第5章防火墙技术





观看视频


本章重点： 

(1) 防火墙的定义、发展简史、目的、功能、局限性。

(2) 包过滤防火墙和代理防火墙的实现原理、技术特点以及实现方式。

(3) 防火墙的常见体系结构。

(4) 分布式防火墙的体系结构、特点。
5.1防火墙技术概述

防火墙(Firewall)是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与Internet或者其他网络之间进行的信息存取、传递操作，可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，可以有效地监控内部网与Internet之间的任何活动，保证了内部网络的安全。

防火墙是提供信息安全服务，实现网络和信息安全的基础设施。在构建安全的网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。通常一个单位在购买网络安全设备时，总是把防火墙放在首位。目前，防火墙已经成为世界上用得最多的网络安全产品之一。本章主要讲述防火墙是如何保证网络系统的安全的。

5.1.1防火墙的定义

《辞海》上说：“防火墙： 用非燃烧材料砌筑的墙。设在建筑物的两端或在建筑物内将建筑物分割成区段，以防止火灾蔓延。”在IT这个变革一切、改造一切的世界里，人们借助了这个概念，“防火墙是设置在被保护网络与外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的入侵。”如果说，只要用户使用了计算机，就应该使用杀毒软件； 那么，只要用户联上了Internet，就应该构建防火墙。

简单地说，防火墙是位于内部网络与外部网络之间或两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。

防火墙是设置在被保护网络与外部网络之间的一道屏障，是不同网络或网络安全域之间信息的唯一出入口，能根据受保护的网络的安全政策控制(允许、拒绝、监测)出入网络的信息流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。图51为防火墙示意图。



图51防火墙示意图



网络安全与管理(微课视频版)


第5章防火墙技术


5.1.2防火墙的发展简史

第一代防火墙： 第一代防火墙技术几乎与路由器同时出现，采用了包过滤(Packet Filter)技术。

第二、三代防火墙： 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙，即应用层防火墙(代理防火墙)的初步结构。

第四代防火墙： 1992年，USC信息科学院的Bob Braden开发出了基于动态包过滤技术的第四代防火墙，后来演变为目前所说的状态监视技术。1994年，以色列的Checkpoint公司开发出第一个基于这种技术的商业化产品。

第五代防火墙： 1998年，NAI公司推出了一种自适应代理技术，并在其产品中得以实现，为代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

第六代防火墙： 一体化安全网关UTM防火墙。统一威胁管理(Unified Threat Management，UTM)，是在防火墙基础上发展起来的，具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能，因此主要用于对性能要求不高的中低端领域。在该领域，已经出现了UTM代替防火墙的趋势，因为在不开启附加功能的情况下，UTM本身就是一个防火墙，而附加功能又为用户的应用提供了更多选择。在高端应用领域，如电信、金融等行业，仍然以专用的高性能防火墙、IPS为主流。

5.1.3设置防火墙的目的和功能

通常应用防火墙的目的有以下几方面： 限制他人进入内部网络，过滤不安全的服务和非法用户，防止入侵者接近用户的防御设施，限定人们访问特殊站点，为监视局域网安全提供方便。

无论何种类型的防火墙，从总体上看，都应具有以下五大基本功能： 过滤进出网络的数据； 管理进出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击的检测和告警。防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。其功能具体表现在以下四方面。

1. 防火墙是网络安全的屏障

防火墙作为阻塞点、控制点，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以内部网络环境变得更安全。例如，防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2. 防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件如口令、加密、身份认证和审计等配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

3. 对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当地报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的，其理由是可以了解防火墙是否能够抵挡攻击者的探测和攻击、防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4. 防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含有关安全的线索而引起外部攻击者的兴趣，甚至因此暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的服务，如Finger、DNS等。Finger可显示主机所有用户的注册名、真名，最后登录时间和使用的Shell类型等，但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等。防火墙可以同样阻塞有关内部网络中的DNS信息。这样，内部主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有 Internet 服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地连成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

总之，防火墙允许网络管理员定义一个中心点来防止非法用户进入内部网络； 可以很方便地监视网络的安全性，并报警； 可以作为部署NAT(Network Address Translation，网络地址变换)的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题； 防火墙还是审计和记录Internet使用费用的一个最佳地点，网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费； 防火墙可以连接到一个单独的网段上(从技术角度来讲，这就是所谓的停火区——DMZ)，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。

5.1.4防火墙的局限性

防火墙技术是内部网络最重要的安全技术之一，但防火墙也有其明显的局限性。

1. 防火墙防外不防内

防火墙的安全控制只能作用于外对内或内对外，对外可屏蔽内部网的拓扑结构，封锁外部网上的用户连接内部网上的重要站点或某些端口； 对内可屏蔽外部危险站点，但它很难解决内部网控制内部人员的安全问题，即防外不防内。而据权威部门统计表明，网络上的安全攻击事件有 70％以上来自内部。

2. 网络应用受到结构性限制

传统的边界式防火墙依赖于物理上的拓扑结构，它从物理上将网络划分为内部网络和外部网络。而根据VPN的概念，它对内部网络和外部网络的划分是基于逻辑上的，逻辑上同处内部网络的主机可能在物理上分处内部和外部两个网络。传统的防火墙在此类网络环境的应用受到了结构性限制。

基于以上原因，传统防火墙不能在有两个内部网络之间通信需求的VPN网络中使用，否则VPN通信将被中断。虽然目前有一种 SSL VPN技术可以绕过企业边界的防火墙进入内部网络VPN通信，但是应用更广泛的传统 IPSec VPN通信中还是不能使用，除非是专门的VPN防火墙。

