防火墙第四章课件.ppt

1、第第4 4章章 防火墙体系结构防火墙体系结构4.1 4.1 防火墙的体系结构防火墙的体系结构4.2 4.2 包过滤器包过滤器4.3 4.3 应用级网关应用级网关4.4 4.4 电路级网关电路级网关4.5 4.5 状态包检测（状态包检测（SPISPI）4.6 4.6 实施方式实施方式为了满足用户的更高要求，防火墙体系架构经历了从低性能的为了满足用户的更高要求，防火墙体系架构经历了从低性能的x86x86，PPCPPC软件防火墙向高性能硬件防火墙的过渡。防火墙在经过几软件防火墙向高性能硬件防火墙的过渡。防火墙在经过几年繁荣的发展后，已经形成了多种类型的体系架构，并且这几种体年繁荣的发展后，已经形成了

2、多种类型的体系架构，并且这几种体系架构的设备并存互补，并不断进行发展升级。系架构的设备并存互补，并不断进行发展升级。1.1.双重宿主主机体系结构双重宿主主机体系结构双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另外一个网络发送之间的路由器，它能够从一个网络到另外一个网络发送IPIP数据包，数据包，然而双重宿主主机的防火墙体系结构禁止这种发送。然而双重宿主主机的防火墙体系结构禁止这种发送。

3、4.1 4.1 防火墙的体系结构防火墙的体系结构下一页 返回因此，因此，IPIP数据包并不是从一个网络（如外部网络）直接发送到数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制，如接通信，它们之间的通信必须经过双重宿主主机的过滤和控制，如图图4-14-1所示。所示。2.2.被屏蔽主机体系结构被屏蔽主机体系结构双重宿主

4、主机体系结构防火墙没有使用路由器，而被屏蔽主机双重宿主主机体系结构防火墙没有使用路由器，而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如如图图4-24-2所示。在这种体系结构中，主要的安全由数据包过滤提供所示。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。4.1 4.1 防火墙的体系结构防火墙的体系结构下一页 返回上一页这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能这种体系结构涉及到堡垒主机。堡垒

5、主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此，堡垒主机要保持更高系统或服务都必须先连接到这台主机。因此，堡垒主机要保持更高等级的主机安全。等级的主机安全。3.3.被屏蔽子网体系结构被屏蔽子网体系结构被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是即通过添加周边网络更进一步地把内部网络和外部网络（通常是InternetInternet）隔离开。被屏

6、蔽子网体系结构的最简单的形式为两个屏）隔离开。被屏蔽子网体系结构的最简单的形式为两个屏蔽路由器，每一个都连接到周边网。蔽路由器，每一个都连接到周边网。4.1 4.1 防火墙的体系结构防火墙的体系结构下一页 返回上一页一个位于周边网与内部网络之间，另一个位于周边网与外部网一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为络（通常为InternetInternet）之间。这样就在内部网络与外部网络之间形）之间。这样就在内部网络与外部网络之间形成了一个成了一个“隔离带隔离带”。为了侵入用这种体系结构构筑的内部网络，。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵

7、袭者侵入堡垒主机，他将仍然侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器，如必须通过内部路由器，如图图4-34-3所示。所示。4.1 4.1 防火墙的体系结构防火墙的体系结构返回上一页4.2.1 4.2.1 包过滤技术分类包过滤技术分类在包过滤技术的发展中，出现过两种不同的技术，即静态包过在包过滤技术的发展中，出现过两种不同的技术，即静态包过滤和动态包过滤。包过滤技术作为防火墙的应用有三类。滤和动态包过滤。包过滤技术作为防火墙的应用有三类。一是路由设备在完成路由选择和数据转发之外，同时进行包过一是路由设备在完成路由选择和数据转发之外，同时进行包过滤，这是目前较常用

8、的方式。滤，这是目前较常用的方式。二是在工作站上使用软件进行包过滤，这种方式价格较贵。二是在工作站上使用软件进行包过滤，这种方式价格较贵。三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。4.2 4.2 包过滤器包过滤器下一页 返回防火墙对数据的过滤，首先是根据数据包中包头部分所包含的防火墙对数据的过滤，首先是根据数据包中包头部分所包含的源源IPIP地址、目的地址、目的IPIP地址、协议类型（地址、协议类型（TCPTCP包、包、UDPUDP包、包、ICMPICMP包）、源包）、源端口、目的端口及数据包传递方向等信息，判断是否符合安全规则，端

