6.2.3 狀態檢測防火墻

網關防火墻的一個挑戰就是吞吐量，開發狀態檢測功能是為了讓規則能夠運用到會話發起過程，從而在大為提高安全防范能力的同時也改進了流量處理速度。同時，狀態檢測防火墻也摒棄了包過濾防火墻僅考查數據包的 IP 地址等有限幾個參數，而不關心數據包連接狀態變化的缺點，在防火墻的核心部分建立狀態連接表，并將進出網絡的數據當成一個個的會話，并利用狀態表跟蹤每一個會話狀態，因此提供了完整的對傳輸層的控制能力。由于狀態監測技術采用了一系列優化技術，使防火墻性能大幅度提升，能應用在各類網絡環境中，尤其是在一些規則復雜的大型網絡上。

1993年，Check Point公司成功推出了世界上第一臺商用的狀態檢測防火墻產品之后，很多廠商也相繼進行了開發了，并在90年代中期得到了迅速發展。現今的防火墻市場，狀態檢測防火墻產品由于其在性能、部署能力和擴展能力方面的優勢已成為市場上的絕對領導者。如今，任何一款高性能的防火墻，都會采用狀態檢測技術。

從 2000 年開始，國內的著名防火墻公司，如北京天融信等公司，都開始采用這一最新的體系架構，并在此基礎上，天融信 NGFW4000 創新推出了核檢測技術，在操作系統內核模擬出典型的應用層協議，在內核實現對應用層協議的過濾，在實現安全目標的同時可以得到極高的性能。目前支持的協議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應用協議。

2 狀態檢測防火墻的工作過程

無論何時，當防火墻接收到一個初始化TCP連接的SYN包，這個帶有SYN的數據包被防火墻的規則庫檢查。該包在規則庫里依次序比較。如果在檢查了所有的規則后，該包都沒有被接受，那么拒絕該次連接，一個RST的數據包發送到遠端的機器。如果該包被接受，那么本次會話被記錄到位于內核模式中的狀態監測表里，這時需要設置一個時間溢出值。隨后的數據包（沒有帶有一個SYN標志）就和該狀態監測表的內容進行比較。如果會話是在狀態表內，而且該數據包是會話的一部分，該數據包被接受。如果不是會話的一部分，該數據包被丟棄。這種方式提高了系統的性能，因為每一個數據包不是和規則庫比較，而是和狀態監測表比較。只有在SYN的數據包到來時才和規則庫比較。所有的數據包與狀態檢測表的比較都在內核模式下進行所以應該很快。

在連接被通訊雙方關閉后，狀態監測表中的連接應該被維護一段時間。當狀態監測模塊監測到一個FIN或一個RST包的時候，減少時間溢出值從缺省設定的值3600秒減少到50秒。如果在這個周期內沒有數據包交換，這個狀態檢測表項將會被刪除，如果有數據包交換，這個周期會被重新設置到50秒。如果繼續通訊，這個連接狀態會被繼續地以50秒的周期維持下去。這種設計方式可以避免一些DOS攻擊，例如，一些人有意地發送一些FIN或RST包來試圖阻斷這些連接。

6．3 防火墻的構造體系

由于對更高安全性的要求，如僅僅使用某種單項技術來建立正確完整防火墻是不大可能達到企業所需的安全目標的。在實際的實施方案時，經常要用若干的技術混合的復合型防火墻方可解決面對的各種問題。

在現有防火墻產品和技術中，將包過濾技術和多種應用技術融合到一起，構成復合型防火墻體系統結構是目前國內防火墻產品的一個特點，也是防火墻今后發展的主流技術。

復合型防火墻解決方案通常有如下兩種：

l 屏蔽主機防火墻體系結構

l 屏蔽子網防火墻體系結構

6.3.1 屏蔽主機防火墻體系統結構

屏蔽主機防火墻體系統結構由包過濾路由器和堡壘主機構成。其實現了網絡層安全（包過濾）和應用層安全（代理服務）。

對于這種防火墻系統，堡壘主機配置在內部網絡上，而包過濾路由器則放置在內部網絡和Internet之間。在路由器上進行規則配置，使得進出的所有信息必須通過堡壘主機。這種路由允許堡壘主機把外部流量代理到內部網絡前會進行流量分析。

由于內部主機與堡壘主機處于同一個網絡，內部系統是否允許直接訪問Internet，或者是要求使用堡壘主機上的代理服務來訪問Internet由機構的安全策略來決定。

對于這種體系統結構常見的拓樸如下圖所示。在實際的應用中，為了增強安全性，一般堡壘主機應至少有兩個網卡，這樣可以物理的隔離子網。

6.3.2 屏蔽子網防火墻體系統結構

屏蔽子網防火墻體系統結構堡壘機放在一個子網內，形成“非軍事化區（DMZ）”，兩個分組過濾路由器放在這一子網的兩端，使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。如下圖所示：

這個防火墻系統建立的是最安全的防火墻系統，因為在定義了“非軍事區”（DMZ）網絡后，它支持網絡層和應用層安全功能。網絡管理員將堡壘主機、信息服務器、Modem組、以及其它公用服務器放在DMZ網絡中。

