1、第第1 1章章 防火墙基础防火墙基础1.1 1.1 什么是防火墙?什么是防火墙?1.2 1.2 使用防火墙的原因使用防火墙的原因 1.3 1.3 防火墙部署防火墙部署在计算机网络中,防火墙是一个保护一个网络免受其他网络攻在计算机网络中,防火墙是一个保护一个网络免受其他网络攻击的屏障。具体地讲,防火墙是一种用来加强网络之间访问控制的击的屏障。具体地讲,防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被按照一定的安全策略对其进行检查,来决
2、定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效地控制内部网络与外部网络为外部网络或公用网络。防火墙能有效地控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。授权用户的访问和过滤不良信息的目的。1.1 1.1 什么是防火墙?什么是防火墙?下一页 返回从技术角度来讲,防火墙是采用综合的网络技术(包过滤技术从技术角度来讲,防火墙是采用综合的网络技术(包过
3、滤技术等)设置在被保护网络和外部网络(或公用网络)之间的一道屏障,等)设置在被保护网络和外部网络(或公用网络)之间的一道屏障,用以分隔被保护网络与外部网络系统防止发生不可预测的、潜在破用以分隔被保护网络与外部网络系统防止发生不可预测的、潜在破坏性的入侵。它是不同网络或网络安全域之间信息的唯一出入口,坏性的入侵。它是不同网络或网络安全域之间信息的唯一出入口,像在两个网络之间设置了一道关卡,能根据企业的安全政策控制出像在两个网络之间设置了一道关卡,能根据企业的安全政策控制出入网络的信息流,防止非法信息流入被保护的网络内,且本身具有入网络的信息流,防止非法信息流入被保护的网络内,且本身具有较强的抗攻
4、击能力。它是提供信息安全服务、实现网络和信息安全较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。的基础设施。图图1-11-1显示了一个简单的防火墙结构。显示了一个简单的防火墙结构。1.1 1.1 什么是防火墙?什么是防火墙?下一页 返回上一页在防火墙结构中,连接互联网的路由器(外部路由器)强迫所在防火墙结构中,连接互联网的路由器(外部路由器)强迫所有流入的通信流量经过应用网关,而连接内部网络的路由器(内部有流入的通信流量经过应用网关,而连接内部网络的路由器(内部路由器)仅仅接受来自应用网关的分组。实际上,网关控制着那些路由器)仅仅接受来自应用网关的分组。实际上,网关控制着
5、那些流入和流出内部网络的网络服务的传递。例如,防火墙只允许指定流入和流出内部网络的网络服务的传递。例如,防火墙只允许指定的用户连接到互联网,或者只允许特定的应用程序能够在内部主机的用户连接到互联网,或者只允许特定的应用程序能够在内部主机和外部主机之间建立通信。如果被允许的服务是和外部主机之间建立通信。如果被允许的服务是E-mailE-mail,那么只有,那么只有E-mailE-mail的分组被允许通过路由器。这样不但保护了应用网关,也避的分组被允许通过路由器。这样不但保护了应用网关,也避免了未经认可的分组太多而造成负荷过载。免了未经认可的分组太多而造成负荷过载。1.1 1.1 什么是防火墙?什
6、么是防火墙?返回上一页防火墙成为与不可信网络进行联系的唯一纽带,于是管理员就防火墙成为与不可信网络进行联系的唯一纽带,于是管理员就不再需要确保每一台主机的安全,他只要集中关注、配置防火墙就不再需要确保每一台主机的安全,他只要集中关注、配置防火墙就行了。这样并不是说防火墙里面的每个主机的自身安全就不重要,行了。这样并不是说防火墙里面的每个主机的自身安全就不重要,全部依靠防火墙的想法是不对的,因为防火墙只是提供了一层避免全部依靠防火墙的想法是不对的,因为防火墙只是提供了一层避免错误的额外保护而已。错误的额外保护而已。防火墙是一个优秀的审计员,它记录了流经它的所有流量和访防火墙是一个优秀的审计员,它
