71、网络安全防护：防火墙、病毒墙与代理服务器详解

防火墙、病毒墙与代理服务器解析

最新推荐文章于 2025-10-28 12:00:41 发布

vim8coder

最新推荐文章于 2025-10-28 12:00:41 发布

阅读量53

点赞数

CC 4.0 BY-SA版权

分类专栏： UNIX管理艺术精要文章标签：防火墙病毒墙代理服务器

本文链接：https://blog.youkuaiyun.com/vim8coder/article/details/153707005

UNIX管理艺术精要专栏收录该内容

77 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

网络安全防护：防火墙、病毒墙与代理服务器详解

1. 防火墙的作用与问题

防火墙是任何安全计划的重要组成部分，但它本身并非完整的安全方案。一个全面的安全计划涉及数据完整性、服务或应用程序完整性、数据保密性和认证。防火墙主要处理防火墙后面数据的完整性、保密性和认证问题，而任何通过防火墙外部传输的数据则不受其控制。

1.1 防火墙的益处

防护入侵 ：防火墙能保护内部网络免受来自互联网的恶意入侵，使得许多内部网络能够安全地连接到互联网，否则连接互联网将带来巨大风险。
选择性访问 ：网络管理员可以通过防火墙为特定的内部网络用户提供对特定类型互联网服务的访问权限。这种选择性是信息管理计划的重要组成部分，不仅有助于保护私有信息资产，还能明确谁可以访问哪些资源。权限可以根据工作描述和需求进行授予，而非采用一刀切的方式。

1.2 防火墙的问题

用户受限 ：信息安全意味着限制，而用户通常不喜欢这种限制。防火墙会限制对某些服务的访问。
流量瓶颈 ：防火墙可能成为流量瓶颈，并且将安全集中在一个点上，加剧了单点故障的问题。不过，替代方案要么是不接入互联网，要么是没有安全防护，这在大多数组织中都是不可接受的。

1.3 优秀的防火墙产品

目前，排名靠前的防火墙硬件品牌有诺基亚，而备受尊敬的防火墙软件则由CheckPoint公司开发。

2. 病毒墙相关介绍

2.1 计算机病毒及其他恶意代码

互联网上存在许多恶意程序，它们的唯一目的就是损害那些毫无防备的主机，而且很多时候攻击者只是为了好玩。这些恶意程序包括各种寻找防御漏洞、准备攻击并可能损坏系统的程序，其中病毒是最为人熟知且最危险的。

2.1.1 计算机病毒的特点

可复制性 ：计算机病毒是一段可执行代码，具有独特的复制能力。就像生物病毒一样，计算机病毒可以迅速传播，并且通常难以根除。它们可以附着在几乎任何类型的文件上，并随着文件在用户之间的复制和传输而传播。
破坏机制 ：一些计算机病毒除了复制能力外，还具有破坏程序，能够执行病毒负载。负载可能只是显示消息或图像，但也可能破坏文件、格式化硬盘或造成其他类型的损害。即使病毒没有破坏程序，也可能会占用存储空间和内存，降低计算机的整体性能。

2.1.2 病毒传播途径的变化

过去，大多数病毒主要通过软盘传播，但互联网带来了新的病毒传播机制。如今，电子邮件已成为重要的商业通信工具，病毒通过电子邮件传播的速度比以往任何时候都快。附着在电子邮件消息中的病毒可以在几分钟内感染整个内部网络，给公司每年造成数百万美元的生产力损失和清理费用。

2.1.3 病毒的现状

根据国际计算机安全协会的数据，已经识别出超过10,000种病毒，并且每月还会产生200种新病毒。可以说，大多数组织都会定期应对病毒爆发问题，任何使用计算机的人都无法免疫病毒的威胁。

