網(wǎng)絡(luò)安全+第4講+防火墻

1、第4講 防火墻1一、防火墻基本知識(shí)1、防火墻的提出2、防火墻示意圖3、防火墻是什么4、防火墻概念5、防火墻實(shí)現(xiàn)層次6、防火墻功能7、爭議及不足2企業(yè)上網(wǎng) 面 臨 的 安 全 問 題之一: 內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的有效隔離解答: 防火墻網(wǎng)絡(luò)間的訪問 -需隔離 FIREWALL1、防火墻的提出32、防火墻示意圖Internet1. 企業(yè)內(nèi)聯(lián)網(wǎng)2. 部門子網(wǎng)3. 分公司網(wǎng)絡(luò)43、防火墻是什么（1）在一個(gè)受保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來強(qiáng)制執(zhí)行企業(yè)安全策略的一個(gè)或一組系統(tǒng).5防火墻主要用于保護(hù)內(nèi)部安全網(wǎng)絡(luò)免受外部網(wǎng)不安全網(wǎng)絡(luò)的侵害。典型情況：安全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)為因特網(wǎng)。但防火墻不只用于因特

2、網(wǎng)，也可用于Intranet各部門網(wǎng)絡(luò)之間（內(nèi)部防火墻）。例：財(cái)務(wù)部與市場(chǎng)部之間。3、防火墻是什么（2）64、防火墻概念（1）最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時(shí)侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。Rich Kosinski(Internet Security公司總裁）：防火墻是一種訪問控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問。換句話說，防火墻是一道門檻，控制進(jìn)/出兩個(gè)方向的通信。7William Cheswick和Steve Beilovin（1994）：防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的一組組件，這組組件共同具有下列性質(zhì)：只允

3、許本地安全策略授權(quán)的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會(huì)影響信息的流通4、防火墻概念（2）84、防火墻概念（3）簡單的說，網(wǎng)絡(luò)安全的第一道防線 防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。95、防火墻實(shí)現(xiàn)層次106、防火墻功能（1） 基本功能模塊應(yīng)用程序代理包過濾&狀態(tài)檢測(cè)用戶認(rèn)證NATVPN日志IDS與報(bào)警內(nèi)容過濾11防火墻的功能過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄進(jìn)出網(wǎng)絡(luò)的

4、信息和活動(dòng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警6、防火墻功能（2）127、爭議及不足使用不便，認(rèn)為防火墻給人虛假的安全感對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點(diǎn)失效不能替代墻內(nèi)的安全措施不能防范惡意的知情者 不能防范不通過它的連接 不能防范全新的威脅 不能有效地防范數(shù)據(jù)驅(qū)動(dòng)式的攻擊當(dāng)使用端-端加密時(shí)，其作用會(huì)受到很大的限制13防火墻的姿態(tài)拒絕沒有特別允許的任何事情允許沒有特別拒絕的任何事情14機(jī)構(gòu)的安全策略防火墻不是獨(dú)立的，是機(jī)構(gòu)總體安全策略的一部分。安全策略必須建立在精心進(jìn)行的安全分析、風(fēng)險(xiǎn)評(píng)估以及商業(yè)需求分析的基礎(chǔ)上。成本因素。15二、防火墻種類1、防火墻的種類2、包過濾防火墻3、NAT模式4、

5、代理服務(wù)器5、全狀態(tài)檢查161、防火墻的種類防火墻的存在形式：軟件、硬件。根據(jù)防范方式和側(cè)重點(diǎn)的不同可分為四類：包過濾應(yīng)用層代理電路層代理狀態(tài)檢測(cè)172、包過濾防火墻（1）182、包過濾防火墻（2）包的進(jìn)入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會(huì)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。19包過濾防火墻使得防火墻能夠根據(jù)特定的服務(wù)允許或拒絕流動(dòng)的數(shù)據(jù)，因?yàn)槎鄶?shù)的服務(wù)收聽者都在已知的TCP/UDP端口號(hào)上。例如，Telnet服務(wù)器在TCP的23號(hào)端口上監(jiān)聽遠(yuǎn)地連接，而SMTP

