6.1 防火墻概述課件

第6章防火墻技術(shù)與應(yīng)用6.1防火墻概述學(xué)習(xí)目標(biāo)了解防火墻的基本概念掌握防火墻的主要功能和缺陷深入理解防火墻的工作原理和機(jī)制掌握防火墻的分類了解防火墻的基本部署掌握防火墻的基本指標(biāo)6.1防火墻概述引導(dǎo)案例:隨著計(jì)算機(jī)信息技術(shù)的日益發(fā)展與完善，互聯(lián)網(wǎng)技術(shù)的普及和發(fā)展，給教育信息化工作的開展提供了很多的便利，網(wǎng)絡(luò)成為教育信息化的重要組成部分。然而，網(wǎng)絡(luò)的快速發(fā)展也給黑客提供了更多的危及計(jì)算機(jī)網(wǎng)絡(luò)信息安全的手段和方法，網(wǎng)絡(luò)信息安全成為人們關(guān)注的焦點(diǎn)。上海市某教委計(jì)算機(jī)網(wǎng)絡(luò)連接形式多樣、終端分布不均勻且具有開放性特點(diǎn)，容易受到攻擊。因此，如何針對該教委建立一個(gè)安全、高效的網(wǎng)絡(luò)系統(tǒng)，最終為廣大師生提供全面服務(wù)，成為了迫切需要解決的問題。6.1防火墻概述本章內(nèi)容防火墻概述

6.1防火墻的類型

6.2防火墻的體系結(jié)構(gòu)6.3防火墻配置

6.4防火墻產(chǎn)品介紹6.56.1防火墻概述古時(shí)候，建造和使用木質(zhì)結(jié)構(gòu)的房屋，為了在火災(zāi)發(fā)生時(shí)，防止火勢蔓延，人們將堅(jiān)固的石塊堆砌在房屋周圍形成一道墻作為屏障，這種防護(hù)構(gòu)筑物被稱之為防火墻。

在今天的網(wǎng)絡(luò)世界里，人們借用了防火墻這個(gè)概念，把隔離在內(nèi)部網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)稱為防火墻。它在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個(gè)保護(hù)層，并迫使所有的連接和訪問都通過這一保護(hù)層，以便接受檢查。只有被授權(quán)信息流才能通過保護(hù)層，進(jìn)入內(nèi)部網(wǎng)，從而保護(hù)內(nèi)部網(wǎng)免受非法入侵。防火墻概述

6.16.1防火墻概述防火墻是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的第一道閘門，被用來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾和黑客的入侵。防火墻在網(wǎng)關(guān)位置過濾各種進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，以保護(hù)內(nèi)部網(wǎng)絡(luò)的主機(jī)。6.1防火墻概述6.1.1防火墻的概念防火墻（Firewall）——是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，它能擋住來自外部網(wǎng)絡(luò)的攻擊和入侵，保障內(nèi)部網(wǎng)絡(luò)的安全。。6.1防火墻概述UF3500/3100防火墻應(yīng)用

三端口NAT模式交換機(jī)路由器集線器防火墻UF3500/3100WWW服務(wù)器Mail服務(wù)器PCPCFTP服務(wù)器6.1防火墻概述在網(wǎng)絡(luò)中，硬件防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，如路由器、網(wǎng)關(guān)等。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略進(jìn)行檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許。其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)，另一方則稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。它能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳送，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。6.1防火墻概述從實(shí)現(xiàn)方式上看，防火墻可以分為硬件防火墻和軟件防火墻兩類：硬件防火墻是通過硬件和軟件的結(jié)合來達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的；軟件防火墻是通過純軟件的方式來實(shí)現(xiàn)的6.1防火墻概述防火墻可以是硬件6.1防火墻概述防火墻也可以是軟件6.1防火墻概述1.相關(guān)概念外部網(wǎng)絡(luò)，防火墻之外的網(wǎng)絡(luò)，如Internet，默認(rèn)為風(fēng)險(xiǎn)區(qū)域。內(nèi)部聯(lián)網(wǎng)(Intranet)，防火墻之內(nèi)的網(wǎng)絡(luò)，一般為局域網(wǎng)，如某個(gè)公司或組織的專用網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問限制在組織內(nèi)部。軍事緩沖區(qū)域，簡稱DMZ，該區(qū)域是介于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)段，常放置公共服務(wù)設(shè)備，向外提供信息服務(wù)。

