第7章 防火墻技術

第7章防火墻技術

2

課程主要內(nèi)容防火墻概述防火墻體系結構防火墻分類防火墻配置

2

3

防火墻的英文名稱為Firewall，該詞是早期建筑領域的專用術語，原指建筑物間的一堵隔離墻，用途是在建筑物失火時阻止火勢的蔓延。

在現(xiàn)代計算機網(wǎng)絡中，防火墻通常位于一個可信任的內(nèi)部網(wǎng)絡與一個不可信任的外界網(wǎng)絡之間，用于保護內(nèi)部網(wǎng)絡免受非法用戶的入侵。它在網(wǎng)絡環(huán)境下構筑內(nèi)部網(wǎng)和外部網(wǎng)之間的保護層，并通過網(wǎng)絡路由和信息過濾的安全實現(xiàn)網(wǎng)絡的安全，其會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。

§7.1

防火墻概述

3

4防火墻系統(tǒng)的邏輯部署下圖所示。防火墻邏輯部署示意圖

4

通常防火墻建立在內(nèi)部網(wǎng)和Internet之間的一個路由器或計算機上，該計算機也叫堡壘主機。它就如同一堵帶有安全門的墻，可以阻止外界對內(nèi)部網(wǎng)資源的非法訪問和通行合法訪問，也可以防止內(nèi)部對外部網(wǎng)的不安全訪問和通行安全訪問。

5

防火墻一般具有三個顯著的特性：

（1）內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻；只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)內(nèi)部網(wǎng)絡不受侵害。

（2）只有符合安全策略的數(shù)據(jù)流才能通過防火墻

；

防火墻最基本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉發(fā)到另外的鏈路上去。

（3）防火墻自身應具有非常強的抗攻擊免疫力。

這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡安全防護重任的先決條件。

6

7防火墻的功能：

防火墻最基本的功能就是控制在計算機網(wǎng)絡中不同信任程度區(qū)域間傳送的數(shù)據(jù)流。

具體體現(xiàn)在以下四個方面：

（1）防火墻是網(wǎng)絡安全的屏障；

（2）防火墻可以強化網(wǎng)絡安全策略；

（3）防火墻可以對網(wǎng)絡存取和訪問進行監(jiān)控審計；

（4）防火墻可以防范內(nèi)部信息的外泄。

除此上述的安全防護功能之外，防火墻上還可以提供網(wǎng)絡地址轉換（NAT），虛擬專用網(wǎng)（VPN）等其他功能?！?.1

防火墻概述

7

8防火墻的缺陷：

防火墻是網(wǎng)絡安全體系中的重要組成部分，但是僅通過防火墻技術是不能解決所有的安全問題的，防火墻在安全防范中的主要缺陷包括：傳統(tǒng)的防火墻不能防范來自內(nèi)部網(wǎng)絡的攻擊；防火墻不能防范不通過防火墻的攻擊；防火墻不能防范惡意代碼的傳輸；防火墻不能防范利用標準協(xié)議缺陷進行的攻擊；防火墻不能防范利用服務器系統(tǒng)漏洞進行的攻擊；防火墻不能防范未知的網(wǎng)絡安全問題；防火墻對已有的網(wǎng)絡服務有一定的限制?！?.1

防火墻概述

8

防火墻技術分代出現(xiàn)時間采用技術第一代防火墻1984年包過濾技術第二代防火墻1989年應用網(wǎng)關技術第三代防火墻1992年狀態(tài)檢測技術第四代防火墻1998年自適應代理技術基于防火墻技術原理分類：有包過濾防火墻、代理服務器防火墻、狀態(tài)檢測防火墻和自適應代理防火墻§7.2

防火墻分類

9

101.包過濾技術

包過濾技術也稱為分組過濾技術。它在網(wǎng)絡層截獲網(wǎng)絡數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為，在網(wǎng)絡層提供較低級別的安全防護和控制。過濾規(guī)則以用于IP順行處理的包頭信息為基礎，不理會包內(nèi)的正文信息內(nèi)容。

包過濾工作原理示意圖§7.2

防火墻分類

10

11分組過濾防火墻的過濾規(guī)則示例

上例中，規(guī)則庫中僅有4條規(guī)則。規(guī)則1允許內(nèi)網(wǎng)的機器（10.1.1.*網(wǎng)段）訪問外網(wǎng)服務；規(guī)則2允許外界通過端口80訪問內(nèi)網(wǎng)的服務器，即打開的web服務器對外的HTTP服務；規(guī)則3允許外界通過端口53訪問內(nèi)網(wǎng)的服務器，53號端口是DNS服務；規(guī)則4禁止了所有其它類型的數(shù)據(jù)包。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許10.1.1.****TCP2允許*>102380TCP3允許*>102353UDP4禁止任意任意任意任意任意§7.2

