防火墻技術的原理與應用

1、防火墻技術的原理與應用學習內容 8.1 防火墻概述 8.2 防火墻技術與類型 8.3 防火墻主要技術參數(shù) 8.4 防火墻防御體系結構類型 8.5 防火墻部署與應用案例8.6 本章小結 本章思考與練習 2.8.1 防 火 墻 概 述 8.1.1 防火墻技術背景目前，各組織機構都是通過便利的公共網絡與客戶、合作伙伴進行信息交換的，但是，一些敏感的數(shù)據有可能泄露給第三方，特別是連上因特網的網絡將面臨黑客的攻擊和入侵。為了應對網絡威脅，連網的機構或公司將自己的網絡與公共的不可信任的網絡進行隔離，其方法是根據網絡的安全信任程度和需要保護的對象，人為地劃分若干安全區(qū)域，這些安全區(qū)域有： 3.* 公共外部網

2、絡，如Internet。* 內聯(lián)網(Intranet)，如某個公司或組織的專用網絡，網絡訪問限制在組織內部。* Extranet，是內聯(lián)網的擴展延伸，常用作組織與合作伙伴之間進行通信。* 軍事緩沖區(qū)域，簡稱DMZ，該區(qū)域是介于內部網絡和外部網絡之間的網絡段，常放置公共服務設備，向外提供信息服務。 4.在安全區(qū)域劃分的基礎上，通過一種網絡安全設備，控制安全區(qū)域間的通信，就能實現(xiàn)隔離有害通信的作用，進而可以阻斷網絡攻擊。這種安全設備的功能類似于防火使用的墻，因而人們就把這種安全設備俗稱為“防火墻”，它一般安裝在不同的安全區(qū)域邊界處，用于網絡通信安全控制，由專用硬件或軟件系統(tǒng)組成。

3、防火墻工作原理防火墻是由一些軟、硬件組合而成的網絡訪問控制器，它根據一定的安全規(guī)則來控制流過防火墻的網絡包，如禁止或轉發(fā)，能夠屏蔽被保護網絡內部的信息、拓撲結構和運行狀況，從而起到網絡安全屏障的作用。防火墻一般用來將內部網絡與Internet或者其他外部網絡互相隔離，限制網絡互訪，保護內部網絡的安全，如圖8-1所示。 6.圖8-1 防火墻部署安裝示意圖 7.防火墻根據網絡包所提供的信息實現(xiàn)網絡通信訪問控制：如果網絡通信包符合網絡訪問控制策略，就允許該網絡通信包通過防火墻，否則不允許，如圖8-2所示。防火墻的安全策略有兩種類型，即：(1) 只允許符合安全規(guī)則的包通過防火墻，其他通信包禁止。(2)

4、 禁止與安全規(guī)則相沖突的包通過防火墻，其他通信包都允許。 8.圖8-2 防火墻工作示意圖 9.防火墻簡單的可以用路由器、交換機實現(xiàn)，復雜的就要用一臺計算機，甚至一組計算機實現(xiàn)。按照TCP/IP協(xié)議的層次，防火墻的訪問控制可以作用于網絡接口層、網絡層、傳輸層、應用層，首先依據各層所包含的信息判斷是否遵循安全規(guī)則，然后控制網絡通信連接，如禁止、允許。防火墻簡化了網絡的安全管理。如果沒有它，網絡中的每個主機都處于直接受攻擊的范圍之內。為了保護主機的安全，就必須在每臺主機上安裝安全軟件，并對每臺主機都要定時檢查和配置更新。歸納起來，防火墻的功能有：* 過濾非安全網絡訪問。將防火墻設置為只有預先被允許的