6.1防火墻概述吞吐量，在不丟包的情況下單位時(shí)間內(nèi)通過防火墻數(shù)據(jù)包的數(shù)量，這是衡量防火墻性能的重要指標(biāo)。最大連接數(shù)，該數(shù)據(jù)更貼近網(wǎng)絡(luò)的實(shí)際情況，網(wǎng)絡(luò)中大多數(shù)連接數(shù)是指所建立的一個(gè)虛擬通道。這也是衡量防火墻的一個(gè)重要指標(biāo)。堡壘主機(jī)，一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于互聯(lián)網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某一個(gè)主機(jī)上解決問題，從而省時(shí)省力，不考慮其他主機(jī)的安全目的。6.1防火墻概述包過濾，在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目的地址及端口等信息來確定是否允許數(shù)據(jù)包通過。代理服務(wù)器，代表內(nèi)部網(wǎng)絡(luò)用戶向外部網(wǎng)絡(luò)中的服務(wù)器進(jìn)行連接請求的程序。狀態(tài)檢測技術(shù)，狀態(tài)監(jiān)測模塊在不影響網(wǎng)絡(luò)安全、正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行檢測，并作為安全決策的依據(jù)。6.1防火墻概述虛擬專用網(wǎng)，在公用網(wǎng)絡(luò)中配置的專用網(wǎng)絡(luò)。漏洞，系統(tǒng)中的安全缺陷，漏洞可以導(dǎo)致入侵者獲取信息并導(dǎo)致不正確的訪問。數(shù)據(jù)驅(qū)動(dòng)攻擊，入侵者把一些具有破壞性的數(shù)據(jù)藏匿在普通數(shù)據(jù)中傳送到互聯(lián)網(wǎng)主機(jī)上，當(dāng)這些數(shù)據(jù)被激活時(shí)就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。IP地址欺騙，一種突破防的火墻系統(tǒng)的常用方法。入侵者通過偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)包，喬裝成來自內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)。6.1防火墻概述

在安全區(qū)域劃分的基礎(chǔ)上，通過一種網(wǎng)絡(luò)安全設(shè)備，控制安全區(qū)域間的通信，就能實(shí)現(xiàn)隔離有害通信的作用，進(jìn)而可以阻斷網(wǎng)絡(luò)攻擊。這種安全設(shè)備的功能類似于防火使用的墻，因而人們就把這種安全設(shè)備俗稱為“防火墻”，它一般安裝在不同的安全區(qū)域邊界處，用于網(wǎng)絡(luò)通信安全控制，由專用硬件或軟件系統(tǒng)組成。

6.1防火墻概述

防火墻是由一些軟、硬件組合而成的網(wǎng)絡(luò)訪問控制器，它根據(jù)一定的安全規(guī)則來控制流過防火墻的網(wǎng)絡(luò)包，如禁止或轉(zhuǎn)發(fā)，能夠屏蔽被保護(hù)網(wǎng)絡(luò)內(nèi)部的信息、拓?fù)浣Y(jié)構(gòu)和運(yùn)行狀況，從而起到網(wǎng)絡(luò)安全屏障的作用。防火墻一般用來將內(nèi)部網(wǎng)絡(luò)與Internet或者其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，如圖所示。

2.防火墻的安全策略6.1防火墻概述

防火墻部署安裝示意圖

6.1防火墻概述

防火墻根據(jù)網(wǎng)絡(luò)包所提供的信息實(shí)現(xiàn)網(wǎng)絡(luò)通信訪問控制：如果網(wǎng)絡(luò)通信包符合網(wǎng)絡(luò)訪問控制策略，就允許該網(wǎng)絡(luò)通信包通過防火墻，否則不允許。防火墻的安全策略有兩種類型，即：

