--- 第 5 章 防火墙技术

网络信息安全

电子信息工程学院计算机科学与技术系

第 5 章 防火墙技术

防火墙及相关概念包过滤与代理防火墙的体系结构分布式防火墙与嵌入式防火墙

防火墙的定义

传统的防火墙概念传统的防火墙概念概念： 防火墙被设计用来防止火从大厦的一部分传播到另一部分

5.1 防火墙概述

5.1 防火墙概述

1 、 IT 防火墙的概念 防火墙（ Firewall ）是一个由软件和硬件设备组合而成、架设在内部网和外部网之间，它能挡住来自外部网络的攻击和入侵，是内部网的安全屏障，保障着内部网络的安全。

1 、防火墙的概念

2. 防火墙安全策略

防火墙采取的安全控制准则，有下面两种： （ 1 ）除非明确允许，否则就禁止

堵塞了两个网络之间的所有数据传输，除了那些被明确允许的服务和应用程序。

需要逐个定义每一个允许的服务和应用程序，而任何一个可能成为不安全的服务和应用程序都不能允许使用。

这是一个最安全的方法。一般在防火墙配置中都会使用这种策略。

3. 防火墙安全策略

（ 2 ）除非明确禁止，否则就允许 这种策略允许两个网络之间所有数据传输，除非那些被

明确禁止的服务和应用程序。 需要逐个定义每一个不信任或有潜在危害的服务和应用

程序，他们都在拒绝之列。 这种策略可能存在严重的安全隐患，实际中用得较少。

总之，从安全性的角度考虑，第一种准则更可取一些，而从灵活性和使用方便性的角度考虑，第二种准则更适合。

5.1.2 防火墙的作用

从总体上看，防火墙应具有以下基本功能：可以限制未授权用户进入内部网络，过滤掉不安全服务和

非法用户；防止入侵者接近内部网络的防御设施，对网络攻击进行检

测和告警；限制内部用户访问特殊站点；记录通过防火墙的信息内容和活动，为监视 Internet 安全

提供方便。

5.2 防火墙技术分类 防火墙的分类

根据工作在网络中作用层的不同，防火墙可以分为： 包过滤防火墙（网络层防火墙） 代理服务器 （应用层防火墙）

包过滤防火墙（网络层防火墙） 数据包的概念及其结构： 数据包过滤是防火墙中最基本、最简单的一种； 该类防火墙运行在 TCP/IP 协议的网络层上，它对进出内部

网络的所有数据包进行检查，或者放行，或者丢弃，取决于事先建立的一套过滤规则。

所以称为包过滤防火墙。

包过滤防火墙

5.2 防火墙技术分类

代理服务器（应用层防火墙） 根据使用的应用程序来进行接入控制。

◊ 例如，可以只允许访问万维网的应用通过，而阻止 FTP 应用的通过。

其基本工作过程是：◊ 当外网用户需要使用内网服务器上的数据时，首先将这

些请求发送给代理服务器；◊ 代理服务器根据这些请求，向服务器索取数据；◊ 服务器响应后，再由代理服务器将数据转发给外网用户。

同样，当内网用户需要访问时，代理服务器也发挥了中间转接的作用。

应用代理防火墙

Telnet

FTP

SMTP

HTTP

外部主机

外部连接

应用级网关

内部连接

内部主机

5.2.1 包过滤技术1 、包过滤（ Packet Filtering ）技术包过滤技术的工作原理：

包过滤防火墙基于一定的过滤规则，通过检测、分析所有流经的数据包头信息以及数据包传输方向来判断是否允许通过：◊ 如果数据包信息与用户制定的通行规则相匹配，防火墙就允许其通过，并通过路由转发；

