路由器提供了防火墙的服务吗

8.2.2　防火墙技术

保证电子商务的安全首先就要保证电子商务进行的网络平台的安全，这个平台包括了客户端网络环境、商家Intranet网络环境、银行内部网络以及把三者联系在一起的Internet，通常就把这个平台称之为大众Internet网络平台系统。这里重点介绍网络平台最重要的安全措施之一，即防火墙技术。

1.防火墙的概念

防火墙（Firewall）是指两个网络之间执行访问控制策略（允许、拒绝、检测）的一系列部件的组合，包括硬件和计算机软件，其目的是在安全的企业内部网Intranet和外部的不安全的Internet之间构筑一道防护屏障，保护网络不被他人侵扰。根据防火墙的定义与目标，防火墙的应用示意图，如图8-1所示。

图8-1　防火墙的应用示意图

防火墙是不同网络之间信息的唯一出口，能根据企业网络安全策略控制出入网络的信息流且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络安全信息的基础设施。

2.防火墙的组成

一般来说，一个功能较为完整的防火墙基本组成包括外部过滤器、网关和内部过滤器。图8-2为防火墙的基本组成框图。

图8-2　防火墙的基本组成框图

（1）过滤器，即filter，有内部过滤器和外部过滤器，用于阻断某些类型信息的通过。通常，外部过滤器用于保护网关免受来自Internet的攻击，而当网关一旦遭到来自Internet的攻击而受到破坏时，内部过滤器用于对付网关受破坏后的后果。外部和内部过滤器都可用于保护Intranet，防火墙要对Intranet和Internet之间传递的每一数据组进行干涉。

（2）网关，即Gateway，提供中继服务，以补偿过滤器的影响，辅助过滤器控制业务信息流。网关往往是一台或一组机器。一个暴露在外面的网关计算机通常叫“堡垒机”。

当然上述组成也不是固定的，实际上不同的安全需求会导致不同的防火墙配置方案，比如银行内部网的防火墙配置方案肯定比一个普通的大学内部网防火墙配置方案要好一些。有的防火墙还包括域名服务和电子邮件过滤处理模块等，以辅助过滤器控制多种不同的业务信息流，如电子商务中客户访问银行网络，可能是电子邮件流也可能是http或https服务。

3.防火墙的功能

防火墙一方面对流经它的网络通信进行扫描，过滤掉一些可能攻击内部网络的数据；另一方面还可以关闭不使用的端口，以禁止特定端口的通信。另外，它还可以禁止来自特殊站点的访问，从而防止外来入侵。目前防火墙的种类繁多，功能也不尽相同，但一般防火墙产品都具有以下功能。

（1）保护数据的完整性

当某个人对网络所存储的数据进行非法修改时，它就破坏了数据的完整性。因此，网络可以依靠设定用户权限和文件保护来控制用户的恶性循环信息，可以限制一个特定用户能够访问信息的数量和种类。

（2）保护网络的有效性

网络的有效性是指一个合法用户能够快速、简便地访问网络的资源。

（3）保护数据的机密性

一个网络不能保证数据的机密性时，非法用户就会获得敏感信息的拷贝。为了保护机密性，网络管理者必须加密敏感数据。

4.防火墙的主要类型

（1）包过滤防火墙

包过滤防火墙主要有以下两种实现方式：基于路由器的防火墙和基于独立运行软件（Packet Filter）的防火墙。在这里主要讲述基于路由器的防火墙。包过滤防火墙通过设定某些规则来允许或拒绝数据包的通过，它的作用相当于一个过滤网关。包过滤路由器首先检查要通过的数据包是否符合其设定的某条过滤规则。每个数据包中都包含着一组特定信息的包头，其主要信息是：

IP源地址；

IP目标地址；

TCP或UDP源端口；

TCP或UDP目标端口；

ICMP消息类型。

如果规则允许该数据包通过，且包的出入接口相匹配，则该数据包通过，并根据路由器中的信息被转发。如果规则拒绝该数据包，则即使出入接口匹配，该数据包也会被丢弃。如果没有匹配规则，则包过滤路由器根据用户配置的默认参数来决定是转发还是丢弃该数据包，包过滤防火墙的原理示意图如图8-3所示。

图8-3　包过滤防火墙的原理示意图

（2）代理服务防火墙

代理服务（Proxy Server）是运行在防火墙主机上的专门的应用程序，或者称为服务器程序。它代表主机完成一个网络与另一个网络通信的特定的检查任务。代理服务器软件可以独立在一台机器上运行，或者与诸如包过滤器的其他软件一起运行。

代理服务器像一个内部网络与外界之间的边界检查点。两边的应用可以通过代理服务器相互通信，但它们不能越过它进行通信。代理服务器接受来自一边的通信，检查并确认这一通信是否授权通过，如果是，则启动到通信目的地连接，并将它发送出去。

