防火墙系统

防火墙FW（Fire Wall）是由软硬件构成的网络安全系统，用于外部网络与内部网络之间的访问控制。防火墙根据人为制定的控制策略实现内外网的访问控制，对外屏蔽、隔离网络内部结构，保护网络内部信息，监测、审计穿越内外网之间的数据流，提供穿越内外网之间的数据流记录，是网络安全的重要设备。

10.4.1　防火墙概述

防火墙部署在内部网和外部网之间，防火墙内部的网络为“可信任的网络”，而防火墙外部的网络为“不可信任的网络”，防火墙用来解决内网与外网之间的安全问题。防火墙是内部网络与外部网络通信的唯一途径，防火墙对流经内部网和外部网之间的数据包进行检查，阻止所有网络间被禁止流动的数据，而让那些被允许的数据流通过，实现内外网的隔离和安全控制。防火墙在内外网间的连接如图10-9所示。

图10-9 防火墙在内外网间的连接

防火墙主要实现以下功能：

①屏蔽、隔离内部外部网络，防止内部网络信息泄露。防火墙让外部网络不能直接接触内部网络，对外隔离、屏蔽了内部网络结构，防止外部网络用户非法使用内部网络信息，防止内部网络的敏感数据被窃取，保护内部网络的不受到破坏。

②实现内外网间的访问控制。针对网络攻击的不安全因素，防火墙采取控制进出内外网的数据包，让那些被允许的数据包通过，阻止被禁止的数据包，实时监控网络上数据包的状态，并对这些状态加于分析和处理，及时发现异常行为，对于异常行为采取联动防范措施，保证网络系统安全。

③控制协议和服务。针对网络本身的不安全因素，对相关协议和服务采取控制措施，让授权的协议和服务通过防火墙，而拒绝没有授权的协议和服务通过防火墙，有效屏蔽不安全的服务。

④保护内部网络。为了防止系统漏洞等带来的安全影响，防火墙采用了自己的安全系统，同时通过漏洞扫描、入侵检测等技术，发现网络内应用系统、操作系统漏洞，发现网络入侵，通过对异常访问的限制，保护内部网络，保护内部网络中的服务应用系统。

⑤日志与审计。防火墙通过对所有内外网的网络访问请求进行日志记录，为网络管理的运行优化，为攻击防范策略制定提供重要的情报信息，为异常事情发生的追溯提供重要依据；

⑥网络地址转换。在内外网访问时，由于内外网使用了不同地址，当要实现内外网访问时，需要实现地址转换，将内部网络的自有地址转换为外网的公有地址。由于防火墙处于两个网络间网关的位置，该地址转换功能也可以集成在防火墙上，通过防火墙来实现地址转换。

防火墙可以是一台独立的硬件设备，也可以是一个软件防火墙。硬件防火墙是厂家专门生产的防火墙产品，采用专门的芯片、操作系统和相应软件构成，硬件防火墙运行速度快、处理能力强，是大型网络系统中的重要安全设备。软件防火墙是在一台主机上（计算机或路由器上），安装相应软件成为一台具有访问控制功能的防火墙，一般安装在个人计算机上的防火墙是纯软件防火墙，用于保护个人计算机免受病毒、黑客入侵和未经授权的访问。除了独立的防火墙设备外，还可在路由器上安装防火墙软件构成集成了防火墙功能的路由器产品，目前一般的高端路由器都集成了防火墙功能。

10.4.2　过滤型防火墙

按照防火墙工作的层次，防火墙可以分为过滤型防火墙和代理型防火墙。过滤型防火墙工作在网络层和传输层，代理型防火墙工作在应用层。过滤型防火墙又细分为包过滤防火墙和状态检测防火墙。

（1）包过滤防火墙

包过滤防火墙工作在网络层和传输层，安装在需要控制的外网与内网之间。包过滤防火墙以数据包为控制单位，它在网络的进出口处对通过的数据包进行检查，并根据事先设置的安全访问控制策略（访问控制列表ACL）的规则决定数据包是否允许通过。只有满足规则的数据包可以才允许进出内外网络，而其余数据包均被防火墙过滤。