防火墻分類

11

包過濾防火墻是最簡單的防火墻，通常它只包括對源IP地址和目的IP地址及端口的檢查。包過濾防火墻通常是一個具有包過濾功能的路由器。因為路由器工作在網(wǎng)絡層，因此包過濾防火墻又叫網(wǎng)絡層防火墻。包過濾是在網(wǎng)絡的出口(如路由器上)對通過的數(shù)據(jù)包進行檢測，只有滿足條件的數(shù)據(jù)包才允許通過，否則被拋棄。這樣可以有效地防止惡意用戶利用不安全的服務對內(nèi)部網(wǎng)進行攻擊。

12

13包過濾技術的優(yōu)勢包過濾技術的優(yōu)勢在于其容易實現(xiàn)，費用少，對性能的影響不大，對流量的管理較出色；使用一個過濾路由器就能協(xié)助保護整個網(wǎng)絡，目前多數(shù)Internet防火墻系統(tǒng)只用一個包過濾路由器；包過濾速度快、效率高。執(zhí)行包過濾，由于只檢查報頭相應的字段，不查看數(shù)據(jù)報的內(nèi)容；包過濾對終端用戶和應用程序是透明的。當數(shù)據(jù)包過濾路由器決定讓數(shù)據(jù)包通過時，它與普通路由器沒什么區(qū)別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每個主機上設置特別的軟件。

13

14包過濾技術的局限性

定義包過濾器可能是一項復雜的工作。網(wǎng)絡管理人員需要詳細地了解Internet各種服務、包頭格式和希望每個域查找的特定的值。

路由器數(shù)據(jù)包的吞吐量隨過濾器數(shù)量的增加而減少。

不能徹底防止地址欺騙。大多數(shù)包過濾路由器都是基于源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。

一些包過濾路由器不提供或只提供有限的日志能力，有可能直到入侵發(fā)生后，危險的包才可能檢測出來。

包過濾技術不能進行應用層的深度檢查，因此不能發(fā)現(xiàn)傳輸?shù)膼阂獯a及攻擊數(shù)據(jù)包?！?.2

防火墻分類

14

152.應用網(wǎng)關技術

應用網(wǎng)關（ApplicationGateway）技術又被稱為代理技術。它的邏輯位置在OSI7層協(xié)議的應用層上。應用代理防火墻比分組過濾防火墻提供更高層次的安全性，但這是以喪失對應用程序的透明性為代價的。

應用代理防火墻工作流程圖§7.2

防火墻分類

15

代理服務是運行在防火墻主機上的特定的應用程序或服務程序。防火墻主機可以是具有一個內(nèi)部網(wǎng)接口和一個外部網(wǎng)接口的雙穴(DuelHomed)主機，也可以是一些可以訪問Internet并可被內(nèi)部主機訪問的堡壘主機。代理服務位于內(nèi)部用戶和外部服務之間。代理程序在幕后處理所有用戶和Internet服務之間的通信以代替相互間的直接交談。感覺的連接實際的連接代理服務器內(nèi)部網(wǎng)絡Internet真正的服務器客戶機

16

17應用代理防火墻能夠提供更高層次的安全性：首先應用代理防火墻將保護網(wǎng)絡與外界完全隔離，并提供更細致的日志。這有助于發(fā)現(xiàn)入侵行為；應用代理防火墻本身是一臺主機，可以執(zhí)行諸如身份驗證等功能；應用代理防火墻檢測的深度更深，能夠進行應用級的過濾。

例如，有的應用代理防火墻可以過濾FTP連接并禁止FTP的“put”命令，從而保證用戶不能往匿名FTP服務器上寫入數(shù)據(jù)；由于域名系統(tǒng)（DNS）的信息不會從受保護的內(nèi)部網(wǎng)絡傳到外界，所以站點系統(tǒng)的名字和IP地址對Internet是隱蔽的。§7.2

防火墻分類

17

對于用戶，代理服務器給用戶一種直接使用“真正”服務器的感覺；對于真正的服務器，代理服務器給真正服務器一種在代理主機上直接處理用戶的假象。用戶將對“真正”服務器的請求交給代理服務器，代理服務器評價來自客戶的請求，并作出認可或否認的決定。如果一個請求被認可，代理服務器就代表客戶將請求轉發(fā)給“真正”的服務器，并將服務器的響應返回給代理客戶。

