[互联网]第8章 防火墙技术.ppt

版权所有，盗版必纠,第8章防火墙技术,版权所有，盗版必纠,概 述,防火墙是网络安全的第一道防线，在网络安全中有着不可或缺的重要作用。本章主要介绍防火墙的一些基本概念、实现技术、体系结构和发展趋势等。,版权所有，盗版必纠,目 录,第8章防火墙技术8.1 防火墙概述8.2 防火墙技术8.3 防火墙的体系结构8.4 防火墙的硬件实现技术8.5 防火墙的性能指标8.6 防火墙常见功能指标8.7 防火墙的常见产品介绍8.8 防火墙的发展趋势,版权所有，盗版必纠,8.1.1 防火墙的定义,防火墙（Firewall）一词来源于早期的欧式建筑，它是建筑物之间的一道矮墙，用来防止发生火灾时火势蔓延。在计算机网络中，防火墙通过对数据包的筛选和屏蔽，可以防止非法的访问进入内部或外部计算机网络。因此，防火墙可以定义为：位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。如图8.1所示。通常内部网络是可信的和安全的，外部网（如Internet）是不可信和不安全的。,版权所有，盗版必纠,防火墙通常是运行在一台或多台计算机之上的一组特别的服务软件，用于对网络进行防护和通信控制。但是在很多情况下防火墙以专门的硬件形式出现，这种硬件也被称为防火墙，它是安装了防火墙软件，并针对安全防护进行了专门设计的网络设备，本质上还是软件在进行控制。内部网络与外部网络所有通信的数据包都必须经过防火墙，而防火墙只放行合法的数据包，因此它在内部网络和外部网络之间建立了一个屏障。只要安装一个简单的防火墙，就可以屏蔽掉大多数外部的探测与攻击。如果没有防火墙，那么内部网络的安全性是由内部网络中安全性最差的主机决定。如果内部网络很大，那么维护并提高每一台主机的安全性是非常困难的，即使能够成功，代价也是非常大的。但是如果安装了防火墙，防火墙就是内部网络和外部网络通信的唯一通道，管理员不必去担心每一台主机的安全，只要把精力放在防火墙上就可以了。,8.1.1 防火墙的定义,版权所有，盗版必纠,8.1.2 防火墙的发展历史,版权所有，盗版必纠,既然防火墙要对内部网络与外部网络的通信数据包进行筛选，那么它必然要有一些规则来判定哪些数据包是合法的，哪些是非法的。这种安全规则也可称为安全策略。防火墙安全规则由匹配条件和处理方式两部分组成。匹配条件是一些逻辑表达式，用于对通信流量是否合法做出判断。若匹配条件值为真，那么就进行处理。处理方式主要有以下几种：接受：允许通过。拒绝：拒绝信息通过，通知发送信息的信息源。丢弃：直接丢弃信息，不通知信息源。,8.1.3 防火墙的规则,版权所有，盗版必纠,防火墙的优点主要包括：可以完成整个网络安全策略的实施。防火墙可以把通信访问限制在可管理范围内。可以限制对某种特殊对象的访问。如限制某些用户对重要服务器的访问。具有出色的审计功能，可以对网络连接的记录和审计、历史记录、故障记录等都具有很好的审计功能。可以将内部网络结构隐藏起来。,8.1.4 防火墙的特点,版权所有，盗版必纠,对于个人用户来说，安装一个简单的个人防火墙就可以屏蔽掉绝大数非法的探测和访问。它不仅可以防止入侵者对主机的端口、漏洞进行扫描，还能阻止木马进入主机。总之，防火墙能够减轻内部网络被入侵和破坏的危险，使得内部网络的机密数据得到保护。但是防火墙和其它任何技术一样，也有其弱点。不能防止不经过它的攻击和不能防止授权访问的攻击。只能对配置的规则有效，不能防止没有配置规则的访问。,8.1.4 防火墙的特点,版权所有，盗版必纠,防火墙好像大门上的锁，主要职能是保护内部网络的安全。由于防火墙处于内部网络和外部网络之间这个特殊位置，因此，防火墙上还可以添加一些其它功能，主要包括：网络地址转换：通过防火墙将内部私有地址转换为全球公共地址。用户身份验证：对一个特定用户的身份进行校验，判断是否合法。网络监控：对通过防火墙的信息进行监控。,8.1.5 防火墙的其它功能,版权所有，盗版必纠,防火墙技术已经成为网络安全中必不可少的安全措施。到目前为止，防火墙技术发展得已经比较成熟。下面对防火墙的核心技术做一个介绍。,8.1.4 防火墙的特点,版权所有，盗版必纠,包过滤（Packet Filtering）技术是防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。