3. 防火墙难于管理和配置，易造成安全漏洞

防火墙的管理及配置相当复杂，要想成功维护防火墙，就要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解； 防火墙的安全策略无法进行集中管理，一般来说，由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机)组成的防火墙，管理上有所疏忽是在所难免的。

4. 效率较低、故障率高

由于防火墙把检查机制集中在网络边界处的单点上，产成了网络的瓶颈和单点故障隐患。从性能的角度来说，防火墙极易成为网络流量的瓶颈。

5. 很难为用户在防火墙内外提供一致的安全策略

许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份，这样就很难为同一用户在防火墙内外提供一致的安全控制策略，限制了网络的物理范围。

6. 防火墙只实现了粗粒度的访问控制

防火墙只实现了粗粒度的访问控制，且不能与网络内部使用的其他安全(如访问控制)集中使用。这样，就必须为网络内部的身份验证和访问控制管理维护单独的数据库。

5.1.5防火墙技术发展动态和趋势

考虑到Internet发展的凶猛势头和防火墙产品的更新步伐，要全面展望防火墙技术的发展几乎是不可能的，但是，从产品及功能上，却可以看出一些动向和趋势，防火墙产品正向以下趋势发展。

1. 优良的性能

新一代防火墙系统不仅应该能更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。数据通过率越高，防火墙性能越好。传统的代理型防火墙虽然可以提供较高级别的安全保护，但同时也成为限制网络带宽的瓶颈，这极大地制约了它在网络中的实际应用。现在大多数的防火墙产品都支持NAT功能，它可以让受防火墙保护一边的IP地址不至于暴露在没有保护的另一边，但启用NAT后，势必会对防火墙系统性能有所影响，如何尽量减少这种影响也成为目前防火墙产品的卖点之一。另外，防火墙系统中集成的VPN解决方案必须是真正的线速运行，否则将成为网络通信的瓶颈。特别是采用复杂的加密算法时，防火墙性能尤为重要。总之，未来的防火墙系统将会把高速的性能和最大限度的安全性有机结合在一起，有效地消除制约传统防火墙的性能瓶颈。

2. 可扩展的结构和功能

选择哪种防火墙，除了应考虑它的基本性能外，毫无疑问，还应考虑用户的实际需求与未来网络的升级。因此，防火墙除了具有保护网络安全的基本功能外，还提供对VPN的支持，同时还应该具有可扩展的内驻应用层代理。除了支持常见的网络服务以外，还应该能够按照用户的需求提供相应的代理服务，例如，如果用户需要NNTP、X Window、HTTP和Gopher等服务，防火墙就应该包含相应的代理服务程序。未来的防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤到带加密功能的VPN型包过滤，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。

3. 简化的安装与管理

防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。若防火墙的配置和管理过于困难，则可能会造成设置上的错误，反而不能达到其功能。未来的防火墙将具有非常易于配置的图形用户界面，NT防火墙市场的发展证明了这种趋势。

4. 主动过滤

许多防火墙都包括对过滤产品的支持，并可以与第三方过滤服务连接，这些服务提供了不受欢迎的Internet站点的分类清单。防火墙还在它们的 Web 代理中包括时间限制功能，允许非工作时间的冲浪和登录，并提供冲浪活动的报告。

5. 防病毒与防黑客

许多防火墙具有内置防病毒与防黑客的功能。下面几点可能是防火墙技术下一步的走向和选择。

(1) 防火墙将从目前对子网或内部网络管理的方式向远程上网集中管理的方式发展。

(2) 过滤深度不断加强，从目前的地址、服务过滤，发展到 URL(页面)过滤、关键字过滤和对 ActiveX、Java 等，并逐渐拥有病毒扫除功能。

(3) 利用防火墙建立专用网(VPN)是较长一段时间的主流，IP 的加密需求越来越强，安全协议的开发是一大热点。

(4) 对网络攻击的检测和告警将成为防火墙的重要功能。

(5) 安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙的一部分。

综上所述，未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全和数据的安全五方面。此外，防火墙产品还将把网络前沿技术，如Web 页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。

5.2防火墙技术
5.2.1防火墙的技术分类

根据防范的方式和侧重点的不同，防火墙技术可分为很多种类型。按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系： 包过滤防火墙和代理防火墙。

前者以以色列的Checkpoint防火墙和Cisco公司的PIX以及ASA防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。

1. 包过滤防火墙

数据包过滤技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择的控制与操作。包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤(通常是对从Internet进入到内部网络的包进行过滤)。选择的依据是系统内设置的过滤逻辑，被称为访问控制表或规则表。规则表指定允许哪些类型的数据包可以流入或流出内部网络，例如，只接收来自某些指定的IP地址的数据包或者内部网络的数据包可以流向某些指定的端口等； 哪些类型的数据包的传输应该被拦截。防火墙的IP包过滤规则以IP包信息为基础，对IP包源地址、目标地址、传输方向、分包、IP包封装协议(TCP/UDP/ICMP/IP Tunnel)TCP/UDP目标端口号等进行筛选、过滤。通过检查数据流中每个数据包的源地址、目标地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。包过滤处理如图52所示。



图52包过滤处理


包过滤操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。

数据包过滤是一个网络安全保护机制，用来控制流出和流入网络的数据。不符合网络安全的那些服务将被严格限制。基于包中的协议类型和协议字段值，过滤路由器能够区分网络流量； 基于协议特定的标准，路由器在其端口能够区分包和限制包，这种能力称作包过滤。正是因为这种原因，过滤路由器也可以称作包过滤路由器。

