1.3 防火墙的关键技术

1.3.1 访问控制列表ACL

网络中常说的ACL是Cisco IOS所提供的一种访问控制技术。ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、源端口、目的端口等），根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

1.ACL的功能

网络中的节点包括资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能是一方面保护资源节点，阻止非法用户对资源节点的访问；另一方面限制特定的用户节点所具备的访问权限。

2.配置ACL的基本原则

在实施ACL的过程中，应当遵循如下两个基本原则：最小特权原则—只给受控对象完成任务所必需的最小的权限；最靠近受控对象原则—所有的网络层访问权限控制。

3.局限性

由于ACL是使用包过滤技术来实现的，过滤的依据又仅是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人、无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

1.3.2 代理技术Proxy

随着因特网技术的迅速发展，越来越多的计算机连入了因特网。它促进了信息产业的发展，并改变了人们的生活、学习和工作方式，对很多人来说，因特网已成为其不可缺少的工具。而随着因特网的发展也产生了诸如IP地址耗尽、网络资源争用和网络安全等问题。代理服务器就是为了解决这些问题而产生的一种有效的网络安全产品。

1.代理服务器的功能

代理服务器只允许因特网的主机访问其本身，并有选择地将某些允许的访问传输给内部网，这是利用代理服务器软件的功能实现的。采用防火墙技术，易于实现内部网的管理，限制访问地址。代理服务器可以保护局域网的安全，起到防火墙的作用：对于使用代理服务器的局域网来说，在外部看来只有代理服务器是可见的，局域网的其他用户对外是不可见的，代理服务器为局域网的安全起到了屏障的作用。因此，可以提高内部网的安全性。

另外，代理服务器软件允许使用大量的伪IP地址，节约网上资源，即用代理服务器可以减少对IP地址的需求，对于使用局域网方式接入Internet，如果为局域网（LAN）内的每个用户都申请一个IP地址，其费用可想而知。但使用代理服务器后，只需代理服务器上有一个合法的IP地址，LAN内其他用户就可以使用内部网IP地址，这样可以节约大量的IP。这对缓解目前IP地址紧张问题很有用。还有，在几台PC想连接Internet，却只有一根拨号线的情况下，使用代理服务器是一个非常合适的解决方案。

2.代理服务器的原理

代理服务器（Proxy）的工作机制很像生活中常常被提及的代理商，假设你的机器为A机，你想获得的数据由B机提供，代理服务器为C机，那么具体的连接过程是：

首先，A机需要B机的数据，它与C机建立连接，C机接收到A机的数据请求后，与B机建立连接，下载A机所请求的B机上的数据到本地，再将此数据发送至A机，完成代理任务。

这只是一个简单的描述，实际上代理服务器完成的任务比这要复杂得多，提供的功能也多得多。代理服务器犹如一个屏障，它允许向Internet发送请求并且接收信息，但禁止未授权用户的访问。目前通过代理方式可以支持绝大部分的Internet应用，从一般的WWW浏览到RealAudio、NetMeeting等都可以通过代理方式实现，而且目前新型的代理服务器软件可以支持对Novell用户的代理服务。

代理服务通常由两部分组成：服务器端程序和客户端程序。用户运行客户端程序，要先登录至代理服务器（有的是透明处理的，没有显示的登录），再通过代理服务器访问相应的站点。

客户端程序可以分为专用客户端及Internet应用内嵌的代理设置。例如，WinGate有自己专用的客户端程序Internet Client，在客户机安装了以后，可透明地通过WinGate访问Internet；SocksCap也是一个专用的客户端程序，它是Socket代理的客户端，可以透明地通过Socks代理访问Internet。很多Internet应用都有设置代理的功能，如IE、Netscape等浏览器都可以设置代理，CuteFTP等FTP软件也可以设置代理。

代理服务器的实现十分简单，只需在局域网的一台服务器上运行相应的服务器端软件，目前代理服务器软件产品十分成熟，功能也很强大，可供选择的服务器软件很多。主要的服务器软件有WinGate公司的WinGate Pro、微软公司的Microsoft Proxy、Netscape公司的Netscape Proxy、Ositis Software公司的WinProxy、Tiny Software公司的WinRoute、Sybergen Networks公司的SyGate等，这些代理软件不仅可以为局域网内的PC提供代理服务，还可以为基于Novell网络的用户，甚至UNIX的用户提供代理服务，服务器和客户机之间可以用TCP/IP、IPX、NETBEUI等协议通信，可以提供WWW浏览、FTP文件上传/下载、Telnet远程登录、邮件接收发送、TCP/UDP端口映射、SOCKS代理等服务，可以说目前绝大部分Internet的应用都可以通过代理方式实现。

