防火橋架_使得它對(duì)通過(guò)網(wǎng)絡(luò)應(yīng)用鏈路層協(xié)議

　　Internet給人類社會(huì)帶來(lái)了的沖擊，它的重要性和巨大優(yōu)勢(shì)有目共睹，其優(yōu)勢(shì)之所在正是其上的所有資源均可相互共享，而這也正是其脆弱性之所在。為充分發(fā)揮其優(yōu)勢(shì)，為使善良的人們能充分利用網(wǎng)絡(luò)上的資源，網(wǎng)絡(luò)被設(shè)計(jì)為容易進(jìn)入。不懷好意的人就利用這種容易進(jìn)入并進(jìn)行破壞。

　　通過(guò)Internet將各種分布的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)互聯(lián)，在大大擴(kuò)展信息資源共享的空間尺度的同時(shí)也顯著縮短了信息服務(wù)的時(shí)間尺度，顯著提高了信息資源的利用率，這對(duì)保障網(wǎng)絡(luò)系統(tǒng)安全帶來(lái)了的挑戰(zhàn)。網(wǎng)絡(luò)裝機(jī)容量(全球Internet已有來(lái)自幾十萬(wàn)個(gè)互聯(lián)網(wǎng)網(wǎng)絡(luò)的3000多萬(wàn)個(gè)聯(lián)網(wǎng)系統(tǒng))、全球性的地理覆蓋、千差萬(wàn)別的網(wǎng)絡(luò)運(yùn)行狀態(tài)和單機(jī)系統(tǒng)均對(duì)網(wǎng)絡(luò)安全保障提出了嚴(yán)峻的要求。

　　計(jì)算機(jī)網(wǎng)絡(luò)安全一個(gè)使用很廣泛的技術(shù)就是防火墻技術(shù)，即在Internet和內(nèi)部網(wǎng)絡(luò)之間設(shè)一個(gè)防火墻。目前在全球連入Internet的計(jì)算機(jī)中約有三分之一是處于防火墻保護(hù)之下。

　　那么什么是防火墻(Fire Wall)呢？顧名思義，防火墻是用來(lái)阻擋外部(Internet)火情影響內(nèi)部網(wǎng)絡(luò)的(Internal network)屏障。無(wú)論外部世界多么錯(cuò)綜復(fù)雜，良莠不齊，經(jīng)過(guò)防火墻的過(guò)濾，內(nèi)部網(wǎng)絡(luò)大可隔岸觀火，不受火災(zāi)危害。用專業(yè)一點(diǎn)的話來(lái)描述，防火墻的主要目的就是防止外部網(wǎng)絡(luò)的未授權(quán)訪問(wèn)。

　　防火墻的特征是通過(guò)在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通訊監(jiān)控系統(tǒng)達(dá)到保障網(wǎng)絡(luò)安全的目的。

　　防火墻技術(shù)假設(shè)被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)并且網(wǎng)絡(luò)安全的威脅僅來(lái)自外部網(wǎng)絡(luò)，進(jìn)而防火墻型技術(shù)通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，通過(guò)盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽有關(guān)被保護(hù)網(wǎng)絡(luò)的信息、結(jié)構(gòu)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。由此可見(jiàn)，防火墻型系統(tǒng)比較適合于相對(duì)獨(dú)立，與外部網(wǎng)絡(luò)互聯(lián)途徑有限并且網(wǎng)絡(luò)服務(wù)種類相對(duì)集中和單一的網(wǎng)絡(luò)系統(tǒng)，常見(jiàn)的企業(yè)專用網(wǎng)一般屬于此類。

