计算机网络工程实用技术：防火墙关键技术与设计

防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相同，采用不同的技术，因而也就产生了不同类型的防火墙。防火墙所采用的技术主要有以下几种。

1.屏蔽路由技术

最简单和最流行的防火墙形式是“屏蔽路由器”。多数商业路由器具有内置的限制目的地间通信的能力。屏蔽路由器一般只在网络层工作（有的还包括传输层），采用包过滤或虚电路技术，包过滤通过检查每个IP网络包，取得其头信息，一般包括：到达的物理网络接口，源IP地址，目标IP地址，传输层类型（TCP、UDP、ICMP），源端口和目的端口。根据这些信息，判别是否与规则集中的某条目匹配，并对匹配包执行规则中指定的动作（禁止或允许）。包括滤系统通常可以重置网络包地址，从而流出的通信包看来不同于其原始主机地址转换（NAT），通过NAT可以隐藏内部网络拓朴和地址表。而虚电路技术的核心是验证通信包是一个连接中的数据包（两个传输层之间的虚电路）。首先，它检查每个连接的建立以确保其发生在合法的握手之后。并且，在握手完成前不转发数据包，系统维护一个有效连接表（包括完整的会话状态和序列信息），当网络包信息与虚电路表中的某一入口匹配时才允许包含数据的网络包通过。当连接终止后，它在表中的入口就被删除，从而两个会话层之间的虚电路也就被关闭了。

（1）屏蔽路由器类型防火墙的优点

1）性能要优于其他类型的防火墙，因为它执行较少的计算。并且，可以很容易地以硬件方式实现。

2）规则设置简单，通过禁止内部计算机和特定Internet资源的连接，单一规则即可保护整个网络。

3）不需对客户端计算机进行专门的配置。

4）通过NAT，可以对外部用户屏蔽内部IP。

（2）屏蔽路由器类型防火墙的缺点

1）无法识别到应用层协议，也无法对协议子集进行约束。

2）处理包内信息的能力有限。

3）通常不能提供其他附加功能，如HTTP的目标缓存，URL过滤以及认证。

4）无法约束由内部主机到防火墙服务器上的信息，只能控制什么信息可以过去，从而入侵者可能访问到防火墙主机的服务，从而带来安全隐患。

5）没有或缺乏审计追踪，从而也就缺乏报警机制。

6）由于对众多网络服务的“广泛”支持所造成的复杂性，很难对规则有效性进行测试。

综上所述：屏蔽路由技术往往比较脆弱，因为它还要依赖其背后主机上应用软件的正确配置。因此，在使用此类型的防火墙时，通常配合其他系统使用。

2.应用网关技术

应用网关型防火墙又称作代理型防火墙，其实也就是平时所说的代理服务器。顾名思义，它工作于OSI模型的应用层。代理型防火墙和包过滤型防火墙采用完全不同的工作模式，它的安全性要高于包过滤型产品。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络，对于这样的企业来说应用级防火墙是更好的选择。所谓代理服务，即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的，这样便成功地实现了防火墙内外计算机系统的隔离。代理服务是设置在Internet防火墙网关上的应用，是网管员允许或拒绝的特定的应用程序或者特定服务，同时，还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特定的互联网服务，如超文本传输（HTTP）、远程文件传输（FTP）等。代理服务器通常拥有高速缓存，缓存中存有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就用不着重复地去抓同样的内容，既节约了时间也节约了网络资源。其基本结构如图7-17所示。

图7-17 应用网关型防火墙的基本结构

它通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就称为“代理”，通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务器通信，而是与代理服务器通信（用户的默认网关指向代理服务器）。各个应用代理在用户和服务之间处理所有的通信，能够对通过它的数据进行详细地审计追踪。许多专家也认为它更加安全，因为代理软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范已知的攻击。

（1）代理防火墙的主要优点

1）代理服务可以识别并实施高层的协议，如HTTP和FTP等。

2）代理服务包含通过防火墙服务器的通信信息，可以提供源于部分传输层，全部应用层和部分会话层的信息。

3）代理服务可以用于禁止访问特定的网络服务，而允许其他服务的使用。

4）代理服务能处理数据包。

5）通过提供透明服务，可以让使用代理的用户感觉在直接与外部通信。

6）代理服务还可以提供屏蔽路由器不具备的附加功能。

（2）代理防火墙的主要缺点

1）代理服务有性能上的延迟，因为流入数据需要被处理两次（应用程序和其代理）。(www.xing528.com)

2）代理防火墙一般需要客户端的修改或设置，因此，配置过程烦琐。

3）代理由于通常需要附加的口令和认证而造成延迟，可以会给用户带来不便。

4）应用级防火墙一般不能提供UDP，RPC等特殊协议类的代理。

5）应用层有时会忽略那些底层的网络包信息。

（3）几种代理服务器的设计实现方式

1）应用代理服务器。应用代理服务器可以在网络应用层提供授权检查及代理服务。当外部某台主机试图访问（如Telnet）受保护网时，它必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为Telnet设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问的时间及访问的方式。同样，受保护网络的内部用户访问外部网时也需先登录到防火墙上，通过验证后才可使用Telnet或FRP等有效命令。应用网关代理的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证，比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到“盘问”，这给用户带来许多不便。而且这种代理技术需要为每个应用网关写专门的程序。应用层网关的工作原理如图7-18所示。

图7-18 代理的工作方式

2）回路级代理服务器。回路级代理服务器也称一般代理服务器，它适用于多个协议，但无法解释应用协议，需要通过其他方式来获得信息。所以，回路级代理服务器通常要求修改用户程序。其中，套接字服务器（Sockets Server）就是回路级代理服务器。套接字（Sockets）是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套接字服务器检查客户的UserID、IP源地址和IP目的地址。经过确认后，套服务器才与外部的段服务器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为网络套接。

