1、信息安全概論第17講2008年x月y日6.3.2 防火墻技術(shù)原理Digital公司1986年在Internet上安裝了全球第一個商用防火墻系統(tǒng)后，相關(guān)技術(shù)與應(yīng)用得到了快速的發(fā)展，經(jīng)歷三個階段：包過濾技術(shù)代理服務(wù)技術(shù)狀態(tài)檢測技術(shù)1. 包過濾技術(shù)包過濾技術(shù)包過濾（Packet Filtering）是指防火墻在網(wǎng)絡(luò)層中（如圖6.7所示），通過檢查網(wǎng)絡(luò)數(shù)據(jù)流中數(shù)據(jù)包的報頭（如源、目的地址、協(xié)議類型、端口等），將報頭信息與事先設(shè)定的過濾規(guī)則相比較，據(jù)此決定是否允許該數(shù)據(jù)包通過，其關(guān)鍵是過濾規(guī)則的設(shè)計。包過濾技術(shù)是最早應(yīng)用于防火墻的技術(shù)，也是最簡單、某些情形下最有效的防火墻技術(shù)。包過濾技術(shù)檢查的數(shù)據(jù)包報頭

2、信息主要有：（1）IP數(shù)據(jù)包的數(shù)據(jù)包的源源IP地址、目的地址、目的IP地址、協(xié)議類型、地址、協(xié)議類型、選項字段等。選項字段等。（2）TCP數(shù)據(jù)包數(shù)據(jù)包的源端口、目標(biāo)端口、標(biāo)志段等。的源端口、目標(biāo)端口、標(biāo)志段等。端口協(xié)議用途21FTP文件傳輸23Telnet遠(yuǎn)程登錄25SMTP電子郵件69TFTP簡單文件傳輸協(xié)議（Trivial FTP）79Finger查詢有關(guān)一個用戶的信息80HTTPWWW服務(wù)110POP-3遠(yuǎn)程電子郵件119NNTPUSENET新聞TCP端口號1024以下被用于一些標(biāo)準(zhǔn)的通信服務(wù)。表6.2 一些常用的TCP端口.如只允許HTTP通信，而不允許Telnet通信，則通過設(shè)定允許

3、TCP端口80的通信、禁止TCP端口23的通信，即可簡單方便地對這兩項服務(wù)進行過濾。（3 3）UDPUDP數(shù)據(jù)包的源端口、目標(biāo)端口。數(shù)據(jù)包的源端口、目標(biāo)端口。 UDP的應(yīng)用有DNS（Domain Name System，域名系統(tǒng)）、RPC（Remote Procedure Call，遠(yuǎn)程調(diào)用）、實時多媒體應(yīng)用RTP（Real-time Transport Protocol，實時傳輸協(xié)議）等，同樣通過設(shè)定基于UDP端口的過濾規(guī)則，可以方便地對各項服務(wù)進行過濾。（4 4）ICMPICMP類型。類型。 ICMP（Intenet Control Message Protocol，Internet控制消

4、息協(xié)議）主要用于傳遞控制或錯誤消息，如常用的端到端故障查找工具Ping就是利用ICMP中的“回應(yīng)請求”（ICMP類型編號8）實現(xiàn)的。因此通過設(shè)定ICMP關(guān)鍵字或類型編號的過濾規(guī)則，就可以對ICMP通信進行過濾，如表6.3所示。表6.3 一些常見的ICMP類型ICMP類型編號ICMP類型名稱可能的控制原因0回應(yīng)答復(fù)對ping的響應(yīng)3無法到達(dá)目的地?zé)o法到達(dá)目標(biāo)地址4源端抑制路由器接收通信量太大8回應(yīng)請求常規(guī)的ping請求11超時到目的地時間超時包過濾防火墻優(yōu)點與弱點包過濾防火墻優(yōu)點與弱點 包過濾防火墻優(yōu)點：包過濾防火墻優(yōu)點：l 不需內(nèi)部網(wǎng)絡(luò)用戶做任何配置，對用戶來說是完全透明的。l 簡單、有效。包