第一代防火墙也是最基本形式的防火墙包过滤防火墙，按照防火墙内事先设定的过滤规则，对每一个通过的网络包头部进行检查，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤规则的设计。包过滤原理如图8.2所示。,8.2.1包过滤技术,版权所有，盗版必纠,8.2.1包过滤技术,版权所有，盗版必纠,包过滤防火墙检查每一个传入包，查看包中可用的基本信息（源地址和目的地址、端口号、协议等）。然后，将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。如果允许传入Web连接，而目的端口为80，则包就会被放行。,8.2.1包过滤技术,版权所有，盗版必纠,多个复杂规则的组合也是可行的。如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。最后，可以确定当一个包到达时，如果对该包没有规则被定义，接下来将会发生什么事情了。通常，为了安全起见，与传入规则不匹配的包就被丢弃了。如果有理由让该包通过，就要建立规则来处理它。,8.2.1包过滤技术,版权所有，盗版必纠,本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的设备可能有两块网卡（NIC），一块连到内部网络，一块连到公共的Internet。防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。包过滤技术在防火墙上的应用非常广泛。因为CPU用来处理包过滤的时间相对很少，且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。此外，因为包过滤技术不保留前后连接信息，所以很容易实现允许或禁止访问。,8.2.1包过滤技术,版权所有，盗版必纠,代理服务器（Proxy Server）防火墙作用在应用层，它用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请求。代理防火墙代替受保护网的主机向外部网发送服务请求，并将外部服务请求响应的结果返回给受保护网的主机。受保护网内部用户对外部网访问时，也需要通过代理防火墙，才能向外提出请求，这样外网只能看到防火墙，从而隐藏了受保护网内部地址，提高了安全性。代理服务器工作原理如图8.5所示。,8.2.5 代理服务器技术,版权所有，盗版必纠,8.2.5 代理服务器技术,版权所有，盗版必纠,应用服务代理技术的优点是：不允许外部主机直接访问内部主机；提供多种用户认证方案；可以分析数据包内部的应用命令；可以提供详细的审计记录。其缺点是：对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难，因此实现也困难。在实际应用中，构筑防火墙的真正解决方案很少采用单一的技术，通常是多种解决不同问题的技术的有机组合。一些协议（如Telnet、SMTP）能更有效地处理数据包过滤，而另一些协议（如FTP、WWW、Gopher）能有效地处理代理。因此，大多数防火墙将数据包过滤和代理服务器结合起来使用。,8.2.5 代理服务器技术,版权所有，盗版必纠,讨论到防火墙的主题，就一定要提到网络地址转换（Network Address Translation，NAT），尽管从技术上讲它根本不是防火墙。我们知道，受保护的网内用户访问Internet时，必须使用合法的IP地址。但是，合法的Internet IP地址有限，而且受保护网络往往有自己的一套IP地址分配方案（非正式的IP地址）。NAT在防火墙上设置有一个合法IP地址集，并能够将内部网络的多个IP地址转换到一个公共地址发送到Internet上。如图8.6所示。,8.2.6 网络地址转换技术,版权所有，盗版必纠,8.2.6 网络地址转换技术,版权所有，盗版必纠,当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，动态地从合法地址集中选一个未分配的地址分配给该用户，并把传出包的IP地址修改为合法地址，这样包就像是来自单一的公共IP地址，然后打开连接。一旦建立了连接，在内部计算机和Web站点之间来回流动的通信就都是透明的了。对于内部的某些服务器如Web服务器，网络地址转换允许为其分配一个固定的合法地址，外部网络的用户就可以通过防火墙访问内部的服务器。当从公共网络传来一个未经请求的传入连接时，NAT有一套规则来决定如何处理它。