　　防火墻技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)做拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來(lái)加強(qiáng)網(wǎng)絡(luò)安全。它所保護(hù)的對(duì)象是網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)塊，它的防范對(duì)象是來(lái)自被保護(hù)網(wǎng)塊外部的對(duì)網(wǎng)絡(luò)安全的威脅。建立防火墻是在對(duì)網(wǎng)絡(luò)的服務(wù)功能和拓?fù)浣Y(jié)構(gòu)仔細(xì)分析基礎(chǔ)上，在被保護(hù)網(wǎng)絡(luò)周邊通過(guò)專用軟件、硬件及管理措施的綜合，對(duì)跨越網(wǎng)絡(luò)邊界和信息提供監(jiān)測(cè)、控制甚至修改的手段?？梢?jiàn)，防火墻技術(shù)適合于在企業(yè)專業(yè)網(wǎng)中使用，特別是在企業(yè)專業(yè)網(wǎng)與公共網(wǎng)絡(luò)互聯(lián)時(shí)的使用。 目前，在商業(yè)網(wǎng)絡(luò)上大多使用防火墻來(lái)防止某些外部結(jié)點(diǎn)的侵入，從而可以避免有關(guān)的商業(yè)機(jī)密受到侵犯。例如，將企業(yè)內(nèi)部應(yīng)用的Web服務(wù)器、域名服務(wù)器、E－mail服務(wù)器放在防火墻內(nèi)，對(duì)于公開(kāi)使用的Web服務(wù)器放在防火墻外，外部網(wǎng)絡(luò)中只有經(jīng)過(guò)授權(quán)的用戶才能通過(guò)防火墻，進(jìn)入到內(nèi)部網(wǎng)絡(luò)獲取信息。反之，內(nèi)部網(wǎng)絡(luò)上的用戶若想訪問(wèn)Internet,也必須通過(guò)防火墻的檢查，防火橋架以確認(rèn)是否合法。

　　需要說(shuō)明的是，如前所述，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開(kāi)放性、便利性、靈活性為代價(jià)的。對(duì)防火墻的設(shè)置也不例外，常常需要有特殊的相對(duì)較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)支持。由于防火墻的隔斷作用，一方面加強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全，一方面卻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)(Internet)的信息系統(tǒng)交流受到阻礙，必須在“防火墻”上附加各種信息服務(wù)的代理軟件來(lái)代理內(nèi)部網(wǎng)絡(luò)與外部的信息交流，這樣不僅增大了網(wǎng)絡(luò)管理開(kāi)銷，而且減慢了信息傳遞速率。因此，一般而言，只有對(duì)個(gè)體網(wǎng)絡(luò)安全有特別要求，而又需要和Internet聯(lián)網(wǎng)的企業(yè)網(wǎng)、網(wǎng)，才建議使用“防火墻”。

　　另外，“防火墻”在技術(shù)原理上對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全威脅不具防范作用，只能阻截來(lái)自外部網(wǎng)絡(luò)的侵?jǐn)_，因而內(nèi)部網(wǎng)絡(luò)的安全還需要通過(guò)對(duì)內(nèi)部網(wǎng)絡(luò)的有效控制和管理來(lái)實(shí)現(xiàn)。

　　如果某個(gè)網(wǎng)絡(luò)決定設(shè)定“防火墻”系統(tǒng)，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略，即確定什么類型的信息允許通過(guò)“防火墻”，什么類型的信息不允許通過(guò)防火墻。防火墻的職責(zé)就是根據(jù)本單位的安全策略，對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外。另外，還要確定“防火墻”類型，即“防火墻”拓?fù)洹?/p>

　　“防火墻”具有以下屬性：所有的從外到內(nèi)的信息及從內(nèi)到外的信息都必須通過(guò)“防火墻”；只有在受保護(hù)網(wǎng)絡(luò)的安全策略中允許的通信才允許通過(guò)“防火墻”；“防火墻”本身對(duì)各種攻擊免疫。