代理服务器在幕后处理所有用户和因特网服务之间的通信，以代替相互之间的直接交谈。透明是代理服务的一大优点。对于用户来说，代理服务器给出用户直接使用真正的服务器的假象；对于真正的服务器来说，代理服务器给出真正的服务器在代理主机上直接处理用户的假象。

代理服务如何工作呢？代理服务有两个主要部件：代理服务器和代理客户。代理服务器一般运行在双重宿主主机（计算机至少有两个网络接口）上。代理客户是正常客户程序的特殊版本，用户的代理程序与代理服务器交谈，而不是直接与远在因特网上的真正服务器交谈。这个代理服务器判断来自客户的要求并决定哪个可以传送哪个可以忽略。如果一个要求是许可的，代理服务器就会代表客户与真正的服务器交谈，继而将要求从客户传达给真实服务器，也将真实服务器的应答传回客户。代理服务用于双重宿主主机的原理图如图8-4所示。

图8-4　代理服务用于双重宿主主机的原理图

（3）应用网关防火墙

应用网关（Application Gateway）技术是建立在网络应用层上的协议过滤。应用网关防火墙可使网络管理员实现比包过滤路由器防火墙更为严格的安全策略。应用层网关不使用包过滤工具来限制Internet服务进出防火墙系统，而是采用为每种所需服务在网关上安装专用程序代码的方式来管理Internet的各种服务。每当添加一种需保护的新的服务时，就必须为其编制相应的程序代码，否则服务就不被支持且不能通过防火墙来转发。另外，应用网关也可以通过配置专用程序代码来支持应用程序的特定服务。应用网关防火墙允许用户访问代码服务，但绝对不能允许用户登录到该网关上，否则该用户就有可能获得ROOT权限，从而通过安装特洛伊木马来截获登录口令，并修改防火墙的安全配置，直接攻击防火墙。

5.防火墙的优点

在内部网络中使用防火墙主要有以下几个方面的优点。

（1）防火墙是网络安全的屏障。防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客、网络破坏者等）进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。

（2）在防火墙上可以很方便地监视网络的安全性，并产生报警。网络管理员可以审计并记录所有通过防火墙的重要信息。

（3）防火墙是审计和记录互联网使用量的一个最佳地方。网络管理员可以在此向管理部门提供互联网连接的费用情况，并能够根据机构的核算模式提供部门级的计费。另外，防火墙还可以根据系统流量，查出潜在带宽瓶颈的位置。

（4）防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。

6.防火墙的安全策略及局限性

（1）防火墙的安全策略

防火墙的安全策略有两种可供选择：①没有被列入允许访问的服务都是被禁止的；②没有被列为禁止访问的服务都是被允许的。

如果防火墙采用第一种安全策略，那么需要确定所有被提供的服务以及它们的安全特性，开放这些服务，并将所有其他未列入的服务排斥在外，禁止访问。如果防火墙采用第二种安全策略，则正好相反，需要确定哪些被认为是不安全的服务，禁止其访问，而其他服务则被认为是安全的，允许访问。从安全性角度考虑，第一种安全策略更可取。但从灵活性和使用方便性角度考虑，则第二种安全策略更好。

（2）防火墙的局限性

防火墙是保护Intranet免受外部攻击的极有效方式，防火墙应是整体网络安全计划中的重要组成部分，但同时必须注意到防火墙并非是万能的，防火墙具有以下局限性。

① 限制有用的网络服务。防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务（如Telnet、FTP等）。

② 防火墙无法防范那些不通过防火墙的攻击。例如，在一个被保护的网络上有一个直接通过SLIP或PPP的连接进入Internet，从而试图绕过防火墙提供的安全系统，这就为后门攻击提供了极大的可能性。

③ 防火墙一般也无法解决内部人员的攻击问题。例如无法阻止内部人员将敏感数据复制带走，也不能防止黑客伪装成管理员或新职员以骗取相关口令和权限。因此必须加强内部员工的网络安全防范意识，让他们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。

④ 防火墙无法完全防止新出现的网络威胁。防火墙是为防止已知威胁而设计的。虽然精心设计的防火墙也可以防止新的威胁，但没有一种防火墙会自动抵抗所出现的任何一种新威胁。

⑤ 防火墙不能防止病毒。尽管许多防火墙检查所有外来通信以确定其是否可以通过内部网络，但这种检查大多数是对源目的地址及端口号进行的，而不是对其中所含数据进行的。即使可以对通信内容进行检查，由于病毒的种类太多且病毒在数据中的隐藏方式也太多，所有防火墙中的病毒防护也是不实用的。