防火墙用户认证

1．互联网安全概述

1）网络安全的概念

网络系统的开放性，以及现有网络协议和软件系统固有的安全缺陷，特别是Internet使用和管理上的无政府状态，使任何一种网络系统都不可避免地、或多或少地存在一定的安全隐患和风险，使人们在享受网络所带来方便和效益的同时，也面临着网络安全方面的巨大挑战。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠、正常地运行，网络服务不中断。网络安全从本质上讲就是网络信息的安全，包括静态信息的存储安全和信息的传输安全。为了保证网络的安全，必须保证以下四个方面的安全：①运行系统的安全；②网络上系统信息的安全；③网络上信息传播的安全；④网络上信息内容的安全。

为了保证这些方面的安全，通常会使用一些网络产品或技术，如防火墙、VPN、入侵检测系统等，这些安全产品和技术的使用可以从一定程度上满足网络安全需求，如防火墙最主要的功能就是访问控制功能，VPN可以实现加密传输，入侵检测系统可以在恶意入侵系统阶段就处理威胁等。

2）网络系统的应用环境

网络系统面临的安全风险和潜在的安全风险与网络应用环境密切相关。目前，网络应用环境大致可分为以下三种。

（1）开放网络环境。它主要是指Internet中向公众开放的各种信息服务系统或网站，网站与Internet连接，信息内容完全开放，任何用户都可以通过Internet浏览网站上的信息。这种网络应用是开放的，它所面临的安全风险是拒绝服务（Denial of Service，DOS）、篡改网页内容以及被非法利用等。

（2）专用网络环境。它主要是指基于Internet互联的专用网，如企业网、金融网、商务网等。专用网通过防火墙与Internet连接，网络资源只向授权的用户开放，他们可以通过Internet访问专用网上的信息资源。这种网络应用是半开放的，它所面临的安全风险是假冒合法用户获取信息以及在信息传输过程中非法截获或者篡改信息等。

（3）私用网络环境。它主要是指与Internet完全隔离的内部网，如政务网、军用网等，私用网与Internet是物理隔离的，网络资源只向授权的内部网用户开放，他们只能通过内部网访问网络中的信息资源。这种网络应用是封闭的，它所面临的安全风险是内部用户的非授权访问、窃取和泄露机密信息等。

2．防火墙技术概述

随着网络规模越来越大，互联网的安全问题也显得越来越重要。网络的安全性主要是指网络信息的安全性和网络路由的安全性。网络信息的安全性问题将在本章的9.3介绍。网络路由的安全性包括两个方面。一方面，限制外部网对本地网的访问，从而保护本地网中的特定资源免受非法侵犯；另一方面，限制本地网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问。网络路由的安全性通常可由防火墙来保证。

1）防火墙的概念

“防火墙”是一种形象的说法，其实它是一种由计算机硬件和软件组成的一个或一组系统，用于增强内部网络和Internet之间的访问控制。防火墙是设置在被保护网络和外部网络之间的一道屏障，使互联网与内部网之间建立起一个安全网关，从而防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

2）设置防火墙的意义

Internet是一个开放的世界，它在拥有丰富信息量的同时也存在着许多不安全因素。自内部网连上Internet，使它的用户能访问Internet上的服务时，非内部网用户也能通过Internet访问内部网用户，实现一些非法操作，如盗取重要资料、破坏文件等。这对于没有受到任何保护的内部网用户来说无疑是一种灾难。

人们经常在建筑物之间修建一些墙壁，以便在火灾发生时，使火势不至于从一幢建筑蔓延到另一幢建筑，这些墙被称为“防火墙”。与此类似，可以在内部网和Internet之间设置一堵“防火墙”，以保护内部网免受外部的非法入侵。在网络世界中，防火墙是被配置在内部网和Internet之间的系统（或一组系统），通过控制内外网络间信息的流动来达到增强内部网络安全性的目的；防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。