在一般情況下對DMZ配置成使用Internet和內部網絡系統能夠訪問DMZ網絡上數目有限的系統，而通過DMZ網絡直接進行信息傳輸是嚴格禁止的。

2 部署屏蔽子網防火墻系統的好處

1. 入侵更加困難。入侵者必須從外向內突破3個不同的設備才能侵襲內部網絡：外部路由器，堡壘主機，還有內部路由器。 如果將內外路由器分別采用不同廠商的路由器，則入侵的難度還會加大。

2. 內外網不能直接通信。由于外部路由器只能向Internet通告DMZ網絡的存在，內部路由器也只向內部網絡通告DMZ網絡的存在，這樣網絡管理員就既可以保證內部對外網是“不可見”的，同樣也就保證了內部網絡上的用戶必須通過駐留在堡壘主機上的代理服務才能訪問Internet。

3. 更大的吞吐量。內部路由器在作為內部網絡和Internet之間最后的防火墻系統時，能夠支持比雙宿堡壘主機更大的數據包吞吐量。

4. NAT的理想位置。由于DMZ網絡是一個與內部網絡不同的網絡，NAT（網絡地址變換）可以安裝在堡壘主機上，從而避免在內部網絡上重新編址或重新劃分子網，并且只有在DMZ網絡上選定的系統才對Internet開放（通過NAT的地址映射、路由表和DNS信息交換）。

6．4 防火墻的訪問規則

6.4.1 防火墻的默認設置

防火墻有以下兩種之一的默認配置：

l 拒絕所有的通信。在這種情況下，內外的通信完全被阻斷，是最安全但也最不適用的形式。

l 允許所有的通信。在這種情況下，內外可以進行無限制的通信，防火墻好象不存在。

對于安全性要求比較高的防火墻，一般采用拒絕所有通信作為默認設置。一旦安裝了防火墻，為了授予防火墻內的用戶訪問他們的被授權的系統，則需要打根據公司的安全策略只打開某些特定的端口以允許特定的內外通信，這就是需要進行相應的訪問規則的配置。

6.4.2防火墻的規則元素

訪問規則定義了允許或拒絕網絡之間的通信的條件。訪問規則中運用的元素是防火墻中可用于創建特定訪問規則的配置對象。

規則元素一般可分為以下五種類型：際工資

l 協議。此規則元素包含一些協議，可用于定義要用在訪問規則中的協議。例如，您可能想要創建只允許 HTTP 通信的訪問規則，則在配置時對于協議的選擇則只選用HTTP即可。

l 用戶集。用戶集包含許多單獨的用戶或用戶組。您可以使用 Active Directory 域用戶或用戶組、遠程身份驗證撥入用戶服務 (RADIUS) 服務器組或 SecureID 組等創建用戶集。在規則配置時則可以針對不同的用戶集對網絡資源的訪問分別采用不同的規則進行訪問控制。

l 內容類型。此規則元素提供您可能想要應用規則的公共內容類型。例如，您可以使用內容類型規則元素來阻止包含 .exe 或 .vbs 擴展名的所有內容下載。

l 計劃。此規則元素允許您指定一個星期內要應用規則的小時時段。如果需要定義只允許在指定的小時時段內訪問 Internet 的訪問規則，則可以創建定義小時時段的計劃規則元素，然后在創建訪問規則時使用該計劃規則元素。

l 網絡對象。此規則元素允許您創建要應用規則的計算機集，或者將不再應用規則的計算機集。您還可以配置 URL 集和域名集，用來允許或拒絕對特定 URL 或域的訪問。

6.4.3 訪問規則的定義

創建訪問規則的步驟是選擇適當的訪問規則元素，然后定義元素之間的關系。如下圖所示。

所有訪問規則具有相同的整體結構，如下表所示。

6．5 防火墻的限制

防火墻并非萬能，它仍然有許多在網上不能防范的攻擊。現總結如下：

1. 防火墻無法防范通過防火墻以外的其它途徑的攻擊。例如，在一個被保護的網絡上有一個沒有限制的撥出存在（如通過MODEM撥號），內部網絡上的用戶就可以直接通過SLIP或PPP連接進入Internet。這就為從后門攻擊創造了極大的可能。網絡上的用戶們必須了解這種類型的連接對于一個有全面的安全保護系統來說是絕對不允許的。

2. 防火墻也不能防止來自內部變節者和不經心的用戶們帶來的威脅。

3. 也不能防范這樣的攻擊：偽裝成超級用戶或詐稱新雇員的攻擊。

4. 防火墻不能有效地防范像病毒這類東西的入侵。對病毒十分憂慮的機構應當在整個機構范圍內采取病毒控制措施。不要試圖將病毒擋在防火墻之外，而是保證每個脆弱的桌面系統都安裝上病毒掃描軟件，只要一引導計算機就對病毒進行掃描。

5. 最后一點是，防火墻無法防范數據驅動型的攻擊。數據驅動型的攻擊從表面上看是無害的數據被郵寄或拷貝到Internet主機上。但一旦執行就開成攻擊。例如，一個數據型攻擊可能導致主機修改與安全相關的文件，使得入侵者很容易獲得對系統的訪問權。后面我們將會看到，在堡壘主機上部署代理服務器是禁止從外部直接產生網絡連接的最佳方式，并能減少數據驅動型攻擊的威脅。

防火墻技術詳解