　　“防火墻通常由過(guò)濾器和網(wǎng)關(guān)等組成。其中，過(guò)濾器封鎖某些類型通信量的傳輸，網(wǎng)關(guān)提供中繼服務(wù)。也可把“防火墻”理解為由選通門和阻塞門兩個(gè)關(guān)鍵部件構(gòu)成的網(wǎng)絡(luò)隔離墻，選通門讓數(shù)據(jù)在兩個(gè)網(wǎng)絡(luò)之間自由通過(guò)而阻塞門阻止不是以該選通門為目的地的輸入數(shù)據(jù)分組，或者阻止不是來(lái)自該選通門的輸出的數(shù)據(jù)分組，即在其源地址或目的地地址中沒(méi)有該選通門地址的任何數(shù)據(jù)分組都被中止。典型的選通門一般是一臺(tái)信關(guān)計(jì)算機(jī)；阻塞門則往往是一個(gè)智能路由器。“防火墻”又可分為基于路由的“防火墻”、基于網(wǎng)卡的“防火墻”等等。

　　實(shí)現(xiàn)“防火墻”所用的主要技術(shù)有數(shù)據(jù)包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等，在此基礎(chǔ)上合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及有關(guān)技術(shù)(在位置和配置上)的適度使用也是保證“防火墻”有效使用的重要因素。

　　顧名思義，數(shù)據(jù)包過(guò)濾技術(shù)即在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?duì)數(shù)據(jù)包實(shí)施有選擇通過(guò)，選擇數(shù)據(jù)即為系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯。

　　計(jì)算機(jī)網(wǎng)絡(luò)通過(guò)檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包后，根據(jù)包的源地址、目的地址、所用的TCP端口號(hào)、TCP鏈路狀態(tài)等因素或它們的組合來(lái)確定是否允許數(shù)據(jù)包通過(guò)，只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的目的地的輸出端口，其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。具體表現(xiàn)為：

　　這一結(jié)構(gòu)由路由器和Filter共同完成對(duì)外界計(jì)算機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)從IP地址或域名上的限制，也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪問(wèn)Internet。路由器僅對(duì)Filter主機(jī)特定的端口上數(shù)據(jù)通訊加以路由，而Filter主機(jī)則執(zhí)行篩選、過(guò)濾、驗(yàn)證及其安全監(jiān)控，這樣可以很大程度隔斷內(nèi)外網(wǎng)絡(luò)間的不正常的訪問(wèn)登錄。

　　數(shù)據(jù)包過(guò)濾技術(shù)的實(shí)現(xiàn)方式相當(dāng)簡(jiǎn)潔，目前網(wǎng)絡(luò)的路由設(shè)通常均具有一定的數(shù)據(jù)包過(guò)濾能力，因而使路由設(shè)在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)功能之外同時(shí)進(jìn)行數(shù)據(jù)包過(guò)濾是目前常見(jiàn)的實(shí)現(xiàn)方式之一。由于多數(shù)Internet與Internet的連接都要使用路由器，因此路由器成為網(wǎng)絡(luò)內(nèi)外通信的必經(jīng)端口。有些路由器商在新型的路由器上添加數(shù)據(jù)包過(guò)濾功能，這樣的路由器稱為Scrcening Router，它通常不需要外增加硬件/軟件配置，也不需要對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)做改動(dòng)。

　　但是應(yīng)當(dāng)注意到，數(shù)據(jù)包過(guò)濾技術(shù)本身對(duì)網(wǎng)絡(luò)的保護(hù)功能是有局限的，這是因?yàn)樗窃诰W(wǎng)絡(luò)鏈路層和傳輸鏈路層上運(yùn)作的技術(shù)，因而對(duì)位于網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力，使得它對(duì)通過(guò)網(wǎng)絡(luò)應(yīng)用鏈路層協(xié)議實(shí)現(xiàn)的安全威脅無(wú)防范能力。

　　此外，進(jìn)行數(shù)據(jù)包的檢查和過(guò)濾會(huì)對(duì)路由設(shè)的工作性能產(chǎn)生可觀的影響。由于路由器內(nèi)部資源的限制，通常路由器對(duì)所發(fā)現(xiàn)的非法數(shù)據(jù)包僅是刪除而已，并不做報(bào)告，防火橋架從而不具有安全保障系統(tǒng)所要求的可審核性。防火橋架已有路由器家開(kāi)始通過(guò)軟件實(shí)現(xiàn)非法數(shù)據(jù)包的登錄和報(bào)告，代價(jià)是極可能使路由器的工作速度變慢。