5、服務和用戶才能通過防火墻，禁止未授權的用戶訪問受保護的網絡，降低被保護網絡受非法攻擊的風險。 10.* 限制網絡訪問。防火墻只允許外部網絡訪問受保護網絡的指定主機或網絡服務，通常受保護網絡中的Mail、FTP、WWW服務器等可讓外部網絡訪問，而其他類型的訪問則予以禁止。防火墻也用來限制受保護網絡中的主機訪問外部網絡的某些服務，例如某些不良網址。* 網絡訪問審計。防火墻是外部網絡與受保護網絡之間的惟一網絡通道，可以記錄所有通過它的訪問并提供網絡使用情況的統(tǒng)計數(shù)據。依據防火墻的日志，可以掌握網絡的使用情況，例如網絡通信帶寬和訪問外部網絡的服務數(shù)據。防火墻的日志也可用于入侵檢測和網絡攻擊取證。 11

6、.* 網絡帶寬控制。防火墻可以控制網絡帶寬的分配使用，實現(xiàn)部分網絡質量服務(QoS)保障。* 協(xié)同防御。目前，防火墻和入侵檢測系統(tǒng)通過交換信息實現(xiàn)聯(lián)動，根據網絡的實際情況配置并修改安全策略，增強網絡安全。 防火墻缺陷盡管防火墻有許多防范功能，但它也有一些力不能及的地方，因為防火墻只能對通過它的網絡通信包進行訪問控制，所以對未經過它的網絡通信就無能為力了。例如，如果允許從內部網絡直接撥號訪問外部網絡，則防火墻就失效了，攻擊者通過用戶撥號連接直接訪問內部網絡，繞過防火墻控制，也能造成潛在的攻擊途徑。 13.除此之外，防火墻還有一些脆弱點，例如:* 防火墻不能完全防止感染病毒的軟件

7、或文件傳輸。防火墻是網絡通信的瓶頸，因為已有的病毒、操作系統(tǒng)以及加密和壓縮二進制文件的種類太多，以致于不能指望防火墻逐個掃描每個文件查找病毒，而只能在每臺主機上安裝反病毒軟件。* 防火墻不能防止基于數(shù)據驅動式的攻擊。當有些表面看來無害的數(shù)據被郵寄或復制到主機上并被執(zhí)行而發(fā)起攻擊時，就會發(fā)生數(shù)據驅動攻擊效果。防火墻對此無能為力。* 防火墻不能完全防止后門攻擊。防火墻是粗粒度的網絡訪問控制，某些基于網絡隱蔽通道的后門能繞過防火墻的控制，例如http tunnel等。 14.8.2 防火墻技術與類型 8.2.1 包過濾包過濾是在IP層實現(xiàn)的防火墻技術。包過濾根據包的源IP地址、目的IP地址、源端口、

8、目的端口及包傳遞方向等包頭信息判斷是否允許包通過。此外，還有一種可以分析包中數(shù)據區(qū)內容的智能型包過濾器?；诎^濾技術的防火墻，簡稱包過濾型防火墻，英文表示就是Packet Filter，其工作機制如圖8-3所示。 15.圖8-3 包過濾工作機制 16.目前，包過濾是防火墻的基本功能之一。多數(shù)現(xiàn)代的IP路由軟件或設備都支持包過濾功能，并默認轉發(fā)所有的包。ipf、ipfw、ipfwadm是有名的自由過濾軟件，可以運行在Linux操作系統(tǒng)平臺上。包過濾的控制依據是規(guī)則集，典型的過濾規(guī)則表示格式由規(guī)則號、匹配條件、匹配操作三部分組成，包過濾規(guī)則格式隨所使用的軟件或防火墻設備的不同而略有差異，但一般的

9、包過濾防火墻都用源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型(UDP，TCP，ICMP)、通信方向及規(guī)則運算符來描述過濾規(guī)則條件。而匹配操作有拒絕、轉發(fā)、審計等三種。表8-1是包過濾型防火墻過濾規(guī)則表，這些規(guī)則的作用在于只允許內、外網的郵件通信，其他的通信都禁止。 17.表8-1 防火墻過濾規(guī)則表 18.包過濾型防火墻對用戶透明，合法用戶在進出網絡時，感覺不到它的存在，使用起來很方便。在實際網絡安全管理中，包過濾技術經常用來進行網絡訪問控制。下面以Cisco IOS為例，說明包過濾器的作用。Cisco IOS有兩種訪問規(guī)則形式，即標準IP訪問表和擴展IP訪問表，它們的區(qū)別主要是訪問

