Internet防火墻技術(shù)綜述

　　摘要：隨著Internet的迅猛發(fā)展，安全性已經(jīng)成為網(wǎng)絡(luò)互聯(lián)技術(shù)中最關(guān)鍵的問(wèn)題。本文全面介紹了Internet防火墻技術(shù)與產(chǎn)品的發(fā)展歷程；詳細(xì)剖析了第四代防火墻的功能特色、關(guān)鍵技術(shù)、實(shí)現(xiàn)方法及抗攻擊能力；同時(shí)簡(jiǎn)要描述了Internet防火墻技術(shù)的發(fā)展趨勢(shì)。
　　關(guān)鍵詞：Internet網(wǎng)路安全防火墻過(guò)濾地址轉(zhuǎn)換
　　
　　1．引言
　　
　　防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個(gè)產(chǎn)業(yè)：1995年，剛剛面市的防火墻技術(shù)產(chǎn)品市場(chǎng)量還不到1萬(wàn)套；到1996年底，就猛增到10萬(wàn)套；據(jù)國(guó)際權(quán)威商業(yè)調(diào)查機(jī)構(gòu)的預(yù)測(cè)，防火墻市場(chǎng)將以173%的復(fù)合增長(zhǎng)率增長(zhǎng)，今年底將達(dá)到150萬(wàn)套，市場(chǎng)營(yíng)業(yè)額將從1995年的?1.6?億美元上升到今年的9.8億美元。?
　　
　　為了更加全面地了解Internet防火墻及其發(fā)展過(guò)程，特別是第四代防火墻的技術(shù)特色，我們非常有必要從產(chǎn)品和技術(shù)角度對(duì)防火墻技術(shù)的發(fā)展演變做一個(gè)詳細(xì)的考察。?
　　
　　2.Internet防火墻技術(shù)簡(jiǎn)介?
　　
　　防火墻原是指建筑物大廈用來(lái)防止火災(zāi)蔓延的隔斷墻。從理論上講，Internet防火墻服務(wù)也屬于類(lèi)似的用來(lái)防止外界侵入的。它可以防止Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上，防火墻并不像現(xiàn)實(shí)生活中的防火墻，它有點(diǎn)像古代守護(hù)城池用的護(hù)城河，服務(wù)于以下多個(gè)目的：?
　　
　　1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入；?
　　
　　2)限定人們從一個(gè)特定的點(diǎn)離開(kāi)；?
　　
　　3)防止侵入者接近你的其他防御設(shè)施；?
　　
　　4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。?
　　
　　在現(xiàn)實(shí)生活中，Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet，如圖1所示。
　　
　　
　　
　　圖1防火墻在Internet中的位置
　　
　　
　　
　　從上圖不難看出，所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣，防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用，這一點(diǎn)同樣可以從圖1中體會(huì)出來(lái)。那么，防火墻究竟是什么呢?實(shí)際上，防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng)，它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧?
　　
　　防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪(fǎng)問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下五大基本功能：?
　　
　　●過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；?
　　
　　●管理進(jìn)、出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為；?
　　
　　●封堵某些禁止行為；?
　　
　　●記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；?
　　
　　●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。?
　　
　　為實(shí)現(xiàn)以上功能，在防火墻產(chǎn)品的開(kāi)發(fā)中，人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)�、�?jì)算機(jī)操作系統(tǒng)、路由、加密、訪(fǎng)問(wèn)控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。縱觀防火墻近年來(lái)的發(fā)展，可以將其劃分為如下四個(gè)階段(即四代)。?
　　
　　3.1基于路由器的防火墻?
　　
　　由于多數(shù)路由器本身就包含有分組過(guò)濾功能，故網(wǎng)絡(luò)訪(fǎng)問(wèn)控制可能通過(guò)路控制來(lái)實(shí)現(xiàn)，從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是：?
　　
　　1)利用路由器本身對(duì)分組的解析，以訪(fǎng)問(wèn)控制表(AccessList)方式實(shí)現(xiàn)對(duì)分組的過(guò)濾；?
　　
　　2)過(guò)濾判斷的依據(jù)可以是：地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征；?
　　
　　3)只有分組過(guò)濾的功能，且防火墻與路由器是一體的。這樣，對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。?
　　
