防火墙的构筑及配置 施建强 2001年 8期 #1 防火墙的概念    防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全。它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。防火墙也是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的潜在的破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以实现网络的安全保护。防火墙系统是指防止从网络外部访问本网络的所有设备。   #1 防火墙的类型    目前,比较成熟的防火墙技术主要有以下两种:包过滤技术和代理服务技术。与之相对应出现了构造防火墙的两种基本原则:屏蔽路由器(Screening Router)和代理服务器(Proxy Server)。    1.屏蔽路由器(Screening Router)    屏蔽路由器一般是一个多口IP路由器,用于在内部和外部的主机之间发送数据包,它不但对数据包进行路由发送,还依据一定的安全规则检查数据包,决定是否发送。它依据的规则由站点的安全策略决定,这些规则可根据IP包中信息:IP原地址、IP目的地址、协议、ICP或UDP源端口等进行设置,也可根据路由器知道的信息如数据包到达端口,出去端口进行设置。这些规则由屏蔽路由器强制设置,也称它为包过滤规则。    2.代理服务器(Proxy Server)    代理服务器是运行在防火墙主机上的专门应用程序或服务器程序。这些程序接受用户对Internet服务的请求,并按照相应的安全策略将这些请求转发到实际的服务。代理服务器为一个特定的服务提供替代连接,充当服务的网关,因此又称为应用级网关。   #1 防火墙的体系结构    实际构筑防火墙时,一般是使用多种不同部件的组合,每个部件有其解决问题的重点。由于整个网络的拓扑结构、应用和协议的需要不同,防火墙的配置和实现方式也千差万别,以下是几种常用的防火墙实现方式极其优缺点。    1.筛选路由器(Screening router)    筛选路由器通常又称包过滤(Packet filter)防火墙。它一般作用在网络层(IP层),对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。包过滤的核心就是安全策略即包过滤算法的设计。包过滤型防火墙往往可以用一台过滤路由器来实现,对所接收的每个数据包作允许或拒绝的决定。采用这种技术的防火墙优点在于速度快、实现方便、但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。    2.双宿主主机(双宿网关)(Dual-Homed Host)    双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。双宿主主机的结构采用主机取代路由器执行安全控制功能,从而达到受保护网除了看到堡垒主机外,不能看到其它任何系统的效果。同时堡垒主机不转发TCP/IP通信报文,网络中的所有服务都必须由此主机的相应代理程序来支持。    双宿主机是唯一的隔开内部网和外部因特网之间的屏障,如果入侵者得到了双重宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双重宿主主机首先要禁止网络层的路由功能,还应具有强大的身份认证系统,尽量减少防火墙上用户的账户数目。因此,双宿主机的性能非常重要。    3.屏蔽主机网关(Screend Host Gateway)    屏蔽主机网关结构中提供安全保护的主机仅仅与内部网相连,还有一台单独的过滤路由器,这一台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机,其结构如^08040801a^1。该防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。通常在路由器上设定过滤规则,并使堡垒主机成为从外部网络可直接到达的主机。任何试图访问内部系统或服务的外部系统都须与此主机相连。    过滤路由器是否正确配置是这种防火墙安全与否的关键,过滤路由器的路由表应当受到严格的保护,否则如果路由器表遭到破坏,则数据包就不会被路由到堡垒主机上,使堡垒主机被越过。同时堡垒主机也要求具有很高的主机安全性。    4.被屏蔽子网(Screend Subnet)    增加一个把内部网与互联网隔离的周边网络(也称为非军事区DMZ),从而进一步实现屏蔽主机的安全性;通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。典型的屏蔽子网如^08040801b^2所示,其结构有两个屏蔽路由器,它们分别位于周边网与内部网、周边网与外部网之间,攻击者要攻入这种结构的内部网络,必须通过两个路由器,即使入侵者设法攻入了堡垒主机,他还必须通过内部路由器,因而不存在危害内部网的单一入口点。    上述为一些常用的防火墙体系结构,典型的防火墙由一个或多个构件组成:包过滤路由器、应用层网关(或代理服务器)、电路层网关等。因为不同的防火墙体系结构所需的代价、所付的费用都不一样。一个机构可以根据自己的网络规模和自己的安全策略选择合适的防火墙体系结构,   #1 选购防火墙的基本原则    当企业决定用防火墙来实施安全策略后,下一步要做的就是选择一个既安全又实惠的合适的防火墙。选择防火墙时,要考虑到各个方面的问题,主要有如下原则值得考虑:    1.支持“除非明确允许,否则就禁止”的设计策略,即使这种策略不是最初使用的策略。    2.本身支持安全策略,而不是添加上去的。    3.如果组织机构的安全策略发生改变,可以加入新的服务。    4.有先进的认证手段或有挂钩程序,可以安装先进的认证方法。    5.如果需要,可以运用过滤技术和禁止服务。    6.可以使用FTP和Telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上。    7.拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。    依据以上原则,企业构筑并使用了一种防火墙体系,还应定期对防火墙和相应的操作系统用补丁程序进行升级,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的适应性是很重要的。    在设置防火墙时应注意以下几点    1.设置的密码绝对不能采用常用单词或人名生日等,长度应尽量地长。    2.绝对不能使用系统默认值。    3.注意调整安全级别。    4.设置读写权限时要当心。   #1 结束语    随着网络攻击手段和信息安全技术的发展,新一代防火墙功能更强大、安全性更强。这个阶段的防火墙已经超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙。同时,这新一代防火墙技术采用了一些主动的网络安全技术,比如网络安全性分析、网络信息安全检测等等,因此可以抵御目前常见的网络攻击手段:IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。    所谓的网络安全是一种相对的安全,并没有绝对的安全的网络,网络的安全系数越高,就需要付出越高的代价。增加网络安全的措施不可避免地要耗费网络资源或者限制资源的使用,这对网络服务的高效、灵活是一种抑制。因此对网络安全的追求必须与网络服务高效灵活和应用成本之间寻求一个最佳平衡点。我们希望有了防火墙以后,将网络安全提到最高。