◊ 如果按照规则属于不该放行的，防火墙就阻止该数据包通行；

◊ 不与任何过滤规则匹配的，防火墙就丢弃该数据包。◊ 包过滤规则：根据源、目标 IP地址，协议类型，源、目标端口等来制定

安全网域Host C Host D

UDPBlockHost CHost B

TCPPassHost CHost A

Destination ProtocolPermitSource

数据

包

数据

包

数据包数据包

数据包

查找对应的控制策略

拆开数据包

根据策略决定如何处理该数据包

控制策略

数据包

过滤依据主要是 TCP/IP报头里面的信息，不能对应用层数据进行处

理

数据TCP 报头

IP 报头

分组过滤判断信息

包过滤防火墙工作原理图

包过滤技术的工作过程：过滤规则通常以表格的形式表示，并以某种次序排列；包过滤防火墙读取包头信息，与信息过滤规则比较，顺 序检查规则表中每一条规则，直至发现包中的信息与某 条规则相符。如果有一条规则不允许发送某个包，路由器就将它丢弃； 如果有一条规则允许发送某个包，路由器就将它发送；如果没有任何一条规则符合，路由器就会使用默认规则， 一般情况下，默认规则就是禁止该包通过。

包过滤防火墙与守卫有些相似，当装载有包的运输卡车到达时，“包过滤”守卫快速的察看包的住户地址是否正确，检查卡车的标识 (证件 )以确保它也是正确的，接着送卡车通过关卡传递包。

4 ．包过滤防火墙的发展阶段

第一代：静态包过滤防火墙 根据数据包头进行过滤

第二代：动态包过滤（ Dynamic Packet Filter ）防火墙 动态包过滤防火墙只在用户请求下打开端口，并在服务完毕后关闭这个端口，这样就避免了普通包过滤防火墙那种因静态地开放端口，而受到攻击的可能性。

第三代：全状态检测（ Stateful Inspection ）防火墙 状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表；

4 ．包过滤防火墙的发展阶段

第四代：深度包检测（ Deep Packet Inspection ）防火墙 它融合了入侵检测技术和攻击防范的功能。 功能更强大、安全性更强，可以抵御目前常见的网络

攻击手段，如 IP地址欺骗、特洛伊木马攻击、 Internet蠕虫、口令探寻攻击、邮件攻击等

5.2.2 代理技术

代理服务器 代理服务器运行在内、外网络之间，对内外网起到了隔离

的作用，使得内外网不能直接互访。 运行了一个代理服务程序，代表外网用户向内网服务器进

行连接请求；也代表内网用户向外网服务器进行连接请求。 它在应用层检查每一个包从而提供足够的应用级连接信息。 应用级代理防火墙能很容易看见每一个连接的细节从而实现各种安全策略。例如，这种防火墙很容易识别重要的应用程序命令，像 FTP 的“put”上传请求和“ get”下载请求。

应用代理示意图

手动更新

•可以在诺顿杀毒软件窗口中点击“ Live Update”命令按钮，启动手动更新•点击“下一步”，只要计算机连接到Internet并且有新的病毒库，计算机便会进行更新 .

安全网域

Host C

Host D

数据

包

数据

包

数据包

数据包 数据包

查找对应的控制策略

拆开数据包

根据策略决定如何处理该数据包

数据包

应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过

控制策略

数据TCP报头

IP报头分组过滤判断信息

应用代理判断信息

应用代理防火墙原理图

5.2.3 防火墙技术的发展趋势

1．功能融合 与 VPN 技术融合。 与入侵检测技术和攻击防御技术的融合 提供对应用层攻击行为的检测和对应用层内容的过滤功能。

提供防病毒的功能。

2．集成化管理 3．分布式体系结构

5.3 防火墙体系结构

（ 1 ）双重宿主主机结构；（ 2 ）被屏蔽主机结构；（ 3 ）被屏蔽子网结构。

5.3.1. 双重宿主主机结构

双宿主机（ Dual-homed host ），又称堡垒主机（ Bastion host ），是一台至少配有两个网络接口的主机；双宿主机上运行着防火墙软件，通常是代理服务器。过滤规则设在双宿主机上。 它可以充当与这些接口相连的网络之间的路由器，它能够从一个网络接口到另一个网络接口转发 IP 数据包；一般情况下双宿主机的路由功能是被禁止的，这样可以隔离内部网络与外部网络之间的直接通信，从而达到保护内部网络的作用。

双重宿主主机

8.3.2 屏蔽主机结构

屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器，如图 5-3 所示，

屏蔽路由器连接外部网络，堡垒主机安装在内部网络上。通常在路由器上设立过滤规则，并使这个堡垒主机成为

外部网络唯一可直接到达的主机。入侵者要想入侵内部网络，必须过屏蔽路由器和堡垒主机两道屏障，所以屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。

