网络安全防火墙基础

　　第二章 防火墙基础
　　
　　2.1 网络安全与防火墙概述
　　
　　2.1.1 网络安全
　　
　　Internet 技术越来越影响着社会生活的方方面面，提高了社会的信息化。用户享受着互联网信息技术带来种种便利，同时也被众多的网络安全问题所困扰。随着各种各样的病毒和恶意攻击的不断涌现，黑客开始大肆攻击各大网站，互联网技术将会面临的挑战也是前所未有的。网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、泄露和更改等，系统可以连续、可靠、正常地运行，而且网络服务不中断[3].目前为止主要遇到的网络安全问题如下：
　　
　　（1）信息泄露、信息污染和信息失控。
　　
　　（2）由于网络信息发达和消息传播速度快的特点，有些不法组织利用网络传播手段进行某些违法活动来煽动群众，做出对整个社会和人们产生危害的事情。
　　
　　（3）信息安全涉及方面较广和使用网络的人数众多，对网络实行统一的管理和具体政策的落实比较困难，而且现在关于网络方面的法律法规较为缺乏，对相应违法行为的处罚较少。
　　
　　（4）随着全社会大多数重要基础设施的高度信息化，像银行系统、国家安全系统、紧急救援设备系统、教育系统等关乎国计民生的重要设施面临着更大的威胁和挑战。
　　
　　据思科 2014 年度安全报告[4]显示，面临如下几个严重破坏并急需解决的有关安全的关键问题：1）攻击面扩大：当前的攻击面非常广，可使恶意攻击实施者随意破坏庞大而脆弱的安全生态系统。攻击面呈现指数级增长的现象，并且仍在不断扩大；2）攻击模式扩散且手法娴熟：这些攻击极难察觉，长时间留在网络内，并积累网络资源，以便在其他地方发动攻击；3）威胁和解决方案异常复杂，当今网络已超越传统界限，持续演进，并产生新攻击载体包括移动设备、具备联网功能的移动应用程序、管理程序、社交媒体、网络浏览器、家用电脑和汽车。时间点解决方案难以应付恶意攻击实施者使用的种种技术，这使得负责安全保障的相关团队更加难以监控和管理信息安全。这些问题共同创建和加剧安全漏洞，可使恶意攻击实施者在使用者修补安全漏洞之前发动攻击。并且威胁警报日益增多，思科 IntelliShield? 报告显示，漏洞和威胁在 2013 年稳步增多，截止 2013 年 10 月，全年累计警报总数相比 2012 年增长 14%（图 2.1）。2013 年 10 月报告的警报总数为 2010 年 5 月 IntelliShield 开始记录以来的最高月份。技术供应商和研究机构发现越来越多的新漏洞（图 2.2），导致其更加注重使用高安全性开发生命周期，以及增强自身产品的安全性。新漏洞数的增多亦可能预示供应商会检查其产品代码，修复安全漏洞，然后再发布产品，并且防止安全漏洞被黑客利用。
　　
　　1:CWE-119:缓冲区错误
　　
　　2:其他 Intellishield 警报（活动、问题、CRR、AMB）
　　
　　3:CWE-399:资源管理错误
　　
　　4:CWE-20:输入验证
　　
　　5:CWE-264:权限、特权和访问控制
　　
　　6:CWE-200:信息泄露/披漏
　　
　　7:CWE-79:跨站点脚本（XSS）
　　
　　8:CWE-94:代码注入
　　
　　9:其他
　　
　　解决这些网络安全问题，目前来看，物理设备上的安全措施、逻辑设置上的安全措施和各种政策规定上的安全措施都是必不可少，而且显得尤为重要。只是利用添加一些物理设备或者增加某些政策规定的方式来预防网络犯罪是非常困难的，而且难度极大[5].因此，像防火墙技术、加密技术、安全协议等安全技术就显得尤为重要。
　　
　　2.1.2 防火墙概述
　　
　　防火墙是内部网络与外部网络之间的一道安全屏障[1],在网络安全保护方面有着重大作用。防火墙位于内部可信网络和外部不可信网络的边界位置，隔离可信网络与不可信网络之间的通信，控制着数据流的进出，控制双方通信是否安全正常的进行[6],根据指定的安全策略严格控制筛选数据包的进出，对于不安全地址发送的数据包直接丢弃，像垃圾邮件、广告软件、木马程序、病毒入侵等直接拒绝，从而保护主机和网络环境的安全。防火墙组成的安全防范系统结构图如图 2.3 所示。
　　
　　防火墙位于外部网络与内部计算机群体之间，限制外部网络的使用者随意访问内部主机，并设置内部计算机使用者对外部网络或站点的访问权限[7],它是网络内外通信的栅栏，共同组成一个安全可靠的系统。防火墙是从逻辑上解决网络安全问题的重要技术， 它拦截网络通信的数据包，设置特定规则和日志记录等多个方面，加强网络的安全。