　　應(yīng)用網(wǎng)關(guān)像具有過(guò)濾功能的路由器一樣，是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)功能的擴(kuò)充，并且都是根據(jù)特定的邏輯檢查是否允許特定的數(shù)據(jù)包通過(guò)。

　　所不同的是，應(yīng)用網(wǎng)關(guān)是建立在網(wǎng)絡(luò)應(yīng)用鏈路層上的協(xié)議過(guò)濾功能設(shè)，它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議指定數(shù)據(jù)過(guò)濾邏輯，并可根據(jù)在按應(yīng)用協(xié)議指定的數(shù)據(jù)過(guò)濾邏輯進(jìn)行過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包分析的結(jié)果及采取的措施做登錄和統(tǒng)計(jì)，形成報(bào)告。

　　應(yīng)用網(wǎng)關(guān)通常由一臺(tái)專用計(jì)算機(jī)來(lái)實(shí)現(xiàn)，這臺(tái)機(jī)器是內(nèi)外網(wǎng)絡(luò)連接的橋梁，是內(nèi)外聯(lián)絡(luò)的途徑，因而，這臺(tái)機(jī)器被稱為堡壘主機(jī)(Bastion Host)。 3.代理服務(wù)器技術(shù)(Proxy Server)

　　代理服務(wù)技術(shù)的特點(diǎn)是將所有跨越“防火墻”的網(wǎng)絡(luò)通信鏈路分為兩段?！胺阑饓Α眱?nèi)外計(jì)算機(jī)網(wǎng)絡(luò)間的應(yīng)用鏈路層的鏈接由兩個(gè)終止于代理服務(wù)上的鏈接來(lái)實(shí)現(xiàn)，外部網(wǎng)絡(luò)鏈接只能到達(dá)代理服務(wù)，由此實(shí)現(xiàn)了“防火墻”內(nèi)外網(wǎng)絡(luò)隔離，代理服務(wù)在此等效于一個(gè)網(wǎng)絡(luò)傳輸鏈路層上的數(shù)據(jù)轉(zhuǎn)發(fā)器的功能，形象地表示就是：

　　這種方式是內(nèi)部網(wǎng)絡(luò)與Internet不直接通訊，而是內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)用戶與代理服務(wù)器采用一種通訊方式即提供內(nèi)部網(wǎng)絡(luò)協(xié)議(Netbios、TCP/IP等)。代理服務(wù)器與Internet之間采取的是標(biāo)準(zhǔn)TCP/IP網(wǎng)絡(luò)通訊協(xié)議。這樣使得網(wǎng)絡(luò)數(shù)據(jù)包不能直接在內(nèi)外網(wǎng)絡(luò)之間進(jìn)行。內(nèi)部計(jì)算機(jī)必須通過(guò)代理服務(wù)器訪問(wèn)Internet，這樣容易在代理服務(wù)器上對(duì)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)訪問(wèn)外界計(jì)算機(jī)進(jìn)行限制。另外，由于代理服務(wù)器兩端采用不同協(xié)議標(biāo)準(zhǔn)也可以直接阻止外界非法入侵。還有，代理服務(wù)的網(wǎng)關(guān)可對(duì)數(shù)據(jù)封包進(jìn)行驗(yàn)證和對(duì)密碼進(jìn)行確認(rèn)等安全管制。這樣，能較好地控制管理兩端的用戶起到防火墻作用。

　　代理服務(wù)器是“防火墻”技術(shù)中頗受推崇的一種，它的優(yōu)點(diǎn)在于可以將被保護(hù)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來(lái)，顯著增強(qiáng)了網(wǎng)絡(luò)的安全性能，同時(shí)代理服務(wù)器還可以用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄、報(bào)告等功能。使用代理服務(wù)器的缺點(diǎn)在于需要為每個(gè)網(wǎng)絡(luò)服務(wù)專門設(shè)計(jì)、開(kāi)發(fā)代理服務(wù)軟件及相應(yīng)的監(jiān)控過(guò)濾功能，并且由于代理服務(wù)具有相當(dāng)?shù)墓ぷ髁?，因此通常需要專用的硬?即工作站)來(lái)承擔(dān)。