你可以将NAT配置为接受某些特定端口传来的传入连接，并将它们送到一个特定的主机地址。如果没有事先定义好的规则，NAT只是简单的丢弃所有未经请求的传入连接，就像包过滤防火墙所做的那样。,8.2.6 网络地址转换技术,版权所有，盗版必纠,NAT映射地址的方式主要包括：映射到单一外部IP地址：来自内部网络的每个数据包被映射到单一IP地址，好像所有的流量都来自 NAT设备。来自内部不同的连接请求可以用不同的端口号来区分。一对一映射：网关将内部网络上的每台计算机映射到NAT的合法地址集中惟一的一个IP地址。这种技术常用于将Internet上的用户请求映射到周边网络上的服务器，如Web服务器。动态分配地址：将大量的不可路由的内部IP地址转换为少数合法IP地址。,8.2.6 网络地址转换技术,版权所有，盗版必纠,网络地址转换技术既缓解了少量合法IP地址和大量主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。因此，NAT经常用于小型办公室、家庭等网络，让多个用户分享单一的IP地址，并能为Internet连接提供一些安全机制。,8.2.6 网络地址转换技术,版权所有，盗版必纠,个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相同的方式，保护一台计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使得它们可以监视传入传出网卡的所有网络通信。现在网络上流传着很多个人防火墙软件都是应用程序级的。,8.2.7 个人防火墙,版权所有，盗版必纠,一旦安装上个人防火墙，就可以把它设置成“学习模式”，这样，对遇到的每一种新的网络通信，个人防火墙都会提示用户一次，询问如何处理那种通信。然后个人防火墙便记住响应方式，并应用于以后遇到的相同的网络通信。例如，如果用户已经安装了一台个人Web服务器，个人防火墙可能将第一个传入的Web连接作上标志，并询问用户是否允许它通过。用户可能允许所有的Web连接、来自某些特定IP地址范围的连接等，个人防火墙然后把这条规则应用于所有传入的Web连接。,8.2.7 个人防火墙,版权所有，盗版必纠,基本上，可以将个人防火墙想象成在用户计算机上建立了一个虚拟网络接口。不再是计算机的操作系统直接通过网卡进行通信，而是通过操作系统和个人防火墙对话，仔细检查网络通信，然后再通过网卡通信。,8.2.7 个人防火墙,版权所有，盗版必纠,因为传统的防火墙设置在网络边界，处于内、外网络之间，所以称为“边界防火墙”。随着人们对网络安全防护要求的提高，边界防火墙明显达不到要求，因为给网络带来安全威胁的不仅是外部网络，更多的是来自内部网络。但边界防火墙无法对内部网络实现有效保护，正是基于这个原因，产生了分布式防火墙（Distributed Firewalls）技术。分布式防火墙技术可以很好地解决边界防火墙的不足，把防火墙的安全防护系统延伸到网络中的各台主机，不仅有效地保证了用户低投资，而且提供了非常全面的网络安全防护。,8.2.8 分布式防火墙,版权所有，盗版必纠,分布式防火墙负责对网络边界、各资望和网络内部节点之间的安全防护。分布式防火墙是一个完整的系统，而不是单一的产品。根据需要完成的功能，分布式防火墙主要包含如下部分：网络防火墙（Network Firewall）：用于内部网和外部网之间，以及内部网各子网之间的防护。与传统边界防火墙相比，网络防火墙增加了一种针对内部子网之间的安全防护层，这样整个网络的安全防护体系结构就显得更加全面、更加可靠。主机防火墙（Host firewall）：用于保护网络中的服务器和桌面机。这也是传统边界防火墙所不具有的。该类防火墙作用在同一个内部子网之间的工作站和服务器之间，确保内部网络服务器的安全。这样，防火墙的作用不仅用于内部网和外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间的防护。中心管理（Center Management）：是防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志的汇总。防火墙的管理功能也是以前传统边界防火墙所不具有的。这样防火墙就可以进行智能管理，提高了防火墙安全防护的灵活性，并具备了可管理性。,8.2.8 分布式防火墙,版权所有，盗版必纠,现在大多数防火墙缺乏对主机意图的了解，通常只能根据数据包的外在特性进行过滤控制。