1.3.3 网络地址转换NAT

NAT（Network Address Translation）中文意思是“网络地址转换”，它允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，NAT是一种把内部私有网络地址（IP地址）翻译成合法公用IP地址的技术，如图1-5所示。

1.NAT的功能

NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，用户可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。并且，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。NAT将无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法的公网IP地址。

2.NAT的三种类型

NAT的三种类型如下：

（1）静态地址转换（Static NAT）：静态地址转换是设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

（2）动态地址转换（Dynamic NAT）：动态地址转换为每个内部的IP地址分配一个临时的公用IP地址。动态地址转换主要应用于拨号，对于频繁的远程连接也可以采用动态地址转换。当远程用户连接上之后，动态地址转换就会分配给它一个公用IP地址，用户断开后这个IP地址就会被释放而留待以后使用。

（3）网络地址和端口转换（Network Address Port Translation）：这是最普遍的情况，网络地址/端口转换器检查、修改包的IP地址和TCP/UDP端口信息，这样，更多的内部主机就可以同时使用一个公网IP地址。

3.NAT的局限性

理论上一个全球唯一IP地址后面可以连接几百台、几千台乃至几百万台拥有专用地址的主机。但实际上存在着缺陷。例如，许多Internet协议和应用依赖于真正的端到端网络，数据包完全不加修改地从源地址发送到目的地址。比如，IP安全架构不能跨NAT设备使用，因为包含IP源地址的原始包头可能采用了数字签名，如果改变源地址，则数字签名将不再有效。

NAT还向我们提出了管理上的挑战。尽管NAT对于一个缺少足够的全球唯一Internet地址的组织、分支机构或者部门来说是一种不错的解决方案，但是当需要对两个或更多的专用网络进行整合时，它就变成了一种严重的问题。甚至在组织结构稳定的情况下，NAT系统不能多层嵌套，从而造成路由噩梦。

1.3.4 虚拟专用网VPN

Microsoft将虚拟专用网定义为专用网络的一个扩展，它跨越共享或公共网络建立连接。通过VPN，可以跨越一个共享或公共网络，模拟点对点专有连接在两台计算机之间发送数据。虚拟专用网连接是创建和配置一个虚拟专用网络的具体行动。

1.VPN的功能

VPN（Virtual Private Network）中文意思是“虚拟专用网络”。顾名思义，是虚拟出来的企业内部专线。它可以通过特殊的加密通信协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路，就好比是架设了一条专线一样，但是并不需要真正地去铺设光缆之类的物理线路。例如，去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN的核心就是利用公共网络建立虚拟私用网。VPN技术原是路由器具有的重要技术之一，目前在交换机、防火墙设备或Windows Server 2003主机上也都支持VPN功能。

2.VPN的三种解决方案

（1）远程访问虚拟网（Access VPN）

Access VPN是通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。Access VPN能使用户随时随地以其所需要的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路xDSL、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。

（2）企业内部虚拟网（Intranet VPN）

越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，所需费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互连性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量（QoS）、可管理性和可靠性。

（3）企业扩展虚拟网（Extranet VPN）

随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身内部网络的安全。

3.VPN的主要优点

VPN的主要优点如下：

降低成本：用户不必租用长途专线建设专网、无须大量的网络维护人员和设备的投资。

容易扩展：网络路由设备配置简单。

控制主动权：VPN上的设施和服务掌握在学校网管服务器手中，可以把拨号访问交给NSP去做，服务器负责安全用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

4.VPN的适用范围

适合采用VPN的用户：位置众多，特别是单个用户和远程办公室站点多；用户/站点分布范围广，彼此间的距离远，需要长途电信，甚至国际长途手段联系的用户；对线路保密性和可用性有一定要求的用户。

不太适合采用VPN的用户：对数据的安全性非常重视；将网络性能放在第一位，价格因素放在其次；采用不常见的网络协议或特殊应用的网络，不能在IP隧道中传送数据。