(1)只允許符合安全規(guī)則的包通過防火墻，其他通信包禁止。即除非明確允許，否則禁止。

(2)禁止與安全規(guī)則相沖突的包通過防火墻，其他通信包都允許。即除非明確禁止，否則允許。

6.1防火墻概述圖8-2防火墻工作示意圖

6.1防火墻概述防火墻的發(fā)展簡史防火墻發(fā)展史2.第二代防火墻——用戶化的防火墻3.第三代防火墻——建立在通用操作系統(tǒng)上的防火墻

4.第四代防火墻——具有安全操作系統(tǒng)的防火墻1.第一代防火墻——基于路由器的防火墻6.1防火墻概述

防火墻簡單的可以用路由器、交換機(jī)實(shí)現(xiàn)，復(fù)雜的就要用一臺計(jì)算機(jī)，甚至一組計(jì)算機(jī)實(shí)現(xiàn)。按照TCP/IP協(xié)議的層次，防火墻的訪問控制可以作用于網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層，首先依據(jù)各層所包含的信息判斷是否遵循安全規(guī)則，然后控制網(wǎng)絡(luò)通信連接，如禁止、允許。防火墻簡化了網(wǎng)絡(luò)的安全管理。如果沒有它，網(wǎng)絡(luò)中的每個(gè)主機(jī)都處于直接受攻擊的范圍之內(nèi)。為了保護(hù)主機(jī)的安全，就必須在每臺主機(jī)上安裝安全軟件，并對每臺主機(jī)都要定時(shí)檢查和配置更新。

6.1.2防火墻的功能與缺陷6.1防火墻概述1.防火墻的基本功能包過濾這是防火墻的基本功能，現(xiàn)在的防火墻已經(jīng)有最初的地址、端口判定控制，發(fā)展到判斷通信報(bào)文協(xié)議頭的各部分，以及通信協(xié)議的應(yīng)用層命令、內(nèi)容、用戶特征、用戶規(guī)則甚至狀態(tài)監(jiān)測等。將防火墻設(shè)置為只有預(yù)先被允許的服務(wù)和用戶才能通過防火墻，禁止未授權(quán)的用戶訪問受保護(hù)的網(wǎng)絡(luò)，降低被保護(hù)網(wǎng)絡(luò)受非法攻擊的風(fēng)險(xiǎn)。

