信息安全学习总结8防火墙实现技术.docx

PAGE

PAGE10

（八）防火墙的实现技术

作者：山石

数据包过滤

概述

数据包过滤，通俗的理解就是在网络当中的适当位置，对数据包实施有选择的通过。数据包过滤技术是一种简单的、高效的安全控制技术，是防火墙发展初期的普遍采用的技术。

依据在系统内设置的过滤规则（通常称为访问控制表——Access

ControlList），对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进去内部网络。系统在网络层检测数据包，而与应用层无关。

包过滤检查的内容包括：IP源地址、IP目的地址、协议类型（TCP包\UDP包\ICMP包）、TCP或UDP的源端口、TCP或UDP的目的端口、ICMP消息类型、TCP报头中的ACK位。

图1数据包过滤应用位置

工作原理

图2包过滤工作原理

对进出的数据包逐个过滤，丢弃或允许通过

ACL应用于接口上，每个接口的出入双向分别过滤

仅当数据包经过接口时，才能被此接口的此方向的ACL过滤

图3入站包过滤工作流程

图4出站包过滤工作流程

优缺点

优点

逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。

缺点

安全控制的力度只限于地址、目的地址和端口号等，不能保存与传输或应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低。

数据包的源地址、目的地址及端口号等都在数据包的头部，很

有可能被窃听或假冒。

代理服务

概述

代理服务器的功能主要在应用层实现。当代理服务器收到一个客

户的连接请求时，先核实该请求，然后将处理后的请求转发给真实服

务器，在接受真实服务器应答并做进一步处理后，再将回复交给发出请求的客户。代理服务器在外部网络和内部网络之间，发挥了中间转接的作用。所以，代理服务器有时也称作应用层网关。代理服务是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。

图5代理服务工作位置

工作原理

代理服务器可对网络上任一层的数据包进行检查并经过身份认证，让符合安全规则的包通过，并丢弃其余的包。它允许通过的数据当用户需要访问代理服务器另一侧的主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而

代理服务器可对网络上任一层的数据包进行检查并经过身份认

证，让符合安全规则的包通过，并丢弃其余的包。它允许通过的数据

包由网关复制并传递，防止在受信任服务器和客户机与不受信任的主

包由网关复制并传递，防止在受信任服务器和客户机与不受信任的主

机间直接建立联系。

图6代理服务工作原理图

代理服务器型防火墙，则是利用代理服务器主机将外部网络和内部网络分开。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部的网卡一样，从而可以达到隐藏内部网络结构的作用。内部网络的主机，无需设置防火墙为网关，只需直接将需要服务的IP地址指向代理服务器主机，就可以获取Internet资源。

代理服务器提供了详细的日志和审计功能，大大提高了网络的安全性，也为改进现有软件的安全性能提供了可能。但会降低网络性能。

优缺点

优点

内部网络拓扑结构等重要信息不易外泄，从而减少了黑客攻击时所必须的必要的信息。

可以实施用户认证、详细日志、审计跟踪和数据加密等功能和

对具体协议及应用的过滤，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹，安全性较高。

缺点

针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用。

有些代理还需要相应的支持代理客户和服务器软件

用户可能还需要专门学习程序的使用方法才能通过代理访问

Internet

性能下降

状态检测

概述

状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”和“from”的地址，而且不要求每个访问的应用都有代理。

图7状态监测工作的位置

状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的。动态包过滤与普通包过滤相比，需要