第8章防火墙技术的原理与应用8.1防火墙概述*公共外部网络，如Internet。 *内联网(Intranet)，如某个公司或组织的专用网络，网络访问限制在组织内部。 *Extranet，是内联网的扩展延伸，常用作组织与合作伙伴之间进行通信。 *军事缓冲区域，简称DMZ，该区域是介于内部网络和外部网络之间的网络段，常放置公共服务设备，向外提供信息服务。在安全区域划分的基础上，通过一种网络安全设备，控制安全区域间的通信，就能实现隔离有害通信的作用，进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙，因而人们就把这种安全设备俗称为“防火墙”，它一般安装在不同的安全区域边界处，用于网络通信安全控制，由专用硬件或软件系统组成。8.1.2防火墙工作原理 防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包，如禁止或转发，能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障的作用。防火墙一般用来将内部网络与Internet或者其他外部网络互相隔离，限制网络互访，保护内部网络的安全，如图8-1所示。图8-1防火墙部署安装示意图防火墙根据网络包所提供的信息实现网络通信访问控制：如果网络通信包符合网络访问控制策略，就允许该网络通信包通过防火墙，否则不允许，如图8-2所示。防火墙的安全策略有两种类型，即： (1)只允许符合安全规则的包通过防火墙，其他通信包禁止。 (2)禁止与安全规则相冲突的包通过防火墙，其他通信包都允许。图8-2防火墙工作示意图防火墙简单的可以用路由器、交换机实现，复杂的就要用一台计算机，甚至一组计算机实现。按照TCP/IP协议的层次，防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层，首先依据各层所包含的信息判断是否遵循安全规则，然后控制网络通信连接，如禁止、允许。防火墙简化了网络的安全管理。如果没有它，网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全，就必须在每台主机上安装安全软件，并对每台主机都要定时检查和配置更新。归纳起来，防火墙的功能有： *过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙，禁止未授权的用户访问受保护的网络，降低被保护网络受非法攻击的风险。*限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务，通常受保护网络中的Mail、FTP、WWW服务器等可让外部网络访问，而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务，例如某些不良网址。 *网络访问审计。防火墙是外部网络与受保护网络之间的惟一网络通道，可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志，可以掌握网络的使用情况，例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。*网络带宽控制。防火墙可以控制网络带宽的分配使用，实现部分网络质量服务(QoS)保障。 *协同防御。目前，防火墙和入侵检测系统通过交换信息实现联动，根据网络的实际情况配置并修改安全策略，增强网络安全。8.1.3防火墙缺陷 尽管防火墙有许多防范功能，但它也有一些力不能及的地方，因为防火墙只能对通过它的网络通信包进行访问控制，所以对未经过它的网络通信就无能为力了。例如，如果允许从内部网络直接拨号访问外部网络，则防火墙就失效了，攻击者通过用户拨号连接直接访问内部网络，绕过防火墙控制，也能造成潜在的攻击途径。除此之外，防火墙还有一些脆弱点，例如: *防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈，因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多，以致于不能指望防火墙逐个扫描每个文件查找病毒，而只能在每台主机上安装反病毒软件。 *防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时，就会发生数据驱动攻击效果。防火墙对此无能为力。 *防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制，某些基于网络隐蔽通道的后门能绕过防火墙的控制，例如httptunnel等。8.2防火墙技术与类型图8-3包过滤工作机制目前，包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能，并默认转发所有的包。ipf、ipfw、ipfwadm是有名的自由过滤软件，可以运行在Linux操作系统平台上。包过滤的控制依据是规则集，典型的过滤规则表示格式由规则号、匹配条件、匹配操作三部分组成，包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异，但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP，TCP，ICMP)、通信方向及规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、