防火墙到底是什么呢？

防火墙简介

防火墙简介

防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

防火墙的功能有：

1、过滤掉不安全服务和非法用户

2、控制对特殊站点的访问

3、提供监视Internet安全和预警的方便端点

由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方：

1、防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。

2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。

3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。

因此，防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。

防火墙的特点

一般防火墙具备以下特点：

1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等；

2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏；

3、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；

4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们；

5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。

实现防火墙的技术

防火墙的实现从层次上大体上可以分两种：报文过滤和应用层网关。

报文过滤是在IP层实现的，因此，它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型报文过滤器。

报文过滤器的应用非常广泛，因为CPU用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。报文过滤另一个也是很关键的弱点是不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过报文过滤器。

报文过滤的弱点可以用应用层网关解决。在应用层实现防火墙，方式多种多样，下面是几种应用层防火墙的设计实现。

1、应用代理服务器（Application Gateway Proxy）

在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时，必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为该网络设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登录到防火墙上，通过验证后，才可访问。

应用网关代理的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。

2、回路级代理服务器

即通常意义的代理服务器，它适用于多个协议，但不能解释应用协议，需要通过其他方式来获得信息，所以，回路级代理服务器通常要求修改过的用户程序。

套接字服务器（Sockets Server）就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址，经过确认后，套服务器才与外部的服务器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持 “Socketsified API”，受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。

3、代管服务器

代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上，使它同时充当服务器，对外部的请求作出回答。与应用层代理实现相比，代管服务器技术不必为每种服务专门写程序。而且，受保护网内部用户想对外部网访问时，也需先登录到防火墙上，再向外提出请求，这样从外部网向内就只能看到防火墙，从而隐藏了内部地址，提高了安全性。

4、IP通道（IP Tunnels）

如果一个大公司的两个子公司相隔较远，通过Internet通信。这种情况下，可以采用IP Tunnels来防止Internet上的黑客截取信息，从而在Internet上形成一个虚拟的企业网。

5、网络地址转换器(NAT Network Address Translate)

当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法Internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。

6、隔离域名服务器（Split Domain Name Server ）

这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

7、邮件技术（Mail Forwarding）

当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。

防火墙的体系结构及组合形式

1、屏蔽路由器（Screening Router）

这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。

单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户。

2、双穴主机网关（Dual Homed Gateway）

这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。

双穴主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。

双穴主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。

3、被屏蔽主机网关（Screened Host Gateway）

屏蔽主机网关易于实现也很安全，因此应用广泛。例如，一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。

如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。

4、被屏蔽子网 （Screened Subnet）

这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。

如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，整个过程中不能引发警报。

建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式：

1、使用多堡垒主机；

2、合并内部路由器与外部路由器；

3、合并堡垒主机与外部路由器；

4、合并堡垒主机与内部路由器；

5、使用多台内部路由器；

6、使用多台外部路由器；

7、使用多个周边网络；

8、使用双重宿主主机与屏蔽子网。

防火墙（Firewall）是指在本地网络与外界网络之间的一道防御系统，是这一类防范措施总称。防火墙是在两个网络通信时执行的一种访问控制尺度，它能允许“被同意”的人和数据进入你的网络，同时将“不被同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。互联网上的防火墙是一种非常有效的网络安全模型，通过它可以使企业内部局域网与Internet之间或者与其他外部网络互相隔离、限制网络互访，从而达到保护内部网络目的。

概述

以“防火墙”这个来自建筑行业的名称，来命名计算机网络的安全防护系统，显得非常恰当，因为两者之间有许多相似之处。首先，从建筑学来说，防火墙必须用砖石材料、钢筋混凝土等非可燃材料建造，并且应直接砌筑在建筑物基础或钢筋混凝土的框架梁上。如开门窗时，必须用非燃烧体的防火门窗，以切断一切燃烧体。而在计算机系统上，防

火墙本身需要具有较高的抗攻击能力，应设置于系统和网络协议的底层，访问与被访问的端口必须设置严格的访问规则，以切断一切规则以外的网络连接。其次，在建筑学上，建筑物的防火安全性，是由各相关专业和相应设备共同保证的。而在计算机系统上，防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。另外在建筑学上，原有的材料和布置的变化，将使防火墙失去作用，随着时间的推移，一些经过阻燃处理的材料，其阻燃性也逐步丧失。在计算机系统上也是如此，计算机系统网络的变化，系统软硬件环境的变化，也将使防火墙失去作用，而随着时间的推移，防火墙原有的安全防护技术开始落后，防护功能也就慢慢地减弱了。它是根据访问安全策略对两个或者更多网络之间的通信进行限制的软件或硬件。

