防火墙技术及设计.doc

防火墙技术及设计在上一篇中我们介绍了防火墙的一些基础知识，对防火墙已有了一定的认识。在本篇我们通过对一些防火墙技术和典型的防火墙设计模式的介绍，来进一步从原理上认识防火墙。 　　一、主要防火墙技术 　　防火墙技术作为一套安全防护系统，所涉及到的技术非常之多，我们无法对其一一介绍。在此我们只能一些主流、基本的防火墙技术作一个简单介绍，以便加深对防火墙的认识，理解防火墙的工作原理。在防火墙中应用到的技术主要有以下几个。 　　1、 包过滤 　　包过滤又称“报文过滤”，它是防火墙最传统、最基本的过滤技术。防火墙的产生也是从这一技术开始的，最早是于1989所提出的。防火墙的包过滤技术就是对通信过程中数据进行过滤(又称筛选)，使符合事先规定的安全规则(或称“安全策略)的数据包通过，而使那些不符合安全规则的数据包丢弃。这个安全规则就是防火墙技术的根本，它是通过对各种网络应用、通信类型和端口的使用来规定的。 　　防火墙对数据的过滤，首先是根据数据包中包头部分所包含的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口及数据包传递方向等信息，判断是否符合安全规则，以此来确定该数据包是否允许通过。 先来看一下防火墙方案部署的网络拓扑结构，所有的防火墙方案网络拓扑结构都可简化为如图1所示。在这个网络结构中防火墙位于内、外部网络的边界，内部网络可能包括各种交换机、路由器等网络设备。而外部网络通常是直接通过防火墙与内部网络连接，中间不会有其它网络设备。防火墙作为内、外部网络的唯一通道，所以进、出的数据都必须通过防火墙来传输的。这就有效地保证了外部网络的所有通信请求，当然包括黑客所发出的非法请求都能在防火墙中进行过滤。 图1 　　包过滤技术的应用非常广泛，因为包过滤技术相对较为简单，只需对每个数据包与相应的安全规则进行比较即可得出是否通过的结论，所以防火墙主机CPU用来处理包过滤的时间非常短，执行效率也非常高。而且这种过滤机制对用户来说完全是透明的，根本不用用户先与防火墙取得任何合法身份，符合规则的通信，用户根本感觉不到防火墙的存在，使用起来很方便。 　　包过滤技术最先使用的是在路由器上进行的，它也是最原始的防火墙方案。实现起来非常容易，只需要在原有的路由器上进行适当的配置即可实现防火墙方案。 　　以上介绍的其实就是传统的静态包过滤技术，这种包过滤防火墙技术方案配置比较复杂，对网络管理员的要求比较高。再加上这种传统的包过滤技术只能针对数据包的IP地址信息进行过滤，而不能在用户级别上进行过滤，即不能识别不同用户身份的合法性和防止IP地址的盗用。单纯采用包过滤技术的防火墙方案，如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，由此可见这种最初的防火墙方案还是很不安全的。正因如此，这种传统的包过滤技术很快被更先进的动态包过滤技术所取代。 　　在包过滤技术的发展中，出现过两种不同的技术，即：静态包过滤和动态过滤。 　　静态包过滤技术就是上面介绍的那种传统包过滤技术，它是根据流经该设备的数据包地址信息，决定是否允许该数据包通过，它判断的依据有(只考虑IP包)： 　　●数据包协议类型：TCP、UDP、ICMP、IGMP等　　●源、目的IP地址　　●源、目的端口：FTP、HTTP、DNS等　　●IP选项：源路由、记录路由等　　●TCP选项：SYN、ACK、FIN、RST等　　●其它协议选项：ICMP ECHO、ICMP ECHO REPLY等　　●数据包流向：in(进)或out(出)　　●数据包流经网络接口 　　”动态包过滤“(Dynamic packet filter)技术首先是由USC信息科学院的BobBraden于1992年开发提出的，它属于第四代防火墙技术，后来演变为目前所说的状态监视(Stateful inspection)技术。1994年，以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。这种技术比起静态包过滤技术来说先进多了，它可动态根据实际应用请求，自动生成或删除相应包过滤规则，而无需管理员人工干预。这样就解决了静态包过滤技术使用和管理难度大的问题。同时动态包过滤技术还可分析高层协议，可以更有效、全面地对进出内部网络的通信进行监测，进一步确保内部网络的安全。但这种动态包过滤技术仍只能对数据的IP地址信息进行过滤，不能对用户身份的合法性进行鉴定。同时通常也没有日志记录可查，这为日常的网络安全管理带来了困难。正如此，它很快被新一代自适应代理防火墙所替代。 在黑客攻击方面，包过滤式防火墙，在今天的黑客技术下，显得不堪一击。攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，”信息包冲击“是黑客比较常用的一种攻击手段，黑客们对包过滤式防火墙发出一系列