包过滤防火墙的工作原理示意如图10-10所示。包过滤防火墙逐个检查输入数据流的每个数据包的IP头部或传输层的头部信息，根据头部信息的源地址、目的地址、使用的端口号的等，或者他们的组合来确定数据包是否可以通过。由于包过滤防火墙通过检查IP地址、端口信息等信息来决定包是否过滤，所以包过滤防火墙工作在网络层和传输层。

图10-10 包过滤防火墙的工作原理示意

防火墙对包的过滤规则是由网管人员事前设定的，过滤规则存放在防火墙内部，以过滤规则表的形式存在。当数据包进入防火墙时，防火墙会将读取IP包包头信息中的IP源地址、IP目标地址、传输协议（如TCP、UDP、ICMP等）、TCP／UDP目标端口、ICMP消息类型等信息，并与过滤规则表中的表项逐条进行比对，以便确定其是否与某一条包过滤规则匹配，如果这些规则中有一项得到匹配吻合，则该数据包按照规则表规定的策略允许通过或拒绝通过。

如果到来的数据包的IP地址或端口地址不能和规则表中的任何一条规则相匹配，则采取默认处理。默认处理可以是默认为“拒绝”，或默认为“允许”。

对于默认为“拒绝”的情况，如果收到的数据包没有与过滤规则相匹配的表项存在，则该数据包将做“拒绝”处理，该数据包不能通过防火墙，即该规则遵循的是一切未被允许的访问就是禁止的准则。对于默认为“允许”的情况，如果收到的数据包没有与过滤规则相匹配的表项存在，则该数据包将做“允许”处理，即该规则遵循的是一切未被拒绝的访问就是允许的准则。

默认方式让防火墙的规则表制定变得更为简单，对于只有少量数据包需要过滤的情况，规则表只要将这些少量的数据包设定为“拒绝”，并将默认设定为“允许”，这样其余没有被设定的数据包都能够通过防火墙。

一个规则表的实例如下表所示。设内部网络地址为192.168.16.0，外部网络地址为202.203.218.0，外部网络地址是一个危险网络，访问控制策略需要拒绝该危险网络访问内部网络，同时拒绝内网络访问该危险网络。

规则表

数据包的过滤可以双向地进行，即处理从外网到内网的数据包，也处理从内外到外网的数据包。配置防火墙时，必须事先人工配制过滤规则，确定自己的安全策略。数据包到来时防火墙与过滤规则表的比对是从第一条开始，然后向下逐条进行比对的，所以规则的位置相对重要，频繁使用的规则应该排在前面。

包过滤防火墙能实现内外网的访问控制，由于工作在网络层和传输层，对通过数据包的速度影响不大，但包过滤防火墙也存在以下不足：

①防火墙不能防范不经过防火墙的攻击。例如，客户通过拨号上网，或者通过无线上网，则绕过了防火墙系统提供的安全保护，从而造成一个潜在的后门攻击渠道。

②包直接接触要访问的网络，内网容易被攻击。包过滤防火墙在规则表允许通过时，包不再做其他处理，直接允许通过。这样从外网来的数据包直接接触到内部的网络，如果这些包是恶意的数据包，则给内部网络带来极大的风险。

③无法识别基于应用层的恶意入侵。由于包过滤防火墙根据IP地址、端口地址等进行数据包通过的控制，当IP地址或端口都是合法地址时，包过滤防火墙对其是不加以隔离的，直接让其通过。这样如携带病毒的电子邮件等数据包到来时，由于地址、端口都是合法的，包过滤防火墙对此类威胁网络安全的数据包是无能为力的。

④无法识别IP地址的欺骗。由于包过滤防火墙是基于地址过滤的访问控制，外部的用户也可伪装成合法的IP地址访问内部网络，同样内部用户可以伪装成合法的IP地址的用户来访问外部网络。包过滤防火墙对于这种伪装成合法地址的访问的控制同样是无能为力的。

（2）状态检测防火墙

状态检测防火墙又称为动态包过滤防火墙，与之相对应的传统的包过滤防火墙为静态包过滤防火墙。状态检测防火墙也是一种包过滤防火墙，只是通过了专门的策略来检测数据包状态，进一步提高对数据包的鉴别能力和处理能力。

