防火墙基本概述

任务概述

“防火墙”是指一种将内部网络与外网相对分开的方法，它实际是一种隔离技术，它允许用户同意的人和数据进入其网络，把未经认可的访问者拒之门外，最大限度地阻止网络中的黑客入侵行为，防止信息被更改、复制和毁坏，从而保护内网的安全。本任务将学习防火墙的基本概念、功能、分类及体系结构。

任务目标

●能够了解防火墙的概念

●能够熟练掌握防火墙的功能和分类

●能够掌握防火墙的发展

●能够掌握防火墙的体系结构

学习内容

一、防火墙的概念

防火墙的本义原是指古代人们在建造木质结构的房屋时，为防止火灾发生时蔓延到别的房屋而在房屋周围堆砌的石块。而计算机网络中所说的防火墙，是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。通过防火墙，可以隔离风险区域与安全区域的连接，同时又不会妨碍访问者对风险区域的访问。防火墙可以监控进出网络的通信，仅让安全的、核准了的数据进入，抵制不安全的、未经核准的数据。

从计算机网络安全技术的角度看，防火墙是一个连接两个或更多物理网络并把分组从一个网络转发到另一个网络的路由器，它将网络分成内部网络和外部网络，如图5-1所示。作为维护网络安全的关键设备，防火墙的目的就是在可信任的内部网络和非信任的外部网络之间建立一道屏障，通过实施相应的访问控制策略来控制（允许、拒绝、监视、记录）进出网络的访问行为，以防止未经授权的通信进出被保护的内部网络，如图5-2所示。

图5-1 在网络中部署防火墙

图5-2 防火墙基本功能

防火墙是网络安全策略的有机组成部分，它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。从总体上看，防火墙应具有以下五大基本功能:

（1）过滤进出网络的数据包。

（2）管理进出网络的访问行为。

（3）封堵某些禁止的访问行为。

（4）记录通过防火墙的信息内容和活动。

（5）对网络攻击进行检测和报警。

为实现以上功能，在防火墙产品的开发中，人们要应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段。

二、防火墙的作用

目前，Internet上的Web网站中，大部分站点都有某种防火墙的保护，任何关键性的服务器都应该放在防火墙之后。部署防火墙技术，可以大大提高网络的安全性，主要表现在以下几个方面。

1.防火墙是网络安全的屏障

防火墙能极大地提高一个内部网络的安全，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。例如，防火墙可以禁止众所周知的不安全的NFS协议进出受保护网络，这样，外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。

2.防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

3.对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和入侵的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。

4.防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络管理者非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部入侵者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞，使用防火墙就可以隐蔽那些内部细节。

三、防火墙的弱点

虽然利用防火墙可以保护内部网络免受外部网络的攻击，但也只是能够提高网络的安全性，不可能保证网络的绝对安全，它不是万能的。事实上，防火墙仍然有一些弱点和不能防范的安全威胁，主要表现在以下几个方面。

1.防火墙不适合防范计算机病毒

防火墙扫描操作大部分是针对数据包中的源/目标地址以及端口号，而并非数据细节，所以对于隐藏在文件数据中的病毒，防火墙是无能为力的。实际上，许多病毒就是以这种方式来进行传播的。同时，由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。

2.防火墙限制有用的网络服务

防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。这样有可能会抑制一些正常的信息通过，限制了有用的网络服务，给用户带来使用的不便。

3.防火墙不能防范不经过防火墙的攻击

例如，如果允许从受保护的网络内部向外拨号（SLIP或PPP），一些用户就可能形成与外部网络的直接连接而受到攻击。

另外，防火墙对于来自网络内部的攻击无能为力;对用户不完全透明，可能带来传输延迟、瓶颈及单点失效;等等。

四、防火墙技术的分类

防火墙有许多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。总的来说，业界的分类有三种:包过滤防火墙、应用级网关防火墙和状态监测防火墙。

1.包过滤防火墙

在Internet网络上，所有往来的信息都被分割成许多一定长度的信息包，其中包含发送者的IP地址和接收者的IP地址信息。当这些信息包在网络上传输时，路由器会读取接收者的IP地址并选择一条合适的物理线路发送出去，信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包中的IP地址，并按照系统管理员所给定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。包过滤防火墙的优点是它对于用户来说是透明的，处理速度快且易于维护，通常作为第一道防线。包过滤路由器通常没有用户的使用记录，这样就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的，IP地址欺骗是黑客常用的一种攻击手段。