10、控制的條件不一樣。標準IP訪問表只是根據IP包的源地址進行。標準IP訪問控制規(guī)則的格式如下：assess-list list-mumberdeny|pernitsourcesource-wildcardlog 19.而擴展IP訪問規(guī)則的格式是:assess-list list-mumberdeny|pernitprotocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifierslog|log-input其中：* 標準IP訪問控制規(guī)則的list-number

11、規(guī)定為199，而擴展IP訪問規(guī)則的list-number規(guī)定為100199； 20.* deny表示若經過Cisco IOS過濾器的包條件匹配，則禁止該包通過；* permit表示若經過Cisco IOS過濾器的包條件匹配，則允許該包通過；* source表示來源的IP地址；* source-wildcard 表示發(fā)送數(shù)據包的主機IP地址的通配符掩碼，其中1代表“忽略”，0代表“需要匹配”，any代表任何來源的IP包；* destination表示目的IP地址；* destination-wildcard 表示接收數(shù)據包的主機IP地址的通配符掩碼；* protocol 表示協(xié)議選項，如IP、I

12、CMP、UDP、TCP等；* log 表示記錄符合規(guī)則條件的網絡包。 21.下面給出一個例子，用Cisco路由器防止DDoS攻擊，配置信息如下：! the TRINOO DDoS systemsaccess-list 170 deny tcp any any eq 27665 logaccess-list 170 deny udp any any eq 31335 logaccess-list 170 deny udp any any eq 27444 log! the Stacheldraht DDoS systemsaccess-list 170 deny tcp any any eq 1

13、6660 logaccess-list 170 deny tcp any any eq 65000 log! the TrinityV3 systems 22.access-list 170 deny tcp any any eq 33270 logaccess-list 170 deny tcp any any eq 39268 log! the Subseven systems and some variantsaccess-list 170 deny tcp any any range 6711 6712 logaccess-list 170 deny tcp any any eq 67

14、76 logaccess-list 170 deny tcp any any eq 6669 logaccess-list 170 deny tcp any any eq 2222 logaccess-list 170 deny tcp any any eq 7000 log 23.簡而言之，包過濾成為當前解決網絡安全問題的重要技術之一，不僅可以用在網絡邊界上，而且也可應用在單臺主機上。例如，現(xiàn)在的個人防火墻以及Windows 2000和Windows XP都提供了對TCP、UDP等協(xié)議的過濾支持，用戶可以根據自己的安全需求，通過過濾規(guī)則的配置來限制外部對本機的訪問。圖8-4是利用Window

15、s 2000系統(tǒng)自帶的包過濾功能對139端口進行過濾，這樣可以阻止基于RPC的漏洞攻擊。 24.圖8-4 Windows 2000過濾配置示意圖 25.包過濾防火墻技術的優(yōu)點是低負載、高通過率、對用戶透明；但是包過濾技術的弱點是不能在用戶級別進行過濾，如不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設置成一個合法主機的IP地址，就可以輕易通過包過濾器。 應用服務代理應用服務代理防火墻扮演著受保護網絡的內部網主機和外部網絡主機的網絡通信連接“中間人”的角色，代理防火墻代替受保護網絡的主機向外部網絡發(fā)送服務請求，并將外部服務請求響應的結果返回給受保護網絡的

16、主機，如圖8-5所示。 27.圖8-5 代理服務工作流程示意圖 28.采用代理服務技術的防火墻簡稱代理服務器，它能夠提供在應用級的網絡安全訪問控制。代理服務器按照所代理的服務可以分為FTP代理、TELENET、HTTP代理、SOCKET代理、郵件代理等。代理服務器通常由一組按應用分類的代理服務程序和身份驗證服務程序構成。每個代理服務程序應用到一個指定的網絡端口，代理客戶程序通過該端口獲得相應的代理服務。例如，IE瀏覽器支持多種代理配置，包括HTTP、FTP、SOCKs等，如圖8-6所示。 29.圖8-6 IE瀏覽器配置示意圖 30.代理服務技術也是常用的防火墻技術，安全管理員為了對內部網絡用戶