　　第一代防火墻產(chǎn)品的不足之處十分明顯，具體表現(xiàn)為：?
　　
　　●路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用FTP協(xié)議時(shí)，外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過(guò)濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。?
　　
　　●路由器上分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會(huì)帶來(lái)很多錯(cuò)誤。?
　　
　　●路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。?
　　
　　●路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪(fǎng)問(wèn)提供動(dòng)態(tài)的、靈活的路由，而防火墻則要對(duì)訪(fǎng)問(wèn)行為實(shí)施靜態(tài)的、固定的控制，這是一對(duì)難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。?
　　
　　可以說(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。?
　　
　　3.2用戶(hù)化的防火墻工具套?
　　
　　為了彌補(bǔ)路由器防火墻的不足，很多大型用戶(hù)紛紛要求以專(zhuān)門(mén)開(kāi)發(fā)的防火墻系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò)，從而推動(dòng)了用戶(hù)防火墻工具套的出現(xiàn)。?
　　
　　作為第二代防火墻產(chǎn)品，用戶(hù)化的防火墻工具套具有以下特征：?
　　
　　1)將過(guò)濾功能從路由器中獨(dú)立出來(lái)，并加上審計(jì)和告警功能；?
　　
　　2)針對(duì)用戶(hù)需求，提供模塊化的軟件包；?
　　
　　3)軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送，用戶(hù)可以自己動(dòng)手構(gòu)造防火墻；?
　　
　　4)與第一代防火墻相比，安全性提高了，價(jià)格也降低了。?
　　
　　由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無(wú)論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，并帶來(lái)以下問(wèn)題：?
　　
　　配置和維護(hù)過(guò)程復(fù)雜、費(fèi)時(shí)；?
　　
　　對(duì)用戶(hù)的技術(shù)要求高；?
　　
　　全軟件實(shí)現(xiàn)，使用中出現(xiàn)差錯(cuò)的情況很多。?
　　
　　3.3建立在通用操作系統(tǒng)上的防火墻?
　　
　　基于軟件的防火墻在銷(xiāo)售、使用和維護(hù)上的問(wèn)題迫使防火墻開(kāi)發(fā)商很快推出了建立在通用操
　　
　　作系統(tǒng)上的商用防火墻產(chǎn)品。近年來(lái)市場(chǎng)上廣泛使用的就是這一代產(chǎn)品，它們具有如下一些
　　
　　特點(diǎn)：?
　　
　　1)是批量上市的專(zhuān)用防火墻產(chǎn)品；?
　　
　　2)包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能；?
　　
　　3)裝有專(zhuān)用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；?
　　
　　4)保護(hù)用戶(hù)編程空間和用戶(hù)可配置內(nèi)核參數(shù)的設(shè)置；?
　　
　　5)安全性和速度大大提高。?
　　
　　第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的，它們已經(jīng)得到了廣大用戶(hù)的認(rèn)同
　　
　　。但隨著安全需求的變化和使用時(shí)間的推延，仍表現(xiàn)出不少問(wèn)題，比如：?
　　
　　1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性
　　
　　無(wú)從保證；?
　　
　　2)由于大多數(shù)防火墻廠(chǎng)商并非通用操作系統(tǒng)的廠(chǎng)商，通用操作系統(tǒng)廠(chǎng)商不會(huì)對(duì)操作系統(tǒng)的
　　
　　安全性負(fù)責(zé)；?
　　
　　3)從本質(zhì)上看，第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊，還要防止來(lái)自操作系統(tǒng)廠(chǎng)商
　　
　　的攻擊；?
　　
　　4)在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能；?
　　
　　5)透明性好，易于使用。?
　　
　　4.第四代防火墻的主要技術(shù)及功能?
　　
　　第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能。?
　　
　　4.1雙端口或三端口的結(jié)構(gòu)?
　　
　　新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不做IP轉(zhuǎn)化而串接于內(nèi)部與外部之間，另一個(gè)網(wǎng)卡可專(zhuān)用于對(duì)服務(wù)器的安全保護(hù)。?
　　
　　4.2透明的訪(fǎng)問(wèn)方式?
　　
　　以前的防火墻在訪(fǎng)問(wèn)方式上要么要求用戶(hù)做系統(tǒng)登錄，要么需要通過(guò)SOCKS等庫(kù)路徑修改客戶(hù)機(jī)的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。?
