2.1防火墙基础技术探究.pdf

? 防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙，用 以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙，它是将各种安全技术融 合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速 接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬件防 火墙。硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算机设 备（IBM6000、普通PC等）运行。它用来集中解决网络安全问题，可以适合各种场合， 同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密 、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安 全策略，阻止一些非法的访问，保护自己的网络安全。 ? 现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制 点，所有进出被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进出 的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主 机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算机之间 是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的 网络之间，必须按照防火墙规定的“策略”进行访问。 1 ? 防火墙发展至今已经历经三代，分类方法也各式各样，例如按照形态划分可以分为硬件 防火墙及软件防火墙；按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的 来说，最主流的划分方法是按照访问控制方式进行分类。 ? 网络防火墙，能够分布式保护整个网络，其特点： ? 发安全策略集中； ? 安全功能复杂多样； ? 专业管理员维护； ? 安全隐患小； ? 策略设置复杂。 ? 本课程重点介绍按照访问控制方式分类。 2 ? 包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包 。包过滤防火墙的基本原理是：通过配置访问控制列表（ACL, Access Control List）实施 数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传 递的方向等信息。 ? 包过滤防火墙的设计简单，非常易于实现，而且价格便宜。 ? 包过滤防火墙的缺点主要表现以下几点： ? 随着ACL 复杂度和长度的增加，其过滤性能呈指数下降趋势； ? 静态的ACL 规则难以适应动态的安全要求； ? 包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。例如，攻击者 可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址， 就能很轻易地通过报文过滤器。 说明：多通道协议，如FTP协议。FTP在控制通道协商的基础上，生成动态的数据通道 端口，而后的数据交互主要在数据通道上进行。 3 ? 状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时，不仅将 每个数据包看成是独立单元，还要考虑前后报文的历史关联性。我们知道，所有基于可 靠连接的数据流（即基于TCP协议的数据流）的建立都需要经过“客户端同步请求”、 “服务器应答”以及“客户端再应答”三个过程（即“三次握手”过程），这说明每个 数据包都不是独立存在的，而是前后有着密切的状态联系的。基于这种状态联系，从而 发展出状态检测技术。 ? 基本原理简述如下： 1. 状态检测防火墙使用各种会话表来追踪激活的TCP（Transmission Control Protocol ）会话和UDP（User Datagram Protocol）伪会话，由访问控制列表决定建立哪些 会话，数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协 议包时为该UDP数据流建立虚拟连接（UDP是面对无连接的协议），以对UDP 连