状态检测防火墙有一个状态检测模块，状态检测模块建立一个状态检测表，状态检测表由过滤规则表和连接状态表两部分构成。过滤规则表的工作情况与包过滤防火墙的过滤规则表的工作情况是同样的，连接状态表用于记录通过防火墙的数据包的连接状态，用于判断到来的数据包是新建连接的数据包，还是已经建立连接的数据包，或者是不符合通信逻辑的异常包，然后根据情况进行相应的处理。

大部分应用协议都是按照客户机／服务器的模式工作的，当内网用户向外网服务器端发起服务请求时（如访问网站），客户端会发起一个请求连接的数据包，该数据包达到状态检测防火墙时，状态检测防火墙会检测到这是一个发起连接的初始数据包（由SYN标志），然后它就会把这个数据包中的信息与防火墙规则作比较，以决定是否允许通过。按照过滤规则表的相关信息，如果该数据包是允许通过的，则状态检测防火墙让其通过。

以此同时，状态检测防火墙在连接状态表中新建一条会话，通常这条会话会包括此连接的源地址、目标地址、源端口、目标端口、连接时间等信息，对于TCP连接，它还应该会包含序列号和标志位等信息。当后续数据包到达时，如果这个数据包不含SYN标志，说明这个数据包不是发起一个新的连接的数据包，状态检测引擎就会直接把它的信息与状态表中的会话条目中的信息进行比较，如果信息匹配，说明该数据包是前面那个新建连接数据包的后续数据包，状态检测防火墙直接允许这些后续数据包通过，而不必再让这些数据包再去接受规则的检查，提高了处理效率。如果信息不匹配，数据包就会被丢弃或连接被拒绝，并且每个会话还有一个超时值，过了这个时间，相应会话条目就会被从状态表中删除掉。

按照这种工作方式，状态检测防火墙只需对通信双方的第一个数据包进行规则表检测，记录其连接状态，而后续数据包都不必再经过规则表检测，而是直接按照与连接表的匹配情况直接允许通过或拒绝通过，大大提高了数据包的处理效率。

状态检测防火墙可以检测到非正常的连接，并拒绝非正常连接的数据包通过防火墙。例如，客户机与服务器之间建立TCP连接采用的三次握手数据包的顺序是SYN、SYN＋ACK、ACK。如果在防火墙连接状态表中没有向外网发出过SYN包的情况下，却收到了一个来自外网的SYN＋ACK的数据包，这个包的出现就违反了TCP的握手规则，应该将该数据包丢弃。可以看出由于状态检测防火墙在数据安全和数据处理效率上的有机结合，大大提高安全性和了处理效率。

10.4.3　代理型防火墙

代理型防火墙是工作在应用层的防火墙，是应用级的防火墙。代理型防火墙从应用程序进行访问控制，允许访问某个应用程序而阻止另一些应用程序通过。同样，代理防火墙也是部署在内外网之间，代理防火墙在内外网之间起到一个中间作用，外网对内网的访问是由代理防火墙的代理来完成的。代理类似房屋中介公司，使参与交流的双方必须借助代理来完成，否则他们之间完全是隔离的。

代理型防火墙系统的工作原理示意如图10-11所示。代理型防火墙通过一个代理服务器介入实现访问控制，代理服务器采用双网卡的主机实现，通过代理服务器使得所有跨越防火墙的网络通信连接被分为两段，即内网与代理服务器的连接以及外网与代理服务器的连接来代替。在外部网络上面的计算机系统的网络连接只能到达代理服务器，访问内网也由代理服务器代替完成，内外网访问的连接都终止于代理服务器，这就成功地实现了防火墙内外网络上计算机系统的隔离。由于外部网络不能直接接触要访问的网络，从而降低了被攻击的可能。

图10-11 代理型防火墙系统的工作原理示意

代理型防火墙具有代理服务器和防火墙的双重功能，从客户端来看，代理服务器就是一台真正的服务器。代理型防火墙将内部网络到外部网络的连接请求划分成两个部分。首先，代理服务器根据安全过滤规则决定是否允许这个连接；其次，如果规则允许访问，则代理服务器就代替客户向外部网络服务器发出访问请求，当代理服务器收到外部网络中的服务器返回的访问响应数据包时，同样要根据安全规则决定是否让该数据包进入内部网络。如果允许，代理服务器将这个数据包转发给内部网络中发起这个请求的客户机。