6.1防火墻概述限制網(wǎng)絡(luò)訪問。防火墻只允許外部網(wǎng)絡(luò)訪問受保護(hù)網(wǎng)絡(luò)的指定主機(jī)或網(wǎng)絡(luò)服務(wù)，通常受保護(hù)網(wǎng)絡(luò)中的Mail、FTP、WWW服務(wù)器等可讓外部網(wǎng)絡(luò)訪問，而其他類型的訪問則予以禁止。防火墻也用來限制受保護(hù)網(wǎng)絡(luò)中的主機(jī)訪問外部網(wǎng)絡(luò)的某些服務(wù)，例如某些不良網(wǎng)址。6.1防火墻概述網(wǎng)絡(luò)訪問審計(jì)和預(yù)警。審計(jì)和預(yù)警是防火墻的在配置好相關(guān)參數(shù)后作出的丟棄、拒絕或接受的重要措施，防火墻的審計(jì)和預(yù)警機(jī)制在防火墻體系中很重要。防火墻是外部網(wǎng)絡(luò)與受保護(hù)網(wǎng)絡(luò)之間的惟一網(wǎng)絡(luò)通道，可以記錄所有通過它的訪問并提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。依據(jù)防火墻的日志，可以掌握網(wǎng)絡(luò)的使用情況，例如網(wǎng)絡(luò)通信帶寬和訪問外部網(wǎng)絡(luò)的服務(wù)數(shù)據(jù)。防火墻的日志也可用于入侵檢測和網(wǎng)絡(luò)攻擊取證。6.1防火墻概述由于網(wǎng)絡(luò)上的數(shù)據(jù)流量是比較大的，這里主要有兩種解決方式：將日志掛接在內(nèi)網(wǎng)的一臺專門存放日志的服務(wù)器上；將日志直接存放在防火墻本身的服務(wù)器上。6.1防火墻概述遠(yuǎn)程管理，管理界面一般完成對防火墻的配置、管理和監(jiān)控等工作。管理界面的設(shè)計(jì)直接關(guān)系到防火墻的易用性和安全性。目前防火墻主要有兩種遠(yuǎn)程管理界面：Web界面和GUI界面。6.1防火墻概述NAT技術(shù)，該技術(shù)能夠透明的對所有內(nèi)部地址做轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)使用NAT的網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接只能有內(nèi)部網(wǎng)絡(luò)發(fā)起，這極大的提高了內(nèi)部網(wǎng)絡(luò)的安全性。同時(shí)NAT技術(shù)另外一個(gè)顯著的用途是解決了IP地址匱乏的問題。6.1防火墻概述代理透明代理，主要是在內(nèi)網(wǎng)主機(jī)需要訪問外網(wǎng)主機(jī)時(shí)，不需要做任何設(shè)置，完全意識不到防火墻的存在而完成內(nèi)外網(wǎng)的通信，但其基本原理是防火墻截取內(nèi)網(wǎng)主機(jī)與外網(wǎng)的通信，由防火墻本身完成與外網(wǎng)的通信，然后把結(jié)果傳回給內(nèi)網(wǎng)主機(jī)。傳統(tǒng)代理，與透明代理類似，不同的是它需要在客戶端設(shè)置代理服務(wù)器，代理可以實(shí)現(xiàn)較高的安全性，不足之處是響應(yīng)緩慢。6.1防火墻概述MAC與IP地址綁定，主要用于防止受控的內(nèi)部用戶通過更換IP地址訪問外網(wǎng)，因其實(shí)現(xiàn)簡單，內(nèi)部只需要兩個(gè)命令就可以實(shí)現(xiàn)，所以絕大多數(shù)防火墻都提供了該項(xiàng)功能。6.1防火墻概述流量控制和統(tǒng)計(jì)分析、流量計(jì)費(fèi)流量控制可以分為基于IP地址的控制和基于用戶的控制。防火墻可以控制網(wǎng)絡(luò)帶寬的分配使用，實(shí)現(xiàn)部分網(wǎng)絡(luò)質(zhì)量服務(wù)(QoS)保障。流量統(tǒng)計(jì)是建立在流量控制基礎(chǔ)之上的，一般防火墻對基于IP、服務(wù)、時(shí)間、協(xié)議等進(jìn)行統(tǒng)計(jì)，并可以與管理界面實(shí)現(xiàn)掛接，實(shí)時(shí)或一統(tǒng)計(jì)報(bào)表的形式輸出結(jié)果。6.1防火墻概述URL級信息過濾通常是代理模塊的一部分，許多防火墻將其功能單獨(dú)的提取出來，但是實(shí)現(xiàn)是跟代理模塊結(jié)合起來的。它用來控制內(nèi)部網(wǎng)絡(luò)對某些站點(diǎn)的訪問，如禁止某些站點(diǎn)、禁止訪問站點(diǎn)下的某些目錄、只允許訪問某些站點(diǎn)或其下目錄等。6.1防火墻概述2.防火墻缺陷盡管防火墻有許多防范功能，但它也有一些力不能及的地方，因?yàn)榉阑饓χ荒軐νㄟ^它的網(wǎng)絡(luò)通信包進(jìn)行訪問控制，所以對未經(jīng)過它的網(wǎng)絡(luò)通信就無能為力了。例如，如果允許從內(nèi)部網(wǎng)絡(luò)直接撥號訪問外部網(wǎng)絡(luò)，則防火墻就失效了，攻擊者通過用戶撥號連接直接訪問內(nèi)部網(wǎng)絡(luò)，繞過防火墻控制，也能造成潛在的攻擊途徑。6.1防火墻概述防火墻可以阻斷攻擊，但是不能消滅攻擊源

