基于网络安全防火墙技术.docVIP

基于网络安全防火墙技术 　　0 防火墙的基本概念 　　防火墙(Firewall)最开始用于建筑行业,它是指在构建房间时,为了防止火势从一个房间蔓延到另一个房间所设计的一堵墙。伴随着网络的发展,这一名称被借用过来并应用到计算机网络(主要指Internet)安全中,这样防火墙有了自己新的定义,指在两个网络之间强制实施访问控制策略的一个系统或一组系统。当然这个系统可以由硬件组成,可以由软件组成,也可以是由它们共同来完成。它主要有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。能防止内部信息的泄露。通过利用防火墙对内部网络的划分,可实现内部重点网段的隔离。 　　 　　1 防火墙的体系结构 　　 　　防火墙的体系结构主要有三种:双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。 　　1.1 双重宿主主机体系结构 　　围绕具有双重功能的主机设计的,它能提供高级别的控制能力。它通过在主机中插入两块网卡实现硬件连接,这就好比是在两个网络中间加上两个路由器,但是这两个路由器的数据交换是单向通信的。 　　1.2 屏蔽主机体系结构 　　屏蔽主机体系结构是使用一个单独的路由器来提供内部网络主机之间的服务,利用包过滤和代理功能实现。在进行通信时,内部网络不直接参与同外部网络的通信,而是先和另外一个网络或者设备通信,这个设备再和外部网络通信。 　　1.3 屏蔽子网体系结构 　　屏蔽子网体系结构在屏蔽主机体系结构的基础上添加额外的安全层,通过添加周边网络把内部网络更进一步地与外部网络隔开。比较简单的形式是设置两个屏蔽路由器,一个位于周边网络和内部网之间,另一个位于周边网络和外部网之间。在这两个连接层上设置不同的安全定义,使得侵袭者必须要攻破两个路由器构建的防火墙,因此提高了网络的安全性。 　　 　　2 防火墙的类型 　　 　　防火墙的实现方式多种多样,根据防火墙所采用的技术,防火墙主要分为数据包过滤、应用代理、复合型三种。 　　2.1 包过滤型防火墙 　　这种类型的防火墙主要针对的是前面提到的双宿主主机体系结构。包过滤型防火墙处于 TCP/IP 协议的 IP 层,它根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配,从而决定数据包的转发或丢弃。过滤规则是按顺序进行检查的,直到有规则匹配为止。如果没有规则匹配,则按缺省的规则执行。防火墙的缺省规则应该是禁止。包过滤型防火墙只能实现基于 IP地址和端口号的过滤功能,它实际上是控制内部网络上的主机直接访问外部网络,而外部网络上的主机对内部网络的访问则要受到限制。 　　2.2 应用代理型防火墙 　　应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。代理服务是运行在防火墙主机上的专门的应用程序或服务器程序,这些程序根据安全策略接受用户对网络服务的请求并将它们转发到实际的服务。代理服务不允许通信直接经过外部网和内部网。代理服务器不仅仅能够转送用户的请求到真正的网络主机,代理服务器还能够控制用户能做什么,根据安全策略,请求可以被允许或拒绝。 　　2.3 混合型防火墙 　　混合型防火墙是把过滤和代理服务等功能结合起来形成新的防火墙,所用主机称为堡垒主机,负责代理服务。当前的防火墙产品已不是单一的包过滤或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。这样系统的安全性能又能得到进一步的提升。 　　 　　3 防火墙的关键技术 　　 　　防火墙的几种关键技术:包过滤技术、代理技术、地址翻译(NAT)技术、SOCKS技术、状态检查技术(State Specification)、VPN技术、内容检查技术。 　　3.1 包过滤技术 　　包过滤技术是防火墙中的一项主要安全技术,通过对进出网络的数据流进行控制与操作。系统管理员可以制定一系列规则,允许指定哪些类型的数据包可以流入或流出内部网络,哪些类型的数据包传输应该被拦截。现在的一些包过滤防火墙不仅根据IP数据包的地址、方向、协议、服务、端口、访问时间等信息来进行访问控制,同时还对任何网络连接和当前的会话状态进行分析和监控。 　　与传统防火墙对比,现在的一些包过滤防火墙采用了基于连接状态检查的包过滤,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合,同时还考虑与它与前面包的关联性,极大地提高了系统的性能和安全性。 　　对基于UDP、ICMP协议的应用来说,很难用简单的包过滤技术进行处理的。因为UDP协议本身对于顺序错误或丢失的包,是不做纠错或重传的。而ICMP与IP位于同一层,它被用来传送IP的差错和控制信息。现在的一些