代理型防火墙中的代理服务器除了可以对连接进行鉴别，还可以针对特殊的网络应用协议确定数据的过滤规则，还可以对数据包进行分析，形成审计报告。

由于代理型防火墙工作在应用层，形成一个应用层网关，能对网络应用进行有效控制，具有如下优点：

①代理型防火墙通过应用层的访问规则来进行访问控制，可以针对应用层进行检测和扫描，可以有效地防止应用层的恶意入侵和病毒；

②代理服务器具有较高的安全性，由于每一个内外网之间的连接都是通过代理服务器完成，每一个特定的应用（如FTP、HTTP、SMTP、Telnet）都有相应的代理程序提供处理。代理服务器可以针对不同的应用采用不同的程序加于处理，如建立Telnet应用网关、FPT应用网关，分别对Telnet、FPT、SMTP、HTTP应用进行处理，进一步提高了内外网访问的控制能力，提高了安全性。具体工作示意如图10-12所示。

③代理服务器在客户机和真实服务器之间完全控制会话，可以提供很详细的日志和安全审计功能。

④代理型防火墙一般都设计了内部的高速缓存，保留了最近访问过的站点内容，当下一个用户要访问同样的站点时，可以直接从高速缓存中提取，而不必再访问远程的外网服务器，可以在一定程度上提高访问速度。

由于采用代理服务器在通信中担任了二传手的角色，既能够实现内外网的访问，又不提供内外网络的计算机以任何直接会话的机会，能较好地避免了入侵者使用数据驱动类型的攻击方式入侵内部网，所以具有较好地安全性。

图10-12 代理服务器的工作示意

但是事情都是一分为二的，代理型防火墙由于工作在应用层，主要是通过软件方式实现以上控制功能的，所以代理型防火墙的处理速度相对包过滤防火墙较慢，也就是说代理型防火墙安全性的提高是以牺牲速度得到的。此外代理服务器一般具有解释应用层命令的功能，如解释Telnet命令、解释FTP命令等，那么这种代理服务器就只能用于某一种服务。因此，可能需要提供多种不同代理的代理服务器，如Telnet代理服务器、FTP代理服务器等。而且每个应用都必须有一个代理服务程序来进行访问控制，当一种应用升级时，代理服务器也要进行相应的升级。所以代理型防火墙所能提供的服务和适应性是有限的。

10.4.4　防火墙的系统结构

防火墙的系统结构是指防火墙在网络中的部署位置以及它与网络中其他设备的关系，只有选用合理的防火墙系统结构，才能使之具有最佳的安全性能。防火墙的系统结构可以分成屏蔽路由器防火墙结构、堡垒主机防火墙结构、带有屏蔽路由器的单网段防火墙、单DMZ防火墙结构、双DMZ防火墙结构等几种。

（1）屏蔽路由器防火墙

屏蔽路由器防火墙是一个包过滤防火墙，也是最简单、最常见的防火墙。其工作原理如图10-13所示。

图10-13 屏蔽路由器防火墙工作原理示意

屏蔽路由器防火墙具有两个接口，一个内网接口用于与内部网络相连，一个外网接口用于与外网相连。由于防火墙通常是与路由器一起协同工作的，所以屏蔽路由器防火墙往往是在路由器上安装包过滤软件，配置过滤规则，实现包过滤防火墙功能，一般简称为屏蔽路由器。

（2）堡垒主机防火墙

堡垒主机，也称为双宿主机，实际是一台配置了两块网卡的服务器主机。堡垒主机上安装防火墙软件，构成堡垒主机防火墙。其工作原理如图10-14所示。

图10-14 堡垒主机防火墙的工作原理示意

堡垒主机属于代理型防火墙，在堡垒主机防火墙结构中，堡垒主机位于内部网络与外部网络之间，堡垒主机上的两块网卡分别与内部网络和外部网络相连；在物理连接上同屏蔽路由器防火墙，其中一块网与内部网络相连，而另外一块网卡与外部网络连接。堡垒主机上运行着各种代理服务程序按照控制策略控制转发应用程序，提供网络安全控制。

