计算机网络安全技术第十一章防火墙技术.pdf

第十一章 防火墙技术 11.1 防火墙概述 在互联网的环境中，某个特定网络 （专用网络）与其他网络 （公 共网络）进行数据和信息的交换是互联网存在的目的。但这种信息 的交换与共享是要在该网络利益的前提下，特别是在一定的网络安 全策略指导下，通过控制和监测网络之间的信息交换和访问行为来 实现网络安全的有效管理，使得网络的运行能够健康有序地正常发 展。网络安全最开始的技术，也是源于单个主机系统的安全防范模 式，即使用访问控制的方法，限制使用者访问系统或网络资源的权 限，以达到规范网络行为的目的。于是防火墙技术也就应运而生， 并且蓬勃发展起来。 11.1.1 防火墙的定义 一般说来，防火墙并无严格的定义，它是一个或一组实施访问控 制策略的系统。它在内部网络 （专用网络）与外部网络 （公用网络 之间形成一道安全屏障(如图11.1所示) ，以防止非法用户访问内部网 络上的资源和非法向外传递内部信息，同时也防止这类非法和恶意 的网络行为导致内部网络的运行遭破坏。在建筑上，防火墙被设计 用来防止或是从建筑物的一部分蔓延到内部一部分。网络防火墙防 止外部网络的损坏涉及到内部网络，它就像在网络周围挖了一条护 城河，在唯一的桥上设立了安全岗哨，进出的行人都要接受检查。 由于防火墙的地位和作用是出于网络边界的位置，它可以由硬件、 软件或它们的相互结合具体实现。 Internet 根据规则判断是 防火墙 否允许分组通过 局域网 图 11.1 防火墙的理论概念 防火墙目的就是要通过各种控制手段，保护一个网络不受来自另一 网络的攻击。形象地说，防火墙是在两个网络通信时，执行一种访 问控制的尺度，它能够允许用户 “同意”的人和数据进入他的网络， 同时将用户 “不同意”的人和数据拒之门外，阻止网络中黑客来访 问他的网络，防止他们更改、拷贝、毁坏用户的重要信息。而且所 谓的 “火”还应该包括内部网络的 “人”或数据未经许可访问和进 入外部网络。因此，防火墙应该是双向的作用，即是一种将内部网 络和外部网络在一定程度上隔离的技术。防火墙的基本思想，不是 对每台主机系统进行保护，而是让所有对系统的访问通过某一点， 并且保护这一点，并且尽可能的对外界屏蔽被保护网络的信息和结 构。 防火墙是设置在可信任的内部网络和不可信任的外界之间的一道 屏障，它可以实施比较广泛的安全政策来控制信息流，防止不可预 料的潜在的入侵破坏。防火墙可以是路由器，也可以使PC 、主机系 统或者是一批主机系统，专门用于把网点或子网同那些可能被子网 外的主机系统滥用的协议和服务隔离。防火墙可以从通信协议的各 个层次以及应用中获取、存储管理相关的信息，以便实施系统的访 从逻辑上来说，防火墙是一个分离器，是一个限制器，是一个分 析器。各站点的防火墙的结果是不同的，通常一个防火墙由一套硬 件 （如一个路由器，或其他设备的组合，一台堡垒主机）和适当的 软件组成。组成的方式可以有很多种，这主要取决于站点的安全要 求、经费的多少以及其他的综合因素。但是防火墙也不仅仅是路由 器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的 一部分。安全策略建立了全方位的防御体系来保护内部网络的信息 资源。例如防火墙不再是提供访问控制 （如IP包过虑、电路网关和 应用网关）的系统，而且初步具备了VPN 的某些功能。 安全性能和处理速度始终是防火墙设计实现的重点，也是最难处 理的一对矛盾。这就导致目前防火墙研制的两个侧重点：一是将防 火墙建立在通用的安全操作系统和通用的计算机硬件平台上，利用 已有平台提供的丰富功能，使防火墙具备尽可能多的安全服务。二 是以提高速度为设计实现目标，利用快速处理器、ASIC和实施高效 的操作系统实现防火墙，根据有关测试报告，这类防火墙的实际吞 吐率接近线速。 11.1.2 防火墙的功能与优势 现在很多的防火墙都支持对私有数据的加密，以保证通过Internet 进行虚拟私人网络和商务活动不受损坏；对于企业本地网络与分支 机构、商业伙伴和移动用户间安全通信的附加部分，防火墙还提供 客户端认证功能，它只允许指定的用户访问内部网络或选择服务； 另外，黑客从外部获取网络访问权的常用手段是欺骗，使数据报号 是来自网络内部，对内部网络形成威胁，防火墙