17、進行應用級上的訪問控制，常安裝代理服務器，如圖8-7所示。受保護內部用戶對外部網絡訪問時，首先需要通過代理服務器的認可，才能向外提出請求，而外網的用戶只能看到代理服務器，從而隱藏了受保護網的內部結構及用戶的計算機信息。因而，代理服務器可以提高網絡系統(tǒng)的安全性。應用服務代理技術的優(yōu)點是： 31.圖8-7 代理服務器工作示意圖 32.* 不允許外部主機直接訪問內部主機；* 支持多種用戶認證方案；* 可以分析數(shù)據包內部的應用命令；* 可以提供詳細的審計記錄。而它的缺點是：* 速度比包過濾慢；* 對用戶不透明；* 與特定應用協(xié)議相關聯(lián)，代理服務器并不能支持所有的網絡協(xié)議。 網絡地址轉

18、換NAT是“Network Address Translation”的英文縮寫，中文的意思是“網絡地址轉換”。NAT技術主要是為了解決公開地址不足而出現(xiàn)的，它可以緩解少量因特網IP地址和大量主機之間的矛盾。但NAT技術用在網絡安全應用方面，則能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，從而提高內部網絡的安全性?；贜AT技術的防火墻上裝有一個合法的IP地址集，當內部某一用戶訪問外網時，防火墻動態(tài)地從地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法地址進行通信。34.實現(xiàn)網絡地址轉換的方式有：靜態(tài)NAT(staticNAT)、NAT池(pooledNAT)和

19、端口NAT(PAT)三種類型。其中，靜態(tài)NAT設置起來最為簡單，此時內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而NAT池則是在外部網絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內部網絡。PAT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。NAT的三種方式目前已被許多的路由器產品支持。在路由器上定義啟用NAT的一般步驟如下： 35.第一步，確定使用NAT的接口，通常將連接到內部網絡的接口設定為NAT內部接口，將連接到外網的接口設定為NAT的外部接口。第二步，設定內部全局地址的轉換地址及轉換方式。第三步，根據需要將外部全局地址轉換為外部本地地址。目前，專用的防

20、火墻產品都支持地址轉換技術，比較常見的有：IP-Filter和iptable。IP-Filter的功能強大，它可完成ipfwadm、ipchains、ipfw等防火墻的功能，而且安裝配置相對比較簡單。 36.8.3 防火墻主要技術參數(shù) 8.3.1 防火墻功能指標防火墻主要功能類指標項如表8-2所示。 37.表8-2 防火墻主要功能類指標項 防火墻性能指標評估防火墻性能指標涉及到防火墻所采用的技術，根據現(xiàn)有防火墻產品，防火墻在性能方面的指標主要有：* 最大吞吐量：檢查防火墻在只有一條默認允許規(guī)則和不丟包的情況下達到的最大吞吐速率。* 轉送速率：檢查防火墻在通常安全規(guī)則發(fā)生作用的

21、情況下，能以多快的速度轉送正常的網絡通信量。* 最大規(guī)則數(shù)：檢查在添加大數(shù)量訪問規(guī)則的情況下，防火墻的性能變化狀況。* 并發(fā)連接數(shù)：防火墻在單位時間內所能建立的最大TCP 連接數(shù)，即每秒的連接數(shù)。 防火墻安全指標由于防火墻在網絡安全中扮演著重要的角色，因此防火墻的自身安全至關重要。當前，評價防火墻的安全功能的指標主要有：* 入侵實時警告：防火墻能夠對自身和受保護網絡的非法攻擊進行多種告警，如聲音、日志、郵件、呼機、手機等。* 實時入侵防范：提供實時入侵響應功能，當發(fā)生入侵事件時，防火墻能夠動態(tài)響應，調整安全策略，阻擋惡意報文。 40.* 抗攻擊性要求：防火墻具有抵抗針對本身和