　　可想而知，這種“防火墻”措施是通過(guò)代理服務(wù)器進(jìn)行，在聯(lián)機(jī)用戶多時(shí)，效率必然受到影響，代理服務(wù)器負(fù)擔(dān)很重，并且許多訪問(wèn)Internet的客戶軟件在內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)中無(wú)法正常訪問(wèn)Internet。

　　在上述基本技術(shù)基礎(chǔ)上，建設(shè)性能良好的“防火墻”的關(guān)鍵在于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的合理選用及“防火墻”技術(shù)的合理配置?！胺阑饓Α钡膶?shí)現(xiàn)多種多樣，細(xì)節(jié)各不相同。

　　現(xiàn)行的“防火墻”的幾種模式都有一定的缺陷，因此人們正在尋找其他模式的“防火墻”，“防火墻”技術(shù)主要有以下幾個(gè)發(fā)展趨向。

　　復(fù)合型“防火墻”。由于對(duì)更高安全性的要求，有的商把基于數(shù)據(jù)包過(guò)濾的方法和基于代理服務(wù)器的方法結(jié)合起來(lái)，形成了新的“防火墻”產(chǎn)品。

　　NAT網(wǎng)絡(luò)地址轉(zhuǎn)換器。目前，有一些“防火墻”使用了NAT(Network Address Transtlater，網(wǎng)址轉(zhuǎn)換器)。NAT的原理就好象一部電話總機(jī)，當(dāng)不同的內(nèi)部機(jī)器向外連接時(shí)使用相同的IP地址(相當(dāng)于總機(jī)號(hào)碼)；而內(nèi)部網(wǎng)絡(luò)互相通訊時(shí)則使用內(nèi)部IP地址(相當(dāng)于分機(jī)號(hào)碼)。這樣做可以使內(nèi)部網(wǎng)絡(luò)不用擔(dān)心自己的IP地址與外界的IP地址發(fā)生沖突。使用NAT的網(wǎng)絡(luò)，可以使內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)來(lái)說(shuō)是不可見(jiàn)的。這給內(nèi)部網(wǎng)絡(luò)帶來(lái)了很大的安全好處，因?yàn)榕c外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起。NAT的另外一個(gè)顯而易見(jiàn)的可能用途是解決IP地址的匱乏問(wèn)題，但對(duì)NAT可能帶來(lái)的一些不良后果值得重視。

　　加密路由器。加密路由器把通過(guò)路由器的內(nèi)容進(jìn)行加密和壓縮，然后讓它們通過(guò)“不可靠”的網(wǎng)絡(luò)傳輸，并在目的端進(jìn)行解壓縮和解密。加密路由器的使用將使Internet看上去更象一個(gè)“私有網(wǎng)絡(luò)”。

　　安全內(nèi)核。除了采用代理服務(wù)器以外，人們開(kāi)始在操作系統(tǒng)的層次上考慮安全性。人們嘗試把計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)核中可能引起安全性問(wèn)題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。目前，已有一些商業(yè)防火墻推出了Unix版本的安全內(nèi)核。

　　少特權(quán)。Internet上有些基于存儲(chǔ)轉(zhuǎn)發(fā)的應(yīng)用程序運(yùn)行時(shí)具有系統(tǒng)特權(quán)，這是一個(gè)重大的安全漏洞。因此，在基于代理服務(wù)器的“防火墻”內(nèi)，要使得代理服務(wù)器具有少的特權(quán)，不要以特權(quán)運(yùn)行。
以上信息由江蘇有銘集團(tuán)有限公司整理編輯，了解更多防火橋架信息請(qǐng)?jiān)L問(wèn)http://www.lesiure.cn