屏蔽主机结构

5.3.3 屏蔽子网结构

屏蔽子网结构在内网和外网之间建立一个被隔离的子网，这个子网把内网与外网分开；

屏蔽子网结构包含外部和内部两个路由器。两个屏蔽路由器放在子网的两端，在子网内构成一个安全性区域，通常叫做“非军事区”DMZ。

两个路由器一个控制内网的数据流，另一个控制外网的数据流，内网与外网均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。

3 ．屏蔽子网结构

屏蔽子网结构

5.34 防火墙的组合结构

建造防火墙时，一般很少采用单一的结构，通常是　多种结构的组合。一般有以下几种形式：

使用多堡垒主机； 合并内部路由器与外部路由器； 合并堡垒主机与外部路由器； 合并堡垒主机与内部路由器； 使用多台内部路由器； 使用多台外部路由器； 使用多个周边网络； 使用双重宿主主机与屏蔽子网。

8.4 内部防火墙

8.4.1 分布式防火墙（ Distributed Firewall ）8.4.2 嵌入式防火墙（ Embedded Firewall ）8.4.3 个人防火墙

8.4 内部防火墙

" 边界防火墙（ Perimeter Firewall ） "　传统的防火墙设置在网络边界，处于内内与外部之间。　边界防火墙的不足

给网络带来安全威胁的不仅是外网，更多的是来自内网。 边界防火墙无法防止内网用户对内网的攻击，对内网实现

有效的保护。新型的防火墙技术　分布式防火墙（ Distributed Firewalls）技术

分布式防火墙的设计理念边界防火墙

所有边界防火墙，都是基于一个共同的假设：◊ 防火墙把内网一端的用户看成是可信任的；◊ 外网一端的用户都被作为潜在的攻击者来看待。

分布式防火墙 分布式防火墙的设计理念：

◊主机以外的任何用户都是不可信任的，对来自他们的访问都需要进行过滤，无论是来自 Internet ，还是来自内部网络。

分布式防火墙是以主机为保护对象，对主机进行保护的方式如同边界防火墙对整个内部网络进行保护一样。

8.4.1 分布式防火墙

分布式防火墙是在边界防火墙的基础上开发的，是一种全新的防火墙概念，是比较完善的一种防火墙技术；

目前分布式防火墙主要以软件形式出现。" 分布式防火墙 " 要保护对象，包括：

⑴ 网络边界，即内、外网的接口； ⑵ 内网中的各个子网； ⑶ 网络内部各节点，包括：服务器、桌面主机

分布式防火墙体系结构

分布式防火墙体系结构 分布式防火墙的组成，包含以下三个部分：

◊ 网络防火墙（ Network Firewall ）◊主机防火墙（ Host Firewall ）◊ 中心管理（ Central Management ）

分布式防火墙体系结构

网络防火墙（ Network Firewall ）： 网络防火墙有软件与硬件两种产品 网络防火墙的作用：

◊ 用于内部网与外部网之间，以及内部网各子网之间的防护；

◊ 在功能与传统的边界式防火墙类似，但多了个对内部子网之间的安全防护，这样整个网络的安全防护体系就显得更加全面，更加可靠。

分布式防火墙体系结构

主机防火墙（ Host Firewall ）： 有软件和硬件两种产品； 主机防火墙作用：

◊ 用于对网络中的服务器和桌面主机进行防护，以确保内部网络服务器和桌面机的安全。

分布式防火墙的作用： ⑴ 用于内部与外部网之间的防护； ⑵ 用于内部网各子网之间； ⑶ 同一内部子网工作站与服务器之间。

分布式防火墙可以说达到了应用层的安全防护。 是对传统边界式防火墙在安全体系方面的一个极大完善。

分布式防火墙体系结构

中心管理（ Central Managerment ）： 是一个服务器软件，负责总体安全策略：

◊ 策划◊管理◊ 分发◊日志的汇总

这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。

8.4.1 分布式防火墙

分布式防火墙的主要特点

主机驻留 嵌入操作系统内核 类似于个人防火墙 适用于服务器托管

（ 1 ）主机驻留

分布式防火墙的最主要特点就是采用主机驻留方式 就是驻留在被保护的主机上，该主机以外的网络不管是处

在网络内部还是网络外部都认为是不可信任的，可以针对该主机上运行的具体应用和对外提供的服务设定针

对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，

使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。

