第八讲:防火墙基本知识 A:什么是防火墙 英特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全 性。英特网防火墙用于加强网络间的访问控制,防止外部用户非法使用内 部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被 窃取。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可 以访问内部的那些可以访问的服务,以及哪些外部服务可以被内部人员访 问。要使一个防火墙有效,所有来自和去往英特网的信息都必须经过防火 墙,接受防火墙的检査。防火墙必须只允许授权的数据通过,并且防火墙 本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回,就不能 提供任何的保护了
第八讲: 防火墙基本知识 A: 什么是防火墙 英特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全 性。英特网防火墙用于加强网络间的访问控制,防止外部用户非法使用内 部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被 窃取。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可 以访问内部的那些可以访问的服务,以及哪些外部服务可以被内部人员访 问。要使一个防火墙有效,所有来自和去往英特网的信息都必须经过防火 墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙 本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回,就不能 提供任何的保护了
从总体上看,防火墙应具有以下五大基本功能: 1.过滤进出网络的数据包 2.管理进出网络的访问行为 3.封堵某些禁止的访问行为 4.记录通过防火墙的信息内容和活动; 5.对网络攻击进行检测和告警。 防火墙是一种综合性的技术,涉及到计算机网络技术、密码技术、安全 技术、软件技术、安全协议、网络标准化组织(ⅠSO)的安全规范以及 安全操作系统等多方面。作为一种有效解决网络之间访问控制的有效方 法,国际上在这方面的研究很多。 在国外,近几年防火墙发展迅速,产品众多,而且更新换代快,并不断
从总体上看,防火墙应具有以下五大基本功能: 1. 过滤进出网络的数据包; 2. 管理进出网络的访问行为; 3. 封堵某些禁止的访问行为; 4. 记录通过防火墙的信息内容和活动; 5. 对网络攻击进行检测和告警。 防火墙是一种综合性的技术,涉及到计算机网络技术、密码技术、安全 技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及 安全操作系统等多方面。作为一种有效解决网络之间访问控制的有效方 法,国际上在这方面的研究很多。 在国外,近几年防火墙发展迅速,产品众多,而且更新换代快,并不断
有新的信息安全技术和软件技术等被应用在防火墙的开发上。国外技术虽 然相对领先(比如包过滤、代理服务器、VPN、状态监测、加密技术、身 份认证等),但总的来讲,此方面的技术并不十分成熟完善,标准也不健 全,实用效果并不十分理想。从1991年6月ANS公司的第一个防火墙 产品 ANs Interlock Service防火墙上市以来,到目前为止,世界上至少有 几十家公司和研究所在从事防火墙技术的研究和产品开发。几乎所有的网 络厂商也都开始了防火墙产品的开发或者OEM别的防火墙厂商的防火墙 产品,如 Sun Microsystems公司的Su unscreen、 Check point公司的 Firewal-1 Milkyway公司的 Black hole等。 国内也已经开始了这方面的研究,北京邮电大学信息安全中心研制成功 了国内首套PC机防火墙系统。此外,还有北京天融信公司的网络防火墙 系统—— Talentit防火墙、深圳桑达公司的具有包过滤防火墙功能的 SED-08路由器、北大青鸟的内部网保密网关防火墙、电子部30所的SS
有新的信息安全技术和软件技术等被应用在防火墙的开发上。国外技术虽 然相对领先(比如包过滤、代理服务器、VPN、状态监测、加密技术、身 份认证等),但总的来讲,此方面的技术并不十分成熟完善,标准也不健 全,实用效果并不十分理想。从 1991 年 6 月ANS公司的第一个防火墙 产品 ANS Interlock Service 防火墙上市以来,到目前为止,世界上至少有 几十家公司和研究所在从事防火墙技术的研究和产品开发。几乎所有的网 络厂商也都开始了防火墙产品的开发或者 OEM 别的防火墙厂商的防火墙 产品,如 Sun Microsystems 公司的 Sunscreen、Check Point 公司的 Firewall-1、Milkyway 公司的 Black Hole 等。 国内也已经开始了这方面的研究,北京邮电大学信息安全中心研制成功 了国内首套 PC 机防火墙系统。此外,还有北京天融信公司的网络防火墙 系统——Talentit 防火墙、深圳桑达公司的具有包过滤防火墙功能的 SED-08 路由器、北大青鸟的内部网保密网关防火墙、电子部 30 所的SS
R型安全路由器、东北大学软件中心的具有信息过滤功能的 Neteye防火 墙、邮电部数据所的SJW04防火墙及 Proxy98等也都先后开发成功。 防火墙最基本的构件既不是软件又不是硬件,而是构造防火墙的人的思 想。最初的防火墙只是一种概念而不是一种产品,是构造者脑海中的一种 想法,即谁和什么能被允许访问本网络。“谁”和“什么”极大地影响了 如何对网络数据设计路由。从这个意义上讲,构造一个好的防火墙需要、 直觉、创造和逻辑的共同作用。一个好的防火墙系统应具有以下五方面的 特性 1.所有在内部网络和外部网络之间传输的数据都必须通过防火墙 2.只有被授权的合法数据,即防火墙系统中安全策略允许的数据, 以通过防火墙; 3.防火墙本身不受各种攻击的影响; 4.使用目前新的信息安全技术,比如现代密码技术、一次口令系统
