文档介绍：第八讲: 防火墙基本知识 A: 什么是防火墙英特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全性。英特网防火墙用于加强网络间的访问控制, 防止外部用户非法使用内部网的资源, 保护内部网络的设备不被破坏, 防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问; 外界的哪些人可以访问内部的那些可以访问的服务, 以及哪些外部服务可以被内部人员访问。要使一个防火墙有效, 所有来自和去往英特网的信息都必须经过防火墙, 接受防火墙的检查。防火墙必须只允许授权的数据通过, 并且防火墙本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回, 就不能提供任何的保护了。从总体上看,防火墙应具有以下五大基本功能: 1 . 过滤进出网络的数据包; 2 . 管理进出网络的访问行为; 3 . 封堵某些禁止的访问行为; 4 . 记录通过防火墙的信息内容和活动; 5 . 对网络攻击进行检测和告警。防火墙是一种综合性的技术, 涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织( ISO ) 的安全规范以及安全操作系统等多方面。作为一种有效解决网络之间访问控制的有效方法,国际上在这方面的研究很多。在国外, 近几年防火墙发展迅速, 产品众多, 而且更新换代快, 并不断有新的信息安全技术和软件技术等被应用在防火墙的开发上。国外技术虽然相对领先(比如包过滤、***、 VPN 、状态监测、加密技术、身份认证等) ,但总的来讲,此方面的技术并不十分成熟完善,标准也不健全,实用效果并不十分理想。从 1991 年6 月ANS公司的第一个防火墙产品 ANS Interlock Service 防火墙上市以来,到目前为止,世界上至少有几十家公司和研究所在从事防火墙技术的研究和产品开发。几乎所有的网络厂商也都开始了防火墙产品的开发或者 OEM 别的防火墙厂商的防火墙产品,如 Sun Microsystems 公司的 Sunscreen 、 Check Point 公司的 Firewall-1 、 Milkyway 公司的 Black Hole 等。国内也已经开始了这方面的研究, 北京邮电大学信息安全中心研制成功了国内首套 PC 机防火墙系统。此外,还有北京天融信公司的网络防火墙系统—— Talentit 防火墙、深圳桑达公司的具有包过滤防火墙功能的 SED-08 路由器、北大青鸟的内部网保密网关防火墙、电子部 30 所的SS - R型安全路由器、 Eye 防火墙、邮电部数据所的 SJW04 防火墙及 Proxy98 等也都先后开发成功。防火墙最基本的构件既不是软件又不是硬件, 而是构造防火墙的人的思想。最初的防火墙只是一种概念而不是一种产品, 是构造者脑海中的一种想法,即谁和什么能被允许访问本网络。“谁”和“什么”极大地影响了如何对网络数据设计路由。从这个意义上讲,构造一个好的防火墙需要、直觉、创造和逻辑的共同作用。一个好的防火墙系统应具有以下五方面的特性: 1. 所有在内部网络和外部网络之间传输的数据都必须通过防火墙; 2. 只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙; 3. 防火墙本身不受各种攻击的影响; 4. 使用目前新的信息安全技术,比如现代密码技术、一次口令系统、智能卡等; 5. 人机界面良好,用户配置使用方便,易管理。系统管理员可以方便地对防火墙进行设置,对 的访问者、被访问者、访问协议以及访问方式进行控制。防火墙作为内部网与外部网之间的一种访问控制设备, 常常安装在内部网和外部网交界的点上。英特防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合, 它更是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有的责任, 公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施, 以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统, 而没有全面的安全策略,那么防火墙就形同虚设。 B: 防火墙的发展若以产品为对象,防火墙技术的发展可以分为四个阶段: 第一阶段:基于路由器的防火墙由于多数路由器本身就包含有分组过滤功能, 故网络访问控制功能可通过路由控制来实现, 从而使具有分组过滤功能的路由器称为第一代防火墙产品。第一代防火墙产品的特点是: ?利用路由器本身的对分组的解析,以访问控制表方式实现对分组的过滤。?过滤判决的依据可以是:地址、端口号、 ICMP 报文类型等。?只有分组过滤的功能, 且防火墙与路由器是一体的, 对安全要求低的网络采用路由器附带防火墙的功能的方法, 对安全性要求较高的网络则可单独利用一台路由器组防火墙。第一代防火墙产品的不足之处在于: ?路由协议