《网络安全技术》第五章（防火墙）.docVIP

第5章 防火墙 在捍卫网络安全的过程中，防火墙（Firewall）受到越来越多的重视。防火墙作为不同网络或网络安全域之间信息的出入口，采用将内部网和公众网分开的方法，根据企业的安全策略控制出入网络的信息流。防火墙作为网络安全体系的基础和核心控制设备，对通过受控网络通信主干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务，自身还要面对各种安全威胁。因此，选用一个安全、稳定、可靠的防火墙产品，其重要性不言而喻。 5.1 什么是防火墙 5.1.1 什么是防火墙 防火墙是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。防火墙是设置在被保护网络和外部网络之间的一道屏障，见图5.1，以防止发生不可预测的、潜在破坏性的侵入。互联网也受到像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样的某些无聊的人的困扰，这些人喜爱在网上做类似的事。一般来说，防火墙的目是将那些无聊之人挡在你的网络之外，同时使你仍可以完成工作。 图5.1 防火墙逻辑位置示意图 那么，防火墙是怎么工作的呢？ 我们知道，所有的互联网通信都是通过独立数据包的交换来完成的。每个包由源主机向目的主机传输。包是互联网上信息传输的基本单位，虽然我们常说计算机之间的“联接”，但这“联接”实际上是由被“联接”的两台计算机之间传送的独立数据包组成的。实质上，计算机“同意”相互之间的“联接”，并各自向发送者发出“应答包”，让发送者知道数据被接收。 为了到达目的地――不论两台计算机是近在咫尺还是在不同的大洲上――每个数据包都必须包含目的主机的IP地址、目的主机端口号、源主机的IP地址及源主机端口号。也就是说，每一个在互联网上传送的包，都必须含有源地址和目的地址。一个IP地址总是指向互联网上的一台单独机器，而端口号则和机器上的某种服务或会话相关联。 我们知道防火墙的任务就是检查每个到达你的计算机的数据包，因此，在这个包被你计算机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的计算机接收互联网上的任何东西。当第一个请求建立联接的包被你的计算机回应后，一个TCP/IP端口被打开。如果到达的包不被受理，这个端口就会迅速地从互联网上消失，而没有端口号，任何其他的计算机都无法和你的计算机相连。 当然，防火墙的真正力量在于选择哪些包该拦截，哪些包该放行。既然每个到达的包都含有正确的发送者的IP地址（以便接收者发送回应包），那么，根据源主机IP地址及端口号和目的主机IP地址及端口号的一些组合，防火墙可以“过滤”掉一些到达的包。 例如，你正在运行web服务器需要允许远程主机在80端口（http）和你的计算机联接，防火墙就可以检查每个到达的包并只允许由80端口开始的联接。新的联接将会在所有的其他端口上被拒绝，即使你的计算机不小心被装入了“特洛依木马”程序，禁止“特洛依木马”通行的扫描也可以检测到“特洛依木马”的存在，这样所有联络系统内“特洛依木马”程序的企图都会被防火墙拦截了，从而保护你的计算机信息不会被泄露。 也许你希望在互联网上建立一条“安全隧道”，以便你家里的计算机和办公室的计算机可以共享文件而不受外来的侵入。防火墙就可以很容易地做到这一点。你可以在办公室的计算机上安装防火墙并设定只允许来自你家的计算机的IP地址可以联接使用NetBios文件共享端口137－139；类似的，在家庭计算机的防火墙上可以设定，只允许来自你办公室计算机的IP地址的联接，使用137－139端口。这样，两台机器都可以看到对方的NetBios端口，而互联网上的其他人都看不见这两台机器之间建立了一条“安全隧道”。 如果你想把自己的计算机联接到互联网上的其他机器上呢？例如，当你在网上冲浪时，你会联接具有任何IP地址的web服务器。你不会因为想拦截某个企图入侵的人而把所有包都挡在外面吧？对于防火墙来说，这也是很容易的。既然互联网联接的每一端都会回应另一端的数据，在网上传送的包都有一个“应答位”，这一位是用来说明已经收到了前面的数据。这意味着，只有最初建立新联接的包不含应答信息。也就是说，防火墙可以很容易地区分开要求建立新联接的包和已有联接的后续包，使用已有联接的端口的数据包会被放行，而要求建立新联接的包会被拒绝。这样，防火墙可以放行外出请求联接的包，拦截外来的请求联接包。 绝大部分的防火墙都做到了上面所说的要求，而这的确提供了很大的保护。但它们不会尝试去理解它们所放行或拦截的包里面的数据，它们的放行和拦截都是建立在源IP地址和目的IP地址上。有些高性能的防火墙还具有“应用程序级”的过滤和反应功能。一个“应用程序级”的防火墙会进入到对话实际发生的地方。例如，Microsoft文件和打印机共享的一个大问题是对密码缺乏保护，黑客可以