1) 包过滤技术的发展

包过滤类型的防火墙遵循的一条最基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包通过，而禁止其他的数据包通过。有两种数据包过滤技术，分别为静态包过滤和动态包过滤技术。

(1) 静态包过滤。

一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。利用静态包过滤规则建立的防火墙就叫静态包过滤防火墙，如图53所示。这种类型的防火墙根据定义好的过滤规则审查每个数据包，即与规则表进行比较，以便确定其是否与某一条包过滤规则匹配。



图53静态包过滤防火墙


(2) 动态包过滤。

采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且可根据需要动态地在过滤规则中增加或更新条目。即采用了基于连接状态的检查和动态设置包过滤规则的方法，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查。动态过滤规则技术避免了静态包过滤所具有的问题，使防火墙弥补了许多不安全的隐患，在最大程度上降低了黑客攻击的成功率，从而大大提高了系统的性能和安全性，如图54所示。



图54动态包过滤防火墙


2) 包过滤的优点

数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上，而路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。包过滤防火墙的优点具体体现在下面几点。

(1) 不用改动应用程序。包过滤不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。

(2) 一个过滤路由器能协助保护整个网络。一个单个的、恰当放置的包过滤路由器有助于保护整个网络。如果仅有一个路由器连接内部与外部网络，不论内部网络的大小、内部拓扑结构如何，通过那个路由器进行数据包过滤，在网络安全保护上就能取得较好的效果。

(3) 数据包过滤对用户透明。数据包过滤是在IP层实现的，Internet根本感觉不到它的存在； 包过滤不要求任何自定义软件或者客户机配置； 它也不要求用户任何特殊的训练或者操作，使用起来很方便。较强的“透明度”是包过滤的一大优势。

(4) 过滤路由器速度快、效率高。较Proxy而言，过滤路由器只检查报头相应的字段，一般不查看数据包的内容，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。

总之，包过滤技术是一种通用、廉价、有效的安全手段。之所以通用，是因为它不针对各个具体的网络服务采取特殊的处理方式； 之所以廉价，是因为大多数路由器都提供分组过滤功能； 之所以有效，是因为它能很大程度地满足企业的安全要求。

3) 包过滤的缺点

(1) 不能彻底防止地址欺骗。

大多数包过滤路由器都是基于源IP地址、目标IP地址而进行过滤的。而数据包的源地址、目标地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒(IP地址的伪造是很容易、很普遍的)，如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过报文过滤器。所以，包过滤最主要的弱点是不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。

包过滤路由器在这点上大都无能为力。即使按MAC地址进行绑定，也是不可信的。对于一些安全性要求较高的网络，过滤路由器是不能胜任的。

(2) 一些应用协议不适合于数据包过滤，如Telnet、SMTP和DNS。

(3) 正常的数据包过滤路由器无法执行某些安全策略。

数据包过滤路由器上的信息不能完全满足用户对安全策略的需求。例如，数据包的报头信息只能说明数据包来自什么主机，而不知道是什么用户； 只知道数据包发送到什么端口，而不知道是发送到什么应用程序。这就存在着很大的安全隐患和管理控制漏洞。

(4) 安全性较差。

过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足； 在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大影响； 由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议； 非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 大多数过滤器中缺少审计和报警机制，通常没有用户的使用记录，这样，管理员就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。

(5) 数据包工具存在很多局限性。

例如，数据包过滤规则难以配置，管理方式和用户界面较差； 对安全管理人员素质要求高； 建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。

从以上分析可以看出，包过滤防火墙技术虽然能确保一定的安全保护，且也有许多优点，但是包过滤毕竟是第一代防火墙技术，本身存在较多缺陷，不能提供较高的安全性。因此，在实际应用中，很少把包过滤技术当作单独的安全解决方案，通常是把它与应用网关配合使用或与其他防火墙技术糅合在一起使用，共同组成防火墙系统。

2. 代理防火墙

代理防火墙是一种较新型的防火墙技术，分为应用层网关和电路层网关。

1) 代理防火墙的原理

代理服务器，是指代表客户处理服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接收服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制； 而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图55所示。



图55代理的工作方式


从图55中可以看出，代理服务器作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。

2) 应用层网关防火墙

(1) 原理。

应用层网关防火墙是传统代理型防火墙，其核心技术就是代理服务器技术，它是基于软件的，通常安装在专用工作站系统上。这种防火墙通过代理技术参与一个TCP连接的全过程，并在网络应用层建立协议过滤和转发功能，所以称作应用层网关。当某用户(不管是远程的还是本地的)想和一个运行代理的网络建立联系时，此代理(应用层网关)会阻塞这个连接，然后在过滤的同时，对数据包进行必要的分析、登记和统计，形成检查报告。如果此连接请求符合预定的安全策略或规则，代理防火墙便会在用户与服务器之间建立一个“桥”，从而保证其通信。对不符合预定的安全规则的，则阻塞或抛弃。换句话说，“桥”上设置了很多控制。同时，应用层网关将内部用户的请求确认后送到外部服务器，再将外部服务器的响应回送给用户。这种技术对ISP很常见，被用于在Web服务器上高速缓存信息，并且扮演Web客户与Web服务器之间的中介角色。它主要保存Internet上那些最常用和最近访问过的内容： 在Web上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。它为用户提供了更快的访问速度，并且提高了网络安全性。应用层网关的工作原理如图56所示。