（ 2 ）嵌入操作系统内核

操作系统自身存在许多安全漏洞，运行在其上的应用　软件无一不受到威胁。分布式主机防火墙也运行在该主机上，

所以防火墙自身也会受到因操作系统漏洞而带来的威胁。为确保自身的安全和彻底堵住操作系统的漏洞，主机防火墙

的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。

为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开的内部技术接口。

　（ 3 ）类似于个人防火墙

主机防火墙与个人防火墙的相似之处： 它们都对应于个人系统，都可以保护单个主机。

主机防火墙与个人防火墙的差别之处： 管理方式迥然不同：

◊ 个人防火墙的安全策略由使用者自己设置，而主机防火墙的安全策略由整个系统的管理员统一设置；

◊ 个人防火墙只防外部攻击，主机防火墙除了防外部攻击外，也可以对该桌面机的对外访问加以控制；

◊主机防火墙的安全机制是使用者不可见和不可改动的。 其次，个人防火墙面向个人用户，主机防火墙是面向企业级客户的，是由一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。

　（ 4 ）适用于服务器托管

服务器托管：企业或个人的服务器托人代管；托管的服务器逻辑上是其企业网的一部分，但物理上不在企业

内部，对于这种应用，边界防火墙就显得力不从心；主机防火墙对被托管服务器的防护就游刃有余：

对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略，并可以利用中心管理软件对该服务器进行远程监控。

对于硬件式的分布式防火墙因其通常采用 PCI卡式的，通常兼顾网卡作用，所以可以直接插在服务器机箱里面。

8.4.1 分布式防火墙

分布式防火墙的优势 增强的系统安全性

增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，对整个网络实施全方位的安全策略。

提高了系统性能 ⑴消除了结构性瓶颈；⑵对服务器、个人主机单独设置。

系统的扩展性 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。

应用更为广泛，支持 VPN通信 它能够保护物理拓朴上不属于内部网络，但位于逻辑上

的 "内部 "网络的那些主机，这种需求随着 VPN的发展越来越多

8.4.2 嵌入式防火墙

将分布式防火墙技术集成在硬件上（一般可以兼有 网卡的功能），通常称之为嵌入式防火墙目前分布式防火墙主要是以软件形式出现的，也有一些网络

设备开发商（如 3COM、 CISCO等）开发生产了硬件分布式防火墙，做成 PCI卡或 PCMCIA卡的形式，。

嵌入式防火墙的代表产品是 3Com公司的 3Com 10/100安全服务器网卡（ 3Com 10/100 Secure Server NIC ）、 3Com 10/100安全网卡（ 3Com 10/100 Secure NIC ）以及 3Com公司嵌入式防火墙策略服务器（ 3Com Embedded Firewall Policy Server ）。

8.4.3 个人防火墙

个人防火墙是安装在个人计算机里的一段程序，是防止个个人电脑中的信息被外部侵袭的一项技术，把个人计算机和 Internet 分隔开。

个人防火墙在个人主机的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。

目前在Windows 操作系统下比较著名的防火墙有： 国外的有： Symantec 公司的诺顿、 Network Ice公司的BlackIce Defender 、McAfee公司的思科及 Zone Lab的 free ZoneAlarm 等

国内的有：天网防火墙、 360木马防火墙、瑞星个人防火墙、江民黑客防火墙和金山网标等产品。

8.5 防火墙产品介绍

8.5.1 FireWall-1防火墙 8.5.2 Cisco PIX 515E防火墙 8.5.3 天网防火墙

8.5.1 FireWall-1

Check Point公司的系列防火墙产品可用于各种平台上，其中 Firewall-1 是最为流行、市场占有率最高的一种。

据 IDC 的最近统计， FireWall-1 防火墙在市场占有率上已超过 32% ，《财富》排名前 100 的大企业里近80%选用了 FireWall-1 防火墙。