虽然代理性防火墙能够解决该问题，但需要对每一种协议单独地编写代码，其局限性也显而易见。在没有上下文的情况下，防火器很难将攻击包从合法的数据包中区分开来，因而也就无法实施过滤。事实上，攻击者很容易伪装成合法包发动攻击，攻击包除了内容以外的部分可以完全与合法包一样。分布式防火墙由主机来实施策略控制，而主机对自己的意图有足够的了解，所以分布式防火墙依赖主机做出合适的决定，就能很自然地解决这一问题。,8.2.8 分布式防火墙,版权所有，盗版必纠,防火墙在网络中的放置方式也被称为防火墙的体系结构，一般来说可分为三种体系结构，即双重宿主主机体系结构、被屏蔽主机体系结构、被屏蔽子网体系结构。,8.3 防火墙的体系结构,版权所有，盗版必纠,1非军事区为了配置和管理方便，通常将内部网中需要向外部提供服务的服务器设置在单独的网段，这个网段被称为非军事区（DeMilitarized Zone，DMZ）。DMZ是防火墙的重要概念，在实际应用中经常用到。DMZ是周边网络，位于内部网之外，使用与内部网不同的网络号连接到防火墙，并对外提供公共服务。DMZ隔离内外网络，并为内外网之间的通信起到缓冲作用。如图8.7是DMZ的示意图。,8.3.1 相关术语,版权所有，盗版必纠,8.3.1 相关术语,版权所有，盗版必纠,2堡垒主机在防火墙体系结构中，经常提到堡垒主机，堡垒主机得名于古代战争中用于防守的坚固堡垒。它位于内部网络的最外层，像堡垒一样对内部网络进行保护。在防火墙体系结构中，堡垒主机要高度暴露，是在Internet上公开的，是网络上最容易遭受非法入侵的设备。所以防火墙设计者和管理人员需要致力于堡垒主机的安全，而且在运行期间对堡垒主机的安全要给予特别的注意。,8.3.1 相关术语,版权所有，盗版必纠,构建堡垒主机应注意以下几点：（1）选择合适的操作系统。它需要可靠性好、支持性好、可配置性好。（2）堡垒主机的安装位置。堡垒主机应该安装在不传输保密信息的网络上，最好它处于一个独立网络中，如 DMZ（非军事区）。（3）堡垒主机提供的服务。堡垒主机需要提供内部网络访问Internet的服务，内部主机可以通过堡垒主机访问Internet，同时内部网络也需要向Internet提供服务。（4）保护系统日志。作为一个安全性举足轻重的诸暨，堡垒主机必须有完善的日志系统，而且必须对系统日志进行保护。（5）进行监测和备份。,8.3.1 相关术语,版权所有，盗版必纠,双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口，这样的主机可以充当外部网络和内部网络之间的路由器，所以它能够使内部网络和外部网络的数据包直接路由通过。然而双重宿主主机的防火墙体系结构不允许这样直接地通过。因此IP数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信，但是外部网络与内部望咯不能直接通信，他们之间的通信必须经过双重宿主主机的过滤和控制，它安装了防火墙的软件，一般在双重宿主主机上安装代理服务器软件，可以为不同的服务提供转发，并同时根据策略进行过滤和控制。,8.3.2 双重宿主主机体系结构,版权所有，盗版必纠,双重宿主主机体系结构是比较简单的，他连接内部网络和外部网络。他相当于内部网络和外部网络的跳板，能够提供级别比较高的控制，可以完全禁止外部网络对内部网络的访问。这种结构可以允许用户登陆到双重宿主主机，进而访问外部网络，但是这种控制方式是不安全的，因为外部网络用户椰油可能登陆并访问内部网络，而且这种访问外部网络的方式对内部网络用户来讲也是挺麻烦的。这种情况下，双重宿主主机直接暴露在外部网络中，充当了堡垒主机的角色，这种体系的弱点是，一旦堡垒主机被攻破，使其成为一个路由器，那么外部网络就可以直接访问内部网络。具体结构如图8.8所示。,8.3.2 双重宿主主机体系结构,版权所有，盗版必纠,8.3.2 双重宿主主机体系结构,版权所有，盗版必纠,双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如图8.9所示。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。,8.3.3 被屏蔽主机体系结构,版权所有，盗版必纠,8.3.3 被屏蔽主机体系结构,版权所有，盗版必纠,这种体系结构中包括堡垒主机。