防火牆的定義是什麼發展現狀分析

　　防火牆技術現狀

　　自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統後，提出了防火牆的概念，防火牆技術得到了飛速的發展。第二代防火牆，也稱代理伺服器，它用來提供網路服務級的控制，起到外部網路向被保護的內部網路申請服務時中間轉接作用，這種方法可以有效地防止對內部網路的直接攻擊，安全性較高。第三代防火牆有效地提高了防火牆的安全性，稱為狀態監控功能防火牆，它可以對每一層的資料包進行檢測和監控。隨著網路攻擊手段和資訊保安技術的發展，新一代的功能更強大、安全性更強的防火牆已經問世，這個階段的防火牆已超出了原來傳統意義上防火牆的範疇，已經演變成一個全方位的安全技術整合系統，我們稱之為第四代防火牆，它可以抵禦目前常見的網路攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。

　　防火牆的定義和描述

　　“防火牆”這個術語參考來自應用在建築結構裡的安全技術。在樓宇裡用來起分隔作用的牆，用來隔離不同的公司或房間，儘可能的起防火作用。一旦某個單元起火這種方法保護了其它的居住者。然而，多數防火牆裡都有一個重要的門，允許人們進入或離開大樓。因此，雖然防火牆保護了人們的安全，但這個門在提供增強安全性的同時允許必要的訪問。

　　在計算機網路中，一個網路防火牆扮演著防備潛在的惡意的活動的屏障，並可通過一個”門”來允許人們在你的安全網路和開放的不安全的網路之間通訊。原來，一個防火牆是由一個單獨的機器組成的，放置在你的私有網路和公網之間。近些年來，防火牆機制已發展到不僅僅是”firlwall box”，更多提及到的是堡壘主機。它現在涉及到整個從內部網路到外部網路的區域，由一系列複雜的機器和程式組成。簡單來說，今天防火牆的主要概念就是多個元件的應用。到現在你要準備實施你的防火牆，需要知道你的公司需要什麼樣的服務並且什麼樣的服務對於內部使用者和外部使用者都是有效的。

　　防火牆的任務

　　防火牆在實施安全的過程中是至關重要的。一個防火牆策略要符合四個目標，而每個目標通常都不是通過一個單獨的裝置或軟體來實現的。大多數情況下防火牆的元件放在一起使用以滿足公司安全目的的需求。防火牆要能確保滿足以下四個目標

　　實現一個公司的安全策略

　　防火牆的主要意圖是強制執行你的安全策略。在前面的課程提到過在適當的網路安全中安全策略的重要性。舉個例子，也許你的安全策略只需對MAIL伺服器的SMTP流量作些限制，那麼你要直接在防火牆強制這些策略。

　　建立一個阻塞點

　　防火牆在一個公司私有網路和分網問建立一個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火牆裝置就可以監視，過濾和檢查所有進來和出去的流量。網路安全產業稱這些檢查點為阻塞點。通過強制所有進出流量都通過這些檢查點，網路管理員可以集中在較少的方來實現安全目的。如果沒有這樣一個供監視和控制資訊的點，系統或安全管理員則要在大量的地方來進行監測。檢查點的另一個名字叫做網路邊界。

　　記錄Internet活動

　　防火牆還能夠強制日誌記錄，並且提供警報功能。通過在防火牆上實現日誌服務，安全管理員可以監視所有從外部網或網際網路的訪問。好的日誌策略是實現適當網路安全的有效工具之一。防火牆對於管理員進行日誌存檔提供了更多的資訊。

　　限制網路暴露

　　防火牆在你的網路周圍建立了一個保護的邊界。並且對於公網隱藏了你內部系統的一些資訊以增加保密性。當遠端節點偵測你的網路時，他們僅僅能看到防火牆。遠端裝置將不會知道你內部網路的佈局以及都有些什麼。防火牆提高認證功能和對網路加密來限制網路資訊的暴露。通過對所能進來的流量時行源檢查，以限制從外部發動的攻擊。

　　防火牆術語

　　在我們繼續討論防火牆技術前，我們需要對一些重要的術語有一些認識

　　閘道器

　　閘道器是在兩上裝置之間提供轉發服務的系統。閘道器的範圍可以從網際網路應用程式如公共閘道器介面***CGI***到在兩臺主機間處理流量的防火牆閘道器。這個術語是非常常見的，而且在本課會用於一個防火牆元件裡，在兩個不同的網路路由和處理資料。

　　電路級閘道器

　　電路級閘道器用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手資訊，這樣來決定該會話是否合法，電路級閘道器是在OSI模型中會話層上來過濾資料包，這樣比包過濾防火牆要高兩層。另外，電路級閘道器還提供一個重要的安全功能:網路地址轉移***NAT***將所有公司內部的IP地址對映到一個“安全”的 IP地址，這個地址是由防火牆使用的。有兩種方法來實現這種型別的閘道器，一種是由一臺主機充當篩選路由器而另一臺充當應用級防火牆。另一種是在第一個防火牆主機和第二個之間建立安全的連線。這種結構的好處是當一次攻擊發生時能提供容錯功能。

