实验12 网络防火墙与ISA Server 2004.docVIP

. .. 实验12　网络防火墙与ISA Server 2004 12.1　防火墙 防火墙原指古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙。在网络世界，防火墙作为一种网络安全技术，最初被定义为一个实施某些安全策略保护一个安全区域（局域网），用以防止来自一个风险区域（Internet或有一定风险的网络）的攻击的装置。随着网络技术的发展，人们逐渐意识到网络风险不仅来自与网络外部还有可能来自于网络内部，并且在技术上也有可能实施更多的解决方案，所以现在通常将防火墙定义为“在两个网络之间实施安全策略要求的访问控制系统”。从技术上看，防火墙已经成为包过滤技术、代理服务技术、可信信息系统技术、计算机病毒检测防护技术和密码技术的综合体。 1. 防火墙的功能 一般说来，防火墙可以实现以下功能： （1）防火墙能防止非法用户进入内部网络，禁止安全性低的服务进出网络，并抗击来自各方面的攻击。 （2）能够利用NAT（网络地址变换）技术，既实现了私有地址与共有地址的转换，又隐藏了内部网络的各种细节，提高了内部网络的安全性。 （3）能够通过仅允许“认可的”和符合规则的请求通过的方式来强化安全策略，实现计划的确认和授权。 （4）所有经过防火墙的流量都可以被记录下来，可以方便的监视网络的安全性，并产生日志和报警。 （5）由于内部和外部网络的所有通信都必须通过防火墙，所以防火墙是审计和记录Internet使用费用的一个最佳地点，也是网络中的安全检查点。 （6）防火墙允许Internet访问WWW和FTP等提供公共服务的服务器，而禁止外部对内部网络上的其他系统或服务的访问。 虽然防火墙能够在很大程度上阻止非法入侵，但它也有一些防范不到的地方，如： （1）防火墙不能防范不经过防火墙的攻击。 （2）目前，防火墙还不能有效的防止感染了病毒的软件和文件的传输，有效的防止病毒的办法仍然是在每台主机上安装杀毒软件。 （3）防火墙不能防御数据驱动式攻击，当有些表面无害的数据被邮寄或复制到主机上并被执行而发起攻击时，就会发生数据驱动攻击。 因此防火墙只是整体安全制度的一部分，这种安全制度必须包括用户安全准则，职员培训计划以及与网络访问、安全检测、用户认证、磁盘和数据加密以及病毒防护等有关政策。 2. 防火墙的类型 目前大多数防火墙都采用几种技术相结合的形式来保护网络不受恶意的攻击，其基本技术通常分为包过滤和应用层代理两大类。 （1）包过滤型防火墙 数据包过滤技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。如果检查数据包所有的条件都符合规则，则允许进行路由；如果检查到数据包的条件不符合规则，则阻止通过并将其丢弃。数据包检查是对IP层的首部和传输层的首部进行过滤，一般要检查下面几项： 源IP地址； 目的IP地址； TCP/UDP源端口； TCP/UDP目的端口； 协议类型（TCP包、UDP包、ICMP包）； TCP报头中的ACK位； ICMP消息类型。 例如：FTP使用TCP的20和21端口。如果包过滤要禁止所有的数据包只允许特殊的数据包通过。则可设置防火墙规则为： 规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议 1 Allow * * * TCP 2 Allow * 20 * TCP 第一条是允许地址在网段内，而其源端口和目的端口为任意的主机进行TCP的会话。 第二条是允许端口为20的任何远程IP地址都可以连接到的任意端口上。 第二条规则不能限制目标端口是因为主动的FTP客户端是不使用20端口的。当一个主动的FTP客户端发起一个FTP会话时，客户端是使用动态分配的端口号。而远程的FTP服务器只检查这个网络内端口为20的设备。有经验的黑客可以利用这些规则非法访问内部网络中的任何资源。 （2）状态检测防火墙 状态检测防火墙和包过滤型防火墙一样是在IP层实现的，它是基于操作系统内核中的状态表的内容转发或拒绝数据包的传送，比静态的包过滤型防火墙有着更好的网络性能和安全性。静态包过滤型防火墙使用的过滤规则集是静态的，而采用状态检测技术的防火墙在运行过程中一直维护着一张动态状态表，这张表记录着TCP连接的建立到终止的整个过程中进行安全决策所需的状态相关信息，这些信息将作为评价后续连接安全性的依据。 （3）应用层代理防火墙 应用层代理防火墙技术是在网络的应用层实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。这种防火墙能很容易运用适当的策略区分一些应用程序命令，像HTTP中的“put”和“get”等。应用层代理防火墙打破了传统