堡垒主机是Internet上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此，堡垒主机要保持更高等级的主机安全。在屏蔽路由器上设置数据包过滤策略，让所有的外部连接只能到达内部堡垒主机，比如收发电子邮件。,8.3.3 被屏蔽主机体系结构,版权所有，盗版必纠,数据包过滤允许堡垒主机开放到外部网络的可允许的连接，在屏蔽的路由器数据包过滤策略可以按下列方案之一设置：（1）允许其他的内部主机为了某些服务开放到Internet上的主机连接（允许那些经由数据包过滤的服务）。（2）不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。（3）对于内部用户对外部网络的访问，可以强制其经过堡垒主机，也可以让其直接经过屏蔽路由器出去，针对不同的应用采用不同的安全策略。这种体系允许外部连接到内部堡垒主机，所以看上去比双重堡垒主机更不安全，但是路由器一般比主机有更高的安全性，所以这种结构比双重堡垒主机更具有可用性和安全性。但是这种结构相对比较复杂。,8.3.3 被屏蔽主机体系结构,版权所有，盗版必纠,被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构，即通过添加周边网络更进一步把内部网络和外部网络（通常是Internet）隔离开。周边网络是一个被隔离的独立子网，充当了内部网络和外部网络的缓冲区，在内部网络与外部网络之间形成了一个“隔离带”。这就构成一个所谓的DMZ。,8.3.4 被屏蔽子网体系结构,版权所有，盗版必纠,被屏蔽子网体系结构的最简单形式是两个屏蔽路由器，每一个都连接到周边网络。一个位于周边网络与内部网络之间，另一个位于周边网络与外部网络（通常为Internet）之间，如图8.10所示。有的屏蔽子网中还设有堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理。为了侵入用这种体系结构构筑的内部网络，非法入侵者必须通过这两个路由器。即非法入侵者侵入堡垒主机，它仍将必须通过内部路由器。,8.3.4 被屏蔽子网体系结构,版权所有，盗版必纠,8.3.4 被屏蔽子网体系结构,版权所有，盗版必纠,如果攻击者试图完全破坏防火墙，它必须重新配置连接3个网络的路由器，既不切断接连，又不把自己锁在外面，同时又不使自己被发现，这样做是有可能的。但若禁止网络访问路由器或只允许内部网络中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者要先侵入堡垒主机，然后进入内部网络主机，在返回来破坏屏蔽路由器，而且在整个过程中不能引发报警。这种体系结构具有很高的安全性，所以被广泛采用。,8.3.4 被屏蔽子网体系结构,版权所有，盗版必纠,被屏蔽子网体系结构具有以下优点：（1）入侵者必须突破3个不同的设备（而且外部网络无法探测到）才能非法入侵内部网络、外部路由器、堡垒主机，还有内部路由器。（2）由于外部路由器只能向Internet通告DNZ网络的存在，Internet上的系统没有路由器与内部网络相通。这样网络管理员就可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的服务才对Internet开放。（3）由于内部路由器只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。,8.3.4 被屏蔽子网体系结构,版权所有，盗版必纠,（4）包过滤路由器直接将数据引向DMZ网络上所指定的系统，消除了堡垒主机双重宿主的必要。（5）内部路由器在作为内部网络和Internet之间最后的防火墙系统时，能够支持比双重宿主堡垒主机更大的数据包吞吐量。（6）由于DMZ网络是一个与内部网络不同的网络，NAT（网络地址交换）可以安装在堡垒主机上，从而避免在内部网络上重新编址或重新划分子网。这个结构的缺点是实施和管理比较复杂。,8.3.4 被屏蔽子网体系结构,版权所有，盗版必纠,作为一种网络应用产品，防火墙的发展似乎总是以软件为先导，这也和很多其它网络应用有些相似。但随着芯片技术的发展，芯片集成度和处理速度的提高，利用硬件设计实现绝大部分的软件功能已经成为可能。目前，国内很多厂家声称的硬件防火墙，其实是基于多网卡的计算机，运行在经过裁减的操作系统上（国内绝大部分防火墙使用的操作系统都是Linux）。操作系统有的装在硬盘上，有的装在可擦写磁盘上。传送的报文从一个网卡进入后，会排队等待操作系统中软件的检查，以决定报文的去处。