防火墙调研分析评测报告.docVIP

防火墙分析报告 以前对防火墙接触甚少，所了解的也是从系统底层实现角度看的一些分析细节，最近因为工作需要，对防火墙的发展、分类、现状和趋向等方面做了概略的了解，也有一些体会，做个简单的总结。 目录 第一部分，防火墙的基本概念 防火墙的分类 防火墙的附加功能 第二部分，防火墙实现 防火墙功能分析 防火墙设计中的一些重点问题 防火墙设计的国家标准 第三部分，分析 第四部分，防火墙发展展望第五部分：目前流行的防火墙第六部分：三种流行防火墙配置方案分析对比 第七部分：调研感想 第一部分，防火墙的基本概念 首先说明一些文中大量用到的概念： 外网非受信网络）：防火墙外的网络，一般为Internet； 内网受信网络）：防火墙内的网络； 受信主机和非受信主机分别对照内网和外网的主机。 非军事化区DMZ）：为了配置管理方便，内网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，Internet和DMZ。 近来随着网络安全问题日益严重，网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。 以往在没有防火墙时，局域网内部上的每个节点都暴露给Internet上的其它主机，此时局域网的安全性要由每个节点的坚固程度来决定，并且安全性等同于其中最弱的节点。而防火墙是放置在局域网与外部网络之间的一个隔离设备，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙将局域网的安全性统一到它本身，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有节点上，这就简化了局域网安全管理。 防火墙的经典功能，仅仅是以下： 1．作为一个中心“遏制点”，将局域网的安全管理集中起来； 2．屏蔽非法请求，防止跨权限访问并产生安全报警）； 一．防火墙的分类 随后随着技术的发展，防火墙的技术也在不断发展，到今天，防火墙的分类和功能也在不断细化，但总的来说，可以分为以下两大类： 包过滤防火墙、应用级防火墙。 至于和入侵检测系统、分布式探测器融合起来的防火墙系统），不在本报告讨论范围，其简介见第三部分。 1．包过滤防火墙 又叫网络级防火墙，因为它是工作在网络层。 它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。路由器便是一个“传统”的网络级防火墙。 防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 专门的防火墙系统一般在此之上加了功能的扩展，如状态检测等。状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由checkpoint提出。传统的包过滤在遇到利用动态端口的协议时会发生困难，如ftp，防火墙事先无法知道哪些端口需要打开，而如果采用原始的静态包过滤，又希望用到此服务的话，就需要实现将所有可能用到的端口打开，而这往往是个非常大的范围，会给安全带来不必要的隐患。而状态检测通过检查应用程序信息如ftp的PORT和PASS命令），来判断此端口是否允许需要临时打开，而当传输结束时，端口又马上恢复为关闭状态。 网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。 2．应用级防火墙 应用级防火墙主要工作在应用层。应用级防火墙往往又称为应用级网关，它此时也起到一个网关的作用。 应用级防火墙检查进出的数据包，通过自身网关）复制传递数据，防止在受信主机与非受信主机间直接建立联系。应用级防火墙能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和审核。其基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。因为外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内网。 常用应用级防火墙已有了相应的代理服务软件，如HTTP、SMTP、FTP、Telnet、r系列等等，但是对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务如sock代理）。 应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现麻烦，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任网络上通过防火墙访问Internet时，经常会出现延迟和多次登