22、受保護網絡的攻擊能力，這些攻擊包括IP地址欺騙、拒絕服務攻擊、滲透性攻擊等。* 防火墻所采用的操作系統(tǒng)應是安全可信的：防火墻應采用安全的操作系統(tǒng)或安全增強型的操作系統(tǒng)。 41.8.4 防火墻防御體系結構類型8.4.1 基于雙宿主主機防火墻結構基于雙宿主主機結構是最基本的防火墻系統(tǒng)結構。這種系統(tǒng)實質上是至少具有兩個網絡接口卡的主機系統(tǒng)。在這種結構中，一般都是將一個內部網絡和外部網絡分別連接在不同的網卡上，使內外網絡不能直接通信。對從一塊網卡上送來的IP包，經過一個安全檢查模塊檢查后，如果是合法的，則轉發(fā)到另一塊網卡上，以實現(xiàn)網絡的正常通信；如果不合法，則阻止通信。這樣，內外網絡直接的IP數(shù)據流完

23、全在雙宿主主機的控制之中，如圖8-8所示。 42.圖8-8 雙宿主主機防火墻結構 基于代理型防火墻結構雙宿主主機結構由一臺同時連接內外網絡的主機提供安全保障，代理型結構則不同。代理型結構中由一臺主機同外部網連接，該主機代理內部網和外部網的通信。同時，代理型結構中還包括過濾路由器，即代理服務器和路由器共同構建了一個網絡安全邊界防御架構，如圖8-9所示。 44.圖8-9 代理型防火墻結構 45.在這種結構中，代理主機位于內部網絡。一般情況下，過濾路由器可按如下規(guī)則進行配置：* 允許其他內部主機為某些類型的服務請求與外部網絡建立直接連接。* 任何外部網(或Internet)的主機只

24、能與內部網絡的代理主機建立連接。* 任何外部系統(tǒng)對內部網絡的操作都必須經過代理主機。同時，代理主機本身要求要有較全面的安全保護。 46.由于這種結構允許包從外部網絡直接傳送到內部網(代理主機)，因此這種結構的安全控制看起來似乎比雙宿主主機結構差。在雙宿主主機結構中，外部網絡的包理論上不可能直接抵達內部網。但實際上，應用雙宿主主機結構防護數(shù)據包從外部網絡進入內部網絡也很容易失敗，并且這種失敗是隨機的，所以無法有效地預先防范。一般來說，代理型結構比雙宿主主機結構能提供更好的安全保護，同時操作也更加簡便。代理型結構的主要缺點是，只要攻擊者設法攻破了代理主機，那么對于攻擊者來說，整個內部網絡與代理主機

25、之間就沒有任何障礙了，攻擊者變成了內部合法用戶，完全可以偵聽到內部網絡上的所有信息。 基于屏蔽子網的防火墻結構如圖8-10所示，子網過濾結構是在代理型結構中增加了一層周邊網絡的安全機制，使內部網絡和外部網絡有兩層隔離帶。周邊網絡隔離堡壘主機與內部網，減輕攻擊者攻破堡壘主機時對內部網絡的沖擊力。攻擊者即使攻破了堡壘主機，也不能偵聽到內部網絡的信息，不能對內部網絡直接操作?；谄帘巫泳W的防火墻結構的特點是：* 應用代理位于被屏蔽子網中，內部網絡向外公開的服務器也放在被屏蔽子網中，外部網絡只能訪問被屏蔽子網，不能直接進入內部網絡。 48.* 兩個包過濾路由器的功能和配置是不同的，包