尽管是硬件防火墙，但审查报文的工作是由其中的管理软件来完成的。,8.4 防火墙的硬件实现技术,版权所有，盗版必纠,如果把审查报文这部分用硬件来完成，会提高防火墙的处理效率，避免网络数据流通阻塞的发生，其性能比普通基于PC机架构的防火墙性能要好很多。这就是业界提及的芯片防火墙。硬处理方法都是通过微处理器来实现的。微处理器可被看成小CPU，其主频比现在主流的CPU低很多，它有自己的时钟频率和指令，可通过编程控制，对特定的业务处理要比软件快很多。如使用网络处理器，因为报文进入硬件防火墙后需要逐一接受检查，为了提高处理效率，我们把这个工作交给微处理器芯片。然而，单独的微处理器不能完成这样的工作，需要给微处理器芯片配上存储空间等应用单元，经封装，把它衍变成网络芯片，才可进行处理。当把网络芯片嵌入到硬件防火墙时，就好比在其中安装了一个小型计算机，它只检查从外部网进入内部网的报文，工作既单一又高效。其它管理工作由硬件防火墙自备的软件处理，大幅度提高防火墙的工作效率。,8.4 防火墙的硬件实现技术,版权所有，盗版必纠,有些防火墙厂商从提高防火墙效率入手，专注于网络芯片的使用。如网屏公司的NetScreen、Cisco公司的Pix、美国ServerGate公司的防火墙。NetScreen和Pix都没有使用Intel的IXP 1200网络芯片，而是在微处理器的基础上自己做了技术整合。其中，Pix使用的是ARM微处理器芯片，NetScreen使用的是Motorola的Mips微处理器芯片，ServerGate使用了IXP 1200结合高速包分类芯片设计。硬件防火墙开发模式就国内来说主要存在三类。一类是通过网络处理器（网络芯片），一类是通过专用的FPGA编程，还有一类是设计专用的ASIC芯片。由于对成本和开发周期的考虑，国内企业一般选择前者。,8.4 防火墙的硬件实现技术,版权所有，盗版必纠,对于硬件防火墙，无论采用网络处理器还是制作FPGA、ASIC，都需要在效率、安全、灵活性三者之间找到一个平衡点。强大的处理能力总是能够带来更多的处理机会和处理机制，也就能够带来更好的安全。但从实际应用的角度出发，我们还是应该着重考虑到系统的性价比，因为高效的心态往往是高价的。,8.4 防火墙的硬件实现技术,版权所有，盗版必纠,衡量防火墙的性能指标主要有：吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用FDT（Full Duplex Throughput）来衡量，FDT指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。FDT与端口容量的区别：端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口，端口容量为2GB，但FDT可能只是200MB。FDT与HDT的区别：HDT指半双工吞吐量（Half Duplex Throughput）。一个千兆口可以同时以1GB的速度收和发。按FDT来说，就是1GB；按HDT来说，就是2GB。有些防火墙的厂商所说的吞吐量，往往是HDT。,8.5 防火墙的性能指标,版权所有，盗版必纠,一般来说，即使有多个网络接口，防火墙的核心处理往往也只有一个处理器完成，要么是CPU，要么是安全处理芯片或NP、ASIC等。对于防火墙应用，应该充分强调64字节数据的整机全双工吞吐量，该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。对于不同的体系架构，其FDT适应的范围是不一样的，如对于第一代单CPU体系架构其理论FDT为百兆级别，对于中高端的防火墙应用，必须采用第二代或第三代安全体系架构。,8.5 防火墙的性能指标,版权所有，盗版必纠,防火墙的常见功能指标介绍如下。1LAN接口 列出支持的 LAN接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。支持的最大 LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。服务器平台：防火墙所运行的操作系统平台（如 Linux、UNIX、Win NT、专用安全操作系统等）。,8.6 防火墙常见功能指标,版权所有，盗版必纠,2协议支持 支持的非 IP协议：除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等协议。