9、口、目的端口及数据包传递方向等信息，判断是否符合安全规则，以此来确定该数据包是否允许通过。以此来确定该数据包是否允许通过。1.1.静态包过滤（静态包过滤（Static packet filterStatic packet filter）静态包过滤（静态包过滤（Static packet filterStatic packet filter）技术是传统包过滤技术，）技术是传统包过滤技术，它根据流经该设备的数据包地址信息决定是否允许该数据包通过，它根据流经该设备的数据包地址信息决定是否允许该数据包通过，它判断的依据有（只考虑它判断的依据有（只考虑IPIP包）：包）：数据包协议类型：数据包协议类型：

10、TCPTCP，UDPUDP，ICMPICMP，IGMPIGMP等。等。源源IPIP地址、目的地址、目的IPIP地址。地址。4.2 4.2 包过滤器包过滤器下一页 返回上一页 源端口、目的端口：源端口、目的端口：FTPFTP，HTTPHTTP，DNSDNS等。等。IPIP选项：源路由、记录路由等。选项：源路由、记录路由等。TCPTCP选项：选项：SYNSYN，ACKACK，FINFIN，RSTRST等。等。其他协议选项：其他协议选项：ICMP ECHOICMP ECHO，ICMP ECHO REPLYICMP ECHO REPLY等。等。数据包流向：数据包流向：inin（进）或（进）或outou

11、t（出）。（出）。数据包流经网络接口。数据包流经网络接口。4.2 4.2 包过滤器包过滤器下一页 返回上一页2.2.动态包过滤（动态包过滤（Dynamic packet filterDynamic packet filter）包过滤防火墙是基于路由器来实现的。它利用数据包的头信息包过滤防火墙是基于路由器来实现的。它利用数据包的头信息（源（源IPIP地址、封装协议、端口号等）判定与过滤规则是否相匹配来地址、封装协议、端口号等）判定与过滤规则是否相匹配来决定舍取。建立这类防火墙应按如下步骤去做：决定舍取。建立这类防火墙应按如下步骤去做：第第1 1步，建立安全策略步，建立安全策略写出所允许的和禁止的

12、任务。写出所允许的和禁止的任务。第第2 2步，将安全策略转化为数据包分组字段的逻辑表达式。步，将安全策略转化为数据包分组字段的逻辑表达式。第第3 3步，用供货商提供的句法重写逻辑表达式并设置之。步，用供货商提供的句法重写逻辑表达式并设置之。4.2 4.2 包过滤器包过滤器下一页 返回上一页4.2.2 4.2.2 包过滤器的工作层次包过滤器的工作层次包过滤防火墙通常工作在包过滤防火墙通常工作在OSIOSI的三层及三层以下，由此可以看出，的三层及三层以下，由此可以看出，它可控的内容主要包括报文的源地址、报文的目标地址、服务类型，它可控的内容主要包括报文的源地址、报文的目标地址、服务类型，以及第二层

13、数据链路层可控的以及第二层数据链路层可控的MACMAC地址等。除此以外，随着包过滤防地址等。除此以外，随着包过滤防火墙的发展，部分火墙的发展，部分OSIOSI四层的内容也被包括进来，如报文的源端口和四层的内容也被包括进来，如报文的源端口和目的端口。目的端口。4.2 4.2 包过滤器包过滤器下一页 返回上一页4.2.3 4.2.3 过滤器的工作原理过滤器的工作原理1.1.使用过滤器使用过滤器数据包过滤用在内部主机和外部主机之间，过滤系统是一台路数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或一台主机。过滤系统根据过滤规则来决定是否让数据包通过。由器或一台主机。过滤系统根据过滤规则来决