26、過濾路由器A的作用是過濾外部網絡對被屏蔽子網的訪問。包過濾路由器B的作用是過濾被屏蔽子網對內部網絡的訪問。所有外部網絡經由被屏蔽子網對內部網絡的訪問，都必須經過代理服務器的檢查和認證。* 優(yōu)點：安全級別最高。* 缺點：成本高，配置復雜。 49.圖8-10 屏蔽子網防火墻結構 50.8.5 防火墻部署與應用案例 8.5.1 防火墻部署的基本方法與步驟防火墻部署是指根據受保護的網絡環(huán)境和安全策略，如網絡物理結構或邏輯區(qū)域，將防火墻安裝在網絡系統(tǒng)中的過程。防火墻部署的基本過程包含以下幾個步驟：第一步，根據組織或公司的安全策略要求，將網絡劃分成若干安全區(qū)域；第二步，在安全區(qū)域之間設置針對網絡通信的訪問

27、控制點；第三步，針對不同訪問控制點的通信業(yè)務需求，制定相應的邊界安全策略； 51.第四步，依據控制點的邊界安全策略，采用合適的防火墻技術和防范結構；第五步，在防火墻上，配置實現(xiàn)對應的邊界安全策略；第六步，測試并驗證邊界安全策略是否正常執(zhí)行。第七步，運行和維護防火墻。 基于Cisco路由器的安全應用案例 圖8-11 某公司的網絡結構 53.為了保證內部網絡和路由器的安全，特定義如下安全策略：* 只允許指定的主機收集SNMP管理信息；* 禁止來自外部網絡的非法通信流通過；* 禁止來自內部網絡的非法通信流通過；* 只允許指定的主機遠程訪問路由器。 54.Cisco 路由器的安全配置

28、信息如下：Hostname East!interface Ethernet 0 description Outside interface to the /16 networkip address0 ip access-group 100 in!interface Ethernet 1 description Inside interface to the /24 network ip address 55.0 ip access-group 102 in 55.!router ospf 44network 55 area 0network 55 area 1! access-list 75

29、applies to hosts allowed to gather SNMP info! from this routerno access-list 75access-list 75 permit host access-list 75 permit host 8! 56.! access-list 100 applies to traffic from external networks! to the internal network or to the routerno access-list 100access-list 100 deny ip 55 any logaccess-l

30、ist 100 deny ip host 0 host 0 logaccess-list 100 deny ip 55any logaccess-list 100 deny ip 55any log57.access-list 100 deny ip 55 any logaccess-list 100 deny ip 55 any log access-list 100 deny ip 55 any logaccess-list 100 deny ip 55 any logaccess-list 100 deny ip 55 any logaccess-list 100 deny ip 55a

31、ny logaccess-list 100 deny ip any host 55 logaccess-list 100 deny ip any host logaccess-list 100 permit tcp any 55 establishedaccess-list 100 deny icmp any any echo log access-list 100 deny icmp any any redirect log 58.access-list 100 deny icmp any any mask-request logaccess-list 100 permit icmp any

32、 55access-list 100 permit ospf 55 host 0access-list 100 deny tcp any any range 6000 6063 logaccess-list 100 deny tcp any any eq 6667 log access-list 100 deny tcp any any range 12345 12346 logaccess-list 100 deny tcp any any eq 31337 log access-list 100 permit tcp any eq20 55 gt 1023access-list 100 d

33、eny udp any any eq 2049 log access-list 100 deny udp any any eq 31337 log 59.access-list 100 deny udp any any range 33400 34400 logaccess-list 100 permit udp any eq 53 55 gt 1023access-list 100 deny tcp any range 0 65535 any range 0 65535 logaccess-list 100 deny udp any range 0 65535 any range 0 655

34、35 logaccess-list 100 deny ip any any log! access-list 102 applies to traffic from the internal network! to external networks or to the router itselfno access-list 102 access-list 102 deny ip host 50 host 50 logaccess-list 102 permit icmp 55 any echo access-list 102 permit icmp 55 any parameter-prob

35、lem 60.access-list 102 permit icmp 55 any packet-too-bigaccess-list 102 permit icmp 55 any source-quenchaccess-list 102 deny tcp any any range 1 19 logaccess-list 102 deny tcp any any eq 43 logaccess-list 102 deny tcp any any eq 93 logaccess-list 102 deny tcp any any range 135 139 logaccess-list 102 deny tcp any any eq 445 l