建立 VPN通道的协议：构建VPN通道所使用的协议，如密钥分配等，主要分为IPSec，PPTP、专用协议等。可以在 VPN中使用的协议：在VPN中使用的协议，一般是指TCP/IP协议。,8.6 防火墙常见功能指标,版权所有，盗版必纠,3加密支持 支持的 VPN加密标准：VPN中支持的加密算法,例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。除了 VPN之外，加密的其他用途：加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。提供基于硬件的加密：是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。,8.6 防火墙常见功能指标,版权所有，盗版必纠,4认证支持 支持的认证类型：是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如 RADIUS、Kerberos、TACACS/TACACS、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。列出支持的认证标准和 CA互操作性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CA产品兼容互通。支持数字证书：是否支持数字证书。,8.6 防火墙常见功能指标,版权所有，盗版必纠,5访问控制 通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。,8.6 防火墙常见功能指标,版权所有，盗版必纠,在应用层提供代理支持：指防火墙是否支持应用层代理，如 HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求，代理服务器应根据服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接（客户端与代理服务进程间的连接、代理服务进程与服务器端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理进程应当维护一个扩展字段集合。在传输层提供代理支持：指防火墙是否支持传输层代理服务。,8.6 防火墙常见功能指标,版权所有，盗版必纠,允许 FTP命令防止某些类型文件通过防火墙：指是否支持FTP文件类型过滤。用户操作的代理类型：应用层高级代理功能，如 HTTP、POP3。支持网络地址转换(NAT)：NAT指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。支持硬件口令、智能卡：是否支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。,8.6 防火墙常见功能指标,版权所有，盗版必纠,6防御功能 支持病毒扫描：是否支持防病毒功能，如扫描电子邮件附件中的 DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。提供内容过滤：是否支持内容过滤，信息内容过滤指防火墙在 HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息：Java Applet、JavaScript、ActiveX和电子邮件中的Subject、To、From域等。能防御的 DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。阻止 ActiveX、Java、Cookies、Javascript侵入：属于HTTP内容过滤，防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的CGI、ASP等程序，当发现危险代码时，向服务器报警。,8.6 防火墙常见功能指标,版权所有，盗版必纠,7安全特性 支持转发和跟踪 ICMP协议（ICMP 代理）：是否支持ICMP代理，ICMP为网间控制报文协议。提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，报警的方式可能通过邮件、呼机、手机等。提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。