图56应用层网关防火墙


(2) 优点。

应用层网关防火墙最突出的优点就是安全，这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定服务如HTTP编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网络。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。包过滤类型的防火墙是很难彻底避免这一漏洞的。

应用层网关防火墙同时也是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。

(3) 缺点。

代理防火墙的最大缺点就是速度相对较慢，当用户对内外网络网关的吞吐量要求比较高时(例如要求达到75～100Mb/s)，代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网之间的防火墙。

3) 电路层网关防火墙

另一种类型的代理技术称为电路层网关或TCP通道。在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包，如图57所示。



图57电路层网关


电路层网关是建立应用层网关的一个更加灵活的方法。它是针对数据包过滤和应用网关技术存在的缺点而引入的，一般采用自适应代理技术，也称为自适应代理防火墙。在电路层网关中，需要安装特殊的客户机软件。组成这种类型防火墙的基本要素有两个： 自适应代理服务器与动态包过滤器。在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置即可。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发数据包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。所以，它结合了应用层网关型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。电路层网关防火墙的工作原理如图58所示。



图58电路层网关防火墙


电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

4) 代理技术的优点

(1) 代理易于配置。因为代理是一个软件，所以它较过滤路由器更易配置，配置界面十分友好。如果代理实现得好，可以对配置协议要求较低，从而避免了配置错误。

(2) 代理能生成各项记录。因代理工作在应用层，它检查各项数据，所以可以按一定准则，让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。当然，也可以用于计费等。

(3) 代理能灵活、完全地控制进出流量、内容。通过采取一定的措施，按照一定的规则，用户可以借助代理实现一整套的安全策略，例如，可以控制“谁”和“什么”，以及“时间”和“地点”。

(4) 代理能过滤数据内容。用户可以把一些过滤规则应用于代理，让它在高层实现过滤功能，如文本过滤、图像过滤(目前还未实现，但这是一个热点研究领域)，预防病毒或扫描病毒等。

(5) 代理能为用户提供透明的加密机制。用户通过代理控制数据的输入/输出，从而可以让代理完成对数据加/解密的功能，方便了用户，确保了数据的机密性。这点在虚拟专用网中特别重要。代理可以广泛地用于企业外部网中，提供较高安全性的数据通信。

(6) 代理可以方便地与其他安全手段集成。目前的安全问题解决方案很多，如认证、授权、账号、数据加密、安全协议等。如果把代理与这些手段联合使用，将大大增加网络安全性。这也是近期网络安全的发展方向。

5) 代理技术的缺点

(1) 代理速度较路由器慢。

路由器只是简单查看TCP/IP报头，检查特定的几个域，不做详细分析、记录。而代理工作于应用层，要检查数据包的内容，按特定的应用协议(如 HTTP)进行审查、扫描数据包内容，并进行代理(转发请求或响应)，故其速度较慢。

(2) 代理对用户不透明。

许多代理要求客户端做相应改动或安装定制客户端软件，这给用户增加了不透明度。由于硬件平台和操作系统都存在差异，要为庞大的互异网络的每一台内部主机安装和配置特定的应用程序既耗费时间，又容易出错。

(3) 对于每项服务，代理可能要求不同的服务器。

可能需要为每项协议设置一个不同的代理服务器，因为代理服务器不得不理解协议以便判断什么是允许的和不允许的，并且还扮演一个对真实服务器来说是客户、对代理客户来说是服务器的角色。挑选、安装和配置所有这些不同的服务器也可能是一项规模较大的工作。

(4) 代理服务不能保证免受所有协议弱点的限制。

作为一个安全问题的解决方法，代理取决于对协议中哪些是安全操作的判断能力。每个应用层协议，都或多或少存在一些安全问题，对于一个代理服务器来说，要彻底避免这些安全隐患几乎是不可能的，除非关掉这些服务。代理取决于在客户端与真实服务器之间插入代理服务器的能力，这要求两者之间交流的相对直接性，而且有些服务的代理是相当复杂的。

(5) 代理不能改进底层协议的安全性。

因为代理工作于TCP/IP之上，属于应用层，所以不能改善底层通信协议的能力。如IP欺骗，伪造ICMP消息和一些拒绝服务的攻击。而这些方面，对于一个网络的健壮性是相当重要的。

3. 两种防火墙技术的比较

两种防火墙技术的比较见表51。


表51两种防火墙技术比较


优缺点包过滤防火墙代理防火墙


优点

价格较低内置了专门为了提高安全性而编制的Play应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理
性能开销小，处理速度较快安全，不允许数据包通过防火墙，避免了数据驱动式攻击的发生

缺点
定义复杂，容易出现因配置不当带来的问题速度较慢，不太适用于高速网(ATM 或千兆位Intranet等)之间的应用
允许数据包直接通过，容易造成数据驱动式攻击的潜在危险
不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成


5.2.2防火墙的主要技术及实现方式

防火墙的安全技术包括包过滤技术、代理、网络地址转换等多种技术。实现防火墙的方式也多种多样。先进的防火墙产品功能越来越强大，正逐渐将网关与安全系统合二为一。

1. 双端口或三端口的结构

新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做IP转换而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。

2. 透明的访问方式

以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。

3. 灵活的代理系统

代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接； 另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换技术来解决； 后者采用非保密的用户定制代理或保密的代理系统技术来解决。

4. 多级的过滤技术

为保证系统的安全性和防护水平，新一代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址； 在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务； 在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。

5. 网络地址转换技术

网络地址转换是一种用于把内部IP地址转换成临时的、外部的IP地址的技术。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址，同时还意味着用户不需要为其网络中每台机器取得注册的IP地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问，防火墙则根据预先定义好的映射规则来判断这个访问是否安全，并确定是否接受这个访问请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