14、定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。用于过滤数据包的路由器被称为过滤路由器。数据包过滤是通过对数据包的数据包过滤是通过对数据包的IPIP头、头、TCPTCP头或头或UDPUDP头的检查来实头的检查来实现的。现的。在在TCP/IPTCP/IP中，存在着一些标准的服务端口号，例如，中，存在着一些标准的服务端口号，例如，HTTPHTTP的端的端口号为口号为8080。通过屏蔽特定的端口可以禁止特定的服务。通过屏蔽特定的端口可以禁止特定的服务。4.2 4.2 包过滤器包过滤器下一页 返回上一页包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间包过滤系统可以阻塞内部主机和外部主

15、机或另外一个网络之间的连接，例如，可以阻塞一些被视为是有敌意的或不可信的主机或的连接，例如，可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。网络连接到内部网络中。2.2.过滤器的实现过滤器的实现数据包过滤一般使用过滤路由器来实现，这种路由器与普通的数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。路由器有所不同。普通的路由器只检查数据包的目标地址，并选择一个达到目的普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找

16、到一个路径到达目标地址，种可能性：若路由器可以找到一个路径到达目标地址，4.2 4.2 包过滤器包过滤器下一页 返回上一页则发送出去；若路由器不知道如何发送数据包，则通知数据包则发送出去；若路由器不知道如何发送数据包，则通知数据包的发送者的发送者“数据包不可达数据包不可达”。过滤路由器会更加仔细地检查数据包，除了决定是否有到达目过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。标地址的路径外，还要决定是否应该发送数据包。“应该与否应该与否”是是由路由器的过滤策略决定并强行执行的。由路由器的过滤策略决定并强行执行的。4.2.4 4.2.4 包过滤的

17、基本过程包过滤的基本过程下面对包过滤过程做简单的叙述。下面对包过滤过程做简单的叙述。包过滤规则必须被包过滤设备端口存储起来。包过滤规则必须被包过滤设备端口存储起来。当包到达端口时，对包报头进行语法分析。大多数包过滤设当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查备只检查IPIP，TCPTCP或或UDPUDP报头中的字段。报头中的字段。4.2 4.2 包过滤器包过滤器下一页 返回上一页 包过滤规则以特殊的方式存储。应用于包的规则的顺序与包包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。过滤器规则存储顺序必须相同。若一条规则阻止包传输或接收，则此包便不

18、被允许。若一条规则阻止包传输或接收，则此包便不被允许。若一条规则允许包传输或接收，则此包便可以被继续处理。若一条规则允许包传输或接收，则此包便可以被继续处理。若包不满足任何一条规则，则此包便被阻塞。若包不满足任何一条规则，则此包便被阻塞。一个包过滤防火墙必须具备两个端口，一个端口连接非信任网一个包过滤防火墙必须具备两个端口，一个端口连接非信任网络（如络（如InternetInternet），一个端口连接可信网络（如内部网络）和一组），一个端口连接可信网络（如内部网络）和一组规则组成。规则组成。4.2 4.2 包过滤器包过滤器下一页 返回上一页防火墙配置的规则必须能对从一个非信任端口流向信任端口

19、或防火墙配置的规则必须能对从一个非信任端口流向信任端口或是从信任端口流向非信任端口进行控制处理，以此来决定是否让信是从信任端口流向非信任端口进行控制处理，以此来决定是否让信息流通过，如息流通过，如图图4-54-5所示。所示。根据上图将可以创建一个典型的网络结构，包括根据上图将可以创建一个典型的网络结构，包括HTTPHTTP，DNSDNS，SMTPSMTP，内部网络通过包过滤防火墙将其分为服务器区域和子网络区，内部网络通过包过滤防火墙将其分为服务器区域和子网络区域，包括域，包括InternetInternet非信任网络。非信任网络。4.2 4.2 包过滤器包过滤器返回上一页4.3.1 4.3.1

20、 应用级网关的发展应用级网关的发展应用级网关防火墙安装在网络应用层上，它在应用层上对信息应用级网关防火墙安装在网络应用层上，它在应用层上对信息进行处理，是一种比包过滤防火墙更加安全的防火墙技术。防火墙进行处理，是一种比包过滤防火墙更加安全的防火墙技术。防火墙要支持应用程序，需要提供一个唯一的程序接受客户端应用程序的要支持应用程序，需要提供一个唯一的程序接受客户端应用程序的数据，并且作为中转站将数据发往目标服务器。应用级网关对客户数据，并且作为中转站将数据发往目标服务器。应用级网关对客户来说是一个服务器，对目标服务器来说是一个客户端，所以它扮演来说是一个服务器，对目标服务器来说是一个客户端，所以

