浅析防火墙安全体系结构

本论文在其他论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看摘要
随着网络的普及，安全问题正威胁着每一个网络用户。由于黑客攻击和信息泄漏等安全问题并不像病毒那样直截了当地对系统进行破坏，而是故意隐藏自已的行动，所以往往不能引起人们的重视。但是，一旦网络安全问题发生，通常会带来严重的后果。因此，必须加强安全意识，并及早防范。目前最常用的网络安全防范工具是防火墙，这里主要介绍关于防火墙的安全体系结构方面知识，其包括：
1. 包过滤路由器防火墙结构；
2. 应用级网关防火墙结构；
2. 双穴主机防火墙结构；
3. 主机过滤防火墙结构；
4. 子网过滤防火墙结构。
本论文分为3章：
第1章　介绍关于防火墙的一些基本知识。包括：概念、优缺点、功能以及防火墙能得到广泛使用的原因；
第2章　主要部分，重点介绍了关于防火墙安全体系结构的5种设计结构方式，并画出了相应结构图，便于理解；
第3章　介绍了防火墙的发展历史及防火墙未来发展趋势。

关键词：网络安全防火墙安全

第一章防火墙
1.1 防火墙的概念
所谓防火墙技术，是指一种将内部网和因特网分开的方法，它实际上是一种隔离技术。防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访，用来保护内部网络。防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。防火墙的构成可以表示为: 防火墙=过滤器+安全策略(+网关)，它是一种非常有效的网络安全技术。
防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又防止对企业构成威胁的数据进入的任务。
1.2 为什么要使用防火墙?
引入防火墙的原因是因为传统的子网系统会把自身暴露给NFS(网络文件系统)或NIS(Network Information Services，网络信息服务)等先天不安全的服务，并受到来自外部网络上的入侵和攻击。在没有防火墙的环境中，网络的安全完成依赖于系统的安全性。子网越大，主系统在相同安全性水平上的可管理能力就越小，随着安全性的失误和失策越来越普遍，闯入便时有发生，这些中有的不是因为受到多方的攻击，而仅仅是因为配置错误、口令不适当而造成的。而防火墙是放置在局域网与外部网络之间的一个隔离设备，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙将局域网的安全性统一到它本身，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有节点上，这就简化了局域网安全管理。
1.3防火墙的功能及不足
（一）过滤掉不安全服务和非法用户
（二）控制对特殊站点的访问
（三）提供监视Internet安全和预警的方便端点
（四）阻挡外部攻击，允许合法流量的转发。
（五）记录攻击，生成过滤日志。
由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方：
（一）防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。
（二）防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。
（三）防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。
（四）防火墙不能抵抗最新的未设置策略的攻击漏洞。
（五）防火墙对服务器合法开放的端口的攻击大多无法阻止。
第二章防火墙安全体系结构的四种设计结构
按照实体性质分类，防火墙可分为硬件方式和软件方式，其中硬件方式是在内部网与Internet之间放置一个硬件设备，以隔离或过滤外部人员对内部网络的访问；而软件方式则是在Web主机上或单独一台计算机上运行一类软件，监测、侦听来自网络上的信息，对访问内部网的数据起到过滤的作用，从而保护内部网免受破坏。
实现防火墙安全体系结构的5种设计结构：
2.1 包过滤防火墙结构
包过滤防火墙一般是根据源地址、目的地址、协议以及每个IP包的端口作出通过与否的判断。路由器便是一个传统的网络级防火墙，大多数的路由器都能通过检查这些消息来决定是否将所有收到的包转发，但它不能判断一个IP包来自何方。
先进的网络级防火墙可以判断这样一点：它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则。一般情况下，默认规则就是要求防火墙丢弃该包。通过定义基于TCP或UDP数据包的端口号，防火墙还能够判断是否允许建立特定的连接，如Telnet、FTP连接等。
网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护能力有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

图1　过滤路由器防火墙系统连接结构
2.2 应用级网关防火墙结构
应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做一些复杂的访问控制，并做精细的注册和稽核，但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