6、服務(wù)器在TCP的25號(hào)端口上監(jiān)聽人連接。為了阻塞所有進(jìn)入的Telnet連接，防火墻只需簡單的丟棄所有TCP端口號(hào)等于23的數(shù)據(jù)包。為了將進(jìn)來的Telnet連接限制到內(nèi)部的數(shù)臺(tái)機(jī)器上，防火墻必須拒絕所有TCP端口號(hào)等于23并且目標(biāo)IP地址不等于允許主機(jī)的IP地址的數(shù)據(jù)包。2、包過濾防火墻（3）202、包過濾防火墻（4）數(shù)據(jù)包過濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭：IP源地址IP目標(biāo)地址協(xié)議類型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息類型TCP包頭的ACK位TCP包的序列號(hào)、IP校驗(yàn)和等212、包過濾防火墻（5）UDP的動(dòng)態(tài)數(shù)據(jù)包過濾 流入

7、流出的UDP數(shù)據(jù)報(bào)的源地址、源端口號(hào)、目的地址、目的端口號(hào)要匹配22優(yōu)點(diǎn)： 速度快，性能高 對(duì)用戶透明缺點(diǎn)： 維護(hù)比較困難(需要對(duì)TCP/IP了解） 安全性低 不提供有用的日志，或根本就不提供 不防范數(shù)據(jù)驅(qū)動(dòng)型攻擊 不能根據(jù)狀態(tài)信息進(jìn)行控制 無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制2、包過濾防火墻（6）優(yōu)缺點(diǎn)互連的物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層2324253、NAT模式（1）26NAT的類型靜態(tài)NATNAT池PAT（端口NAT）273、NAT模式（2）283、NAT模式（3）294、代理服務(wù)代理服務(wù)分類：代

8、理服務(wù)可分為應(yīng)用級(jí)代理與電路級(jí)代理：應(yīng)用級(jí)代理針對(duì)每一個(gè)應(yīng)用都有一個(gè)程序，它在應(yīng)用協(xié)議中理解并解釋命令。應(yīng)用級(jí)代理的優(yōu)點(diǎn)為它能解釋應(yīng)用協(xié)議從而獲得更多的信息，缺點(diǎn)為只適用于單一協(xié)議。電路級(jí)代理是在客戶和服務(wù)器之間不解釋應(yīng)用協(xié)議即建立回路。電路級(jí)代理的優(yōu)點(diǎn)在于它能對(duì)各種不同的協(xié)議提供服務(wù)，缺點(diǎn)在于它對(duì)因代理而發(fā)生的情況幾乎不加控制。 304、應(yīng)用級(jí)代理proxy (1)代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。不允許直接在外部網(wǎng)和內(nèi)部網(wǎng)之間建立通信。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“ 鏈接”，由兩個(gè)終止代理服務(wù)器上的“ 鏈接”來實(shí)現(xiàn)外部計(jì)算

9、機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。代理企圖在應(yīng)用層實(shí)現(xiàn)防火墻的功能，代理的主要特點(diǎn)就是有狀態(tài)性。 3132334、應(yīng)用級(jí)代理proxy (2) Telnet代理服務(wù)器344、應(yīng)用級(jí)代理proxy (4) ）應(yīng)用層代理的優(yōu)點(diǎn)應(yīng)用層代理能夠讓網(wǎng)絡(luò)管理員對(duì)服務(wù)進(jìn)行全面的控制，因?yàn)榇響?yīng)用限制了命令集并決定哪些內(nèi)部主機(jī)可以被該服務(wù)訪問。網(wǎng)絡(luò)管理員可以完全控制提供那些服務(wù)，因?yàn)闆]有特定服務(wù)的代理就表示該服務(wù)不提供。35防火墻可以被配置成唯一的可被外部看見的主機(jī)，這樣可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻。應(yīng)用層代理有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。另外，用