　　
　　4.3靈活的代理系統(tǒng)?
　　
　　代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種代理機(jī)制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來(lái)解決，后者采用非保密的用戶(hù)定制代理或保密的代理系統(tǒng)技術(shù)來(lái)解決。?
　　
　　4.4多級(jí)過(guò)濾技術(shù)?
　　
　　為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾一級(jí)，能過(guò)濾掉所有的源路由分組和假冒IP地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。?
　　
　　4.5網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)?
　　
　　第四代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專(zhuān)用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。?
　　
　　4.6Internet網(wǎng)關(guān)技術(shù)?
　　
　　由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶(hù)在Internet互聯(lián)的所有服務(wù)，同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞，故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來(lái)實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。?
　　
　　在域名服務(wù)方面，第四代防火墻采用兩種獨(dú)立的域名服務(wù)器：一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息；另一種是外部DNS服務(wù)器，專(zhuān)門(mén)用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。?
　　
　　在匿名FTP方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪(fǎng)問(wèn)。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁(yè)，而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中，對(duì)外部訪(fǎng)問(wèn)，防火墻只提供可由內(nèi)部用戶(hù)配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件做處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對(duì)用戶(hù)連接的識(shí)別做專(zhuān)門(mén)處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來(lái)自ISP的新聞開(kāi)設(shè)了專(zhuān)門(mén)的磁盤(pán)空間。?
　　
　　4.7安全服務(wù)器網(wǎng)絡(luò)(SSN)?
　　
　　為了適應(yīng)越來(lái)越多的用戶(hù)向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器的需要，第四代防火墻采用分別保護(hù)的策略對(duì)用戶(hù)上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù)，它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理，對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過(guò)FTP、Tnlnet等方式從內(nèi)部網(wǎng)上管理。?
　　
　　SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多，因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù)，SSN與風(fēng)部網(wǎng)之間也有防火墻的保護(hù)，而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。?
　　
　　4.8用戶(hù)鑒別與加密?
　　
　　為了減低防火墻產(chǎn)品在Tnlnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來(lái)作為用戶(hù)的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。?
　　
　　4.9用戶(hù)定制服務(wù)?
　　
　　為了滿(mǎn)足特定用戶(hù)的特定需求，第四代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶(hù)定制提供支持，這類(lèi)選項(xiàng)有：通用TCP、出站UDP、FTP、SMTP等，如果某一用戶(hù)需要建立一個(gè)數(shù)據(jù)庫(kù)的代理，便可以利用這些支持，方便設(shè)置。?
　　
　　4.10審計(jì)和告警?
　　
　　第四代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪(fǎng)問(wèn)、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器、名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。?