　　應用級閘道器

　　應用級閘道器可以工作在OSI七層模型的任一層上，能夠檢查進出的資料包，通過閘道器複製傳遞資料，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯絡。應用級閘道器能夠理解應用層上的協議，能夠做複雜一些的訪問控制，並做精細的註冊。通常是在特殊的伺服器上安裝軟體來實現的。

　　包過濾

　　包過濾是處理網路上基於packet-by-packet流量的裝置。包過濾裝置允許或阻止包，典型的實施方法是通過標準的路由器。包過濾是幾種不同防火牆的型別之一，在本課後面我們將做詳細地討論。

　　代理伺服器

　　代理伺服器代表內部客戶端與外部的伺服器通訊。代理伺服器這個術語通常是指一個應用級的閘道器，雖然電路級閘道器也可作為代理伺服器的一種。

　　網路地址翻譯***NAT***

　　網路地址解釋是對Internet隱藏內部地址，防止內部地址公開。這一功能可以克服IP定址方式的諸多限制，完善內部定址模式。把未註冊IP地址對映成合法地址，就可以對Internet進行訪問。對於NAT的另一個名字是IP地址隱藏。RFC1918概述了地址並且IANA建議使用內部地址機制，以下地址作為保留地址:

　　10.0.0.0 - 10.55.55.55

　　17.16.0.0 - 17.1.55.55

　　19.168.0.0 - 19.168.55.55

　　如果你選擇上述例表中的網路地址，不需要向任何網際網路授權機構註冊即可使用。使用這些網路地址的一個好處就是在網際網路上永遠不會被路由。網際網路上所有的路由器發現源或目標地址含有這些私有網路ID時都會自動地丟棄。

　　堡壘主機

　　堡壘主機是一種被強化的可以防禦進攻的計算機，被暴露於因特網之上，作為進入內部網路的一個檢查點，以達到把整個網路的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。從堡壘主機的定義我們可以看到，堡壘主機是網路中最容易受到侵害的主機。所以堡壘主機也必須是自身保護最完善的主機。你可以使用單宿主堡壘主機。多數情況下，一個堡壘主機使用兩塊網絡卡，每個網絡卡連線不同的網路。一塊網絡卡連線你公司的內部網路用來管理、控制和保護，而另一塊連線另一個網路，通常是公網也就是Internet。堡壘主機經常配置閘道器服務。閘道器服務是一個程序來提供對從公網到私有網路的特殊協議路由，反之亦然。在一個應用級的閘道器裡，你想使用的每一個應用程協議都需要一個程序。因此，你想通過一臺堡壘主機來路由Email，Web和FTP服務時，你必須為每一個服務都提供一個守護程序。

　　強化作業系統

　　防火牆要求儘可能只配置必需的少量的服務。為了加強作業系統的穩固性，防火牆安裝程式要禁止或刪除所有不需要的服務。多數的防火牆產品，包括Axent Raptor*** Associates Gauntlet *** Raptor防火牆就可以安裝在Windows NT Server.0，Solaris及HP-UX作業系統上。理論上來講，讓作業系統只提供最基本的功能，可以使利用系統BUG來攻擊的方法非常困難。最後，當你加強你的系統時，還要考慮到除了TCP/IP協議外不要把任何協議繫結到你的外部網絡卡上。

　　非軍事化區域***DMZ***

　　DMZ是一個小型網路存在於公司的內部網路和外部網路之間。這個網路由篩選路由器建立，有時是一個阻塞路由器。DMZ用來作為一個額外的緩衝區以進一步隔離公網和你的內部私有網路。DMZ另一個名字叫做Service Network，因為它非常方便。這種實施的缺點在於存在於DMZ區域的任何伺服器都不會得到防火牆的完全保護。

　　篩選路由器

　　篩選路由器的另一個術語就是包過濾路由器並且至少有一個介面是連向公網的，如Internet。它是對進出內部網路的所有資訊進行分析，並按照一定的安全策略——資訊過濾規則對進出內部網路的資訊進行限制，允許授權資訊通過，拒絕非授權資訊通過。資訊過濾規則是以其所收到的資料包頭資訊為基礎的。採用這種技術的防火牆優點在於速度快、實現方便，但安全效能差，且由於不同作業系統環境下TCP和UDP埠號所代表的應用服務協議型別有所不同，故相容性差。

