防火墙所采用的技术及其作用

7.5　防火墙所采用的技术及其作用

防火墙的安全技术包括过滤技术、代理、网络地址转换（NAT）等多种技术。实现防火墙的方式也多种多样。先进的防火墙产品功能越来越强大，正逐渐将网关与安全系统合二为一。

1.双端口或三端口的结构

新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。

2.透明的访问方式

以前的防火墙在访问方式上要么要求用户作系统登录，要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。

3.灵活的代理系统

代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换（NAT）技术来解决；后者采用非保密的用户定制代理或保密的代理系统技术来解决。

4.多级的过滤技术

为保证系统的安全性和防护水平，新一代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。

5.网络地址转换技术（NAT）

网络地址转换（NAT，Network Address Translate）是一种用于把内部IP地址转换成临时的、外部的IP地址的技术。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外部的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个外放的IP地址和端口来请求访问，防火墙则根据预先定义好的映射规则来判断这个访问是否安全及是否接受这个访问请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

有些防火墙提供了“内部网到外部网”、“外部网到内部网”的双向NAT功能。同时支持两种方式的网络地址转换，一种为静态地址映射，即外部地址和内部地址一对一的映射，使内部地址的主机既可以访问外部网络，也可以接受外部网络提供服务。另一种是更灵活的方式，可以支持多对一的映射，即内部的多个机器可以通过一个外部有效地址访问外部网络。让多个内部IP地址共享一个外部IP地址，就必须转换端口地址，这样内部不同IP地址的数据包就能转换为同一个IP地址而端口地址不同，通过这些端口对外部提供服务，这就意味着用户不需要为其网络中每台机器取得注册的IP地址。利用NAT转换功能不仅可以更有效地利用IP地址资源，解决IP地址短缺的问题；而且可使系统管理员自行设置内部的地址而不必对外公开，隐藏了内部网络的真实地址，从而使外来的黑客无法探知内部网络的结构；同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。

6.网络状态监视器

现在Internet均采用共享信道的方法，即把发给指定主机的信息广播到整个网络上。尽管在普通方式下，某台主机只能收到发给它的信息，然而只要这台主机将网络接口的方式设成“杂乱”模式的话，就可以接收到整个网络上的信息包。利用Intranet这个特性，将监视器接在用户网络环境某个特定的位置，如Intranet与Internet连接出口处，则监视器就可以接收整个网络上的信息包。

状态监视器作为防火墙技术，其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。

与其他安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，记录并向系统管理器报告网络状态。状态监视器还可以收测Remote Procedure Call类的端口信息。状态监视器的主要缺点是配置非常复杂，而且会降低网络的速度。

（1）网络状态监视器的基本功能

①可以按照指定的IP地址、特定域名或特定用户截取信息，或者截取全部数据包。

②把截获的数据包重组，还原成用户传递的文件和明文（电子邮件、FTP文件或HTTP文件等）。

③分析、处理截获的信息。

④用户可查询监控的最终结果，也可实时监视。

⑤具有系统操作数据访问安全控制的能力，并且有自动转储的备份机制和智能卡存取访问控制。

（2）网络状态监视器的作用

担当了网络安全审计员；有利于事后分析、追查网络的攻击、破坏、涉密等犯罪行为，便于检查网络运行状态和安全状况；同时可作为网络安全报警器和保密检查员。

7.Internet网关技术

由于是直接串连在网络之中，新一代防火墙必须支持用户在Internet互联的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、Finger、Mail、Telnet、News、WWW等）来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用（cboot）”作物理上的隔离。

在域名服务方面，新一代防火墙采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息；另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。

在匿名FTP方面，服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行，在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境，Ident服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

8.安全服务器网络（SSN）

为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络（SSN）技术，对SSN网的主机既可单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理。

SSN的方法提供的安全性要比传统的隔离区（DMZ）方法好得多，因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。

9.用户鉴别与加密

为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少，新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。

10.用户定制服务

为满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP、出站UDP、FTP、SMTP等类，如果某用户需要建立一个数据库的代理，便可利用这些支持，方便设置。

11.审计和告警

新一代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。此外新一代防火墙还在网络诊断、数据备份与保全等方面具有特色。

下面分别介绍几种应用防火墙的设计实现方式。

1.应用网关代理

这种防火墙在网络应用层提供授权检查及代理服务。当外部某台主机试图访问（如Telnet）受保护网时，它必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为Telnet设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问的时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登录到防火墙上，通过验证后才可使用Telnet或FTP等有效命令。

应用网关代理（Application Gateway Proxy）的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证，其缺点是这种认证使得应用网关不透明，用户每次连接都要受到“盘问”，这给用户带来许多不便；而且这种代理技术需要为每个应用网关写专门的程序。

2.回路级代理服务器

也就是通常所说的一般代理服务器，它适用于多个协议，但它不能解释应用协议，通过其他方式来获得信息。所以，回路级代理服务器通常要求修改过的用户程序。

3.代管服务器

顾名思义，代管服务器技术是把不安全的服务（如FTP、Telnet等）放到防火墙上，使它同时充当服务器，对外部的请示做出回答。与应用层代理实现相比，代管服务器技术不必为每种服务专门写程序。而且，受保护网内部用户想对外部网访问时，也需先登录到防火墙上，再向外提出请求，这样从外部网向内就只能看到防火墙，从而隐藏了内部地址，提高了安全性。

4.IP通道（IP Tunnels）

经常会出现这种情况，一个大公司的两个子公司相隔较远，需通过Internet通信。这种情况下，可以采用IP Tunnels来防止Internet上的黑客截取信息从而在Internet上形成一个虚构的企业网。

假如子网A中一主机（IP地址为X.X.X.X）欲向子网B中某主机（IP地址为Y.Y.Y.Y）发送报文，该报文经过本网防火墙FW1（IP地处N.N.N.1）时，防火墙判断该报文是否发往子网B，若是，则再增加一报头，变成从此防火墙到子网B防火墙FW2（N.N.N.2）的IP报文，而原IP地址封装在数据区内，同原数据一起加密后经Internet发往FW2。FW2接收到报文后，若发现源IP地址是FW1的，则去掉附加报头，解密，在本网上传送。从Internet上看，就只是两个防火墙的通信。即使黑客伪装了从FW1发往FW2的报文，由于FW2在去掉报头后不能解密，也会抛弃报文。

5.隔离域名服务器（Split Domain Name Sever）

这种技术是通过防火墙将受保护网络的域名服务器与外部网络的域名服务器隔离，使外部网络的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

6.邮件转发技术（Mail Forwarding）

当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上，这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。