功能

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

为什么使用防火墙

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

类型

正在加载防火墙

防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙。

从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

(1)软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。例如Sygate Fireware、天网防火墙等。

(2)硬件防火墙

硬件防火墙基于硬件平台的网络防预系统，与芯片级防火墙相比并不需要专门的硬件。目前市场上大多数防火墙都是这种硬件防火墙，他们基于PC架构。

(3)芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。例如NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），防火墙本身的漏洞比较少，不过价格相对比较高昂。

从防火墙的技术来分的话，防火墙可以分为包过滤型、应用代理型

(1) 包过滤（Packet filtering）型

包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则从数据流中被丢弃。

(2) 应用代理（Application Proxy）型

应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

目前防火墙已经在Internet上得到了广泛的应用。但是，防火墙并不能解决所有的网络安全问题，而只是网络安全政策和策略中的一个组成部分，但了解防火墙技术并学会在实际操作中应用防火墙技术，对于维护网络安全具有非常重要的意义。

功能

防火墙是网络安全的屏障

正在加载防火墙

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS

通俗点就是当程序访问你的机子或你的程序访问网络的时候他回提醒你的东东

专业点就是一、防火墙的概念

1. 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙 。

2. Rich Kosinski(Internet Security公司总裁）：

防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。

3. William Cheswick和Steve Beilovin（1994）：

防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：

（1）只允许本地安全策略授权的通信信息通过；

（2）双向通信信息必须通过防火墙；

（3）防火墙本身不会影响信息的流通。

4. 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

注意：防火墙主要用于保护安全网络免受不安全网络的侵害。

典型情况：安全网络为企业内部网络，不安全网络为因特网。

但防火墙不只用于因特网，也可用于Intranet各部门网络之间。（内部防火墙）。E.g.：财务部与市场部之间。

5. 在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。

在物理上，防火墙通常是一组硬件设备——路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。

防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。E.g.：加密和解密——VPN。

6. 防火墙的实质是一对矛盾（或称机制）：限制数据流通，允许数据流通。

两种极端的表现形式：除了非允许不可的都被禁止，安全但不好用。（限制政策）；除了非禁止不可的都被允许，好用但不安全。（宽松政策）

多数防火墙都在两种之间采取折衷。

在一个没有防火墙环境中，网络安全完全依赖于主机安全，并且在某种意义上所有主机都必须协同达到一个统一的高安全标准。基于主机的安全伸缩性不好：当一个站点上主机的数量增加时，确定每台主机处于高安全级别之上，势必会使性能下降。如果某个网络软件的薄弱点被发现，没有防火墙保护的站点必须尽可能快地更正每个暴露的系统，这并不现实，特别是在一些不同版本的操作系统正被使用时。

二、防火墙的作用

1. 网络安全的第一道防线（防盗门、战壕、交通警察、门卫）

2. 防火墙是阻塞点，可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略。

3. 防火墙可以实行强制的网络安全策略，E.g.：禁止不安全的协议NFS，禁止finger 。

4. 对网络存取和访问进行监控审计。E.g.:网络使用和滥用的记录统计。

5. 使用内部防火墙可以防止一个网段的问题传播到另一个网段。

三、防火墙体系结构

1. 基本原理

（1）防火墙是网络之间的一种特殊的访问控制设施，放置在网络的边界上，用于隔离Internet的一部分，限制其与Internet其他部分之间数据的自由流动，在不可靠的互连网络中建立一个可靠的子网。

