项目一、分析网络安全需求 任务3、了解防火墙的基本概念 防火墙（Firewall）通常是指设置在不同网络（如可信任的企业内部网和不可 信的公共网）或网络安全域之间的一系列部件的组合（包括硬件和软件）。它是不同 网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒 绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全 服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了 内部网Internet之间的任何活动，保证了内部网络的安全。 图1.2防火墙逻辑位置示意图 由于防火墙设定了网络边界和服务，因此更适合于相对独立的网络，例如Intranet 等。防火墙成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的 Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对 黑客防范最严格，安全性较强的一种方式，任何关键性的服务器，都应放在防火墙 之后。 1 1.3.1防火墙的功能 防火墙能增强内部网络的安全性，加强网络间的访问控制，防止外部用户非法 使用内部网络资源，保护内部网络不被破坏，防止内部网络的敏感数据被窃取。防 火墙系统可决定外界可以访问哪些内部服务，以及内部人员可以访问哪些外部服务。 一般来说，防火墙应该具备以下功能： 1)支持安全策略。即使在没有其他安全策略的情况下，也应该支持“除非 特别许可，否则拒绝所有的服务”的设计原则。 2)易于扩充新的服务和更改所需的安全策略。 3)具有代理服务功能（例如FTP、Telnet等），包含先进的鉴别技术。 4)采用过滤技术，根据需求允许或拒绝某些服务。 5)具有灵活的编程语言，界面友好，且具有很多过滤属性，包括源和目的 IP地址、协议类型、源和目的TCP/UDP端口以及进入和输出的接口地址。 6)具有缓冲存储的功能，提高访问速度。 7)能够接纳对本地网的公共访问，对本地网的公共信息服务进行保护，并 根据需要删减或扩充。 8)具有对拨号访问内部网的集中处理和过滤能力。 9)具有记录和审计功能，包括允许等级通信和记录可以活动的方法，便于 检查和审计。 10)防火墙设备上所使用的操作系统和开发工具都应该具备相当等级的安全 性。 11)防火墙应该是可检验和可管理的。 1.3.3防火墙的工作方式 所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源 地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火 墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。 2 图1.5防火墙的工作方式示意图 总的来说，防火墙可以以硬件方式、软件方式以及软硬件混合的方式工作，下面 进行简单介绍。 1.3.3.1硬件方式 图1.6硬件防火墙 硬件防火墙是在内部网与Internet之间放置一台硬件设备，以隔离或过滤外部人 员对内部网络的访问，如图1-5所示。 采用上述安装，可以根据自己的网络设计及应用配置防火墙，阻止来自外部的 破坏性攻击。 1.3.3.2软件方式 采用软件方式也可以保护内部网络不受外来用户的攻击。在Web主机上或单独 3 一台计算机上运行一类软件，监测、侦听来自网络上的信息，对访问内部网的数据 起到过滤作用，从而保护内部网免受破坏。这类软件中，最常用的是代理服务器软 件。 在代理方式下，私有网络的数据包从来不能直接进入互联网，而是需要经过代 理的处理。同样，外部网的数据也不能直接进入私有网，而是要经过代理处理以后 才能到达私有网， 因此在代理上就可以进行访问控制，地址转换等功能。下图是是用代理服务器的工 作示意图： 图1.7软件方式 1.3.4防火墙分类 (一)分组过滤型防火墙 分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因 为它不针对各具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由 器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。 包过滤在网络层和传输层起作用。它根据分组包的源、宿地址，端口号及协议 类型、标志确定是否允许分组包通过。所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和 传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输 层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的 4 数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下 文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺 少审计和报警机制，且管理方式和用户界