多层防火墙技术的研究

 防火墙的功能
① 防火墙是网络安全的屏障：
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
② 防火墙可以强化网络安全策略：
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。
③ 对网络存取和访问进行监控审计：
如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 copyright think58

防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。 think58.com [来源：http://think58.com]

1.3  防火墙的特性
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。
一个好的防火墙系统应具有以下五方面的特性：
① 有的内部网络和外部网络之间传输的数据必须通过防火墙；
② 只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙；
③ 火墙本身不受各种攻击的影响；
④ 使用目前新的信息安全技术，比如现代密码技术等；
⑤ 人机界面良好，用户配置使用方便，易管理。

copyright think58 [资料来源：www.THINK58.com]

1.4  防火墙技术的发展
随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
 多层防火墙技术的研究背景
2.1  多层防火墙技术的研究背景
防火墙技术是一种安全防范措施，所谓网络入侵和安全防范，实际上就是指网络攻防技术。攻防技术的此消彼长始终是网络安全领域前进的动力。攻击技术包括目标网络信息收集技术、目标网络权限提升技术、目标网络渗透技术、目标网络摧毁技术四大类。随着网络技术的快速发展和应用的日渐普及，黑客工具不仅变得越来越先进，而且也越来越容易被一般人获取和滥用。黑客技术的提升和黑客工具的泛滥，造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击，或面临随时被攻击的危险。这就迫使大家不得不加强对自身电脑网络系统的安全防护，甚至追求所谓彻底的、一劳永逸的、100%的网络安全解决方案。

think58好，好think58

[资料来源：http://THINK58.com]

对于用户而言，不管你是否已经受到这些攻击，不管这些攻击是否会产生比较严重的后果，你都必须假设它们对信息系统的威胁总是存在的。因为一旦你的信息系统受到攻击，你也许会蒙受无法估量的损失。所以在任何时候，对信息系统实施连续不断的保护是非常必要的。经过对攻防技术发展和网络安全实践的研究分析，我们可以得知单一的安全保护往往效果不理想，而最佳途径就是采用“多层安全防护措施”对信息系统进行全方位的保护。
但是对攻防技术发展和网络安全实践的研究分析表明，单一的防火墙有许多“难言之隐”——即“三难防”困扰。
“一难防”。单一的防火墙不能防范不经由防火墙的攻击。如果外部网络用户直接从因特网服务提供商那里购置直接的SLIP或PPP链接，绕过了防火墙系统所提供的安全保护，就会造成一个潜在的后门攻击渠道。
“二难防”。单一的防火墙不能阻止已受到病毒感染的软件或文件的传输，因而不能防止网络受到病毒的侵扰。由于操作系统、病毒、二进制文件类型的复杂性，而且更新速度很快，它无法逐个扫描每个文件查找病毒，病毒很可能隐藏在合法邮寄的数据包内，它很难对其进行识别。
“三难防”。单一的防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据通过邮寄或拷贝到内部网的主机上并被执行时，就会发生数据驱动式的攻击。例如，一种数据驱动式的攻击，可以导致主机修改与系统安全有关的配置文件，从而使入侵者下一次更容易攻击该系统。

copyright think58

正因为上述单一的防火墙的“三难防”困扰，我们提出了“多层次防护”的概念，它采用多层安全防护措施对信息系统进行全方位的保护。在各个层次上部署相关的网络安全产品以增加攻击者侵入时所需花费的时间、成本和所需要的资源，大大减少了他们的攻击频度，从而卓有成效地降低被攻击的危险，达到安全防护的目标。

think58好，好think58 [资料来源：http://www.THINK58.com]

2.2  多层防火墙技术的概论
针对上述单一防火墙系统安全性能不高，防护效果往往不够理想的情况，我们提出“多层次防护”即多层防火墙的概念。巩固我们的网络安全性能，提高网络的安全防范能力，使信息系统的安全系数得到了大大的提升。
我们所研究的多层防火墙系统就是结合不同的防火墙安全策略和技术，该防火墙的“多层次安全防护” 就是应用和实施一个基于OSI网络参考模型的多层次安全系统的全面信息安全策略，采用了“多级过滤技术”在各个层次上部署相关的网络安全产品，例如地址翻译技术、数据包过滤技术、状态检测技术、电路级网关技术和应用级网关技术等其他技术，来创建一个比单一防护有效得的多的综合的保护屏障，层层高度戒备。
所谓“多级过滤技术”，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤（网络层）一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关（应用层）一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚，每种过滤技术对应于OSI网络参考模型上的不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。 本文来自think58

[资料来源：http://think58.com]

我们所研究的多层防火墙系统，就是采用多种防火墙技术构成多层防护屏障，对网络中传送的信息进行重重检测，鉴定其安全性，从而来对网络进行层层防护。因为多层次的防火墙和单一的防火墙相比起来，不是一个单一的物理实体，它除了具有防火墙的功能外，而且还能执行其他的功能，如加解密和认证等，能更好的实现控制对受保护的网络（即网点）的往返访问。
该多层防火墙最大的优点就是可以成倍地增加了攻击者侵入时所需花费的时间、成本和所需要的资源，大大减少了他们的攻击频度，即而卓有成效地降低被攻击的危险，达到安全防护的目标，使信息系统得到连续不断的保护。事实上，多层次防护已经成为网络安全设计的主流策略。
内容来自think58

[来源：http://www.think58.com]