精华区文章阅读

发信人: login (waiter), 信区: Networking
标  题: 防火墙（转载）
发信站: 紫丁香
日  期: Fri Apr 18 21:46:06 1997
出  处: riee1.hit.edu.c

    近两年来, 越来越多的商业和政府机构连入Internet, 基于Web的贸易有了惊
人的增长。据"U.S News & World Report" 1995年11月的报道, 至少有250万北美
居民曾经通过Internet进行购物。由于Internet的日益商业化和社会化, 人们对
Internet的信息安全越来越关注。这种关注使得Internet Firewall技术有了迅速
的发展。
    所谓Firewall, 就是一个或一组系统, 它用来在两个或多个网络间加强访问
控制。它的实现有好多形式, 但原理确实很简单。你可以把它想象成一对开关, 一
个开关以来阻止传输, 另一个开关用来允许传输。不同的Firewall侧重点不同。从
某种意义上来说, Firewall实际上代表了你的网络访问原则。
    目前Internet上使用的应用程序通常很少考虑安全方面的要求, 而且广泛使用
的应用程序可能隐藏着系统漏洞, 著名的莫里斯蠕虫(Worm)就利用了这一漏洞。
此外, 网络上已经发现专门攻击TCP/IP协议的软件包, 它们试图寻找TCP/IP的弱点
所在, 例如著名的Satan和ISS。Firewall必须在使内部网络运行的同时, 防止从未
被授权的外部节点访问被保护的网络�     虽然Firewall有很多种类型, 但大体上可以分为两类: 一类基于Packet filter
(包过滤形), 另一类基于Proxy Service(代理服务)。它们的区别在于基于 Packet
filter的Firewall通常直接转发报文, 它对用户完全透明, 速度较快。而基于Proxy
的Firewall则不是如此, 它通过Proxy Server来建立连接, 它可以有更强的身份验证
(Authentication)和注册(log)功能。下面, 我们来讨论这两种不同的模式。

         一.     Packet filter

    Packet filter通常基于IP Packet的源或目标IP地址或TCP端口。用户可能不会
察觉到Packet filter的存在, 除非他是非法用户而被拒绝了。Packet Filter比起
其它模式的Firewall有着更高的网络性能和更好的应用程序透明性。当然, 由于Packet
filter无法有效地区分同一IP地址的不同用户, 它的安全性相对较低。
    Packet filter通常安装在路由器上, 并且许多常用的商业路由器缺省配置提供
Packet filter。另外那些用来充当路由器的PC机上同样可以安装Packet Filter, 而且
可能会有更强的功能。因此基于Packet filter的Firewall又被称为基于路由器的Firewall�

也许你还没有听说过smart Packet filter, 它与普通的Packet filter没有太大的区别,
只是它能允许通常应被拒绝的连接。例如, 它应当懂得FTP的Port命令, 允许建立反向
连接。然而smart Packet filter还是无法区别同一节点的不同用户。ALF就是一个高
性能的smart Packet filter的例子。
    地址和端口号是网络层和传输层的特性, 但Packet filter同样可以在应用层工作。
Internet的应用程序同常有约定俗成的专用端口号例如, Telnet应用程序总是
TCP端口23上运行。因此, 有可能设置一个Firewall, 来阻止向内部节点发送Telnet
请求的企图。
    使用Packet filter模式的Firewall好处在于, 在原有网络上增加这样的Firewall
几乎不需要任何额外的费用。因为差不多所有的路由器都可以对通过的Packet进行过
滤, 而路由器对一个网络与Internet连接是必不可少的。目前, 已安装的Firewall 80%
都是Packet filter模式的Firewall, 它们不过是在连接内部网络与Internet的路由器
上设置了一些过滤原则而已。
    常用的路由器如Cisco很容易设置一个Firewall。最早的Cisco路由器只能根据IP
进行过滤; 9.21以后的版本则可以检查出IP spoofing(冒充可靠节点), 而10.3以后的
版本有更好的性能。比如, 你可以根据TCP端口及连接建立的情况进行过滤, 而且在过
滤语法上也有了一定改进。商业的Packet filter比起一般的路由器增加可外部注册功
能和某些安全特性。例如可以对付IP spoofing。
    随着Firewall技术的发展, Packet filter的原理也被用于UDP和ICMP Packet。这
种本来基于IP的Packet filter更加低层化, 也使Packet filter能够具有更多的log特
性, 也使Firewall具有更大的安全性。Mazama Software Lab的Mazama Packet filter
正是具有这种能力的Firewall之一。它的原理也被应用于Limux 1.2X的Firewall软件包。
    除了商业Packet filter之外, 在网络上还可以得到一些免费的Packet filter软件
包。如对路由器而言, 有TAMU(ftp://net.tamu.edu/pub/security/TAMU);对PC型路由器
有Karlbridge(ftp://fet.net.chio-state.edu/pub/kbridge)。关于Cisco路由器上建立
Firewall的方法可以从下面获得: ftp://ftp.cisco.com/pub/acl-example.tar.Z。这些
例子或许稍微有些过时, 不过它们是很好的范例, 对网络管理员大有益处。通常, 你只
需根据自己的网络访问原则稍加修改, 就可以得到适合你的网络的Firewall。

--

                                * *
                                 ^

※ Origin:·紫丁香 pclinux·[FROM: riee1.hit.edu.c]

Network 版 (精华区)