　　
　　此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。?
　　
　　5．第四代防火墻技術(shù)的實(shí)現(xiàn)方法
　　
　　在第四代防火墻產(chǎn)品的設(shè)計(jì)與開(kāi)發(fā)中，安全內(nèi)核、代理系統(tǒng)、多級(jí)過(guò)濾、安全服務(wù)器、鑒別與加密是關(guān)鍵所在。?
　　
　　5.1安全內(nèi)核的實(shí)現(xiàn)?
　　
　　第四代防火墻是建立在安全操作系統(tǒng)之上的，安全操作系統(tǒng)來(lái)自對(duì)專(zhuān)用操作系統(tǒng)的安全加固和改造，從現(xiàn)在的諸多產(chǎn)品看，對(duì)安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾個(gè)方面進(jìn)行：?
　　
　　1)取消危險(xiǎn)的系統(tǒng)調(diào)用；?
　　
　　2)限制命令的執(zhí)行權(quán)限；?
　　
　　3)取消IP的轉(zhuǎn)發(fā)功能；?
　　
　　4)檢查每個(gè)分組的接口；?
　　
　　5)采用隨機(jī)連接序號(hào)；?
　　
　　6)駐留分組過(guò)濾模塊；?
　　
　　7)取消動(dòng)態(tài)路由功能；?
　　
　　8)采用多個(gè)安全內(nèi)核。?
　　
　　5.2代理系統(tǒng)的建立?
　　
　　防火墻不允許任何信息直接穿過(guò)它，對(duì)所有的內(nèi)外連接均要通過(guò)代理系統(tǒng)來(lái)實(shí)現(xiàn)，為保證整個(gè)防火墻的安全，所有的代理都應(yīng)該采用改變根目錄方式存在一個(gè)相對(duì)獨(dú)立的區(qū)域以安全隔離。?
　　
　　在所有的連接通過(guò)防火墻前，所有的代理要檢查已定義的訪(fǎng)問(wèn)規(guī)則，這些規(guī)則控制代理的服務(wù)根據(jù)以下內(nèi)容處理分組：?
　　
　　1)源地址；?
　　
　　2)目的地址；?
　　
　　3)時(shí)間；?
　　
　　4)同類(lèi)服務(wù)器的最大數(shù)量。?
　　
　　所有外部網(wǎng)絡(luò)到防火墻內(nèi)部或SSN的連接由進(jìn)站代理處理，進(jìn)站代理要保證內(nèi)部主機(jī)能夠了解外部主機(jī)的所有信息，而外部主機(jī)只能看到防火墻之外或SSN的地址。?
　　
　　所有從內(nèi)部網(wǎng)絡(luò)SSN通過(guò)防火墻與外部網(wǎng)絡(luò)建立的連接由出站代理處理，出站代理必須確保完全由它代表內(nèi)部網(wǎng)絡(luò)與外部地址相連，防止內(nèi)部網(wǎng)址與外部網(wǎng)址的直接連接，同時(shí)還要處理內(nèi)部網(wǎng)絡(luò)SSN的連接。?
　　
　　5.3分組過(guò)濾器的設(shè)計(jì)?
　　
　　作為防火墻的核心部件之一，過(guò)濾器的設(shè)計(jì)要盡量做到減少對(duì)防火墻的訪(fǎng)問(wèn)，過(guò)濾器在調(diào)用時(shí)將被下載到內(nèi)核中執(zhí)行，服務(wù)終止時(shí)，過(guò)濾規(guī)則會(huì)從內(nèi)核中消除，所有的分組過(guò)濾功能都在內(nèi)核中IP堆棧的深層運(yùn)行，極為安全。分組過(guò)濾器包括以下參數(shù)。?
　　
　　1)進(jìn)站接口；?
　　
　　2)出站接口；?
　　
　　3)允許的連接；?
　　
　　4)源端口范圍；?
　　
　　5)源地址；?
　　
　　6)目的端口的范圍等。?
　　
　　對(duì)每一種參數(shù)的處理都充分體現(xiàn)設(shè)計(jì)原則和安全政策。?
　　
　　5.4安全服務(wù)器的設(shè)計(jì)?
　　
　　安全服務(wù)器的設(shè)計(jì)有兩個(gè)要點(diǎn)：第一，所有SSN的流量都要隔離處理，即從內(nèi)部網(wǎng)和外部網(wǎng)而來(lái)的路由信息流在機(jī)制上是分離的；第二，SSN的作用類(lèi)似于兩個(gè)網(wǎng)絡(luò)，它看上去像是內(nèi)部網(wǎng)，因?yàn)樗鼘?duì)外透明，同時(shí)又像是外部網(wǎng)絡(luò)，因?yàn)樗鼜膬?nèi)部網(wǎng)絡(luò)對(duì)外訪(fǎng)問(wèn)的方式十分有限。?
　　
　　SSN上的每一個(gè)服務(wù)器都隱蔽于Internet，SSN提供的服務(wù)對(duì)外部網(wǎng)絡(luò)而言好像防火墻功能，由于地址已經(jīng)是透明的，對(duì)各種網(wǎng)絡(luò)應(yīng)用沒(méi)有限制。實(shí)現(xiàn)SSN的關(guān)鍵在于：?
　　
　　1)解決分組過(guò)濾器與SSN的連接；?
　　
　　2)支持通過(guò)防火墻對(duì)SSN的訪(fǎng)問(wèn)；?
　　
　　3)支持代理服務(wù)。?
　　
　　5.5鑒別與加密的考慮?
　　
　　鑒別與加密是防火墻識(shí)別用戶(hù)、驗(yàn)證訪(fǎng)問(wèn)和保護(hù)信息的有效手段，鑒別機(jī)制除了提供安全保護(hù)之外，還有安全管理功能，目前國(guó)外防火墻產(chǎn)品中廣泛使用令牌鑒別方式，具體方法有兩種一種是加密卡(CryptoCard)；另一種是SecureID，這兩種都是一次性口令的生成工具。
　　
　　?
　　
　　對(duì)信息內(nèi)容的加密與鑒別則涉及加密算法和數(shù)字簽名技術(shù)，除PEM、PGP和Kerberos外，目前國(guó)外防火墻產(chǎn)品中尚沒(méi)有更好的機(jī)制出現(xiàn)，由于加密算法涉及國(guó)家信息安全和主權(quán)，各國(guó)有不同的要求。?
　　
　　6．第四代防火墻的抗攻擊能力?
　　