5、過濾防火墻弱點：包過濾防火墻弱點：l 只能檢查數(shù)據(jù)包的報頭信息，無法檢查數(shù)據(jù)包的內(nèi)容，不能進行數(shù)據(jù)內(nèi)容級別的訪問控制。l 沒有考慮數(shù)據(jù)包的上下文關(guān)系，每一個數(shù)據(jù)包都要與設(shè)定的規(guī)則匹配，影響數(shù)據(jù)包的通過速率，無法滿足一些訪問控制的要求。l 過濾規(guī)則的制定很復(fù)雜，容易產(chǎn)生沖突或漏洞，出現(xiàn)因配置不當(dāng)帶來的安全問題。 2. 狀態(tài)檢測技術(shù) 一個正常網(wǎng)絡(luò)連接中的源和目的地址、協(xié)議類型、協(xié)議信息（如TCP/UDP端口、ICMP類型）、標(biāo)志（如TCP連接狀態(tài)標(biāo)志）等構(gòu)成該連接的狀態(tài)表，將數(shù)據(jù)包報頭的相關(guān)信息與狀態(tài)表進行對比，就可以知道該數(shù)據(jù)包是一個新的網(wǎng)絡(luò)連接還是某個已有連接中的數(shù)據(jù)包。狀態(tài)檢測技術(shù)也叫動態(tài)包

6、過濾技術(shù)，是包過濾技術(shù)的延伸?；跔顟B(tài)檢測（Stateful Inspection）在包過濾技術(shù)防火墻的基礎(chǔ)上，增加了對狀態(tài)的檢測：狀態(tài)檢查流程檢測數(shù)據(jù)包是否是狀態(tài)表中已有連接的數(shù)據(jù)包，如果是已有連接的數(shù)據(jù)包而且狀態(tài)正確，則允許通過。如果不是已有連接的數(shù)據(jù)包，則進行包過濾技術(shù)的檢查。包過濾允許通過，則在狀態(tài)表中添加其所在的連接。1.某個連接結(jié)束或超時，則在狀態(tài)表中刪除該連接信息。狀態(tài)檢查原理狀態(tài)檢測防火墻的數(shù)據(jù)包過濾規(guī)則是預(yù)先設(shè)定的，但狀態(tài)表是動態(tài)建立的，可以實現(xiàn)對一些復(fù)雜協(xié)議建立的臨時端口進行有效的管理。 如FTP協(xié)議只是通過21端口進行控制連接，其數(shù)據(jù)傳送是通過動態(tài)端口建立的另一個子連接進

7、行傳送。如果邊界部署的是一個基于包過濾技術(shù)的防火墻，就需要將所有端口打開，將會帶來很大的安全隱患。但對于基于狀態(tài)檢測技術(shù)的防火墻，則能夠通過跟蹤、分析控制連接中的信息，得知控制連接所協(xié)商的數(shù)據(jù)傳送子連接端口，在防火墻上將該端口動態(tài)開啟，并在連接結(jié)束后關(guān)閉，保證內(nèi)部網(wǎng)絡(luò)的安全。2. 狀態(tài)檢測技術(shù)是為每一個會話連接建立、維護其狀態(tài)信息，并利用這些狀態(tài)信息對數(shù)據(jù)包進行過濾。 如狀態(tài)檢測可以很容易實現(xiàn)只允許一個方向通信的“單向通信規(guī)則”，在允許通信方向上的一個通信請求被防火墻允許后，將建立該通信的狀態(tài)表，該連接在另一個方向的回應(yīng)通信屬于同一個連接，因此將被允許通過。這樣就不必在過濾規(guī)則中為回應(yīng)通信制定

8、規(guī)則，可以大大減少過濾規(guī)則的數(shù)量和復(fù)雜性；而且也不需對同一個連接的數(shù)據(jù)包進行檢查，從而提高過濾效率和通信速度。3. 動態(tài)狀態(tài)表是狀態(tài)檢測防火墻的核心，利用其可以實現(xiàn)比包過濾防火墻更強的控制訪問能力。4. 但其弱點是也沒有對數(shù)據(jù)包的內(nèi)容進行檢查，不能進行數(shù)據(jù)內(nèi)容級別的控制，而且也允許外部主機與內(nèi)部主機的直接連接，容易遭受黑客的攻擊。3. 代理服務(wù) （1）應(yīng)用級代理 應(yīng)用級代理也被稱為應(yīng)用級網(wǎng)關(guān)（Application Gateway），工作在應(yīng)用層，是一組特殊的應(yīng)用服務(wù)程序。代理服務(wù)（Proxy Server）是代表內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行通信的服務(wù)器，通信發(fā)起方首先與代理服務(wù)建立連接，然后代理服