　　阻塞路由器

　　阻塞路由器***也叫內部路由器***保護內部的網路使之免受Internet和周邊網的侵犯。內部路由器為使用者的防火牆執行大部分的資料包過濾工作。它允許從內部網路到Internet的有選擇的出站服務。這些服務是使用者的站點能使用資料包過濾而不是代理服務安全支援和安全提供的服務。內部路由器所允許的在堡壘主機***在周邊網上***和使用者的內部網之間服務可以不同於內部路由器所允許的在Internet和使用者的內部網之間的服務。限制堡壘主機和內部網之間服務的理由是減少由此而導致的受到來自堡壘主機侵襲的機器的數量。

　　防火牆預設的配置

　　預設情況下，防火牆可以配置成以下兩種情況:

　　·拒絕所有的流量，這需要在你的網路中特殊指定能夠進入和出去的流量的一些型別。

　　·允許所有的流量，這種情況需要你特殊指定要拒絕的流量的型別。

　　可論證地，大多數防火牆預設都是拒絕所有的流量作為安全選項。一旦你安裝防火牆後，你需要開啟一些必要的埠來使防火牆內的使用者在通過驗證之後可以訪問系統。換句話說，如果你想讓你的員工們能夠傳送和接收Email，你必須在防火牆上設定相應的規則或開啟允許POP和SMTP的程序。

　　防火牆的一些高階特性

　　今天多數的防火牆系統組合包過濾，電路級閘道器和應用級閘道器的功能。它們檢查單獨的資料包或整個資訊包，然後利用事先訂製的規則來強制安全策略。只有那些可接受的資料包才能進出整個網路。當你實施一個防火牆策略時，這三種防火牆型別可能都需要。更高階的防火牆提供額外的功能可以增強你的網路的安全性。儘管不是必需，每個防火牆都應該實施日誌記錄，哪怕是一些最基本的。

　　認 證

　　防火牆是一個合理的放置提供認證方法來避開特定的IP包。你可以要求一個防火牆令牌***firewall token***，或反向查詢一個IP地址。反向查詢可以檢查使用者是否真正地來自它所報告的源位置。這種技術有效地反擊IP欺騙的攻擊。防火牆還允許終端使用者認證。應用級閘道器或代理伺服器可以工作在TCP/IP四層的每一層上。多數的代理伺服器提供完整的使用者帳號資料庫。結合使用這些使用者帳號資料庫和代理伺服器自定義的選項來進行認證。代理伺服器還可以利用這些帳號資料庫來提供更詳細的日誌。

　　日誌和警報

　　包過濾或篩選路由器一般在預設情況下為了不降低效能是不進行日誌記錄的。永遠不要認為你的防火牆會自動地對所有活動建立日誌。篩選路由器只能記錄一些最基本的資訊，而電路級閘道器也只能記錄相同的資訊但除此之外還包括任何NAT解釋資訊。因為你要在防火牆上建立一個阻塞點，潛在的黑客必須要先穿過它。如果你放置全面記錄日誌的裝置並在防火牆本身實現這種技術，那麼你有可能捕獲到所有使用者的活動包括那些黑客。你可以確切地知道黑客在做些什麼並得到這些活動資訊代審計。一些防火牆允許你預先配置對不期望的活動做何響應。防火牆兩種最普通的活動是中斷TCP/IP連線或自動發出警告。相關的警報機制包括可見的和可聽到的警告。

　　建立一個防火牆

　　在準備和建立一個防火牆裝置時要高度重視。以前，堡壘主機這個術語是指所有直接連入公網的裝置。現在，它經常汲及到的是防火牆裝置。堡壘主機可以是三種防火牆中的任一種型別:包過濾，電路級閘道器，應用級閘道器。

　　當建設你的堡壘主機時要特別小心。堡壘主機的定義就是可公共訪問的裝置。當Internet使用者企圖訪問你網路上的資源時，首先進入的機器就是堡壘主機。因為堡壘主機是直接連線到Internet上的，其上面的所有資訊都暴露在公網之上。這種高度地暴露規定了硬體和軟體的配置。堡壘主機就好像是在軍事基地上的警衛一樣。警衛必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什麼地方。警衛還經常準備好強制阻止進入。同樣地，堡壘主機必須檢查所有進入的流量並強制執行在安全策略裡所指定的規則。它們還必須準備好對付從外部來的攻擊和可能來自內部的資源。堡壘主機還有日誌記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會採取行動。

　　設計規則

　　當構造防火牆裝置時，經常要遵循下面兩個主要的概念。第一，保持設計的簡單性。第二，要計劃好一旦防火牆被滲透應該怎麼辦。

　　保持設計的簡單性

　　一個黑客滲透系統最常見的方法就是利用安裝在堡壘主機上不注意的元件。建立你的堡壘主機時要儘可能使用較小的元件，無論硬體還是軟體。堡壘主機的建立只需提供防火牆功能。在防火牆主機上不要安裝像WEB服務的應用程式服務。要刪除堡壘主機上所有不必需的服務或守護程序。在堡壘主機上執行少量的服務給潛在的黑客很少的機會穿過防火牆。