　　作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。在Internet環(huán)境中針對(duì)防火墻的攻擊很多，下面從幾種主要的攻擊方法來(lái)評(píng)估第四代防火墻的抗攻擊能力。?
　　
　　6.1抗IP假冒攻擊?
　　
　　IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。由于第四代防火墻已經(jīng)將網(wǎng)內(nèi)的實(shí)際地址隱蔽起來(lái)，外部用戶(hù)很難知道內(nèi)部的IP地址，因而難以攻擊。?
　　
　　6.2抗特洛伊木馬攻擊?
　　
　　特洛伊木馬能將病毒或破壞性程序傳入計(jì)算機(jī)網(wǎng)絡(luò)，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門(mén)程序或游戲，一些用戶(hù)下載并執(zhí)行這一程序，其中的病毒便會(huì)發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其內(nèi)核中不能執(zhí)行下載的程序，故而可以防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明其保護(hù)的某個(gè)主機(jī)也能防止這類(lèi)攻擊。事實(shí)上，內(nèi)部用戶(hù)可以通過(guò)防火墻下載程序，并執(zhí)行下載的程序。
　　
　　?
　　
　　6.3抗口令字探尋攻擊?
　　
　　在網(wǎng)絡(luò)中探尋口令的方法很多，最常見(jiàn)的是口令嗅探和口令解密。嗅探是通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)通信，截獲用戶(hù)傳給服務(wù)器的口令字，記錄下來(lái)，以便使用；解密是指采用強(qiáng)力攻擊、猜測(cè)或截獲含有加密口令的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。
　　
　　?第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施，能夠有效防止對(duì)口令字的攻擊。?
　　
　　6.4抗網(wǎng)絡(luò)安全性分析?
　　
　　網(wǎng)絡(luò)安全性分析工具是提供管理人員分析網(wǎng)絡(luò)安全性之用的，一旦這類(lèi)工具用作攻擊網(wǎng)絡(luò)的手段，則能夠比較方便地探測(cè)到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點(diǎn)所在。目前，SATA軟件可以從網(wǎng)上免費(fèi)獲得，InternetScanner可以從市面上購(gòu)買(mǎi)，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來(lái)，使網(wǎng)絡(luò)安全分析工具無(wú)法從外部對(duì)內(nèi)部網(wǎng)絡(luò)做分析。?
　　
　　6.5抗郵件詐騙攻擊?
　　
　　郵件詐騙也是越來(lái)越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對(duì)它攻擊，同樣值得一提的是，防火墻不接收郵件，并不表示它不讓郵件通過(guò)，實(shí)際上用戶(hù)仍可收發(fā)郵件，內(nèi)部用戶(hù)要防郵件詐騙，最終的解決辦法是對(duì)郵件加密。?
　　
　　7．防火墻技術(shù)展望?
　　
　　伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng)，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動(dòng)向和趨勢(shì)。下面諸點(diǎn)可能是下一步的走向和選擇：?
　　
　　1)防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。?
　　
　　2)過(guò)濾深度會(huì)不斷加強(qiáng)，從目前的地址、服務(wù)過(guò)濾，發(fā)展到URL(頁(yè)面)過(guò)濾、關(guān)鍵字過(guò)濾和對(duì)ActiveX、Java等的過(guò)濾，并逐漸有病毒掃描功能。?
　　
　　3)利用防火墻建立專(zhuān)用網(wǎng)是較長(zhǎng)一段時(shí)間用戶(hù)使用的主流，IP的加密需求越來(lái)越強(qiáng)，安全協(xié)議的開(kāi)發(fā)是一大熱點(diǎn)。?
　　
　　4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門(mén)類(lèi)而出現(xiàn)。?
　　
　　5)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各種告警將成為防火墻的重要功能。?
　　
　　6)安全管理工具不斷完善，特別是可以活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。?
　　
　　另外值得一提的是，伴隨著防火墻技術(shù)的不斷發(fā)展，人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個(gè)方面。
　　
　　
　　
　　

【Internet防火墻技術(shù)綜述】相關(guān)文章：

VPN技術(shù)綜述及應(yīng)用08-06

客戶(hù)關(guān)系管理與數(shù)據(jù)挖掘技術(shù)綜述08-06

客戶(hù)關(guān)系管理與數(shù)據(jù)挖掘技術(shù)綜述08-06

單相電機(jī)變頻調(diào)速技術(shù)綜述08-06

防火墻技術(shù)及其體系結(jié)構(gòu)研究08-06

On the Internet08-09

On the Internet08-09

Internet In china08-09

嵌入式計(jì)算系統(tǒng)調(diào)測(cè)方法與技術(shù)綜述08-06