与屏蔽路由器防火墙相比，双宿主机网关堡垒主机的系统软件可用于维护系统日志，由于双宿主机是内外网通信的传输通道，当内外网通信量较大时，双宿主机可能成为通信的瓶颈，因此双宿主机应选择性能优良的服务器主机。

堡垒主机最大的安全威胁是攻击者如果掌握了登录主机的权限，则内部网络就非常容易遭受攻击。如果堡垒主机实效，则意味着整个内部网络将被置于外部攻击之下，所以相对而言，堡垒主机防火墙仍然是一种不太安全的防火墙模式。

（3）带有屏蔽路由器的单网段防火墙

带有屏蔽路由器的单网段防火墙由一个屏蔽路由器和一个堡垒主机构成防火墙。其工作原理如图10-15所示。

图10-15 带有屏蔽路由器的单网段防火墙的工作原理示意

堡垒主机只有一块网卡连接在内部网络上，成为外部网络可以访问内部网络唯一的站点。网络服务由堡垒主机上相应的代理服务程序来支持，屏蔽路由让所有输入的信息必须先送往堡垒主机，并且只接受来自堡垒主机输出的信息。内网上的所有主机也只能访问堡垒主机，堡垒主机成为外网上的主机与内网上的主机之间的桥梁。包过滤路由器拒绝内部网络中的主机直接访问外网，内网主机访问外网的请求必须通过堡垒主机进行代理。为了保证不改变上述固定的数据包路径，屏蔽路由器应该进行必要的配置，如设置静态路由。

（4）单DMZ防火墙

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。DMZ它是为了解决安装防火墙后外部网络不能访问内部网络服务器，不利于部署Web、E-mail等网络服务的问题而设立的一个非安全系统与安全系统之间的缓冲区域。

这个缓冲区域可以理解为一个不同于外网或内网的一个特殊网络区域。这个特殊网络区域位于单位内部网络和外部网络之间的小网络区域内，一般称为DMZ区。在DMZ区域内可以放置一些服务于公众的服务器设施，如企业Web服务器、E-mail服务器、FTP服务器和论坛等。这样一来，来自外网的访问者可以访问DMZ区域中的服务器，获取相应的服务。但这些访问者不可能接触到部署在内网的网络服务器，也就不能获取这些内部信息。通过这样一个DMZ区域，能把服务于公众的服务器等设施与服务于内部人员的服务器等设施分离开来，更加有效地保护了内部服务器等设施的网络信息。单DMZ防火墙的工作原理如图10-16所示。

图10-16 单DMZ防火墙的工作原理示意

单DMZ结构的防火墙由屏蔽路由器和堡垒主机连接在同一个网段上，确保跨防火墙的数据必须先经过屏蔽路由器和堡垒主机这两个安全单元，单DMZ防火墙结构中的堡垒主机是双宿主机。而DMZ区成为外部网络与内部网络之间附加的一个安全层。堡垒主机可以作为一个应用网关，也可以作为代理服务器。由于堡垒主机是唯一能从外网上直接访问内网的主机，所以内部主机得到了保护。

（5）双DMZ防火墙

如果内网中要求有部分信息可以提供给外部网络直接访问共享，可以通过在防火墙中建立两个DMZ区来解决。一个为外DMZ区，一个为内DMZ区。在外DMZ区放置一些公共服务信息服务器（Web服务器或FTP服务器），而这些服务器系统本身也作为外堡垒主机。在内DMZ区放置一些内部使用的信息服务器。双DMZ防火墙的工作原理如图10-17所示。

对于从外部网络来的数据包，外屏蔽路由器用于防范外部攻击，并管理对外DMZ的访问，内屏蔽路由器只允许接受来目的地址是堡垒主机的数据包，负责内DMZ到内部网络的访问。

图10-17 双DMZ防火墙的工作原理示意

对于要送到外网的数据包，内部屏蔽路由器管理堡垒主机到DMZ网络的访问，防火墙系统让内部网络上的站点只访问堡垒主机，屏蔽路由器只接受来自堡垒主机去往外网的数据包。

部署带DMZ的防火墙系统有如下特点：入侵者必须突破几个不同的设备，如外屏蔽路由器、内部屏蔽路由器、堡垒主机等，才能攻击内部网络，攻击难度大大加强，相应的内部网络的安全性也就大大加强，但投资成本相应也是最高的。