　　
　　信息安全性的保护是至关重要的，除此之外，对进入系统的数据入侵检测，系统遇到特殊突发事件反应，系统被外部入侵后受到破坏的快速恢复能力[8]等这些同样是不可忽视。这些也是检查一个防火墙是否能够达到使用者满意的重要指标，是否是一个适合使用并能起到防护作用的软件系统。
　　
　　防火墙系统需要具备功能[10]如下：
　　
　　（1）访问控制功能，阻止不安全的站点访问主机，对主机访问网络的权限限制。
　　
　　（2）控制访问的内容，拦截所有进入/进出防火墙的数据流，根据设定的规则过滤通信数据来确保数据交互的安全。
　　
　　（3）日志功能，防火墙日志功能主要是记录访问本机使用的协议、访问时间、地址、端口号等详细信息，还有防火墙发送/接收的封包是放行还是拒绝等，方便对访问主机的日志信息的查询。
　　
　　（4）抗免疫攻击能力，防火墙首先要确保自身的安全，才能保证整个系统软件不会被外部攻陷，达到保护主机的安全。
　　
　　2.2 防火墙的分类
　　
　　可根据防范的方式和侧重点的不同将防火墙分为三类：其一是包过滤防火墙，其二是应用级网关防火墙，其三是状态检测防火墙[11].状态检测防火墙属于包过滤防火墙的一种，但是又有些不同之处。这三种防火墙在实现原理、优缺点上存在差异。
　　
　　2.2.1 包过滤
　　
　　包过滤防火墙是防火墙的一种基本形式，其安全过滤技术简单有效，根据设置的拦截点拦截所有通过的数据包，对数据包进行解析处理，并根据设定的规则，对拦截的数据包检查，有选择的放行或直接拒绝，限制网络内外之间的通信。
　　
　　包过滤结构最大的优点[12]就是部署容易，应用透明，数据包的过滤不要求过滤器任何的配置，而且速度快、效率高，只是截获数据包的包头信息，如源地址和目的地址等。但是，包过滤技术也存在缺点，对网络通信的的控制是片面的，它只能过滤特定应用程序服务，对这些特定通信服务的上下文和环境不能完全控制，安全性较差，只是对数据包的头部信息进行检查分析。包过滤技术只是简单的安全防护，对待那些恶意的甚至较为高级的攻击就会变得束手无策了。例如，当一个数据包被拦截后，解析数据包头部信息与设定的规则信息比较。
　　
　　假如 23 号端口发送的数据包被丢弃，80 号端口发送的数据包被放行，数据包头部信息的端口号是 23 号的，则丢弃，端口号是 80 号的，则放行，如图 2.4 所示。
　　
　　综上所述，包过滤技术部署容易、效率高，但是安全性低，过滤规则设置困难，不适合使用此技术设计防火墙。
　　
　　2.2.2 应用层网关
　　
　　应用层网关也称为代理防火墙（Application Gateway）。应用层网关通过代理技术参与到一个 TCP 连接的全过程[13].应用层网关防火墙检查应用层的数据包，收到 TCP 连接请求后，首先通过该应用程序的代理 Proxy 处理该连接，处理之后才会发送连接请求给服务器，服务器处理之后会把应答发送给代理，代理处理之后把最终对该请求的应答发送给客户端，起到了中转站的作用。应用网关防火墙结束了 C/S 直接进行通信的模式，位于客户端和服务器之间，双方的通信需要经过代理来完成，每个代理对应一个服务程序。如图 2.5 所示。
　　
　　应用层网关的优点是对支持的协议提供全面的安全分析，不是简单数据包头部的检查，不仅可以过滤数据包的头部信息，还对数据包的数据内容进行过滤，如可以过滤文本、图像，扫描到病毒等。代理防火墙具有协议记录的功能，通过生成的日志和记录，识别攻击方法和备份现有记录，可以更加方便的对数据内容进行控制。但是，代理防火墙的缺点就是安全性增加的代价是性能降低，每个会话需要建立两个连接的花费是非常大的，导致代理的性能急剧下降，代理速度比包过滤防火墙慢[28],而且有的应用是不需要代理的，这样就不能达到对数据包进行全面的安全分析的目的，这个应用是否安全，代理也是不得而知的和无法控制的。
　　
　　2.2.3 状态检测
　　
　　状态检测防火墙是对包过滤防火墙功能的扩展，被称为第三代防火墙技术，对网络通信的每层都检测。它能够检测 IP 地址、端口号、协议类型等，对通过的数据包进行过滤检测。
　　