21、它扮演着双重角色。着双重角色。4.3 4.3 应用级网关应用级网关下一页 返回应用级网关使用软件来转发和过滤特定的应用服务，如应用级网关使用软件来转发和过滤特定的应用服务，如TelnetTelnet，FTPFTP等服务的连接，这是一种代理服务。它只允许有代理的服务通过，等服务的连接，这是一种代理服务。它只允许有代理的服务通过，也就是说只有那些被认为也就是说只有那些被认为“可信赖的可信赖的”服务才被允许通过防火墙。服务才被允许通过防火墙。另外代理服务还可以过滤协议，如过滤另外代理服务还可以过滤协议，如过滤FTPFTP连接、拒绝使用连接、拒绝使用FTPFTP放置放置命令等。应用级网关具有登记、日记

22、、统计和报告功能，有很好的命令等。应用级网关具有登记、日记、统计和报告功能，有很好的审计功能。还可以具有严格的用户认证功能。审计功能。还可以具有严格的用户认证功能。4.3 4.3 应用级网关应用级网关下一页 返回上一页4.3.2 4.3.2 应用级网关的工作过程应用级网关的工作过程防火墙会对应用程序的数据进行校验以保证其格式可以接受，防火墙会对应用程序的数据进行校验以保证其格式可以接受，能够过滤协议，进行身份验证和记录信息。其工作过程是：当客户能够过滤协议，进行身份验证和记录信息。其工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，机需要使用服务器上的数据时，首先将数

23、据请求发给代理服务器，由代理服务器根据这一请求向服务器请求数据，然后再由代理服务由代理服务器根据这一请求向服务器请求数据，然后再由代理服务器将返回的数据转给客户机。器将返回的数据转给客户机。4.3 4.3 应用级网关应用级网关下一页 返回上一页4.3.3 4.3.3 应用级网关的优缺点应用级网关的优缺点应用级网关的安全性高，其不足是要为每种应用提供专门的代应用级网关的安全性高，其不足是要为每种应用提供专门的代理服务程序。理服务程序。应用级网关有较好的访问控制，是目前最安全的防火墙技术，应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏但实现困难，而且有的应

24、用级网关缺乏“透明度透明度”。在实际使用中，。在实际使用中，用户在受信任的网络上通过防火墙访问用户在受信任的网络上通过防火墙访问InternetInternet时，经常会发现存时，经常会发现存在延迟并且必须进行多次登录（在延迟并且必须进行多次登录（LoginLogin）才能访问）才能访问InternetInternet或或IntranetIntranet。4.3 4.3 应用级网关应用级网关下一页 返回上一页应用级网关也存在一些不足之处，首先它会使访问速度变慢，应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特因为它不允许用户直接访

25、问网络，而且应用级网关需要对每一个特定的定的InternetInternet服务安装相应的代理服务软件，用户不能使用未被服服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，尤其是，务器支持的服务，对每一类服务要使用特殊的客户端软件，尤其是，并非所有的并非所有的InternetInternet应用软件都可以使用代理服务器。应用软件都可以使用代理服务器。4.3 4.3 应用级网关应用级网关返回上一页电路级网关又称线路级网关，它工作在会话层。它在两个主机电路级网关又称线路级网关，它工作在会话层。它在两个主机首次建立首次建立TCPTCP连接时创立一个电子

26、屏障。它作为服务器接收外来请求，连接时创立一个电子屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则担当客户机角色、起代理服务转发请求；与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连接时的握手信息，如的作用。它监视两主机建立连接时的握手信息，如SYNSYN，ACKACK和序列和序列数据等是否合乎逻辑，判定该会话请求是否合法。一旦会话连接有数据等是否合乎逻辑，判定该会话请求是否合法。一旦会话连接有效后，网关仅复制、传递数据，而不进行过滤。效后，网关仅复制、传递数据，而不进行过滤。电路级网关用来监控受信任的客户或服务器与不受信任的主机电路级网关用来监控受信