-R型安全路由器、东北大学软件中心的具有信息过滤功能的 NetEye 防火 墙、邮电部数据所的 SJW04 防火墙及 Proxy98 等也都先后开发成功。 防火墙最基本的构件既不是软件又不是硬件,而是构造防火墙的人的思 想。最初的防火墙只是一种概念而不是一种产品,是构造者脑海中的一种 想法,即谁和什么能被允许访问本网络。“谁”和“什么”极大地影响了 如何对网络数据设计路由。从这个意义上讲,构造一个好的防火墙需要、 直觉、创造和逻辑的共同作用。一个好的防火墙系统应具有以下五方面的 特性: 1. 所有在内部网络和外部网络之间传输的数据都必须通过防火墙; 2. 只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可 以通过防火墙; 3. 防火墙本身不受各种攻击的影响; 4. 使用目前新的信息安全技术,比如现代密码技术、一次口令系统
智能卡等; 5.人机界面良好,用户配置使用方便,易管理。系统管理员可以方便 地对防火墙进行设置,对 Internet的访问者、被访问者、访问协议以及访 问方式进行控制 防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内 部网和外部网交界的点上。英特防火墙不仅仅是路由器、堡垒主机、或任 何提供网络安全的设备的组合,它更是安全策略的一个部分。安全策略建 立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有 的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入 和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受 到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统, 而没有全面的安全策略,那么防火墙就形同虚设
智能卡等; 5. 人机界面良好,用户配置使用方便,易管理。系统管理员可以方便 地对防火墙进行设置,对 Internet 的访问者、被访问者、访问协议以及访 问方式进行控制。 防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内 部网和外部网交界的点上。英特防火墙不仅仅是路由器、堡垒主机、或任 何提供网络安全的设备的组合,它更是安全策略的一个部分。安全策略建 立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有 的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入 和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受 到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统, 而没有全面的安全策略,那么防火墙就形同虚设
B:防火墙的发展 若以产品为对象,防火墙技术的发展可以分为四个阶段: 第一阶段:基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能,故网络访问控制功能可通 过路由控制来实现,从而使具有分组过滤功能的路由器称为第一代防火墙 产品。 第一代防火墙产品的特点是: ●利用路由器本身的对分组的解析,以访问控制表方式实现对分组的过 滤 ●过滤判决的依据可以是:地址、端口号、ICMP报文类型等。 ●只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网 络采用路由器附带防火墙的功能的方法,对安全性要求较高的网络则可
B: 防火墙的发展 若以产品为对象,防火墙技术的发展可以分为四个阶段: 第一阶段:基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能,故网络访问控制功能可通 过路由控制来实现,从而使具有分组过滤功能的路由器称为第一代防火墙 产品。 第一代防火墙产品的特点是: ⚫ 利用路由器本身的对分组的解析,以访问控制表方式实现对分组的过 滤。 ⚫ 过滤判决的依据可以是:地址、端口号、ICMP 报文类型等。 ⚫ 只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网 络采用路由器附带防火墙的功能的方法,对安全性要求较高的网络则可
单独利用一台路由器组防火墙。 第一代防火墙产品的不足之处在于 ●路由协议十分灵活,本身具有安全漏洞,外部网络要探询内部网络十分 容易。例如:在使用FTP协议时,外部服务器容易从20号端口上与内 部网相连,即使在路由器设置了过滤规则,内部网络的20端口仍可由 外部探寻 ●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤 规则的设置和配置十分复杂,它涉及到规则的逻辑一致性,作用端口的 有效性和规则集的正确性,一般的网络系统管理员难以胜任,加之一旦 出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多 错误 ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址,由于信息在网 络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火