图2　应用级网关防火墙系统连接结构
在应用层实现防火墙，方式多种多样，下面是几种应用层防火墙的设计实现。
（一）应用代理服务器（Application Gateway Proxy）
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时，必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为该网络设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登录到防火墙上，通过验证后，才可访问。
应用网关代理的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。
（二）回路级代理服务器
即通常意义的代理服务器，它适用于多个协议，但不能解释应用协议，需要通过其他方式来获得信息，所以，回路级代理服务器通常要求修改过的用户程序。
套接字服务器（Sockets Server）就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址，经过确认后，套服务器才与外部的服务器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持 “Socketsified API”，受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。
（三）代管服务器
代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上，使它同时充当服务器，对外部的请求作出回答。与应用层代理实现相比，代管服务器技术不必为每种服务专门写程序。而且，受保护网内部用户想对外部网访问时，也需先登录到防火墙上，再向外提出请求，这样从外部网向内就只能看到防火墙，从而隐藏了内部地址，提高了安全性。
（四）IP通道（IP Tunnels）
如果一个大公司的两个子公司相隔较远，通过Internet通信。这种情况下，可以采用IP Tunnels来防止Internet上的黑客截取信息，从而在Internet上形成一个虚拟的企业网。
（五）网络地址转换器(NAT Network Address Translate)
当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法Internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。
（六）隔离域名服务器（Split Domain Name Server ）
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。
（七）邮件技术（Mail Forwarding）
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。
综合上述两种防火墙技术的优缺点，在实际构建防火墙系统时，通常由过滤路由器和代理服务器组合在一起构成一个混合的多级防火墙系统，由过滤路由器提供第一级的安全防护，主要用于防止IP欺骗攻击，再由代理服务器提供更高级的安全防护机制。连接结构如图3。

图3　过滤路由器+代理服务器防火墙系统连接结构
2.3双穴主机防火墙结构
该结构围绕着至少具有2个接口、2块网卡的双宿主机而构成。双宿主机一个接口接内部网络，另一个接口接外部网络。双宿主机内、外的网络可与该堡垒主机实施通信，而内、外网络之间不能直接通信。该防火墙的安全结构如图4所示。

图4 双宿主机的防火墙结构
使用时，一般要求用户先注册，再通过双宿主机访问另一边的网络。由于代理服务器简化了用户的访问过程，可以做到对用户透明，属“失效—安全”型。由于该防火墙仍是由单机组成，没有安全冗余机制，仍是网络的“单失效点”，因此这种防火墙仍是不完善的，在现在的Internet中仍有应用。
2.4主机过滤防火墙结构
被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开。（如图2）在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。如图5所示。

图5 主机过滤型防火墙结构
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。
数据包过滤容许堡垒主机开放可允许的连接（什么是"可允许连接"将由你的站点的特殊的安全策略决定）到外部世界。　
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行：
（一）允许其它的内部主机为了某些服务开放到Internet上的主机连接（允许那些经由数据包过滤的服务）
（二）不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。
2.5子网过滤防火墙结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络（通常是Internet）隔离开。
被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。如图6所示。

图6 子网过滤器防火墙结构
这种网络防火墙容易配置，也减少了闯入破坏的机会，是一种比较理想的安全防范模式。
建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式：
（一）使用多堡垒主机；
（二）合并内部路由器与外部路由器；
（三）合并堡垒主机与外部路由器；
（四）合并堡垒主机与内部路由器；
（五）使用多台内部路由器；
（六）使用多台外部路由器；　
（七）使用多个周边网络；　
（八）使用双重宿主主机与屏蔽子网。
第三章防火墙的发展历史及防火墙未来发展趋势

防火墙作为一种防止网络系统被人恶意破坏的一个网络安全产品，在计算机技术、Internet技术迅猛发展的今天无可选择的以很高的速度发展。从第一代基于路由器的防火墙开始，先后出现了用户化的防火墙工具套、建立在通用操作系统上的防火墙，直至目前的第四代具有安全操作系统的防火墙。
防火墙技术的致命弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。额外的管理负担是另外一个弱点。此外，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。而且，只装有滤波器往往还不足以保证安全，尤其无法防止防火墙内侧的攻击。
未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
1、高速。目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS (拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。
2、多功能化。多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器，支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSec VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。
3、安全。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新、日新月异，在信息安全的防御体系中，起到堡垒的作用。