识别/记录/防止企图进行IP地址欺骗：IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击，防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过。,8.6 防火墙常见功能指标,版权所有，盗版必纠,8管理功能 通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。提供基于时间的访问控制：是否提供基于时间的访问控制。支持 SNMP监视和配置：SNMP是简单网络管理协议的缩写。本地管理：是指管理员通过防火墙的 Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。远程管理：是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理，管理的通信协议可以基于 FTP、TELNET、HTTP等。支持带宽管理：防火墙能够根据当前的流量动态调整某些客户端占用的带宽。负载均衡特性：负载均衡可以看成动态的端口映射，它将一个外部地址的某一 TCP或UDP端口映射到一组内部地址的某一端口，负载均衡主要用于将某项服务（如HTTP）分摊到一组内部服务器上以平衡负载。失败恢复特性（failover)：指支持容错技术，如双机热备份、故障恢复，双电源备份等。,8.6 防火墙常见功能指标,版权所有，盗版必纠,9记录和报表功能 防火墙处理完整日志的方法：防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。提供自动日志扫描：指防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。提供自动报表、日志报告书写器：防火墙实现的一种输出方式，提供自动报表和日志报告功能。警告通知机制：防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括 Email、呼机、手机等。提供简要报表（按照用户 ID或IP 地址）：防火墙实现的一种输出方式，按要求提供报表分类打印。提供实时统计：防火墙实现的一种输出方式，日志分析后所获得的智能统计结果，一般是图表显示。列出获得的国内有关部门许可证类别及号码：这是防火墙合格与销售的关键要素之一，其中包括：公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。,8.6 防火墙常见功能指标,版权所有，盗版必纠,目前市场上的防火墙产品种类繁多，这里介绍几种比较有代表性的防火墙产品。Check Point FireWall-1Firewall-1是Check Point网络安全产品线中最重要的产品，也是业界领先的企业级安全套件。它现已成为防火墙软件的代名词，推出并持有专利的状态检测技术是网络安全技术的事实标准。Firewall-1集成了访问控制、客户认证、NAT、VPV、内容安全性、审计和报告等特性，基本模块包括：状态检测模块、防火墙模块、管理模块。,8.7 防火墙的常见产品介绍,版权所有，盗版必纠,NAI公司的Gauntlet防火墙Gauntlet防火墙是美国NAI公司的产品，它基于应用层网关，具有自适应代理的特性。其主要特点是：具有友好的管理界面，基于Java或NT环境，可以运行在Web浏览器中，支持远程管理和配置，可以从网络管理平台上监控和配置；支持流行的多媒体实时服务；支持主要的防火墙防病毒软件、支持大多数认证系统、多种服务、支持 SQL的Net Proxy、支持多种平台。,8.7 防火墙的常见产品介绍,版权所有，盗版必纠,东软的NetEye东软NetEye防火墙是基于专门的硬件平台，使用专有的ASIC芯片和专有的操作系统，基于状态包过滤的“流过滤”体系结构。围绕流过滤平台，东软构建了网络安全相应小组、应用生肌包开发小组、网络安全实验室，不仅提供给用户高性能的应用层保护，还提供包括新应用的及时支持、特殊应用的定制开发、安全攻击事件的及时响应等。,8.7 防火墙的常见产品介绍,版权所有，盗版必纠,天网防火墙天网防火墙在国内应用比较广泛，尤其个人用户。根据用户对象的不同，可分为个人版和企业版。天网个人版防火墙可根据系统管理者设定的安全规则防护网络，可以抵挡网络入侵和攻击，防止信息泄露，保障用户机器的安全。它还可