单独利用一台路由器组防火墙。 第一代防火墙产品的不足之处在于: ⚫ 路由协议十分灵活,本身具有安全漏洞,外部网络要探询内部网络十分 容易。例如:在使用 FTP 协议时,外部服务器容易从 20 号端口上与内 部网相连,即使在路由器设置了过滤规则,内部网络的 20 端口仍可由 外部探寻。 ⚫ 路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤 规则的设置和配置十分复杂,它涉及到规则的逻辑一致性,作用端口的 有效性和规则集的正确性,一般的网络系统管理员难以胜任,加之一旦 出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多 错误。 ⚫ 路由器防火墙的最大隐患是:攻击者可以“假冒”地址,由于信息在网 络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火
墙 ●路由器防火墙的本质性缺陷是:由于路由器的主要功能是为网络访问提 供动态的,灵活的路由,而防火墙则要对访问行为实施静态的、固定的 控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器 的性能。 可以说,基于路由器的防火墙只是网络安全的一种应急措施,用这种权 宜之计去对付黑客的攻击是十分危险的。 第二阶段:用户化的防火墙工具套 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防 火墙系统来保护自己的网络,从而推动了用户化的防火墙工具套的出现。 作为第二代防火墙产品,用户化的防火墙工具套具有以下的特征: 将过滤功能从路由器中独立出来,并加上审计和告警功能; ●针对用户需求,提供模块化的软件包;
墙。 ⚫ 路由器防火墙的本质性缺陷是:由于路由器的主要功能是为网络访问提 供动态的,灵活的路由,而防火墙则要对访问行为实施静态的、固定的 控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器 的性能。 可以说,基于路由器的防火墙只是网络安全的一种应急措施,用这种权 宜之计去对付黑客的攻击是十分危险的。 第二阶段:用户化的防火墙工具套 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防 火墙系统来保护自己的网络,从而推动了用户化的防火墙工具套的出现。 作为第二代防火墙产品,用户化的防火墙工具套具有以下的特征: ⚫ 将过滤功能从路由器中独立出来,并加上审计和告警功能; ⚫ 针对用户需求,提供模块化的软件包;
●软件可通过网络发送,用户可自己动手构造防火墙; ●与第一代防火墙相比,安全性提高了,价格降低了。 由于是纯软件产品,第二代防火墙产品无论在实现还是维护上都对系统 管理员提出了相当复杂的要求,并带来以下问题: ●配置和维护过程复杂、费时 ●对用户的技术要求高; ●全软件实现,安全性和处理速度均由局限 ●实践表明,使用中出现差错的情况很多。 第三阶段:建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快 推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛可 用的就是这一代产品,它具有以下特点 ●是批量上市的防火墙专用产品:
⚫ 软件可通过网络发送,用户可自己动手构造防火墙; ⚫ 与第一代防火墙相比,安全性提高了,价格降低了。 由于是纯软件产品,第二代防火墙产品无论在实现还是维护上都对系统 管理员提出了相当复杂的要求,并带来以下问题: ⚫ 配置和维护过程复杂、费时; ⚫ 对用户的技术要求高; ⚫ 全软件实现,安全性和处理速度均由局限; ⚫ 实践表明,使用中出现差错的情况很多。 第三阶段:建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快 推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛可 用的就是这一代产品,它具有以下特点: ⚫ 是批量上市的防火墙专用产品;
●包括分组过滤或者借用路由器的分组过滤功能 ●装有专用的代理系统,监控所有协议的数据和指令 ●保护用户编程空间和用户可配置内核参数的设置 ●安全性和速度大为提高。 第三代防火墙既有以纯软件实现的,也有以硬件方式实现的,已得到广 大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少 问题,比如: ●作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的 保密,其安全性无从保证; 由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统的厂商 不会对操作系统的安全性负责; ●从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来 自操作系统厂商的攻击
⚫ 包括分组过滤或者借用路由器的分组过滤功能; ⚫ 装有专用的代理系统,监控所有协议的数据和指令; ⚫ 保护用户编程空间和用户可配置内核参数的设置; ⚫ 安全性和速度大为提高。 第三代防火墙既有以纯软件实现的,也有以硬件方式实现的,已得到广 大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少 问题,比如: ⚫ 作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的 保密,其安全性无从保证; ⚫ 由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统的厂商 不会对操作系统的安全性负责; ⚫ 从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来 自操作系统厂商的攻击