10、于應(yīng)用層的過濾規(guī)則相對(duì)于包過濾防火墻來說更容易配置和測(cè)試。代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控制會(huì)話，所以可以提供很詳細(xì)的日志和安全審計(jì)功能。36 應(yīng)用層代理的最大缺點(diǎn)是要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的軟件。比如，透過應(yīng)用層代理Telnet訪問要求用戶通過兩步而不是一步來建立連接。不過，特殊的端系統(tǒng)軟件可以讓用戶在Telnet命令中指定目標(biāo)主機(jī)而不是應(yīng)用層代理來使應(yīng)用層代理透明。 每個(gè)應(yīng)用程序都必須有一個(gè)代理服務(wù)程序來進(jìn)行安全控制，每一種應(yīng)用升級(jí)時(shí)，一般代理服務(wù)程序也要升級(jí)。4、應(yīng)用級(jí)代理proxy (5)應(yīng)用層代理的缺點(diǎn)374、電路級(jí)代理 （1）電路級(jí)網(wǎng)關(guān)

11、不允許端到端的TCP連接。網(wǎng)關(guān)建立兩個(gè)TCP連接，一個(gè)是在網(wǎng)關(guān)本身和內(nèi)部主機(jī)上的一個(gè)TCP用戶之間，一個(gè)是在網(wǎng)關(guān)和外部主機(jī)上的一個(gè)TCP用戶之間。一旦兩個(gè)連接建立起來，網(wǎng)關(guān)從一個(gè)連接向另一個(gè)連接轉(zhuǎn)發(fā)TCP報(bào)文段，而不檢查其內(nèi)容。384、電路級(jí)代理 （2）電路級(jí)網(wǎng)關(guān)的典型應(yīng)用場(chǎng)合是系統(tǒng)管理員信任內(nèi)部用戶的情況。網(wǎng)關(guān)可以配置成在進(jìn)入連接上支持應(yīng)用級(jí)代理服務(wù)，為輸出連接支持電路級(jí)功能。在這種配置中，網(wǎng)關(guān)可能為了禁止功能而導(dǎo)致檢查進(jìn)入的應(yīng)用數(shù)據(jù)的處理開支，但不會(huì)導(dǎo)致輸出數(shù)據(jù)上的處理開支。395、狀態(tài)檢測(cè)技術(shù)（1）狀態(tài)檢測(cè)的特點(diǎn)是監(jiān)測(cè)一個(gè)有效連接的狀態(tài)，在抓獲信息包后對(duì)其進(jìn)行分析并將數(shù)據(jù)包的狀態(tài)信息與前

12、一時(shí)刻的狀態(tài)進(jìn)行比較，在此基礎(chǔ)上決定是否允許該數(shù)據(jù)包通過或丟棄。405、全狀態(tài)檢查（2）狀態(tài)檢測(cè)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：一旦某個(gè)訪問違反安全規(guī)定，就會(huì)拒絕該訪問，并報(bào)告有關(guān)狀態(tài)作日志記錄。具有一定的智能化缺點(diǎn)： 降低網(wǎng)絡(luò)速度配置比較復(fù)雜 不能根據(jù)實(shí)際傳輸?shù)臄?shù)據(jù)內(nèi)容進(jìn)行判斷41三、防火墻體系結(jié)構(gòu)1、雙重宿主主機(jī)體系結(jié)構(gòu)2、屏蔽主機(jī)體系結(jié)構(gòu)3、屏蔽子網(wǎng)體系結(jié)構(gòu)4、其它的防火墻結(jié)構(gòu)421、雙重宿主主機(jī)體系結(jié)構(gòu)（1）雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)筑的。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個(gè)網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往

13、另一網(wǎng)絡(luò)。然而實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP通信。43雙重宿主主機(jī)可以有兩種方式提供服務(wù)，一種是用戶直接登錄到雙重宿主主機(jī)上，另外一種是在雙重宿主主機(jī)上運(yùn)行代理服務(wù)器。 前一種情況，由于需要在在雙重宿主主機(jī)上開設(shè)很多賬號(hào)，管理起來很麻煩，而且也很危險(xiǎn)。44Internet防火墻雙重宿主主機(jī)內(nèi)部網(wǎng)絡(luò)雙重宿主主機(jī)體系結(jié)構(gòu)451、雙重宿主主機(jī)體系結(jié)構(gòu)（2）雙重宿主主機(jī)的特性：安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問（中轉(zhuǎn)站），其性能非常重要。缺點(diǎn)：雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞

14、開大門。462、屏蔽主機(jī)體系結(jié)構(gòu)（1）屏蔽主機(jī)體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承擔(dān)安全責(zé)任。一般這種防火墻較簡單，可能就是簡單的路由器。典型構(gòu)成：包過濾路由器堡壘主機(jī)。包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機(jī)。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)連接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需要擁有高等級(jí)的安全。47因特網(wǎng)482、屏蔽主機(jī)體系結(jié)構(gòu)（2）屏蔽路由器可按如下規(guī)則之一進(jìn)行配置：允許內(nèi)部主機(jī)為了某些服務(wù)請(qǐng)求與外部網(wǎng)上的主機(jī)建立直接連接（即允許那些經(jīng)過過濾的服務(wù)）。不允許所有來自外部主機(jī)的直接連接。安全性更高，雙重保護(hù)：實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安

15、全（代理服務(wù)）。缺點(diǎn)：過濾路由器能否正確配置是安全與否的關(guān)鍵。如果路由器被損害，堡壘主機(jī)將被穿過，整個(gè)網(wǎng)絡(luò)對(duì)侵襲者是開放的。493、屏蔽子網(wǎng)體系結(jié)構(gòu)（1）屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系周邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。 原因：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被侵入的影響。 50Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部路由器堡壘主機(jī)內(nèi)部路由器屏蔽子網(wǎng)體系結(jié)構(gòu)513、屏蔽子網(wǎng)體系結(jié)構(gòu)（2）周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信息服務(wù)器，它們是犧牲主機(jī)，可能會(huì)受到攻擊，

16、因此又被稱為非軍事區(qū)（DMZ）。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽。523、屏蔽子網(wǎng)體系結(jié)構(gòu)（3）堡壘主機(jī)堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個(gè)防御體系的核心。堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運(yùn)行各種代理服務(wù)程序。對(duì)于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過堡壘主機(jī)代理，但對(duì)于入站服務(wù)應(yīng)要求所有服務(wù)都通過堡壘主機(jī)。533、屏蔽子網(wǎng)體系結(jié)構(gòu)（4）外部路由器（訪問路由器）作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機(jī)。防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來自周邊網(wǎng)絡(luò)。內(nèi)部路由器（阻塞路由器）作用：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行

17、大部分過濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。544、其它的防火墻結(jié)構(gòu)（1）一個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)示意圖DMZ堡壘主機(jī)內(nèi)部網(wǎng)外部路由器Internet554、其它的防火墻結(jié)構(gòu)（3）兩個(gè)堡壘主機(jī)和兩個(gè)非軍事區(qū)外部DMZ外部堡壘主機(jī)內(nèi)部網(wǎng)外部路由器Internet內(nèi)部堡壘主機(jī)內(nèi)部DMZ56四、防火墻的選用1、整體安全策略2、防火墻的姿態(tài)3、防火墻的費(fèi)用571、整體安全策略（1）如果企業(yè)想要對(duì)其網(wǎng)絡(luò)作充分保護(hù)，就必須實(shí)施一套完整的策略。在一定的安全水平和用戶獲得信息的能力之間達(dá)成一種很好的平衡。58安全策略是一個(gè)正式的規(guī)則聲明，獲準(zhǔn)訪問組織的技術(shù)和信息資產(chǎn)的人必須遵守這些規(guī)則。安全策

18、略本質(zhì)上就是一個(gè)文件，該文件對(duì)企業(yè)如何使用保護(hù)和保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)資源進(jìn)行了概括。（RFC2196 Site Security Handbook）1、整體安全策略（2）59建立了企業(yè)當(dāng)前安全狀態(tài)的一個(gè)基線為安全實(shí)施設(shè)定框架定義了允許和禁止的行為幫助確定必要的工具和程序達(dá)成一致意見并定義角色定義了如何去處理安全實(shí)踐1、整體安全策略（3） 重要性60安全策略的主要目標(biāo)是讓用戶、職員和管理層意識(shí)到各自在保護(hù)組織技術(shù)和信息資產(chǎn)方面的責(zé)任。簡單說，就是告訴所有用戶可以在網(wǎng)絡(luò)中做什么以及不可以做什么，以及應(yīng)該做什么。安全策略應(yīng)該盡可能明確，避免模棱兩可和容易誤解的內(nèi)容。每個(gè)公司的安全策略都可能不同，只要滿足公司目標(biāo)即可。1、整體安全策略（）61