有些防火墙提供了“内部网到外部网”“外部网到内部网”的双向NAT功能。同时支持两种方式的网络地址转换，一种为静态地址映射，即外部地址和内部地址一对一的映射，使内部地址的主机既可以访问外部网络，也可以接受外部网络提供的服务。另一种是更灵活的方式，可以支持多对一的映射，即内部的多个机器可以通过一个外部有效地址访问外部网络。让多个内部IP地址共享一个外部IP地址，就必须转换端口地址，这样内部不同IP地址的数据包就能转换为同一个IP地址而端口地址不同，通过这些端口对外部提供服务，这就意味着用户不需要为其网络中每台机器取得注册的IP地址。利用NAT转换功能不仅可以更有效地利用IP地址资源，解决IP地址短缺的问题，而且可以使系统管理员自行设置内部的地址而不必对外公开，隐藏了内部网络的真实地址，从而使外来的黑客无法探知内部网络的结构； 同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。

6. 网络状态监视器

现在广泛使用的Intranet均采用共享信道的方法，即把发给指定主机的信息广播到整个网络上。尽管在普通方式下，某台主机只能收到发给它的信息，然而只要这台主机将网络接口的方式设成“杂乱”模式，就可以接收到整个网络上的信息包。利用Intranet的这个特性，将监视器接在用户网络环境某个特定的位置，如Intranet与Internet连接出口处，则监视器可以接收整个网络上的信息包。

状态监视器作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。

与其他安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，记录并向系统管理器报告网络状态。状态监视器还可以监测 Remote Procedure Call 类的端口信息。状态监视器的主要缺点是配置非常复杂，而且会降低网络的速度。

1) 网络状态监视器的基本功能

(1) 可以按照指定的IP地址、特定域名或特定用户截取Internet上指定出口处流出的信息，或者截取全部数据包。

(2) 把截获的数据包重组，还原成用户传递的文件和明文(电子邮件、FTP 文件或HTTP 文件等)。

(3) 分析、处理截获的信息。

(4) 用户可查询监控的最终结果，也可实时监视。

(5) 具有系统操作数据访问安全控制的能力，并且有自动转储的备份机制和智能卡存取访问控制。

2) 网络状态监视器的作用

担当了网络安全审计员，有利于事后分析、追查网络的攻击、破坏、涉密等犯罪行为，便于检查网络运行状态和安全状况； 同时可作为网络安全报警器和保密检查员。

7. Internet网关技术

由于是直接串联在网络之中，新一代防火墙必须支持用户在Internet互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、Finger、Mail、Telnet、News 和WWW等)来实现网关功能。为确保服务器安全性，对所有的文件和命令均要利用“改变根系统调用”做物理上的隔离。

在域名服务方面，新一代防火墙采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息； 另一种是外部DNS服务器，专门用于处理机构内部Internet提供的部分DNS信息。

在匿名FTP方面，服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行； 在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本文本信息，而不提供任何攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件进行处理，利用邮件映射与标头剥除的方法隐除内部的邮件环境，Ident服务器对用户连接的识别专门处理，网络新闻服务则为接收来自 ISP 的新闻开设了专门的磁盘空间。

8. 安全服务器网络

为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，新一代防火墙用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离，这就是全服务器网络(SSN)技术。对SSN上的主机既可单独管理，也可设置成通过FTP、NET等方式从内部网上管理。SSN技术提供的安全性要比传统的隔离区(DMZ)方法好得多，因为SSN与外部网间有防火墙保护，SSN与内部网之间也有防火墙的保护，而DMZ只是一种在内、外部络网关之间存在的防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。

9. 用户鉴别与加密

为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少，新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。

10. 用户定制服务

为满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有： 通用TCP，出站UDP、FTP、SMTP等类，如果某一用户需要建立多个数据库的代理，便可利用这些支持，方便设置。

11. 审计和告警

新一代防火墙产品的审计和告警功能十分健全，日志文件包括： 一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。此外，新一代防火墙还在网络诊断、数据备份与保全等方面具有特色。

下面分别介绍几种应用防火墙的设计实现方式。

1) 应用网关代理

这种防火墙在网络应用层提供授权检查及代理服务。当外部某台主机试图访问(如Telnet)受保护网时，它必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为Telnet设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问的时间及访问的方式。同样，受保护网络的内部用户访问外部网时也需先登录到防火墙上，通过验证后才可使用Telnet或FTP等有效命令。

应用网关代理的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。

其缺点是这种认证使得应用网关不透明，用户每次连接都要受到“盘问”，这给用户带来许多不便； 而且这种代理技术需要为每个应用网关编写专门的程序。

2) 回路级代理服务器

回路级代理服务器也称为一般代理服务器，适用于多个协议，但无法解释应用协议，需要通过其他方式来获得信息。所以，回路级代理服务器通常要求修改用户程序。其中，套接字服务器就是回路级代理服务器。套接字是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套接字服务器检查客户的User ID、IP源地址和IP目的地址，经过确认后，套接字服务器才与外部的段服务器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为Internet的用户不需要登录到防火墙上。但是客户端的应用软件必须支持“Socket Sifide API”，受保护网络用户访问公共网络所使用的IP地址也都是防火墙的IP地址。