27、任的客户或服务器与不受信任的主机间的间的TCPTCP握手信息，这样来决定该会话（握手信息，这样来决定该会话（SessionSession）是否合法，电路）是否合法，电路级网关是在级网关是在OSIOSI模型中会话层上来过滤数据包，这样比包过滤防火墙模型中会话层上来过滤数据包，这样比包过滤防火墙要高两层。要高两层。4.4 4.4 电路级网关电路级网关下一页 返回它的主要技术特点是不允许直接建立端对端的连接，而是将跨它的主要技术特点是不允许直接建立端对端的连接，而是将跨越防火墙的网络通信链路分为两段，通过代理服务器建立两个越防火墙的网络通信链路分为两段，通过代理服务器建立两个TCPTCP连连接，如接

28、，如图图4-74-7所示。所示。代理服务是运行在网络主机上的一个软件应用程序，它就像代理服务是运行在网络主机上的一个软件应用程序，它就像外部网和内部网之间的中间媒介，筛选进出的数据。外部网和内部网之间的中间媒介，筛选进出的数据。运行代理服务的网络主机称为代理服务器或网关。运行代理服务的网络主机称为代理服务器或网关。对于外部网络，代理服务器相当于内部网络的一台服务器，对于外部网络，代理服务器相当于内部网络的一台服务器，实际上，它只是内部网络的一台过滤设备。实际上，它只是内部网络的一台过滤设备。4.4 4.4 电路级网关电路级网关下一页 返回上一页 代理服务器的安全性除了表现在它可以隔断内部和外部

29、网络代理服务器的安全性除了表现在它可以隔断内部和外部网络的直接连接，还可以防止外部网络发现内部网络的地址。的直接连接，还可以防止外部网络发现内部网络的地址。4.4.1 4.4.1 电路级网关的工作过程电路级网关的工作过程电路级网关工作过程如下：电路级网关工作过程如下：假定有一用户正在试图和目的假定有一用户正在试图和目的URLURL进行连接。进行连接。此时，该用户所使用的客户应用程序不是为这个此时，该用户所使用的客户应用程序不是为这个URLURL发出的发出的DNSDNS请求，而是将请求发到地址已经被解析的电路级网关（如代理服请求，而是将请求发到地址已经被解析的电路级网关（如代理服务器）的接口上。

30、务器）的接口上。若有需要，电路级网关提示用户进行身份认证。若有需要，电路级网关提示用户进行身份认证。4.4 4.4 电路级网关电路级网关下一页 返回上一页 用户通过身份认证后，电路级网关为目的用户通过身份认证后，电路级网关为目的URLURL发出一个发出一个DNSDNS请请求，然后用自己的求，然后用自己的IPIP地址和目的地址和目的IPIP地址建立一个连接。地址建立一个连接。电路级网关然后把目的电路级网关然后把目的URLURL服务器的应答转给用户。服务器的应答转给用户。4.4.2 4.4.2 电路级网关的缺点电路级网关的缺点大多数的电路级网关都是基于大多数的电路级网关都是基于TCPTCP端口配置

31、的，不是对每一个数端口配置的，不是对每一个数据包进行检测，所以会出现一些漏洞。通常来说，配置了电路级网据包进行检测，所以会出现一些漏洞。通常来说，配置了电路级网关技术后向内的连接都是禁止的。所以，有时访问资源的空间和范关技术后向内的连接都是禁止的。所以，有时访问资源的空间和范围是有限的。围是有限的。4.4 4.4 电路级网关电路级网关返回上一页状态包检测防火墙是最新一代的防火墙技术，一般称作第三代状态包检测防火墙是最新一代的防火墙技术，一般称作第三代防火墙。这类防火墙检查防火墙。这类防火墙检查IPIP包的所有部分来判定是允许还是拒绝请包的所有部分来判定是允许还是拒绝请求，是目前最先进的网络层防