18

193.狀態(tài)檢測技術

狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。

與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，狀態(tài)檢測技術具有更好的靈活性和安全性。狀態(tài)檢測防火墻是包過濾技術及應用代理技術的一個折衷。。

§7.2

防火墻分類

19

狀態(tài)檢測防火墻監(jiān)視每一個有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡數(shù)據(jù)包是否能通過防火墻。它在協(xié)議底層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當前數(shù)據(jù)包和狀態(tài)信息與前一時刻的數(shù)據(jù)包和狀態(tài)信息進行比較，從而得到該數(shù)據(jù)包的控制信息，來達到保護網(wǎng)絡安全的目的。狀態(tài)檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，能夠根據(jù)協(xié)議、端口及源地址、目的地址的具體情況決定數(shù)據(jù)包是否可以通過。對于每個安全策略允許的請求，狀態(tài)檢測防火墻啟動相應的進程，可以快速地確認符合授權標準的數(shù)據(jù)包，這使得本身的運行速度很快?！?.2

防火墻分類

20

狀態(tài)檢測防火墻試圖跟蹤通過防火墻的網(wǎng)絡連接和包，這樣它就可以使用一組附加的標準，以確定是否允許和拒絕通信。狀態(tài)檢測防火墻是在使用了基本包過濾防火墻的通信上應用一些技術來做到這點的。由狀態(tài)檢測防火墻跟蹤的不僅是包中包含的信息，為了跟蹤包的狀態(tài)，防火墻還記錄有用的信息以幫助識別包，例如已有的網(wǎng)絡連接、數(shù)據(jù)的傳出請求等。狀態(tài)檢測技術還能監(jiān)視RPC(遠程調(diào)用請求)和UDP的端口信息。包過濾防火墻和代理服務防火墻都不支持此類端口的檢測。§7.2

防火墻分類

21

4.自適應代理技術新型的自適應代理(Adaptiveproxy)防火墻，本質(zhì)上也屬于代理服務技術，但它也結合了動態(tài)包過濾(狀態(tài)檢測)技術。自適應代理技術是在商業(yè)應用防火墻中實現(xiàn)的一種革命性的技術。組成這類防火墻的基本要素有兩個：自適應代理服務器與動態(tài)包過濾器。它結合了代理服務防火墻安全性和包過濾防火墻的高速度等優(yōu)點，在保證安全性的基礎上將代理服務器防火墻的性能提高10倍以上?！?.2

防火墻分類

22

在自適應代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應代理的管理界面進行設置就可以了。然后，自適應代理就可以根據(jù)用戶的配置信息，決定是使用代理服務器從應用層代理請求，還是使用動態(tài)包過濾器從網(wǎng)絡層轉發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求?！?.2

防火墻分類

23

常見的免費個人防火墻有：天網(wǎng)防火墻個人版、瑞星個人防火墻、360木馬防火墻、江民黑客防火墻和金山網(wǎng)標等。著名的個人防火墻產(chǎn)品如著名Symantec公司的諾頓、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的FreeZoneAlarm

等?！?.2

防火墻分類

24

瑞星個人防火墻的設置與使用

25

瑞星個人防火墻的設置與使用

26

瑞星個人防火墻的設置與使用

27

瑞星個人防火墻的設置與使用

28

29防火墻的體系結構

防火墻在網(wǎng)絡中的部署位置也稱為防火墻的體系結構，常見防火墻系統(tǒng)的體系結構有4種：

篩選路由器體系結構

單宿主堡壘主機體系結構

雙宿主堡壘主機體系結構

屏蔽子網(wǎng)體系結構§7.3

防火墻的體系結構

29

安裝防火墻以前的網(wǎng)絡

§7.3

防火墻的體系結構

30

安裝防火墻后的網(wǎng)絡

§7.3

防火墻的體系結構

31

DMZ是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi)，在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設施，如企業(yè)Web服務器、FTP服務器和論壇等。通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡，因為這種網(wǎng)絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。這樣，不管是外部還是內(nèi)部與對外服務器交換信息數(shù)據(jù)也要通過防火墻，實現(xiàn)了真正意義上的保護。

DMZ區(qū)(demilitarizedzone，也稱非軍事區(qū))§7.3

防火墻的體系結構

32

1、雙重宿主主機體系結構雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網(wǎng)絡接口?？沙洚斉c這些接口相連的網(wǎng)絡之間的路由器；它能夠從一個網(wǎng)絡到另一個網(wǎng)絡發(fā)送IP數(shù)據(jù)包。

實現(xiàn)雙重