3）防火墙的定义

关于防火墙的定义，目前在业界有着不同的意见，一般认为，防火墙是放在两个网之间用于提高网络安全的软、硬件系统的集合，具有如下属性。

（1）所有从内到外的通信流量都必须通过它。

（2）仅仅被本地安全策略定义的且被授权的通信量允许通过。

（3）系统对外部攻击具有高抵抗力。

4）防火墙的工作原理

防火墙的工作原理是，在内部网和外部网之间建立起一条隔离墙，检查进入内部网络的信息是否合法，或者是否允许用户的服务请求，从而阻止对内部网络的非法访问和非授权用户的进入，同时也可以禁止特定的协议通过相应的网络。图9.2为最简单的防火墙设置方式。

图9.2 防火墙的设置方式

作为内域网络和外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。在发展初期，它处于OSI七层协议的网络层，也就是网络安全的最底层，只是用来负责网络之间的安全认证和传输（信息过滤），但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层以外的其他安全层次，它不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外，还有多种防火墙产品研究正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

5）防火墙的体系结构与功能

（1）防火墙的体系结构。

为网络建立防火墙，首先需决定防火墙将采取何种安全控制基本准则。有以下两种准则可供选择：①一切未被允许的都是禁止的；②一切未被禁止的都是允许的。

总之，从安全性的角度考虑，第一种准则更可取一些，而从灵活和使用方便性的角度考虑，第二种准则更适合。

6）防火墙的分类

一般说来，根据防火墙所采用技术的不同，我们将它分为三种基本类型，即包过滤型、代理服务器型和监测型。

（1）包过滤型。包过滤型的技术依据是网络中的分包传输技术。网络上的数据都是以“数据包”为单位进行传输的，数据被分割成一定大小的数据包，每一个数据包中都包含诸如数据源地址、目标地址、TCP/UDP源端口地址和目标端口地址等特定信息。防火墙就是通过读取数据包中的地址信息并通过与系统管理员制定的规则表的对比来判断这些“包”是否来自于可信任的站点，并自动将来自于危险站点的数据包拒之门外。

包过滤通常是安装在路由器上，作为防火墙的基本功能，多数路由器都提供了包过滤功能，另外在计算机上安装包过滤软件也可以作为防火墙使用。

包过滤技术作为一种基本的功能，其优点在于，由于不少路由器具有数据包过滤的功能，因此逻辑简单，易于安装和使用，对用户的透明性较好，实现成本低；在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。

包过滤技术的主要缺陷在于包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及通过电子邮件中附带病毒进行破坏等。此外，因为数据包的源地址、目标地址、端口号等信息在数据包的头部，有经验的黑客很容易通过窃听和假冒骗过包过滤型的防火墙，一旦突破防火墙，整个系统会被完全暴露在外面，黑客将轻易对主机和软件进行攻击，对用户造成难以估计的损失。

（2）代理服务器型。代理服务器也可以称为应用网关，是当前防火墙产品的主流趋势。代理服务器的工作原理是，客户端程序与代理服务器连接，代理服务器再与访问的外部服务器实际连接。代理服务器位于客户机和服务器之间，完全阻挡了二者之间的数据交流。对客户机来讲，代理服务器相当于一台真正的服务器；而对服务器来讲，代理服务器又相当于一台真正的客户机。当客户机需要使用服务器的数据时，首先将数据请求发送到代理服务器，代理服务器首先检查访问用户是否有权访问该服务器以及是否能够进行所要求的应用，然后根据通过检测的请求来向服务器索取数据，服务器将数据由代理服务器传送给客户机。由于外部系统与内部服务器之间的连接都要通过代理服务器，它们之间没有直接的数据通道，因此外部的恶意侵害就很难伤害到企业内部的网络系统。并且代理服务是在应用层中实现的，能对应用层的协议进行过滤，如Web、HTTP、FTP、Telnet、SMTP、POP等，除此以外，代理服务器还能对应用层的协议进行转换。

（3）监测型。监测型防火墙是新一代的防火墙产品，这一技术的出现实际上已经使防火墙的定义超越了最初防火墙的定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断各层的非法入侵。同时，这种监测型防火墙一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络节点之中，不仅能够检测来自网络内部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。监测型防火墙不仅超越了传统防火墙的概念，而且在安全上也有了极大的提高。

另外，根据实际使用的要求，还产生了一些更为细数的分类，如将防火墙分为复合型、加密路由型等。