2.应用级网关防火墙

应用级网关也就是通常提到的代理服务器。它适用于特定的Internet服务，如超文本传输（HTTP）、文件传输（FTP）等。代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定，如果规则允许用户访问该站点的话，代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储有用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复获取相同的内容，直接将缓存内容发出即可，既节约了时间又节约了网络资源。

3.状态监测防火墙

这种防火墙具有非常好的安全特性，它使用了一个在网关上执行网络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。

与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。

五、防火墙的体系结构

1.筛选路由器结构

筛选路由器被认为是网络安全最好的第一道防线。因为筛选路由器就是实施过滤的路由器，所有需要的硬件已到位。它可以根据IP地址和TCP及UDP端口拒绝所有进出的流。筛选路由器应遵守安全策略，配置路由器可接受的数据流量，筛选路由器拒绝IP地址或网络地址的范围，以及过滤不想要的TCP/IP应用程序。

筛选路由器防火墙拓扑结构非常简单，这种拓扑结构仅使用一个筛选路由器作为解决方案。它有几个缺点，最主要的一个就是创建相应的过滤需要对TCP/IP有很丰富的知识，一旦有任何错误的配置将会导致不期望的流量通过或拒绝一些可接受的流量。另一个缺点是只有一个单独的设备来保护网络，如果一个黑客攻破防火墙，他将能访问网络中的任何资源。另外，筛选路由器不隐藏内部网络的配置，任何访问筛选路由器的人都能轻松地看到网络布局和结构。筛选路由器也没有较好的监视或日志功能，如果一个筛选路由器接收到没被其过滤的流量，对这些流量它不能提供什么有用的信息。筛选路由器通常没有报警的功能，如果一个安全侵犯发生，对于这种潜在的威胁，筛选路由器不能通知安全管理员。

2.双宿主主机结构

双宿主主机结构防火墙系统主要由一台双宿主堡垒主机构成。双宿主主机具有两个网络接口，它位于内部网络与外部网络的连接处，运行应用代理程序，充当内、外网络之间的转发器，如图5-3所示。双宿主主机关闭了正常的IP路由功能，使来自一个网络接口的IP包不能直接到达另一个网络接口，内部网络与外部网络的通信完全由运行于双宿主主机的防火墙应用程序完成。双宿主主机对外屏蔽了内部网络结构，使内部网络在外部看来是“不可视”的。

图5-3 双宿主主机结构防火墙系统

双宿主主机可以使用包过滤技术与应用代理技术，并且在网络结构上简单明了、易于实现且成本低，能为内部网络与外部网络的通信提供较为完善的控制机制，如监视、认证、日志文件等。双宿主主机在配置原则上遵循“未被明确准许的服务将被禁止”，尽可能为内部用户提供已知的必需的服务，如WWW、E-mail、FTP等。

由于双宿主主机是内部网络与外部网络相互通信的桥梁，因此内、外部网络之间的通信量需求比较大时，双宿主主机本身将成为通信的瓶颈，这也是所有代理型防火墙的弱点。双宿主主机结构把整个网络的安全性能全部寄托于它的安全单元，而单个网络安全单元在实际中往往是受攻击的首选对象。因此，作为防火墙的主机，除了禁止IP转发外，还应该从主机中禁用所有影响到安全的程序、工具和服务，以免成为攻击的目标。

3.屏蔽主机结构

屏蔽主机结构防火墙系统由包过滤路由器和堡垒主机构成，包过滤路由器位于内部网络与外部网络之间，而堡垒主机位于内部网络与包过滤路由器之间，如图5-4所示。

图5-4 屏蔽主机结构防火墙系统

在这种结构中，包过滤路由器为系统提供主要的安全功能，堡垒主机则主要提供面向应用的服务。包过滤路由器使用包过滤技术，它准许堡垒主机与外部网络通信，使堡垒主机成为外部网络所能到达的唯一节点，并同时根据设立的过滤策略进行控制。对内部网络中的其他主机直接对外的通信，包过滤路由器将予以拒绝。所有这些主机的对外通信，必须经过堡垒主机来完成。

为了保证这种结构的通信路径不被更改，包过滤路由器应当采用静态路由设置，并且路由器不允许接受ICMP、ARP等协议，也不接受ICMP Redirect请求和ICMP Unreachable信息。与双宿主主机系统类似，堡垒主机运行应用代理服务程序，为内部的主机提供代理服务，堡垒主机还可以向内、外部网络用户提供面向应用的大多数服务。