32、火墙。状态包检测技术检查所有的求，是目前最先进的网络层防火墙。状态包检测技术检查所有的OSIOSI层，因此它提供的安全程度远高于包过滤防火墙。层，因此它提供的安全程度远高于包过滤防火墙。使用状态包检测（使用状态包检测（StatefullStatefull Packet Inspection Packet Inspection，SPISPI）的防）的防火墙对每一个通过它的数据包都要进行检查，确定这些数据包是否火墙对每一个通过它的数据包都要进行检查，确定这些数据包是否属于一个已经通过防火墙并且正在进行连接的会话，或者基于一组属于一个已经通过防火墙并且正在进行连接的会话，或者基于一组与包过滤规则相似

33、的规则集对数据包进行处理。与包过滤规则相似的规则集对数据包进行处理。4.5 4.5 状态包检测（状态包检测（SPISPI）下一页 返回4.5.1 SPI4.5.1 SPI防火墙的工作过程防火墙的工作过程状态检测包的逻辑流程如状态检测包的逻辑流程如图图4-84-8所示。所示。从图从图4-84-8中可以看出状态检测技术防火墙的工作原理，数据包到中可以看出状态检测技术防火墙的工作原理，数据包到达防火墙的接口，防火墙判断数据是不是已经在连接，如果是在连达防火墙的接口，防火墙判断数据是不是已经在连接，如果是在连接就对数据包进行特征检测，并判断策略是否让防火墙内容通过，接就对数据包进行特征检测，并判断策略

34、是否让防火墙内容通过，如果可以通过的话就转发到目的端口并记录日志，否则就丢掉数据如果可以通过的话就转发到目的端口并记录日志，否则就丢掉数据包。这是一个状态检测防火墙工作的过程。包。这是一个状态检测防火墙工作的过程。4.5 4.5 状态包检测（状态包检测（SPISPI）下一页 返回上一页具体描述如下：具体描述如下：SPISPI防火墙检查数据包是否是一个已经建立并且正在使用的防火墙检查数据包是否是一个已经建立并且正在使用的通信流的一部分。通信流的一部分。SPISPI防火墙要维护一张连接表，其中包括源防火墙要维护一张连接表，其中包括源IPIP地址、地址、目的目的IPIP地址、源端口号和目的端口号等信

35、息，通过查询正在使用的地址、源端口号和目的端口号等信息，通过查询正在使用的连接，判断该数据包是否与表中某个连接相匹配。连接，判断该数据包是否与表中某个连接相匹配。如果防火墙包含有数据包使用的协议，就查看数据包的数据如果防火墙包含有数据包使用的协议，就查看数据包的数据部分，根据其内容决定是否转发该数据包，防火墙对数据包检查的部分，根据其内容决定是否转发该数据包，防火墙对数据包检查的内容取决于数据包所使用的协议。内容取决于数据包所使用的协议。如果数据包和连接表的各项都不匹配，防火墙就会检查数据如果数据包和连接表的各项都不匹配，防火墙就会检查数据包是否与其所配置的规则集匹配。包是否与其所配置的规则集

36、匹配。4.5 4.5 状态包检测（状态包检测（SPISPI）下一页 返回上一页 当数据包通过源当数据包通过源IPIP地址、源端口号、目的地址、源端口号、目的IPIP地址、目的端口地址、目的端口号、使用的协议和数据内容检查后，防火墙就转发该数据包，并在号、使用的协议和数据内容检查后，防火墙就转发该数据包，并在其连接表中为此次会话创建或者更新一个连接项。防火墙使用该连其连接表中为此次会话创建或者更新一个连接项。防火墙使用该连接项对返回的数据包进行检查。接项对返回的数据包进行检查。防火墙通常检测防火墙通常检测TCPTCP包中的包中的FINFIN位，或者使用计时器来决定何位，或者使用计时器来决定何时从

37、连接表中删除某连接项。时从连接表中删除某连接项。4.5 4.5 状态包检测（状态包检测（SPISPI）下一页 返回上一页4.5.2 SPI4.5.2 SPI在安全上的优点在安全上的优点SPISPI防火墙具有非常好的安全特性，它使用了一个在网关上执行防火墙具有非常好的安全特性，它使用了一个在网关上执行网络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网网络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策实施监测，