2.2 病毒的生命周期

计算机病毒的生命周期从创建开始，到完全根除结束，具体阶段如下：
1. 创建：创建病毒需要一定的编程知识和技能。
2. 复制：病毒天生具有复制能力。设计良好的病毒会在激活之前长时间复制，从而有足够的时间传播。
3. 激活：具有破坏程序的病毒会在满足特定条件时激活，例如在特定日期或用户执行特定操作时。没有破坏程序的病毒则通过占用存储空间造成损害。
4. 发现：这一阶段并不总是在激活之后，但通常是这样。当病毒被检测和隔离后，相关数据会被发送到国际计算机安全协会（ICSA）进行记录，并分发给杀毒软件开发商。通常在病毒对计算机社区构成真正威胁之前就能及时发现。
5. 同化：此时，杀毒软件开发商会修改他们的软件，使其能够检测到新病毒。这可能需要一天到六个月的时间，具体取决于开发商和病毒类型。
6. 根除：如果足够多的用户安装了最新的病毒防护软件，任何病毒都可以被清除。到目前为止，还没有病毒完全消失，但有些病毒已经不再构成主要威胁。

2.3 病毒类型

大多数病毒可分为以下四类：
|病毒类型|特点|传播途径|感染方式|清除方法|
| ---- | ---- | ---- | ---- | ---- |
|引导扇区病毒|直到20世纪90年代中期，引导扇区病毒是最普遍的病毒类型，主要在16位DOS环境中通过软盘传播。|通过感染软盘的引导扇区，并传播到用户的硬盘，还可能感染硬盘的主引导记录（MBR）。一旦硬盘的MBR或引导扇区被感染，病毒会试图感染插入计算机并被访问的每个软盘的引导扇区。|隐藏在磁盘的第一个扇区，在系统文件加载之前加载到内存中，从而完全控制DOS中断，实现传播和破坏。|可以通过从未受感染的软盘系统磁盘启动计算机，而不是从硬盘启动，或者找到原始引导扇区并将其替换到磁盘的正确位置来清除。|
|文件感染病毒|也称为寄生病毒，在内存中运行，通常感染具有以下扩展名的可执行文件： .COM、 .EXE、 .DRV、 .DLL、 .BIN、 .OVL、*.SYS。|每次感染的文件被执行时，病毒会将自身复制到其他可执行文件中，并在病毒激活后长时间留在内存中。| - | - |
|多部分病毒|具有引导扇区病毒和文件感染病毒的特点。| - | - | - |
|宏病毒|目前约占所有病毒的80%，是计算机历史上增长最快的病毒。与其他类型的病毒不同，宏病毒不特定于某个操作系统，可通过电子邮件附件、软盘、网页下载、文件传输和协作应用程序轻松传播。|感染与Microsoft Word和Excel等应用程序配套的宏实用程序，只能在应用程序的数据文件之间传播。如果不加以阻止，最终可能会感染数百个文件。| - | - |

2.4 其他恶意代码

除了病毒，还有两种常见的恶意代码：
- 特洛伊木马 ：特洛伊木马是一种执行意外或未经授权、通常是恶意操作的程序，如显示消息、删除文件或格式化整个磁盘。它不具有传染性，即不会感染其他主机文件。一旦其操作终止（如果系统能够幸存），只需删除该程序即可清除。
- 蠕虫：计算机蠕虫是一个独立的程序（或一组程序），能够将自身或其部分功能副本传播到其他计算机系统。传播通常通过网络连接或电子邮件附件进行。要清除蠕虫，需要删除该程序。

2.5 病毒墙的职责

病毒墙的主要职责是保护内部网络免受通过互联网传播并攻击所有网络参与者的病毒和其他恶意代码的侵害。其职责可分为基本职责和扩展职责：

2.5.1 基本职责

实时病毒检测 ：对入站流量（也可包括出站流量）进行实时病毒检测。
- SMTP保护 ：补充内部邮件服务器，扫描收到的电子邮件中的病毒。
- HTTP保护 ：防止下载受感染的文件，并允许为Java和其他与HTTP相关的应用程序设置统一的内部网络安全标准。
- FTP保护 ：透明地工作，确保不会从互联网下载受感染的文件。
阻止恶意代码 ：阻止其他恶意代码进入内部网络。
病毒模式文件更新 ：为了成功对抗新病毒，需要及时更新病毒模式文件。可以进行自动定期更新或按需更新。

2.5.2 扩展职责

阻止垃圾邮件 ：对垃圾邮件和其他不需要的电子邮件流量进行阻止，包括全面的垃圾邮件过滤、自动更新垃圾邮件源和关键字列表，以及可定制的过滤功能。
控制敏感内容 ：控制敏感电子邮件内容的分发，防止机密或不适当的材料流出内部网络，并通过基于自定义配置文件的过滤实现。
优化带宽 ：管理大邮件的传递，以优化网络带宽。通过监控电子邮件流量模式，并根据可定制的标准推迟邮件的传递。
监控网络流量 ：监控正在进行的互联网流量，突然异常增加的外部流量通常意味着病毒攻击。可以根据流量统计预测病毒攻击，并在可疑的互联网流量情况下阻止入站流量。