8.5.2 Cisco安全防火墙服务模块 (FWSM） Cisco防火墙服务模块（ FWSM）是一款高性能的状态化检

测防火墙，它可以集成在 Cisc 6500 交换机以及 7600路由器中。

Cisco FWSM防火墙是一种高速的集成化的防火墙，可以提供业界最快的防火墙数据传输速率： 5 Gb的吞吐量，以及 1000000个并发连接。在一个设备中最多可以安装 4个 FWSM防火墙模块，因而每个设备最高可以提供高达 20Gb的吞吐量。

FWSM还支持“虚拟防火墙”功能，通过适当配置，一块 FWSM最多可以虚拟为 100个独立工作的防火墙，网管人员可以根据需要为每个部门设立独立的防火墙，更好的保证网络安全。

8.5.3 天网防火墙

广州众达天网技术有限公司开发的天网防火墙系列产品功能全面，具有较高的性能。该系列产品提供有强大的访问控制、身份认证、网络地址转换（ NAT ）、数据过滤、虚拟专用网（ VPN）、流量控制、虚拟网桥等功能。

8.5.3 天网防火墙

天网防火墙个人版是目前针对个人用户比较好的中文软件防火墙之一，由天网安全实验室设计开发，用户可以根据软件提供的安全规则自主设置访问控制、信息过滤、入侵检测等安全策略。天网防火墙自 1999 年推出个人版 V1.0以来，先后陆续推出了 V1.0、 V2.0、 V2.45、 V2.5、 V3.0等版本。目前，该软件最新的个人试用版本为 V3.0 版本，用户可以从天网防火墙的官方网站——天网安全实验室（ www.sky.net.cn ）下载来安装使用。

5.5.3 天网防火墙的安装点击下载目录中的安装图标，选择安装目录，并接收安装协议，如图 5-10所示。

图 5-10 天网防火墙安装界面

5.5.1 天网防火墙的安装

在安装的过程中，程序会提醒设置安全级别，有“低”、“中”、“高”和“自定义”四个选项，普通用户建议选择默认选项“中”，如图5-11所示。

图 5-11 天网防火墙安全级别设置界面

5.5.3 天网防火墙的安装

单击“下一步”，程序提醒局域网信息设置。把默认的“开机时候自动启动防火墙”、“我的电脑在局域网中使用”都选上，如果网卡地址还有变动，在“我在局域网中的地址”栏手动输入，否则选择默认，如图 5-12所示。

安装完成后，系统会提示重新启动计算机，按提示要求重启后程序生效。

5.5.2 天网防火墙的规则设置

普通用户一般在安装的过程中用默认的选项即可，如果还有特殊的安全要求，应自定义安全规则。设置选项主要有“用户自定义”、“应用程序规则”、“ IP规则管理”三项。

①“用户自定义”：选项主界面如图 5-13 所示。用户可以对开机时是否启动防火墙、是否重置规则、是否报警等选项进行设置。

图 5-13 天网防火墙用户自定义“基本设置”界面

②“应用程序规则”设置：该选项主要是就某一具体程序在主机中运行过程中所涉及到的协议类型、端口号、是否允许通过等选项进行设置，如图5-14 所示。

图 5-14 天网防火墙“应用程序规则”设置界面

5.5.2 天网防火墙的规则设置

例如，在图 5-14 所示的应用程序选择中，如果用户选择了某个应用程序“ Dr.COM宽带认证客户端程序”，则其设置选项如图 5-15 所示，用户可以就 TCP 、UDP 信息和 TCP协议可访问端口进行设置。

图 5-15 天网防火墙“应用程序规则”高级设置界面

5.5.2 天网防火墙的规则设置

③ “IP 规则管理”设置：用户可以根据自身具体要求自定义 IP 规则，如图5-16 所示。比如，选择其中了一项“允许自己用Ping命令探测其他机器”，则双击后出现如图 5-17所示界面。

图 5-16 天网防火墙“ IP管理规则”设置界面

5.5.2 天网防火墙的规则设置

图 5-17 天网防火墙“修改 IP 规则”设置界面

在“修改 IP 规则”中，用户可以就数据包方向（接受还是发送）、数据包协议类型、对方 IP地址以及满足相关条件时是选择通行还是阻拦等进行配置。