38、抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与前两种防火墙不同，当用户访问请求到达现应用和服务的扩充。与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。密等处理动作。4.5 4.5 状态包检测（状态包检测（SPISPI）下一页

39、 返回上一页这种防火墙的优点是一旦某个访问违反安全规定，就会拒绝该这种防火墙的优点是一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态做日志记录。状态监测防火墙的另一个优点访问，并报告有关状态做日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用（是它会监测无连接状态的远程过程调用（RPCRPC）和用户数据报（）和用户数据报（UDPUDP）之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的。但是它会降低网络的速度，而且配这种防火墙无疑是非常坚固的。但是它会降低网络的速度，而且配置

40、也比较复杂。当然，有关防火墙厂商已注意到这一问题，有些防置也比较复杂。当然，有关防火墙厂商已注意到这一问题，有些防火墙产品的安全策略规则是通过面向对象的图形用户界面（火墙产品的安全策略规则是通过面向对象的图形用户界面（GUIGUI）来）来定义以简化配置过程。定义以简化配置过程。4.5 4.5 状态包检测（状态包检测（SPISPI）返回上一页4.6.1 4.6.1 基于网络主机的防火墙基于网络主机的防火墙防火墙销售商在现有的服务器硬件平台上使用两种方法来部署防火墙销售商在现有的服务器硬件平台上使用两种方法来部署防火墙软件。从严格意义上讲，第一种部署方法只是一种应用程序。防火墙软件。从严格意义上讲

41、，第一种部署方法只是一种应用程序。这种部署防火墙的方法以用户现有的平台为基础。典型的部署方法这种部署防火墙的方法以用户现有的平台为基础。典型的部署方法就是防火墙作为一个在商业操作系统之上运行的应用程序。虽然大就是防火墙作为一个在商业操作系统之上运行的应用程序。虽然大多数的操作系统都至少支持一个防火墙应用程序，但最常见的支持多数的操作系统都至少支持一个防火墙应用程序，但最常见的支持防火墙的操作系统还是防火墙的操作系统还是Windows NT/2000Windows NT/2000，Sun SolarisSun Solaris和和HPUXHPUX。这。这几种操作系统都支持几种操作系统都支持4 4种

42、技术：包过滤、应用级网关、电路级网关、种技术：包过滤、应用级网关、电路级网关、状态包检查（如本章前面所述）。状态包检查（如本章前面所述）。4.6 4.6 实施方式实施方式下一页 返回在操作系统上运行防火墙的先决条件就是要保证操作系统本身在操作系统上运行防火墙的先决条件就是要保证操作系统本身是安全的。这一过程叫做操作系统的是安全的。这一过程叫做操作系统的“加固加固”，它能够对任何暴露，它能够对任何暴露于不受信任网络前的系统进行于不受信任网络前的系统进行“加固加固”。虽然对每一种操作系统进。虽然对每一种操作系统进行行“加固加固”超过了本书的讲述范围，但是在这个话题上还是有很多超过了本书的讲述范围，

43、但是在这个话题上还是有很多书可以参考的。正如本书前面所述，在所有情况下，防火墙主机都书可以参考的。正如本书前面所述，在所有情况下，防火墙主机都应该遵循公司的标准和安全策略。这些文件包括对所有资源都有效应该遵循公司的标准和安全策略。这些文件包括对所有资源都有效的安全原则（例如最小优先级的概念）。的安全原则（例如最小优先级的概念）。4.6 4.6 实施方式实施方式下一页 返回上一页4.6.2 4.6.2 基于路由器的防火墙基于路由器的防火墙路由器通常可以再细分成为路由器通常可以再细分成为 Internet Internet 连接设计的低端设备和连接设计的低端设备和高端传统路由器。低端路由器提供了阻

44、止和允许特定的高端传统路由器。低端路由器提供了阻止和允许特定的 IP IP 地址和地址和端口号的基本防火墙功能，以及使用端口号的基本防火墙功能，以及使用 NAT NAT 来隐藏内部来隐藏内部 IP IP 地址。它地址。它们经常提供防火墙功能作为阻止来自们经常提供防火墙功能作为阻止来自InternetInternet入侵的标准和最佳选入侵的标准和最佳选择，虽然它们不需要配置，但是进行进一步配置可以优化它们。高择，虽然它们不需要配置，但是进行进一步配置可以优化它们。高端路由器可以配置为通过阻挡更显而易见的入侵（如端路由器可以配置为通过阻挡更显而易见的入侵（如PingPing）以及使）以及使用用 A