9、務(wù)再另外建立到目標(biāo)主機的連接，通信雙方通過代理進行間接連接、通信，不允許端到端的直接連接。各種網(wǎng)絡(luò)應(yīng)用服務(wù)也是通過代理提供，由此達(dá)到訪問控制的目的。原理如下當(dāng)接收到客戶方發(fā)出的連接請求后，應(yīng)用代理檢查客戶的源和目的IP 地址，并依據(jù)事先設(shè)定的過濾規(guī)則決定是否允許該連接請求。如果允許該連接請求，進行客戶身份識別。否則，則阻斷該連接請求。通過身份識別后，應(yīng)用代理建立該連接請求的連接，并根據(jù)過濾規(guī)則傳遞和過濾該連接之間的通信數(shù)據(jù)。當(dāng)一方關(guān)閉連接后，應(yīng)用代理關(guān)閉對應(yīng)的另一方連接，并將這次的連接記錄在日志內(nèi)。 應(yīng)用代理服務(wù)器一般運行在具有兩個網(wǎng)絡(luò)接口的雙重宿主主機的防火墻上，兩個網(wǎng)絡(luò)接口分別連接內(nèi)、外網(wǎng)

10、絡(luò)，并且禁止IP轉(zhuǎn)發(fā)，切斷內(nèi)外網(wǎng)絡(luò)之間直接的IP通信，由代理服務(wù)器按照一定的安全策略提供Internet連接和服務(wù)。 以電子郵件應(yīng)用代理為例。代理工作在應(yīng)用層，可以對數(shù)據(jù)內(nèi)容進行審查，對垃圾郵件等含有不良信息的郵件進行過濾。優(yōu)點是：內(nèi)部網(wǎng)絡(luò)的拓?fù)?、IP地址等被代理防火墻屏蔽，能有效實現(xiàn)內(nèi)外網(wǎng)絡(luò)的隔離。具有強鑒別和日志能力，支持用戶身份識別，實現(xiàn)用戶級的安全。能進行數(shù)據(jù)內(nèi)容的檢查，實現(xiàn)基于內(nèi)容的過濾，對通信進行嚴(yán)密的監(jiān)控。過濾規(guī)則比數(shù)據(jù)包過濾規(guī)則簡單。缺點是：代理服務(wù)的額外處理請求降低了過濾性能，其過濾速度比包過濾器速度慢。需要為每一種應(yīng)用服務(wù)編寫代理軟件模塊，提供的服務(wù)數(shù)目有限。對操作系統(tǒng)的依

11、賴程度高，容易因操作系統(tǒng)和應(yīng)用軟件的缺陷而受到攻擊。（2）電路級代理 電路級代理也被稱為電路級網(wǎng)關(guān)，是一個通用代理服務(wù)器，工作在傳輸層（TCP層）。 電路級代理也可以認(rèn)為是包過濾技術(shù)的延伸，但它不象包過濾技術(shù)那樣只是基于IP地址、端口號等報頭信息進行過濾，還能進行用戶身份鑒別。而且對于已經(jīng)建立連接的網(wǎng)絡(luò)數(shù)據(jù)包，電路級代理不再對其進行過濾。 與應(yīng)用級代理相比較，電路級代理不用為不同的應(yīng)用開發(fā)不同的代理模塊，具有較好的通用性。但因也對網(wǎng)絡(luò)數(shù)據(jù)包進行了復(fù)制、轉(zhuǎn)發(fā)，因此同樣具有占用資源大、速度慢的缺點。而且包過濾技術(shù)的缺點在這里也同樣存在。4. 安全策略與規(guī)則安全策略與規(guī)則 在上述防火墻技術(shù)的敘述中，不論是包過濾技術(shù)，還是狀態(tài)檢測技術(shù)或代理服務(wù)技術(shù)，都是以安全策略及其展開的過濾規(guī)則為基礎(chǔ)，實現(xiàn)防火墻的訪問控制目的。 訪問的暢通與控制是網(wǎng)絡(luò)邊界安全策略的一對矛盾，組建網(wǎng)絡(luò)的目的就是為了提供方便的訪問功能，提供多種服務(wù)，保證網(wǎng)絡(luò)傳輸?shù)男阅埽欢刂苿t是要檢查、拒絕未授權(quán)的訪問或服務(wù)，保護內(nèi)部網(wǎng)絡(luò)的安全。防火墻的基本控制策略有兩類：（1）沒有被明確允許的，就是禁止的。）沒有被明確允許的，就是禁止的。 這是一種以控制為中心的控制策略。 （2）沒有被明確禁止的，就是允許的。）沒有被明確禁止的，就是允許的。 這是一種以暢通訪問為中心的控制策略。制定一個網(wǎng)絡(luò)安全策略，有如下一些基本步驟：確