3) 代管服务器

顾名思义，代管服务器技术是把不安全的服务(如FTP、Telnet等)放到防火墙上，使它同时充当服务器，对外部的请示做出回答。与应用层代理实现相比，代管服务器技术不必为每种服务专门写程序。而且，受保护网内部用户想访问外部网时，也需要先登录到防火墙上，再向外提出请求，这样从外部网向内就只能看到防火墙，从而隐藏了内部地址，提高了安全性。

4) IP隧道

经常会出现这种情况，一个大公司的两个子公司相隔较远，需通过Internet通信。在这种情况下，可以采用IP Tunnels来防止Internet上的黑客截取信息，从而在Internet上形成一个虚构的企业网。

假如子网A中一主机(IP地址为X.X.X.X)欲向子网B中某主机(IP地址为Y.Y.Y.Y)发送报文，该报文经过本网防火墙FW1(IP地址为N.N.N.1)时，防火墙判断该报文是否发往子网B，若是，则再增加一报头，变成从此防火墙到子网B防火墙FW2(IP地址为N.N.N.2)的IP报文，而原IP地址封装在数据区内，同原数据一起加密后经Internet发往FW2。FW2接收到报文后，若发现源IP地址是FW1的，则去掉附加报头，解密，在本网上传送。从Internet上看，就只是两个防火墙的通信。即使黑客伪装了从FW1发往FW2的报文，由于 FW2在去掉报头后不能解密，所以仍会抛弃报文。

5) 隔离域名服务器

这种技术是通过防火墙将受保护网络的域名服务器与外部网络的城名服务器隔离，使外部网络的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

6) 邮件转发技术

当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上，这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目标地址进行转换，送到内部的邮件服务器，由其进行转发。

5.2.3防火墙的常见体系结构

一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据一组规则进行检查来判断是否对其进行转发。

屏蔽路由器从包头取得信息，例如，协议号、收发报文的IP地址和端口号、连接标志及另外一些IP选项，对IP包进行过滤。屏蔽路由器的优点是简单和低(硬件)成本。其缺点在于正确建立包过滤规则比较困难，屏蔽路由器的管理成本高，缺乏用户级身份认证等。

屏蔽路由器又叫包过滤路由器，是最简单、最常见的防火墙，屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。除具有路由功能外，再装上包过滤软件，利用包过滤规则完成基本的防火墙功能，如图59所示。屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。这种配置的缺点有以下几点。



图59屏蔽路由器示意图


(1) 没有或有很少的日志记录能力，因此网络管理员很难确定系统是否正在被入侵或已经被入侵了。

(2) 规则表随着应用的深化会很快变得很大而且复杂。

(3) 这种防火墙的最大弱点是依靠一个单一的部件来保护系统，一旦部件出现问题，会使网络的大门敞开，而用户可能还不知道。

代理服务器是防火墙系统中的一个服务器进程，它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。

由于对更高安全性的要求，屏蔽路由器和代理服务器通常组合在一起构成混合系统，形成复合型防火墙产品。其中，屏蔽路由器主要用来防止IP欺骗攻击。目前最广泛采用的配置是双宿主机网关防火墙、屏蔽主机型防火墙以及被屏蔽子网型防火墙。

1. 双宿主机网关

这种配置是用一台装有两块网卡的计算机作堡垒主机，两块网卡各自与受保护网络和外部网络相连，每一块网卡都有一个IP地址。堡垒主机上运行着防火墙软件——代理服务器软件(应用层网关)，可以转发应用程序、提供服务等，所以叫作双宿主机网关(Dual Homed Gateway)防火墙，如图510 所示。



图510双宿主机网关示意图


应该指出的是，在建立双宿主机时，应该关闭操作系统的路由能力，否则从一块网卡到另一块网卡的通信会绕过代理服务器软件，而使双宿主机网关失去防火墙的作用。

双宿主机网关优于屏蔽路由器的地方是： 堡垒主机的系统软件可用于维护系统日志、硬件复制日志或远程日志。这对于日后的检查很有用，但这不能帮助网络管理者确认内部网中哪些主机可能已被黑客入侵。

双宿主机网关的一个致命弱点是： 一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内部网。

2. 屏蔽主机网关

屏蔽主机网关由屏蔽路由器和应用网关组成，屏蔽路由器的作用是包过滤，应用网关的作用是代理服务，即在内部网络和外部网络之间建立了两道安全屏障，既实现了网络层安全(包过滤)，又实现了应用层安全(代理服务)。屏蔽主机网关很容易实现： 在内部网络与Internet的交汇点，安装一台屏蔽路由器，同时在内部网络上安装一个堡垒主机(应用层网关)即可，如图511所示。



图511屏蔽主机网关示意图


注意： 应用网关只有一块网卡，因此它不是双宿主机网关。

屏蔽主机网关防火墙具有双重保护，比双宿主机网关防火墙更灵活，安全性更高。但由于要求对两个部件配置以便能协同工作，所以防火墙的配置工作很复杂。

3. 被屏蔽子网

被屏蔽子网防火墙是在屏蔽主机网关防火墙的基础上再加一个路由器，两个屏蔽路由器放在子网的两端，形成一个被称为非军事区(DMZ)的子网，即在内部网络和外部网络之间建立一个被隔离的子网，如图512所示。



图512被屏蔽子网防火墙示意图


内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信，如WWW和FTP服务器可放在DMZ中。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。外部屏蔽路由器和应用网关与在屏蔽主机网关防火墙中的功能相同。内部屏蔽路由器在应用网关与受保护网络之间提供附加保护，从而形成三道防线。因此，一个入侵者要进入受保护的网络比主机过滤防火墙更加困难。但是，它要求的设备和软件模块最多，其配置最贵且相当复杂。