屏蔽主机防火墙实现了网络层和应用层的安全，因而比单独的包过滤或应用网关代理更安全。在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可能被越过，使内部网完全暴露。同时，堡垒主机向外部网络用户提供面向应用的服务，也容易形成安全隐患，因为堡垒主机一旦因为应用服务的关系而被攻破，那么内部网络将暴露在攻击者的面前。

4.屏蔽子网结构

屏蔽子网结构防火墙系统在屏蔽主机结构基础上，增加了一个周边防御网段，用以进一步隔离内部与外部网络，如图5-5所示。这是防火墙部署中最常见的一种方式，也是最安全的一种方式。

图5-5 屏蔽子网结构防火墙系统

在这种结构中，它在内部网络和外部网络之间建立一个子网，称为边界网络，也称为非军事区DMZ。DMZ分别由内、外两个包过滤路由器与之连接。DMZ所受到的安全威胁不会影响到内部网络。

这种方式的防火墙在工作时，外部包过滤路由器利用配置的访问控制列表管理外部对DMZ的访问，而内部包过滤路由器作为第三道防线，利用各种规则阻止所有不是从堡垒主机输入的流量，并且向外发送的流量只能经过堡垒主机。而堡垒主机则运行应用代理服务软件为内部网络提供各种对外的服务。

所有提供公共访问的设备，如Web服务器、E-Mail服务器等，都可以被放在DMZ中。内部网络和外部网络都能够访问到DMZ中的各种服务器，但是当外部网络攻破堡垒主机或那些对外服务的服务器时，由于DMZ与内部包过滤路由器的隔离作用，内部网络受到的安全威胁被尽可能地减少了。

使用这种方案的主要好处就是攻击者想要访问内部网络必须攻破3个单独的设备——外部包过滤路由器、DMZ中的堡垒主机、内部包过滤路由器，而不被发现。很明显，这对攻击者而言，有很多的困难。并且，因为路由信息包含网络信息，内部用户不通过堡垒主机则不能访问外部网络，任何直接从内部网络发出的数据都不能转发到外部网络上，因为不存在这样的路由表，这种配置避免了内部用户绕过安全机制。

六、防火墙分类

1.软件防火墙、硬件防火墙和芯片级防火墙

如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

（1）软件防火墙:软件防火墙采用纯软件的方式运行于计算机上，它需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要管理员对操作系统平台比较熟悉。

这类防火墙产品包括Microsoft公司的企业级产品ISA Server和Route OS，它们都能够部署在网络边界，起着与硬件防火墙一样的效果。而天网防火墙、金山网镖等则只能用于桌面系统，保护单个主机。

（2）硬件防火墙:目前的硬件防火墙主要有基于网络处理器的防火墙和基于x86架构的防火墙。这类防火墙严格来说，是硬件与软件的结合体。

（3）芯片级防火墙:芯片级防火墙使用专门的硬件处理网络数据流，它为防火墙应用专门设计了数据包处理流水线，同时对存储器等资源的利用进行了优化，是性能最佳的防火墙技术方案。芯片级防火墙比其他种类的防火墙工作更稳定、速度更快、处理能力更强，但价格相对比较昂贵。这类防火墙最出名的产品有Net Screen防火墙、思科PIX防火墙等。

2.边界防火墙、个人防火墙和分布式防火墙

按照防火墙的应用部署位置来区分，防火墙可以分为边界防火墙、个人防火墙和混合防火墙3大类。

（1）边界防火墙:边界防火墙是最传统的防火墙，它位于内部网络和外部网络的连接处，使得内部网络和外部网络之间的所有数据流都经过它，以此对内部网络和外部网络实施隔离，执行安全控制策略，保护内部网络。这类防火墙一般要求具有较高的性能，所以大部分都是硬件类型的，价格较贵。

（2）个人防火墙:个人防火墙主要部署于个人计算机中，用于对网络中的个人计算机进行防护，是对传统边界式防火墙在安全体系方面的一个完善。这类防火墙通常为软件防火墙。

（3）分布式防火墙:分布式防火墙技术很好地解决边界防火墙的不足，给网络带来非常全面的安全防护。分布式防火墙是一种主机驻留式的安全系统，它是以主机为保护对象，它的设计理念是主机以外的任何用户访问都是不可信任的，都需要进行过滤。当然在实际应用中，并不是要求对网络中每台主机都安装这样的系统，因为这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键服务器、数据及工作站免受非法入侵的破坏。

分布式防火墙负责对网络边界、各子网和网络内部各主机的安全防护，所以分布式防火墙是一个完整的系统，而不是单一的产品，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间的通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。