2.6 病毒墙的实现

病毒墙可以运行在防火墙机器上。如果所使用的机器具有足够的处理硬件能力，这种方法是可行的。但它也很脆弱，因为机器的单个故障可能会导致整个内部网络完全关闭。因此，防火墙 - 病毒墙是关键的内部网络前端服务，显然需要在硬件层面实现冗余。如果已经有两台机器，那么在正常情况下，将这两项服务分别部署在不同的机器上是个不错的选择。如果一台机器出现故障，可以将相应的服务切换到另一台机器上。

下面是防火墙 - 病毒墙配置的流程：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(入站流量):::process
    B --> C{防火墙过滤}:::decision
    C -->|通过| D(转发到病毒墙):::process
    C -->|未通过| E(阻止流量):::process
    D --> F{病毒墙扫描}:::decision
    F -->|无病毒| G(允许进入内部网络):::process
    F -->|有病毒| H(停止并删除邮件):::process
    H --> I(可选:通知发送者和接收者):::process
    E --> J([结束]):::startend
    G --> J
    I --> J

在这种配置中，防火墙和病毒墙软件都安装在两台机器上，但每台机器只激活一个应用程序（防火墙或病毒墙）。两台机器之间始终保持完全通信。入站流量首先被导向防火墙，防火墙将消息转发给病毒墙进行杀毒扫描。扫描后的消息才被允许进入内部网络。如果在消息中检测到病毒或其他恶意代码，消息将被停止并删除，还可以选择通知消息的发送者和接收者。所有内部IP地址都是可编程的，以便于自动重新配置。如果一台机器出现故障，可以通过相对简单的启动/停止脚本在另一台机器上启动故障应用程序，并相应地重新配置内部网络接口。

此外，这种防火墙 - 病毒墙解决方案的另一个好处是可以使用要求较低的硬件。通常，这项任务由两台机器分担，在紧急情况下，速度和性能的一定下降是可以接受的。

3. 代理服务器的原理与作用

代理服务器是一种存储转发缓存，它将内部网络社区与外部互联网世界隔离开来。配置为使用代理服务器的内部网络应用程序永远不会离开内部网络边界，而是始终连接到代理服务器，并请求它处理应用程序请求。

3.1 代理服务器的工作流程

接收请求 ：代理服务器从内部网络用户那里接收对互联网服务的请求（例如，检索网页）。
检查缓存 ：如果请求符合过滤要求，代理服务器会在其本地缓存中查找之前下载的网页。
提供服务 ：
- 缓存命中 ：如果找到请求的页面，代理服务器会直接将页面返回给用户，而无需将请求转发到互联网。
- 缓存未命中 ：如果请求的页面不在缓存中，代理服务器会代表用户作为客户端，使用自己的一个IP地址向Web服务器请求该页面。当页面返回时，代理服务器将其与原始请求关联起来，并转发给用户。

在这个过程中，代理服务器对内部网络用户来说通常是不可见的。所有请求和返回的响应看起来都直接与所寻址的互联网服务器进行交互。但实际上，用户的浏览器或其他协议程序必须知道并将代理服务器的地址指定为配置参数。

3.2 代理服务器的缓存功能

代理服务器通常具有缓存从互联网检索到的文档的能力，但这不是必需的，也可以在不进行文档缓存的情况下运行。如果缓存是其功能的一部分，则称为缓存代理服务器。

3.2.1 缓存的好处

快速响应 ：距离用户更近或连接速度更快的代理服务器可以比远程主服务器更快地提供缓存文档。
减轻负载 ：如果可以从缓存中检索文档，则网络流量会减少。
降低成本 ：减少的流量意味着更低的成本。缓存代理服务器可用于补偿内部或外部网络中昂贵或缓慢的网络流量。

