第四代防火墙

一. 主要功能

1.双端口或三端口的结构

新一代防火墙产品有两个到三个独立的网卡，内外两个网卡可不作IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。

2.透明访问方式

以前的防火墙在访问方式上要么要求用户登录进系统，要么需要通过SOCKS等路径修改客户机的应用。第四代防火墙利用了透明代理技术，从而降低了系统登录固有的安全风险和出错概率。

3.灵活的代理系统

代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。第四代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来实现，后者采用非保密的用户定制代理或保密的代理系统技术来实现。

4.多级过滤技术

为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址;在应用网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务;在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。

5.网络地址转换技术(NAT)

NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的结构，同时允许内部网络使用自己编的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。

6.Internet网关技术

由于是直接串连在网络之中，第四代防火墙必须支持用户在Internet互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、Finger、Mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用"改变根系统调用(chroot)"作物理上的隔离。

在域名服务方面，第四代防火墙采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。

在匿名FTP方面，服务器只提供对有限的受保护的部分目录的只读访问;在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行;在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息;SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境; Ident服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

7.安全服务器网络(SSN)

为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护。它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络(SSN)技术，对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理。

SSN的方法提供的安全性要比传统的"隔离区(DMZ)"方法好得多，因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。

8.用户鉴别与加密

为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少，第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。

9.用户定制服务

为满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有:通用TCP，出站UDP、FTP、SMTP等，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。

10.审计和告警

第四代防火墙产品的审计和告警功能十分健全，日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻，并能发出邮件、声响等多种方式报警。

此外第四代防火墙还在网络诊断，数据备份与保全等方面具有特色。

二. 技术实现

在第四代防火墙产品的设计与开发中，安全内核、代理系统、多级过滤、安全服务器和鉴别与加密是关键所在。

1.安全内核的实现

第四代防火墙是建立在安全操作系统之上的，安全的操作系统来自对专用操作系统的安全加固和改造，从现有的诸多产品看，对安全操作系统内核的固化与改造主要从以下几方面进行:

● 取消危险的系统调用;

● 限制命令的执行权限;

● 取消IP的转发功能;

● 检查每个分组的接口;

● 采用随机连接序号;

● 驻留分组过滤模块;

● 取消动态路由功能;

● 采用多个安全内核。

2.代理系统的建立

防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全，所有的代理都应采用改变根目录的方式存在一个相对独立的区域以作安全隔离。

在所有的连接通过防火墙前，所有的代理要检查已定义的访问规则，这些规则控制代理的服务，并根据以下内容处理分组:

● 源地址;

● 目的地址;

● 时间;

● 同类服务器的最大数量。

所有外部网络到防火墙内部或SSN的连接由进站代理处理，进站代理要保证内部主机能了解外部主机的所有信息，而外部主机只能看到防火墙之外或SSN的地址。

所有从内部网络或SSN通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保由它代表的内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络到SSN的连接。

3. 分组过滤器的设计

作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问。过滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分组过滤功能都在内核中IP堆栈的深层运行，极为安全。分组过滤器包括以下参数:

● 进站接口;

● 出站接口;

● IP协议特征;

● 允许的连接;

● 源端口范围;

● 源地址;

● 目的地址;

● 目的端口的范围;

● 对每一种参数的处理都要充分体现设计原则和安全政策。

4. 安全服务器的设计

安全服务器的设计有两个要点:第一，所有SSN的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的;第二，SSN的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。

SSN上的每一个服务器都是隐蔽在Internet中的，SSN提供的服务对外部网络而言像防火墙的功能，由于地址转换是透明的，对各种网络应用没有限制。实现SSN的关键在于:

● 解决分组过滤器与SSN的连接;

● 支持通用防火墙对SSN的访问;

● 支持代理服务。

5.鉴别与加密的考虑

鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护而外，还有安全管理功能。目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种，一种是加密卡;另一种是Secure ID，这两种都是一次性口令的生成工具。

对信息内容的加密与鉴别则涉及加密算法和数字签名技术，除PEM、PGP和Kerberos外，目前国外防火墙产品中尚没有更好的机制出现。由于加密算法涉及国家信息安全和主权，各国有不同的要求。

三. 抗攻击能力

作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击方法很多，下面从几种主要的功击方法来评估第四代防火墙的抗攻击能力。

1.抗IP假冒攻击

IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的"信任"，从而达到对网络的攻击目的。由于第四代防火墙知道网络内外的IP地址，它会丢弃所有来自网络外部但却有内部地址的分组，另外，防火墙已将网的实际地址隐蔽起来，外部用户很难知道内部的IP地址，因而难以攻击。

2.抗特洛伊木马攻击

第四代防火墙是建立在安全的操作系统之上的，其安全内核中不能执行下载的程序，故而可防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明受其保护的某个主机也能防止这类攻击。事实上，内部用户可通过防火墙下载程序，并执行下载的程序。

3.抗口令字探寻攻击

在网络中探寻口令字的方法很多，最常见的是口令字嗅探和口令字解密。

嗅探监测网络通信、截获用户传给服务器的口令字，记录下来后使用;解密指采用强力攻击，猜测或截获含有加密口令字的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。

第四代防火墙采用了一次性口令字和禁止直接登录防火墙的措施，能有效防止对口令字的攻击。

4.抗网络安全性分析

网络安全性分析工具本是供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的手段，则能较方便地探测到内部网络的安全缺陷和弱点所在。目前，SATAN软件可以从网上免费获得，Internet Scanner可从市面上购买，这些分析工具给网络安全构成了直接威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网分析。

5.抗邮件诈骗攻击

邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击。同样值得一提的是，防火墙不接受邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。

四. 防火墙技术展望

1.几点趋势

从防火墙产品及功能上，可以看出一些动向和趋势，下面几点是防火墙下一步的走向:

①防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展;

②过滤深度不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对Active X、Java等的过滤，并逐渐有病毒清除功能;

③利用防火墙建立虚拟专网(VPN)是未来较长时间内用户使用的主流，IP加密需求越来越强，安全协议的开发是一大热点;

④单向防火墙(又叫网络二极管)将作为一种产品门类而出现;

⑤对网络攻击的检测和告警将成为防火墙的重要功能;

⑥安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。

2.需求的变化

根据上述趋势，人们选择防火墙的标准将集中在以下几个方面:

① 易于管理性;

② 应用透明性;

③ 鉴别与加密功能;

④ 操作环境和硬件要求;

⑤ VPN和CA的功能;

⑥ 接口的数量;

⑦ 成本。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体应用防火墙技术时，还要考虑到两个方面:

一是防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

(1)设置网卡IP地址为192.168.1.234，子网掩码为255.255.255.0，网关为192.168.1.1。

(2)设置DNS为61.177.7.1。

(3)Linux防火墙设置，禁用SELinux，启用防火墙，信任WWW、FTP、SSH、SMTP端口。

(4)设置防火墙，使能信任TCP协议的POP3端口。