5.3防火墙的主要性能指标

防火墙的主要性能指标包括如下9方面。

1. 支持的局域网接口类型、数量及服务器平台

 支持的 LAN 接口类型： 防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环网及FDDI等。

 支持的最大 LAN 接口数： 指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。

 服务器平台： 防火墙所运行的操作系统平台，如 Linux、UNIX、Windows NT、专用安全操作系统等。

2. 支持的协议

 支持的非IP协议： 除支持IP协议之外，又支持AppleTalk、DECnet、IPX 及NET BUI等协议。

 建立VPN通道的协议： 构建VPN通道所使用的协议，如密钥分配等，主要分为IPSec、PPTP、专用协议等。

 可以在VPN中使用的协议： 在VPN中使用的协议一般是指TCP/IP协议。

3. 对加密技术的支持

 支持的VPN加密标准： VPN中支持的加密算法，如数据加密标准 DES、3DES、RC$以及国内专用的加密算法。

 提供基于硬件的加密： 是否提供硬件加密方法。硬件加密可以提供更快的加密速度和更高的加密强度。

4. 对认证技术的支持

 支持的认证类型： 是指防火墙支持的身份认证协议。一般情况下具有一个或多个认证方案，如 RADIUS、Kerberos、TACACS/TACACS+、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。

 支持的认证标准和CA互操作性： 厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CA产品兼容互通。支持数字证书。

5. 对访问控制技术的支持

通过防火墙的IP数据包的过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。应用层协议过滤要求主要包括 FTP 过滤、基于 RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。

 在应用层提供代理支持，如HTTP、FTP、Telnet、SNMP等。

 在传输层提供代理支持。

 支持FTP文件类型过滤。

 用户操作的代理类型： 应用层高级代理功能，如HTTP、POP3等。

 支持网络地址转换 （NAT）。

 支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。

6. 对各种防御功能的支持

支持病毒扫描，提供内容过滤，能防御拒绝服务攻击 （Dos），能阻止 ActiveX、Java、Cookies、Javascrip 入侵。能够过滤用户上传的 CGI、ASP 等程序，当发现危险代码时，向服务器报警。

7. 对安全特性的支持

 支持转发和跟踪网间控制报文协议（ICMP 协议/ICMP 代理）。

 提供入侵实时警告： 提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，报警的方式可能是邮件、呼机、手机等。

 提供实时入侵防范： 提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。

 识别/记录/防止企图进行IP地址欺骗： IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击，防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过。

8. 管理功能

通过集成策略集中管理多个防火墙： 是否支持集中管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理。管理员的行为主要包括： 通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。

 提供基于时间的访问控制： 是否提供基于时间的访问控制。

 支持SNMP监视和配置： SNMP是Simple Network Management Protocol(简单网络管理协议)的缩写。

 本地管理： 管理员通过防火墙的Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。

 远程管理： 管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理，管理的通信协议可以基于FTP、Telnet、HTTP等。

 支持带宽管理： 防火墙能够根据当前的流量动态调整某些客户端占用的带宽。

 负载均衡特性： 负载均衡可以看成动态的端口映射，它将一个外部地址的某一 TCP或UDP端口映射到一组内部地址的某一端口。负载均衡主要用于将某项服务 （如 HTTP）分摊到一组内部服务器上以平衡负载。

 失败恢复特性： 指支持容错技术，如双机热备份、故障恢复，双电源备份等。

9. 记录和报表功能

防火墙处理完整日志的方法： 防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。

 提供自动日志扫描： 指防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。

 提供自动报表、日志报告书写器： 防火墙实现的一种输出方式，提供自动报表和日志报告功能。

 警告通知机制： 防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括Email、呼机和手机等。

 提供简要报表 （按照用户ID或IP地址）： 防火墙实现的一种输出方式，按要求提供报表分类打印。

 提供实时统计： 防火墙实现的一种输出方式，日志分析后所获得的智能统计结果，一般是图表显示。

列出获得的国内有关部门许可证类别及号码： 这是防火墙合格与销售的关键要素之一，包括公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。

5.4分布式防火墙

因为传统的防火墙设置在网络边界，在内部企业网与外部互联网之间构成一个屏障，进行网络存取控制，所以称为“边界式防火墙”。随着计算机网络安全与管理的发展和用户对防火墙功能要求的不断提高，在目前传统的边界式防火墙基础上开发出了一种新型防火墙，那就是“分布式防火墙”。它要负责对网络边界、各子网和网络内部各结点之间的安全防护，所以分布式防火墙是一个完整的系统，而不是单一的产品。

5.4.1分布式防火墙的体系结构

分布式防火墙的体系结构包含如下三部分。

1. 网络防火墙

网络防火墙在功能上与传统的边界式防火墙类似，用于内部网与外部网之间以及内部网各子网之间的防护。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。这一部分可采用纯软件方式实现，也可以提供相应的硬件支持。

2. 主机防火墙

主机防火墙(Host Firewall)用于对网络中的服务器和桌面计算机进行防护。这也是传统边界式防火墙所不具有的，也算是对传统边界式防火墙在安全体系方面的一个完善。它作用在同一内部子网之间的工作站与服务器之间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护，比网络层更加彻底。这一部分同样也有纯软件和硬件两种产品。

3. 中心管理

中心管理是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总，防火墙可以进行智能管理，提高了防火墙的安全防护灵活性。这是一种新的防火墙管理功能，也是传统的边界式防火墙所不具有的。