3）隔离域名服务器。这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

4）邮件转发技术。当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。

代理服务器像真的墙一样挡在内部用户和外界之间，特别是从外面来的访问者只能看到代理服务器，而看不见到任何的内部资源，诸如用户的IP等。而内部客户根本感觉不到它的存在，可以自由访问外部站点。代理可以提供极好的访问控制、登录能力以及地址转换功能，对进出防火墙的信息进行记录，便于管理员监视和管理系统。但代理服务器同时也存在一些不足，特别是它会使网络的访问速度变慢，因为它不允许用户直接访问网络，而代理又要处理入和出的通信量。而且，每增加一种新的媒体应用，则必须对代理进行设置。

3.包过滤技术

数据包过滤是一个传统的网络安全保护机制，用来控制流经它（流出和流入）的网络数据。包过滤一般是基于IP包头中的协议类型和协议字段值，以及更上一层的TCP，ICMP的协议包头信息来设定条件。因为以前的包过滤服务一般都由路由器提供，所以包过滤防火墙一般又被称为包过滤路由器。从方法学上讲，包过滤分为传统的无状态包过滤和新兴的有状态包过滤。在没有防火墙的IP层软件中，IP层只是简单地从网络输入设备获取数据包，确定数据包发送路由，根据路由输出数据包。基于无状态包过滤的防火墙工作在IP层，而IP层功能可以抽象为数据包的输入、转发和输出3个功能模块。而且在IP层功能模块中加入防火墙功能可以提高IP层的智能，使IP层各功能模块能在处理数据包时根据定义的规则对数据包进行特定的处理，而不再是简单的转发。依据IP层功能模块的划分，将防火墙规则表划分为输入数据包过滤规则表、输出数据包过滤规则表、转发数据包过滤规则表及用户自定义规则表。其中输入、输出和转发规则表是系统规则表。其基本结构如图7-19所示。

图7-19 包过滤防火墙的基本结构

4.动态防火墙技术

它是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口，IP地址的输入输出业务，因而限制了控制能力，并且由于网络的所有高位（1024～65535）端要么开放，要么关闭，使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则，使其适应不断改变的网络业务量。根据用户的不同要求，规则能被修改并接受或拒绝条件。具体地讲，动态防火墙技术并不是根据状态来对包进行有效性检查，而是通过为每个会话维护其状态信息，来提供一种防御措施和方法。它可分辨通信是初始请求还是对请求的回应。即是否是新的会话通信，以实现“单向规则”，即在过滤规则中可以只允许一个方向上的通信。在该方向上的初始请求被允许和记录后，其连接的另一方向的回应也将被允许，这样不必在过滤规则中为其回应考虑，大大减少过滤规则的数量和复杂性。同时，它还为协议和服务的过滤提供了理想解决方案，能很好地实现“只允许内部访问外部”的策略，使内部网络更安全。从外部看，在没有合法的通信时，除规则允许外部访问的所有内部主机端口开放，并且当连接结束时，也随之关闭；而从内部看，除规则明确拒绝外，所有外部资源都是开放的，并且它还为一些针对TCP的攻击提供了在包过滤上进行防御的手段。

动态防火墙为了跟踪维护连接状态，必须对所有进出的数据包进行分析，从其传输层，应用层中提取相关的通信和应用状态信息，根据其源和目的IP地址，传输层协议和源及目的端口来区分每一连接，并建立动态连接表为所有连接存储其状态和上下文信息；同时为检查后续通信。应及时更新这些信息，当连接结束时，也应及时从连接表中删除其相应信息。

动态连接表是动态防火墙技术的核心，对所有进出的数据包，首先在动态连接表中查找相应的连接表项，若其存在，便可得到过滤结果，否则，查找相应过滤规则，并创建一连接表项。这样，就不必为每个数据包都在过滤规则中依次进行比较来查找相应规则，从而大大提高了过滤效率和网络通信速度。但是，动态防火墙包过滤技术在实现中也有一些缺陷：它通过检查关键词来实现对应用协议和数据的过滤，但无法对跨分组的关键词进行检查，而且一旦过滤掉分组后，它只能简单地关闭连接，不会向源端传送任何错误信息。

5.电路网关技术

电路级网关是一个特殊的功能，可以由应用层网关来完成。电路级网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。电路级网关简单地中继Telnet连接，并不做任何审查，过滤或Telnet协议管理。电路级网关就像电线一样，只是在内部连接和外部连接之间来回复制字节。但是由于连接似乎是起源于防火墙，其隐藏了受保护网络的有关信息。

电路级网关优点是可以对各种不同的协议提供服务，其对外像一个代理，对内是一个过滤路由器。

电路级网关缺点是一般只传输TCP的数据段。另外，新的应用出现可能会要求对电路级网关的代码做相应的修改。

6.状态检测技术

状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，作为防火墙技术其安全特性最佳。它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其他安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，根据协议、端口及源、目的地址的具体情况，结合网络配置和安全规定作出接纳、拒绝、鉴定或给其通信加密等决定。对于每个安全策略允许的请求，状态检测防火墙启动相应的进程，可以快速地确认符合授权流通标准的数据包，这使得本身的运行非常快速。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告网络状态。监视器还可以监测RemoetProCedureCall和USerDatagrqamProtoCol类的端口信息。

这种防火墙的优点是，一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。状态检测防火墙的另一个优点是，它会监测无连接状态的远程过程调用和用户数据报之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。

这种防火墙无疑是非常坚固的。但是状态检测防火墙唯一的缺点是，这种状态检测可能造成网络连接的某种迟滞。不过硬件越快，这个问题就越不易察觉，而且配置也比较复杂。