（2）安全域：一个计算机子网中具有相同安全政策的计算机的集合。

（3）过滤器：本地安全政策的具体体现，对穿越的流量实施控制以阻止某一类别的流量。

2. 防火墙分类

（1）IP级防火墙，又称报文过滤防火墙。

原理：在路由软件中根据报文的信源、信宿及服务类型来实现报文过滤功能。

特点：网络性能好，透明、方便；不能针对特定用户和特定请求，粒度不够。

（2）应用级防火墙，又称代理防火墙。

原理：双穴主机隔离内外直接连接，为两端代理服务请求。

特点：不存在直接报文交换，安全性好，粒度精确完备；但效率低，只能针对专门服务，有局限性。

（3）链路级防火墙

原理：双穴主机提供通用的TCP/UDP连接中继服务。

3. 防火墙的使用

（1）一般原则

1）防火墙的使用是以额外的软硬件设备和系统性能的下降为代价的。

2）防火墙的设置取决于对网络的安全防卫要求和所能承受的经济能力，以及系统被攻破之后可能产生的后果的严重性。

3）防火墙适用于保护内部主机安全管理不太严格的大型组织机构。

（2）防火墙的使用形式

1）路由器过滤方式防火墙

在内部网与外部网的关键路径上设置一台带有报文过滤功能的路由器，通过设置过滤规则准确完备地表达本地网络的安全政策。

2）双穴信关方式防火墙

双穴主机使用两个接口分别连接内部和外部网络，并隔离两个网络之间的直接IP报文交换。分为代理服务和用户直接登录两种访问控制方式。

3）主机过滤方式防火墙

提供安全保护的堡垒主机仅与内部网相连，通过过滤路由器连接内部网和外部网，外部网只能访问堡垒主机。更具安全性和可操作性。

4）子网过滤方式防火墙：DMZ方式（非军事区方式）

在主机过滤的基础上增加子网过滤，用过滤子网隔离堡垒主机与内部网，减轻攻击者入侵堡垒主机后对内部网的冲击。

5）内部防火墙

用于大型网络内部子网分隔，以阻止访问控制中信赖关系的传递转移。

（3）使用防火墙的问题

1）灵活性差，不能满足网络互连的复杂形式。

2）防火墙重点防卫网络传输，不保证高层协议的安全。

3）防火墙必须设置在路由的关键点，且安全域内不能存在备份的迂回路由。

4. 防火墙的管理

（1）防火墙日志：用于安全追踪。

（2）备份：防火墙系统的所有配置文件和系统文件。

四、IP级防火墙

1. 工作原理

（1）多端口交换设备，根据报文报头执行过滤规则来进行报文转发。

（2）传输控制表

1）定义过滤规则，报文依次运用每一条规则直至匹配的规则，然后执行对应的操作。

2）传输控制表的建立：安全政策→形式化描述→防火墙软件语法格式

3）制定过滤规则：规则之间并不互斥，长前缀匹配优先。

4）不同的IP级防火墙产品有不同的传输控制表格式。

2. 报文过滤规则

（1）SMTP处理：服务器端口25，客户机端口>1023

（2）POP处理：服务器端口110，客户机端口>1023

（3）HTTP处理：服务器端口80，客户机端口>1023

（4）FTP处理：服务器控制连接端口21，数据连接端口20，客户机端口>1023

（5）Telnet处理：服务器端口23，客户机端口>1023

（6）DNS处理：服务器端口53，客户机端口>1023

（7）RPC处理：端口映射服务器111，不提倡在不安全环境中提供RPC服务

（8）UDP处理：很难控制和验证，通过应用级防火墙拒绝UDP报文

（9）ICMP处理：容易遭受DOS攻击，ICMP过滤范围取决于网络的管理域

（10）路由处理：应阻止内部路由信息出去，同时阻止外部路由信息进来

（11）IP分段报文处理：取决于网络的安全要求，必要时应设置上下文

（12）IP隧道：由于开销过大，一般IP级防火墙不对IP隧道进行过滤

3. 内部路由与防火墙的混合结构

内部网使用一个路由器同时处理内部路由和外部防火墙功能，此时防火墙的定义要针对路由器的端口进行，需要路由器各端口的路由表配合。

4. IP防火墙的政策控制

（1）鉴别：验证用户的标识

（2）授权：判定用户是否有权访问所申请的资源。

5. 源点鉴别

（1）目的：防止盗用资源和服务失效攻击

（2）验证形式：抽样检查

1）对报文流当场进行抽样检查

2）一边转发，一边抽样进行后台检查

3）将样本记入日志，事后进行审计

（3）鉴别方法：过滤标准，临时口令，报文摘录，报文签名

6. IP级防火墙技术评价

（1）优点（P191）

（2）目前存在的问题（P192）

五、应用级防火墙

1. 基本原理

（1）在堡垒主机中使用应用代理服务器控制内部网络与外部网络的报文交换。

（2）优点

1）对特定的应用服务在内部网络内外的使用实施有效控制，具有很强的针对性和专用性。

2）内部网络中的用户名被防火墙中的名字取代，增加了攻击者寻找攻击对象的难度。

3）可以对过往操作进行检查和控制，禁止了不安全的行为。

4）提供报文过滤功能，还能实现对传输时间、带宽等进行控制的方法。

（3）缺点

1）通用性较差，需要为每个应用协议配置不同的代理服务器。

2）需要对正常的客户软件进行相应的调整或修改。

3）新服务的出现和对应代理的出现存在较大延迟，成为新的不安全因素。

（4）设计原则（P193）

1）不允许内部网络与外界直接的IP交互，要有边界防火墙。

2）允许内部用户发起向外的FTP和Email，但可以通过代理进行审计。

3）外部网络用户是不可信任的，要有鉴别功能。

4）内部用户所使用的涉及外部网络的服务应该是可控制的。

5）防火墙的功能是针对外部网络访问的。

---