7、记录了流经它的所有流量和访问日志,那些包含在日志中的信息可以用来重新构建新的事件以防问日志,那些包含在日志中的信息可以用来重新构建新的事件以防安全出现缺口,同时可以用来事后查证。安全出现缺口,同时可以用来事后查证。1.2 1.2 使用防火墙的原因使用防火墙的原因下一页 返回防火墙可以减轻系统被用于非法和恶意目的的风险,可以保证防火墙可以减轻系统被用于非法和恶意目的的风险,可以保证网络的安全。防火墙可以防范一个网络或企业内的数据和信息三方网络的安全。防火墙可以防范一个网络或企业内的数据和信息三方面的风险:面的风险:机密性的风险,包括某方未经授权就访问的敏感数据或数据机密性的风险,包括某方未经授权
8、就访问的敏感数据或数据的过早泄露。的过早泄露。数据完整性的风险,包括未经授权就对数据进行修改,例如数据完整性的风险,包括未经授权就对数据进行修改,例如财务信息、产品特性或某网站上商品的价格。财务信息、产品特性或某网站上商品的价格。1.2 1.2 使用防火墙的原因使用防火墙的原因下一页 返回上一页 可用性风险,系统可用性保证系统可以适时地为用户服务,可用性风险,系统可用性保证系统可以适时地为用户服务,那些不可用的系统导致公司损失了大量的财政收入和雇员的生产效那些不可用的系统导致公司损失了大量的财政收入和雇员的生产效率,同时也无形中挫伤了消费者对公司的信心,并损坏了公司的公率,同时也无形中挫伤了消
9、费者对公司的信心,并损坏了公司的公众形象。众形象。总的来说,使用防火墙可以带来以下益处:总的来说,使用防火墙可以带来以下益处:保护脆弱的服务保护脆弱的服务 通过过滤不安全的服务,防火墙可以极大地提高网络安全和减通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止少子网中主机的风险。例如,防火墙可以禁止NISNIS,NFSNFS服务通过,服务通过,防火墙同时可以拒绝源路由和防火墙同时可以拒绝源路由和ICMPICMP重定向封包。重定向封包。1.2 1.2 使用防火墙的原因使用防火墙的原因下一页 返回上一页 控制对系统的访问控制对系统的访问防火墙可以提供对系
10、统的访问控制,如允许从外部访问某些主防火墙可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail ServerMail Server和和Web ServerWeb Server。集中的安全管理集中的安全管理防火墙对企业内部网实现集中的安全管理,在防火墙定义的安防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统,而无需在内部网的每台机器全规则可以运行于整个内部网络系统,而无需在内部网的每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而
11、不需要上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。次认证即可访问内部网。1.2 1.2 使用防火墙的原因使用防火墙的原因下一页 返回上一页 增强的保密性增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如FigerFiger和和DNSDNS。记录和统计网络利用数据以及非法使用数据记录和统计网络利用数据以及非法使用数据使用防火墙可以记录和统计通过防火墙的网络通信,提供关于使用防火
12、墙可以记录和统计通过防火墙的网络通信,提供关于网络使用的统计数据,并且,防火墙可以提供统计数据来判断可能网络使用的统计数据,并且,防火墙可以提供统计数据来判断可能的攻击和探测。的攻击和探测。策略执行策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。时,网络安全取决于每台主机的用户。1.2 1.2 使用防火墙的原因使用防火墙的原因返回上一页防火墙能有效地防止外来的入侵,它在网络系统中的作用是:防火墙能有效地防止外来的入侵,它在网络系统中的作用是:控制进出网络的信息流向和信息包;提供使用和流量的日志