3.2.2 缓存面临的问题及解决方法

缓存的一个主要问题是确定缓存的文档何时过期。缓存的文档不会自动更新，可能与原始文档不同。对于虚拟文档，这种情况尤为明显，因为虚拟文档是根据请求创建的，几乎立即就会过期。缓存代理服务器采取以下三个步骤来解决过时文档的问题：
1. 不缓存虚拟文档 ：对于虚拟文档，代理服务器根本不进行缓存。
2. 设置过期时间 ：为检索到的文档标记过期时间，仅在该时间之前使用其缓存副本。之后，当下一个客户端请求该文档时，会从主服务器检索新的副本。
3. 检查创建时间 ：为每个缓存文档分配创建时间。如果主服务器上的文档没有更改，主服务器将返回一个新的过期时间，而不是整个文档。

3.2.3 缓存空间的问题

另一个与缓存代理服务器相关的问题是所需的缓存空间。通常，最佳缓存空间大小相当适中，实际上并不是一个真正的问题。几GB的磁盘空间似乎足以保持缓存代理服务器的高效运行。在大多数情况下，对于Web文档，命中率保持在40%到50%之间。这意味着一半的Web请求根本不会离开内部网络边界。

3.3 代理服务器的过滤功能

代理服务器还可以过滤数据，其作用类似于防火墙，但比真正的防火墙限制更少。从安全角度来看，为了实现安全目的，最好选择真正的防火墙而不是准防火墙。一些互联网服务提供商（ISP）会让所有用户使用代理服务器，并阻止包含不合适内容的网站，这种做法在一些国家很常见。

代理服务器的代理、过滤（防火墙）和缓存功能可以在多个服务器程序之间分离，也可以组合在一个软件包中。不同的服务器程序可以运行在不同的机器上，因此这些功能甚至可以在物理上分离。甚至缓存功能也可以由与代理服务器不同的设备提供，任何其他组合方式也是可能的。

3.4 代理服务器的双向作用

代理服务器主要是面向内部网络的，它代表内部网络客户端处理外部服务。但代理服务器也可以发挥相反的作用，帮助来自外部的用户获取一些内部服务。在学术环境中，这种情况很常见。例如，图书馆资源应该随时对校内和校外的学生和教职员工开放。当校外用户想要访问图书馆时，他们实际上会连接到一个代理服务器，该服务器首先对他们进行身份验证。之后，通信在用户和代理服务器之间继续进行，代理服务器代表用户访问图书馆资源以获取所需数据。用户只需要适当地配置他们的校外PC以使用代理服务器即可。

3.5 代理服务器的类型

有两种基本类型的代理服务器：
1. 应用代理 ：为用户执行工作，自动化将内部网络客户端连接到外部世界（即互联网服务器）的过程。一切都通过应用代理服务器进行，该服务器还执行必要的日志记录和可选的过滤操作。应用代理服务器还可以对用户进行身份验证，在建立连接之前，代理服务器可以要求用户先登录。对于Web用户来说，这会让每个网站看起来都需要登录。
2. SOCKS代理 ：在客户端和目标服务器之间交叉连接端口，简单地充当传入和传出连接的交换板。SOCKS是一种基于TCP/IP网络应用的通用代理协议，在连接过程中还包括SOCKS服务器和SOCKS客户端两个组件。

3.5.1 SOCKS代理的工作流程

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;

    A(应用客户端):::process --> B(SOCKS代理服务器):::process
    B --> C(应用服务器):::process
    C --> B
    B --> A

当应用客户端需要连接到应用服务器时，客户端连接到SOCKS代理服务器，SOCKS代理服务器代表客户端连接到应用服务器，并在应用客户端和应用服务器之间中继数据。对于应用服务器来说，SOCKS代理服务器就是客户端。SOCKS协议具有以下多种功能：
- 发起连接请求 ：负责发起客户端与服务器之间的连接请求。
- 建立代理电路 ：在客户端和服务器之间建立代理电路，实现数据的中转。

综上所述，防火墙、病毒墙和代理服务器在网络安全防护中都扮演着重要的角色。防火墙主要用于阻挡外部的恶意入侵，控制网络访问；病毒墙专注于防范病毒和其他恶意代码的攻击；代理服务器则在内部网络和外部网络之间起到隔离、缓存和代理服务的作用。通过合理配置和使用这些安全工具，可以有效提高网络的安全性和性能。在实际应用中，需要根据具体的网络环境和安全需求，综合考虑这些工具的特点和功能，制定出适合的网络安全策略。