45、CL ACL 实现其他实现其他IPIP地址和端口限制来限制访问。其他防火墙功能地址和端口限制来限制访问。其他防火墙功能（在某些路由器中提供监控状态的数据包筛选）可能可用。（在某些路由器中提供监控状态的数据包筛选）可能可用。4.6 4.6 实施方式实施方式下一页 返回上一页在高端路由器中，防火墙功能与硬件防火墙设备的功能类似，在高端路由器中，防火墙功能与硬件防火墙设备的功能类似，但是成本更低，而且吞吐量也更低。但是成本更低，而且吞吐量也更低。可以说基于路由器的防火墙技术只是网络安全的一种应急措施，可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。

46、但是，几乎在所用这种权宜之计去对付黑客的攻击是十分危险的。但是，几乎在所有的安全体系结构中，路由器都是位于安全防护的第一线，而且经有的安全体系结构中，路由器都是位于安全防护的第一线，而且经常可以代替防火墙使用，尤其是在小规模网络中。小规模网络安装常可以代替防火墙使用，尤其是在小规模网络中。小规模网络安装防火墙的原因就是价格问题，由于网络规模小，所以要设置一台独防火墙的原因就是价格问题，由于网络规模小，所以要设置一台独立的安全设备并且对其进行独立地管理显得很不经济。立的安全设备并且对其进行独立地管理显得很不经济。4.6 4.6 实施方式实施方式下一页 返回上一页4.6.3 4.6.3 基于单个主

47、机的防火墙基于单个主机的防火墙这种防火墙通常是安装在单个系统上的一种软件，它只保护这这种防火墙通常是安装在单个系统上的一种软件，它只保护这个系统不受侵害。如果只有一两台主机连接到不受信任的网络（如个系统不受侵害。如果只有一两台主机连接到不受信任的网络（如InternetInternet）上的话，那么在主机上安装这种防火墙就很经济。一般）上的话，那么在主机上安装这种防火墙就很经济。一般说来，基于单个主机的防火墙适用于规模很小的办公室或者家庭说来，基于单个主机的防火墙适用于规模很小的办公室或者家庭（SOHOSOHO），在这些地方一般只有一到五台主机。），在这些地方一般只有一到五台主机。在一个公司中

48、，如果有成百上千或者成千上万的主机需要保护，在一个公司中，如果有成百上千或者成千上万的主机需要保护，这种基于单个主机的防火墙就不能提供任何集中式的管理和测量。这种基于单个主机的防火墙就不能提供任何集中式的管理和测量。在家庭网络中，最终用户所使用的基于单个主机的防火墙现在正由在家庭网络中，最终用户所使用的基于单个主机的防火墙现在正由一些公司进行标准化。一些公司进行标准化。4.6 4.6 实施方式实施方式下一页 返回上一页4.6.4 4.6.4 硬件防火墙硬件防火墙硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少功能，能减少C

49、PUCPU的负担，使路由更稳定。通常，硬件防火墙的性能的负担，使路由更稳定。通常，硬件防火墙的性能要强于软件防火墙，并且连接、使用比较方便。要强于软件防火墙，并且连接、使用比较方便。硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。从功能上看，硬件防火墙内建安全软件，使用专属或强火墙软件。从功能上看，硬件防火墙内建安全软件，使用专属或强化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，可以达到线性。火墙效率高，解决了

50、防火墙效率、性能之间的矛盾，可以达到线性。4.6 4.6 实施方式实施方式下一页 返回上一页一般来说，硬件防火墙的例行检查主要针对以下一般来说，硬件防火墙的例行检查主要针对以下6 6方面的内容。方面的内容。1.1.硬件防火墙的配置文件硬件防火墙的配置文件不管在安装硬件防火墙的时候考虑得有多么的全面和严密，一不管在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况随时都在发生改变。硬旦硬件防火墙投入到实际使用环境中，情况随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。