互聯(lián)網(wǎng)上的病毒、木馬、惡意試探等造成的攻擊行為絡(luò)繹不絕。如果防火墻的安全策略設(shè)置得當(dāng)，就可以阻斷這類攻擊，但是不能夠清除攻擊源。6.1防火墻概述防火墻不能抵抗最新的未設(shè)置策略的高級漏洞

如同殺毒軟件，總是先出現(xiàn)病毒，殺毒軟件經(jīng)過分析特征代碼以后，將特征代碼加入到特征庫中才能給將其查殺。防火墻的各種策略也是在該攻擊方式經(jīng)過專家分析后給出其特征而設(shè)置的。也就是說防火墻的安全性具有滯后性。6.1防火墻概述防火墻并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯?/p>

由于需要判斷并處理流經(jīng)防火墻的每一個(gè)數(shù)據(jù)包，所以防火墻在某些流量大，并發(fā)請求多的情況下，很容易造成擁塞，稱為整個(gè)網(wǎng)絡(luò)性能影響的瓶頸。而當(dāng)防火墻溢出的時(shí)候，整個(gè)防線就如同虛設(shè)，原本被禁止的連接也能夠通過。6.1防火墻概述防火墻對服務(wù)器合法開放的端口的攻擊大多無法阻止；

攻擊者利用服務(wù)器提供的服務(wù)進(jìn)行缺陷攻擊，由于這些行為在防火墻看來是“合理合法”的，因此會(huì)被誤判。6.1防火墻概述防火墻對待內(nèi)部主動(dòng)發(fā)起連接的攻擊一般無法阻止外緊內(nèi)松是一般局域網(wǎng)的特點(diǎn)，或許一道嚴(yán)密防守的防火墻內(nèi)部網(wǎng)絡(luò)是一片混亂的也是可能的，通過發(fā)送帶有木馬的URL等方式，然后由感染木馬的主機(jī)主動(dòng)對攻擊者連接。另外防火墻對內(nèi)部主機(jī)間的攻擊行為，愛莫能助。6.1防火墻概述防火墻本身也會(huì)出現(xiàn)問題和受到攻擊

防火墻也是一個(gè)OS，也有其硬件和如圖案件系統(tǒng)，因此也就不可避免的會(huì)有BUG，其本身也會(huì)有軟硬件方面的故障。6.1防火墻概述防火墻不能防范人為因素的攻擊；

防火墻不能防止內(nèi)奸或用戶誤操作造成的威脅，防火墻也不能防止用戶由于口令泄露而遭受攻擊。6.1防火墻概述防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。

有些表面看起來無害的數(shù)據(jù)通過郵件或復(fù)制到內(nèi)部網(wǎng)的主機(jī)上被執(zhí)行，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式攻擊。如一種數(shù)據(jù)驅(qū)動(dòng)式的攻擊造成主機(jī)修改與系統(tǒng)安全有關(guān)的配置文件，從而使入侵者下次更加容易攻擊該系統(tǒng)。6.1防火墻概述

除此之外，防火墻還有一些脆弱點(diǎn)，例如:

*防火墻不能完全防止感染病毒的軟件或文件傳輸。防火墻是網(wǎng)絡(luò)通信的瓶頸，因?yàn)橐延械牟《?、操作系統(tǒng)以及加密和壓縮二進(jìn)制文件的種類太多，以致于不能指望防火墻逐個(gè)掃描每個(gè)文件查找病毒，而只能在每臺主機(jī)上安裝反病毒軟件。

*防火墻不能完全防止后門攻擊。防火墻是粗粒度的網(wǎng)絡(luò)訪問控制，某些基于網(wǎng)絡(luò)隱蔽通道的后門能繞過防火墻的控制，例如httptunnel等。

6.1防火墻概述1、NetScreen208FirewallNetScreen公司推出的一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品。內(nèi)置ASIC技術(shù)，其安全設(shè)備具有低延時(shí)、高效的IPSEC加密和防火墻功能