　　安排事故計劃

　　如果你已設計好你的防火牆效能，只有通過你的防火牆才能允許公共訪問你的網路。當設計防火牆時安全管理員要對防火牆主機崩潰或危及的情況作出計劃。如果你僅僅是用一個防火牆裝置把內部網路和公網隔離開，那麼黑客滲透進你的防火牆後就會對你內部的網路有著完全訪問的許可權。為了防止這種滲透，要設計幾種不同級別的防火牆裝置。不要依賴一個單獨的防火牆保護惟獨的網路。如果你的安全受到損害，那你的安全策略要確定該做些什麼。採取一些特殊的步驟，包括

　　· 建立同樣的軟體備份

　　· 配置同樣的系統並存儲到安全的地方

　　· 確保所有需要安裝到防火牆上的軟體都容易，這包括你要有恢復磁碟。

　　堡壘主機的型別

　　當建立堡壘主機時，要記住它是在防火牆策略中起作用的。識別堡壘主機的任務可以幫助你決定需要什麼和如何配置這些裝置。下面將討論三種常見的堡壘主機型別。這些型別不是單獨存在的，且多數防火牆都屬於這三類中的一種。

　　單宿主堡壘主機

　　單宿主堡壘主機是有一塊網絡卡的防火牆裝置。單宿主堡壘主機通常是用於應用級閘道器防火牆。外部路由器配置把所有進來的資料傳送到堡壘主機上，並且所有內部客戶端配置成所有出去的資料都發送到這臺堡壘主機上。然後堡壘主機以安全方針作為依據檢驗這些資料。這種型別的防火牆主要的缺點就是可以重配置路由器使資訊直接進入內部網路，而完全繞過堡壘主機。還有，使用者可以重新配置他們的機器繞過堡壘主機把資訊直接傳送到路由器上。

　　雙宿主堡壘主機

　　雙宿主堡壘主機結構是圍繞著至少具有兩塊網絡卡的雙宿主主機而構成的。雙宿主主機內外的網路均可與雙宿主主機實施通訊，但內外網路之間不可直接通訊，內外部網路之間的資料流被雙宿主主機完全切斷。雙宿主主機可以通過代理或讓使用者直接註冊到其上來提供很高程度的網路控制。它採用主機取代路由器執行安全控制功能，故類似於包過濾防火牆。雙宿主機即一臺配有多個網路介面的主機，它可以用來在內部網路和外部網路之間進行定址。當一個黑客想要訪問你內部裝置時，他 ***她***必須先要攻破雙宿主堡壘主機，這有希望讓你有足夠的時間阻止這種安全侵入和作出反應。

　　單目的堡壘主機

　　單目的堡壘主機既可是單堡壘也可是多堡壘主機。經常，根據公司的改變，需要新的應用程式和技術。很多時候這些新的技術不能被測試併成為主要的安全突破口。你要為這些需要建立特定的堡壘主機。在上面安裝未測試過的應用程式和服務不要危及到你的防火牆裝置。使用單目的堡壘主機允許你強制執行更嚴格的安全機制。舉個例子，你的公司可能決定實施一個新型別的流程式，假設公司的安全策略需要所有進出的流量都要通過一個代理伺服器送出，你要為這個表的流程式單獨地建立一個新代理伺服器。在這個新的代理伺服器上，你要實施使用者認證和拒絕IP地址。使用這個單獨的代理伺服器，不要危害到當前的安全配置並且你可以實施更嚴格的安全機制如認證。

　　內部堡壘主機

　　內部堡壘主機是標準的單堡壘或多堡壘主機存在於公司的內部網路中。它們一般用作應用級閘道器接收所有從外部堡壘主機進來的流量。當外部防火牆裝置受到損害時提供額外的安全級別。所有內部網路裝置都要配置成通過內部堡壘主機通訊，這樣當外部堡壘主機受到損害時不會造成影響。

　　四種常見的防火牆設計都提供一個確定的安全級別，一個簡單的規則是越敏感的資料就要採取越廣泛的防火牆策略，這四種防火牆的實施都是建立一個過濾的距陣和能夠執行和保護資訊的點。這四種選擇是:

　　·篩選路由器

　　·單宿主堡壘主機

　　·雙宿主堡壘主機

　　·遮蔽子網

　　篩選路由器的選擇是最簡單的，因此也是最常見的，大多數公司至少使用一個篩選路由器作為解決方案，因為所有需要的硬體已經投入使用。用於建立篩選主機防火牆的兩個選擇是單宿主堡壘主機和雙宿主堡壘主機。不管是電路級還是應用級閘道器的配置都要求所有的流量通過堡壘主機。最後一個常用的方法是篩選子網防火牆，利用額外的包過濾路由器來達到另一個安全的級別。