13、和审计;控制进出网络的信息流向和信息包;提供使用和流量的日志和审计;隐藏内部隐藏内部IPIP地址及网络结构的细节;提供地址及网络结构的细节;提供VPNVPN功能。功能。根据防火墙在网络系统中的作用和网络系统的安全需要,可以根据防火墙在网络系统中的作用和网络系统的安全需要,可以在如下位置部署防火墙:在如下位置部署防火墙:局域网内的局域网内的VLANVLAN之间控制信息流向处。之间控制信息流向处。IntranetIntranet与与InternetInternet之间连接处(企业单位与外网连接时之间连接处(企业单位与外网连接时的应用网关)。的应用网关)。1.3 1.3 防火墙部署防火墙部署下一页
14、返回 在广域网系统中,由于安全的需要,总部的局域网可以将各在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,(通过公网分支机构的局域网看成不安全的系统,(通过公网ChinaPacChinaPac,ChinaDDNChinaDDN,Frame RelayFrame Relay等连接)在总部的局域网和各分支机构连接等连接)在总部的局域网和各分支机构连接处采用防火墙隔离,并利用处采用防火墙隔离,并利用VPNVPN构成虚拟专网。构成虚拟专网。总部的局域网和分支机构的局域网是通过总部的局域网和分支机构的局域网是通过InternetInternet连接,需连接,需要各自
15、安装防火墙,并利用要各自安装防火墙,并利用VPNVPN组成虚拟专网。组成虚拟专网。在远程用户拨号访问时,加入虚拟专网。在远程用户拨号访问时,加入虚拟专网。ISPISP可利用负载平衡功能在公共访问服务器和客户端之间加可利用负载平衡功能在公共访问服务器和客户端之间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。录等功能。1.3 1.3 防火墙部署防火墙部署下一页 返回上一页 两网对接时,可利用硬件防火墙作为网关设备实现地址转换两网对接时,可利用硬件防火墙作为网关设备实现地址转换(NATNAT)、地址映射()、地址映射(
16、MAPMAP)、网络隔离()、网络隔离(DMZDMZ)、存取安全控制、消)、存取安全控制、消除传统软件防火墙的瓶颈问题。除传统软件防火墙的瓶颈问题。下面是一个部署于网络边缘的防火墙实例,它用于控制进入网下面是一个部署于网络边缘的防火墙实例,它用于控制进入网络的数据包的种类,络的数据包的种类,图图1 1-2-2是防火墙运用在一个企业网络的示意图。是防火墙运用在一个企业网络的示意图。如如图图1 1-2-2所示,为了对进入网络实施访问控制功能,防火墙需所示,为了对进入网络实施访问控制功能,防火墙需要对要进入某个网络的每一个数据包进行检验,看其是否符合预先要对要进入某个网络的每一个数据包进行检验,看其
17、是否符合预先设定的规则(如允许设定的规则(如允许HTTPHTTP报文进入而不允许报文进入而不允许ICMPICMP报文进入),如果报文进入),如果符合,那么就将其转发进入网络,否则,丢弃并根据需要作系统日符合,那么就将其转发进入网络,否则,丢弃并根据需要作系统日志。志。1.3 1.3 防火墙部署防火墙部署下一页 返回上一页防火墙需要对进入网络的所有报文进行过滤的功能决定了防火防火墙需要对进入网络的所有报文进行过滤的功能决定了防火墙的实现和报文转发机制紧密相关。对于报文转发,目前主要的设墙的实现和报文转发机制紧密相关。对于报文转发,目前主要的设备类型是数据链路层的交换机(如备类型是数据链路层的交换机(如LAN SwitchLAN Switch)或是网络层的路由)或是网络层的路由器,所以,防火墙功能常常被集成到这些转发设备中。器,所以,防火墙功能常常被集成到这些转发设备中。1.3 1.3 防火墙部署防火墙部署返回上一页图图1-1 防火墙结构防火墙结构返回图图1-2 部署在网络边缘的防火墙示意图部署在网络边缘的防火墙示意图返回
