防火墙技术现状

　　自从1986年美国Digital公司在互联网 上安装了全球第一个商用防火墙系统后，提出了防火墙的概念，防火墙技术得到了飞速的发展。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这类 方法可以有效地避免 对内部网络的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每 层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展，新一代的功能更强大、安全性更强的防火墙已 问世，这个阶段的防火墙已超出 了原来传统意义上防火墙的范畴，已 演变 成一个全方位的安全技术集成系统，我们称之为第四代防火墙，它可以抵抗 目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、互联网 蠕虫、口令探访 攻击、邮件攻击等等。

　　防火墙的定义和描述

　　“防火墙”这个术语参考来自利用 在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙，用来隔离不同的公司或房间，尽可能 的起防火作用。一旦某个单元起火这类 方法保护了其它的居住者。但是 ，多数防火墙里都有一个重要的门，允许人们进入或离开大楼。因此，虽然防火墙保护了人们的安全，但这个门在提供增强安全性的同时允许必要的访问。

　　在计算机网络中，一个网络防火墙扮演着防备潜伏 的歹意 的活动的屏障，并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通讯 。原来，一个防火墙是由一个单独的机器组成的，放置在你的私有网络和公网之间。近年 来，防火墙机制已发展到不但 仅是”firlwall box”，更多提及到的是堡垒主机。它现在触及 到全部 从内部网络到外部网络的区域，由一系列复杂的机器和程序组成。简单来讲 ，今天防火墙的主要概念就是多个组件的利用 。到现在你要准备实行 你的防火墙，需要知道你的公司需要甚么 样的服务并且甚么 样的服务对 内部用户和外部用户都是有效的。

　　防火墙的任务

　　防火墙在实行 安全的进程 中是相当 重要的。一个防火墙策略要符合四个目标，而每 个 目标通常都不是通过一个单独的设备 或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标

　　实现一个公司的安全策略

　　防火墙的主要意图是强迫 履行 你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子，或许 你的安全策略只需对MAIL服务器的SMTP流量作些限制，那么 你要直接在防火墙强迫 这些策略。

　　创建一个阻塞点

　　防火墙在一个公司私有网络和分网问建立一个检查点。这类 实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备 便可 以监视，过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强迫 所有进出流量都通过这些检查点，网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视和控制信息的点，系统或安全管理员则要在大量的地方来进行监测。检查点的另外一 个名字叫做网络边界。

　　记录互联网 活动

　　防火墙还能够强迫 日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对 管理员进行日志存档提供了更多的信息。

　　限制网络暴露

　　防火墙在你的网络周围创建了一个保护的边界。并且对 公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备 将不会知道你内部网络的布局和 都有些甚么 。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查，以限制从外部发动的攻击。

　　防火墙术语

在我们继续讨论防火墙技术前，我们需要对一些重要的术语有一些认识

　　网关

　　网关是在两上设备 之间提供转发服务的系统。网关的范围可以从互联网利用 程序如公共网关接口（CGI）到在两台主机间处理流量的防火墙网关。这个术语是非常常见的，而且在本课会用于一个防火墙组件里，在两个不同的网络路由和处理数据。

　　电路级网关

　　电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是不是 合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能：网络地址转移(NAT)将所有公司内部的IP地址映照 到一个“安全”的IP地址，这个地址是由防火墙使用的。有两种方法来实现这类 类型的网关，一种是由一台主机充当挑选 路由器而另外一 台充当利用 级防火墙。另外一 种是在第一个防火墙主机和第二个之间建立安全的连接。这类 结构的好处是当一次攻击产生 时能提供容错功能。

　　利用级网关

　　利用 级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，避免 在受信任服务器和客户机与不受信任的主机间直接建立联系。利用 级网关能够理解利用 层上的协议，能够做复杂一些的访问控制，并做精细的注册。通常是在特殊的服务器上安装软件来实现的。

　　包过滤

　　包过滤是处理网络上基于packet-by-packet流量的设备 。包过滤设备 允许或禁止 包，典型的实行 方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一，在本课后面我们将做详细地讨论。

　　代理服务器

　　代理服务器代表内部客户端与外部的服务器通讯 。代理服务器这个术语通常是指一个利用 级的网关，虽然电路级网关也可作为代理服务器的一种。

　　网络地址翻译（NAT）

　　网络地址解释是对互联网 隐藏内部地址，避免 内部地址公然 。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映照 成合法地址，便可 以对互联网 进行访问。对 NAT的另外一 个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制，以下地址作为保存 地址：

　　10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

　　如果你选择上述例表中的网络地址，不需要向任何互联网授权机构注册便可 使用。使用这些网络地址的一个好处就是在互联网上永久 不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地抛弃 。

　　堡垒主机

　　堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以到达 把全部 网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑 其它主机的安全的目的。从堡垒主机的定义我们可以看到，堡垒主机是网络中最容易遭到 侵害的主机。所以堡垒主机也必须是本身 保护最完善的主机。你可使 用单宿主堡垒主机。多数情况下，一个堡垒主机使用两块网卡，每 个 网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护，而另外一 块连接另外一 个网络，通常是公网也就是互联网 。堡垒主机常常 配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由，反之亦然。在一个利用 级的网关里，你想使用的每 个利用 程协议都需要一个进程。因此，你想通过一台堡垒主机来路由Email，Web和FTP服务时，你必须为每 个服务都提供一个守护进程。

　　强化操作系统

　　防火墙要求尽可能 只配置必须 的少量 的服务。为了加强操作系统的稳固性，防火墙安装程序要制止 或删除所有不需要的服务。多数的防火墙产品，包括Axent Raptor(www.axent.com)，CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前较流行的操作系统上运行。如Axent Raptor防火墙便可 以安装在Windows NT Server4.0，Solaris及HP-UX操作系统上。理论上来讲 ，让操作系统只提供最基本的功能，可使 利用系统BUG来攻击的方法非常困难。最后，当你加强你的系统时，还要考虑 到除 TCP/IP协议外不要把任何协议绑定到你的外部网卡上。

非军事化区域(DMZ)

　　DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由挑选 路由器建立，有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另外一 个名字叫做Service Network，由于 它非常方便。这类 实行 的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。

　　挑选 路由器

　　挑选 路由器的另外一 个术语就是包过滤路由器并且最少 有一个接口是连向公网的，如互联网 。它是对进出内部网络的所有信息进行分析，并依照 一定的安全策略——信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，谢绝 非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的 .