防火墻系統(tǒng)

防火墻總體上分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。

數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯， 被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號、 協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡單，價(jià)格便宜，易于安裝和使用， 網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備， 因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。

數(shù)據(jù)包過濾防火墻的缺點(diǎn)有二:一是非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊; 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。

應(yīng)用級網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對數(shù)據(jù)包進(jìn)行必要的分析、 登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。

數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系， 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。

代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)， 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的" 鏈接"， 由兩個(gè)終止代理服務(wù)器上的" 鏈接"來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器， 從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記， 形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。

根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻:

局域網(wǎng)內(nèi)的VLAN之間控制信息流向時(shí);

Intranet與Internet之間連接時(shí)(企業(yè)單位與外網(wǎng)連接時(shí)的應(yīng)用網(wǎng)關(guān));

在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)， (通過公網(wǎng)ChinaPac，ChinaDDN，F(xiàn)rame Relay等連接)在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時(shí)采用防火墻隔離， 并利用VPN構(gòu)成虛擬專網(wǎng);

總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過Internet連接，需要各自安裝防火墻，并利用NetScreen的VPN組成虛擬專網(wǎng);

在遠(yuǎn)程用戶撥號訪問時(shí)，加入虛擬專網(wǎng);

ISP可利用NetScreen的負(fù)載平衡功能在公共訪問服務(wù)器和客戶端間加入防火墻進(jìn)行負(fù)載分擔(dān)、 存取控制、用戶認(rèn)證、流量控制、日志紀(jì)錄等功能;

兩網(wǎng)對接時(shí)，可利用NetScreen硬件防火墻作為網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換(NAT)，地址映射(MAP)， 網(wǎng)絡(luò)隔離(DMZ), 存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題

通過過濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如， Firewall可以禁止NIS、NFS服務(wù)通過，F(xiàn)irewall同時(shí)可以拒絕源路由和ICMP重定向封包。

Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

Firewall對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)， 而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。Firewall可以定義不同的認(rèn)證方法， 而不需要在每臺機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。

使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Figer和DNS。

記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)

Firewall可以記錄和統(tǒng)計(jì)通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù)， 來判斷可能的攻擊和探測。

Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時(shí)，網(wǎng)絡(luò)安全取決于每臺主機(jī)的用戶。

影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)， 低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。

服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問(如撥入策略、SLIP/PPP連接等)。 服務(wù)訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶服務(wù)之間獲得平衡。 典型的服務(wù)訪問策略是:允許通過增強(qiáng)認(rèn)證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機(jī)和服務(wù); 允許內(nèi)部用戶訪問指定的Internet主機(jī)和服務(wù)。

防火墻設(shè)計(jì)策略基于特定的Firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略: 允許任何服務(wù)除非被明確禁止;禁止任何服務(wù)除非被明確允許。第一種的特點(diǎn)是安全但不好用， 第二種是好用但不安全，通常采用第二種類型的設(shè)計(jì)策略。 而多數(shù)防火墻都在兩種之間采取折衷。

許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機(jī)制。多年來，用戶被告知使用難于猜測和破譯口令， 雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機(jī)制形同虛設(shè)。增強(qiáng)的認(rèn)證機(jī)制包含智能卡， 認(rèn)證令牌，生理特征(指紋)以及基于軟件(RSA)等技術(shù)，來克服傳統(tǒng)口令的弱點(diǎn)。雖然存在多種認(rèn)證技術(shù)， 它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和密鑰。

《防火墻系統(tǒng)實(shí)訓(xùn)教程》主要圍繞神州數(shù)碼多核防火墻系統(tǒng)的安裝部署及各種典型應(yīng)用展開。全書共設(shè)計(jì)4個(gè)單元，分別為搭建防火墻基本管理環(huán)境、配置防火墻基本功能、配置防火墻常見應(yīng)用和配置防火墻高級功能，包括24個(gè)獨(dú)立的任務(wù)?！斗阑饓ο到y(tǒng)實(shí)訓(xùn)教程》內(nèi)容基本涵蓋防火墻在現(xiàn)有項(xiàng)目中的典型應(yīng)用案例，是典型的實(shí)訓(xùn)教程，以實(shí)際工作內(nèi)容為依托，形成典型的任務(wù)工作設(shè)計(jì)，按照一般學(xué)習(xí)思維活動(dòng)的特點(diǎn)進(jìn)行系統(tǒng)化編排和整理。

雖然有網(wǎng)絡(luò)防火墻作為網(wǎng)絡(luò)安全的保障，但是如果郵件服務(wù)器對外提供服務(wù)，則黑客仍然至少能夠通過郵件通訊與郵件服務(wù)器發(fā)生“親密接觸”。

有了郵件防火墻的隔離，從Internet外部只能“看到”郵件防火墻，而看不到內(nèi)部真正的郵件服務(wù)器，甚至從外面無法知道內(nèi)部郵件服務(wù)器采用哪種軟件系統(tǒng)，什么版本狀態(tài)等。因此大大降低了郵件服務(wù)器因?yàn)椤氨┞对谕狻倍鴿摲陌踩[患。

過濾不安全郵件

盡管SMTP協(xié)議中的VRFY和EXPN等協(xié)議的設(shè)計(jì)初衷很好，但是黑客和垃圾郵件發(fā)送者卻可以利用這些命令從警惕性不高和缺乏經(jīng)驗(yàn)的郵件系統(tǒng)管理員的工作漏洞中獲取系統(tǒng)賬戶等信息，從而帶來潛在的安全隱患。

有了郵件防火墻作為郵件收發(fā)的“協(xié)議翻譯機(jī)”，能夠?qū)⑦@些不安全的協(xié)議屏蔽掉，杜絕此類安全漏洞。

擦除郵件路由痕跡

郵件防火墻的“郵件路由痕跡擦除器”的作用，就是要擦除這些冗余的路由信息，使得外發(fā)的郵件信息經(jīng)過“過濾”，從而消除此類安全隱患。

防止開放式中繼

通過在“郵件防火墻”中設(shè)定嚴(yán)格的中繼規(guī)則，可以防止Open Relay帶來的垃圾郵件隱患。

《防火墻系統(tǒng)實(shí)訓(xùn)教程》的主體內(nèi)容均包含任務(wù)目標(biāo)、任務(wù)設(shè)備與要求、任務(wù)實(shí)施、任務(wù)拓展思考和任務(wù)評價(jià)。這樣安排既保證了任務(wù)的可操作性，又對任務(wù)實(shí)施后的理論提升創(chuàng)造了空間。同時(shí)，在每個(gè)單元的開始，均設(shè)有學(xué)習(xí)目標(biāo)、重點(diǎn)及難點(diǎn)、知識補(bǔ)充和技能大賽賽點(diǎn)分析，主要為讀者學(xué)習(xí)本單元的內(nèi)容提供一定的指導(dǎo)。