　　状态检测防火墙利用某种算法过滤进出数据包，而不需要与应用程序是代理关系，这样过滤数据效率会更高。而且该防火墙过滤技术支持多种协议类型和应用程序，可以较为简单的对应用程序和服务进行扩充。包过滤防火墙检测的数据包都是孤立的，一个数据包一个数据包的进行检测，不考虑数据包之间的联系，不需要跟踪数据包状态。状态检测防火墙技术弥补了包过滤技术的不足之处，不仅像包过滤防火墙一样可以检查单个数据包信息，通过的数据包进行过滤，还可以将数据包的上下文联系起来进行检测与分析。防火墙通过记录有用信息帮助跟踪数据包的状态。状态检测防火墙针对网络层和传输层数据包进行检测，应用代理服务主要是针对应用层的行为进行约束，如图 2.6 所示。
　　
　　状态检测防火墙保留了传统包过滤技术的优点，拦截所有通过的数据包，安全性极高，而且这些截获的数据包的处理都是在系统底层，处理效率较高，因此防火墙的执行效率高，性能好。除此之外，状态检测防火墙还具有服务和应用扩展性好等优点。但是，它的缺点也是无法回避的，无法彻底检测出数据包中的大量垃圾邮件、恶意软件、广告程序等，还存在网络连接延迟现象。
　　
　　2.3 个人防火墙概述
　　
　　无论工作和生活，个人都离不开网络世界，个人计算机通过直接接入互联网进行工作和交流带来极大的便利并节约了时间成本。但是，将会导致个人计算机很容易受到攻击和外部侵入，比如大量垃圾邮件、有病毒的站点等。个人计算机接入网络的安全性是非常重要的，否则一些个人信息或机密文件都会被破坏甚至被盗窃，因此针对个人计算机的网络安全软件个人防火墙也就应运而生了。而且个人防火墙对保护主机的安全起到了重要作用，是个人计算机的必需软件设备。
　　
　　个人防火墙是一个安全防护软件系统，仅仅运行在一台个人计算机上，保护着主机的安全。个人防火墙与企业专用防火墙存在着不同，企业专用防火墙大多是硬件设备，高效的保护着整个企业网络内的多台主机和交换机的安全，往往不是一台防火墙在起作用。在部署位置和防护范围的大小，个人防火墙和企业用防火墙是不同的。但是，两者在对通过防火墙的数据包的过滤，并根据设定的过滤规则检查数据包的功能是相同的。随机 Internet 技术的快速发展，网络攻击的手段和攻击方式也在不断更新变化，木马程序是最常见的恶意软件，紧随其后的便是广告软件，除此之外还有蠕虫、病毒、下载程序、植入程序等也是攻击性较大的恶意软件程序。个人防火墙能够检测和保护个人计算机不被这些恶意软件攻击。
　　
　　个人防火墙是非常重要的一种防火墙类型，阻止电脑信息被外部入侵破坏和攻击，是一个软件系统，不需要硬件资源支持实现，占用系统资源较少，安装启用之后不会对个人计算机系统的性能产生很大影响。目前，一些个人防火墙的获得是免费的，如现在比较流行的有瑞星个人防火墙，不像硬件企业防火墙价格昂贵，比如思科和深信服等硬件防火墙。个人防火墙的配置使用非常简单，即使没有网络安全方面的知识也可以容易的学会如何配置使用，操作简单。但是，个人防火墙存在某些方面的不足，个人防火墙针对单台主机，对于集中管理非常困难，需要在每个软件上进行配置。还有一个主要的缺点便是只有一个物理接口针对公共网络，而真正的防火墙需要监视并控制两个以上的网络接口[14].个人防火墙主要实现的功能是网络数据包的处理分析、安全规则的设置、日志记录查询。
　　
　　其实现原理是根据拦截函数拦截所有网络通信的数据包，对发送/接收的数据包根据协议类型进行数据包的解析和相关认证，在根据设定的过滤规则过滤掉存在危险的数据包信息，把发送数据包的地址标记为危险地址，当有同一地址数据包再次发送到本机时，则直接拒绝，阻止危险站点或应用程序与本机之间的通信。
　　
　　个人防火墙主要包括防火墙规则库、防火墙进程、驱动程序。驱动程序主要工作在Windows 操作系统下 Ring0 层，防火墙过滤技术的关键设置在内核态实现，截获网络数据封包，对网络数据包进行解析处理等。防火墙进程工作于系统 Ring3 层，只有进程启动驱动程序才可执行，防火墙才能起到保护主机安全的作用，倘若该进程没有执行，防火墙无效，设置的各种规则和驱动程序都将不起作用。防火墙规则库主要对进程和驱动程序执行规则进行管理，是防火墙重要组成部分。只有个人防火墙的这些结构都正常运行，它才能更好地发挥防范攻击的作用。个人防火墙的通用结构如图 2.7 所示。
　　
　　2.4 本章小结
　　
　　本章主要介绍网络安全、防火墙概述、防火墙分类、个人防火墙技术，防火墙的分类主要分为三种：包过滤防火墙、应用层网关和状态检测防火墙，三种防火墙的实现原理不同，对解决安全问题方面优点和缺点进行对比分析。