分布式防火墙由中心管理定义策略，由各个分布在网络中的端点实施这些制定的策略。首先由制定防火墙接入控制策略的中心管理通过编译器将策略语言描述转换成内部格式，形成策略文件； 然后中心管理采用系统管理工具把策略文件分发给各台“内部”主机。“内部”主机将从两方面来判定是否接受收到的包： 一方面是根据IP安全协议，另一方面是根据服务器端的策略文件。

5.4.2分布式防火墙的特点

综合起来，分布式防火墙具有以下主要特点。

1. 主机驻留

这种分布式防火墙的最主要特点就是采用主机驻留方式，所以也可称之为“主机防火墙”，它的重要特征是驻留在被保护的主机(关键服务器、数据及工作站)上，该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。对于Web服务器来说，分布式防火墙进行配置后能够阻止一些非必要的协议，如HTTP和HTTPS之外的协议通过，从而阻止非法入侵的发生，同时还具有入侵检测及防护功能。

这一特点对分布式防火墙体系结构的突出贡献是，使安全策略不仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。

2. 嵌入操作系统内核

这主要是针对目前的纯软件的分布式防火墙来说的。众所周知，操作系统自身存在许多安全漏洞，运行其上的应用软件无一不受到威胁。为了彻底堵住操作系统的漏洞，分布式防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，对所有的信息流进行过滤与限制，无论是来自Internet，还是来自内部网络，在把所有IP数据包进行检查后再提交操作系统。为了实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开的内部技术接口。不能实现这种运行模式的分布式防火墙由于受到操作系统安全性的制约，存在着明显的安全隐患。

3. 类似于个人防火墙

分布式防火墙针对桌面应用的主机防火墙与个人防火墙有相似之处，如它们都对应个人系统，但其差别又是本质性的。首先，管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击，而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面计算机起到保护作用外，也可以对该桌面计算机的对外访问加以控制，并且这种安全机制是桌面计算机的使用者不可见和不可改动的。其次，个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其他产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理、安全检查机制分散布置的分布式防火墙体系结构。

4. 适用于服务器托管

互联网和电子商务的发展促进了互联网数据中心的迅速崛起，其主要业务之一就是服务器托管服务。对服务器托管用户而言，该服务器逻辑上是其企业网的一部分，只不过物理上不在企业内部。对于这种应用，边界防火墙解决方案就显得比较牵强，而分布式防火墙解决方案则是一个典型应用。对于纯软件式的分布式防火墙，用户只需在该服务器上安装主机防火墙软件，根据该服务器的应用设置安全策略即可，并可以利用中心管理软件对该服务器进行远程监控，不需要租用任何额外新的空间放置边界防火墙。对于硬件式的分布式防火墙一般采用PCI卡式，通常兼作网卡用，所以可以直接插在服务器机箱里面，也就无须支付单独的空间托管费了，对于企业来说更加实惠。

在新的安全体系结构下，分布式防火墙代表新一代防火墙技术的潮流，它可以在网络的任何交界和结点处设置屏障，从而形成了一个多层次、多协议，内外皆防的全方位安全体系。分布式防火墙的优势主要体现在如下几方面。

(1) 增强系统的安全性。增加了针对主机的入侵检测和防护功能，加强了对内部攻击的防范，可以实施全方位的安全策略。

在传统边界式防火墙应用中，内部网络非常容易受到有目的的攻击，一旦攻击者入侵了企业局域网的某台计算机，并获得这台计算机的控制权，便可以利用这台计算机作为入侵其他系统的跳板。而分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本电脑以及服务器上。凭借这种端到端的安全性能，分布式防火墙可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生，同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。另外，由于分布式防火墙使用了IP安全协议使各主机之间的通信得到了很好的保护，所以分布式防火墙有能力防止各种类型的被动和主动攻击。特别是在用户使用IP安全协议中的密码凭证来标志内部主机时，基于这些标志的策略对主机来说无疑更具可信性。

(2) 提高了系统性能： 消除了结构性瓶颈问题，提高了系统性能。

传统防火墙由于拥有单一的接入控制点，无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙不但从根本上去除了单一的接入点，还可以针对各个服务器及终端计算机的不同需要，对防火墙进行最佳配置，配置时能够充分考虑到这些主机上运行的应用，可在保障网络安全的前提下大大提高网络运转效率。

(3) 系统的扩展性： 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。

(4) 实施主机策略： 对网络中的各结点可以起到更安全的防护。

(5) 应用更为广泛，支持VPN通信。

分布式防火墙最重要的优势在于，它能够保护物理拓扑上不属于内部网络，但位于逻辑上的“内部”网络的那些主机，这种需求随着VPN的发展而越来越多。对这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接入，而远程“内部”主机与防火墙之间采用“隧道”技术保证安全性，这种方法使原本可以直接通信的双方必须绕经防火墙，不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反，分布式防火墙的建立本身就是基本逻辑网络的概念，因此对它而言，远程“内部”主机与物理上的内部主机没有任何区别，从根本上防止了这种情况的发生。

习题

1. 简要回答防火墙的定义和发展简史。

2. 设置防火墙的目的是什么？防火墙的功能和局限性各有哪些？

3. 简述防火墙的发展动态和趋势。

4. 试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别？

5. 试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别？

6. 防火墙的主要技术及实现方式有哪些？

7. 防火墙的常见体系结构有哪几种？

8. 屏蔽路由器防火墙和屏蔽主机网关防火墙各是如何实现的？

9. 简述分布式防火墙的体系结构、主要特点。

10. 分布式防火墙的优势主要体现在哪几方面？