外部服务器的响应再回送给用户。 8．2．2 包过滤 包过滤系统是有选择地让数据包在内部与外部主机间进行交换。包过滤系统将根据站点的安全规则允许某些数据包流过同时又阻断某些数据包，即有选择的路由，如图8．2所示。这种在包过滤防火墙中使用的路由器称为过滤路由器。 图8．2 用过滤路由器进行包过滤 普通路由器与包过滤路由器间的区别表现为： 普通路由器仅仅是简单检查一下每个数据包的目标地址，同时为数据包选择一个它所知道的最佳路囱，将这个数据包发往目的地址；路由器对数据包的操作完全由数据包的目的地址决定。 而过滤路由器对数据包的检查将更为仔细。除了决定该数据包能否被它路出到目的地址之外，过滤路由器还要决定是否应该对这个包进行路由。是否对这个包进行路由是依据站点的安全规则而定。地点可依据自己的安全规则来配置路由器。 每个数据包的头部信息主要包含以下内容： (1)IP源地址。 (2)IP目标地址。 (3)协议(表明该数据包是TCP、WP或ICMP包)。 (4)TCP或者UDP源接口。 (5)TCP或者UDP目标接口。 (6)ICMP信息类型。 另外，路由器也会得到一些在数据包头部信息中没有的、关于数据包的其他信息。 数据包要到达的端口。 数据包要出去的端口。 一个过滤路由器的包过滤规则可以像下面这样来设定： 除了是进人内部网络的SMTP连接外，阻断所有来自干外部的连接。 阻断内部网络与某些认为不可靠的外部网络的所有连接。 允许使用电子邮件和文件传输