第六講防火墻技術(shù)

第六講防火墻技術(shù)1本章學(xué)習(xí)目標(biāo) 了解防火墻的定義、發(fā)展簡(jiǎn)史、目的、功能、局限性及其發(fā)展動(dòng)態(tài)和趨勢(shì)。掌握包過濾防火墻和和代理防火墻的實(shí)現(xiàn)原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方式；熟悉防火墻的常見體系結(jié)構(gòu)。熟悉防火墻的產(chǎn)品選購和設(shè)計(jì)策略。25.1防火墻技術(shù)概述 返回本章首頁防火墻的定義防火墻的功能和局限性防火墻的發(fā)展簡(jiǎn)史3防火墻的定義 防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。4防火墻的功能訪問控制對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)防止內(nèi)部信息的外泄支持VPN功能支持網(wǎng)絡(luò)地址轉(zhuǎn)換……5防火墻的基本特征內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力6防火墻的局限性防火墻不能防范不經(jīng)過防火墻的攻擊。如撥號(hào)訪問、內(nèi)部攻擊等。防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。防火墻不能防止受病毒感染的文件的傳輸。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。防火墻不能防止本身的安全漏洞的威脅。目前還沒有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。防火墻不能防止可接觸的人為或自然的破壞。7防火墻的發(fā)展簡(jiǎn)史8軟件防火墻硬件防火墻按形態(tài)分類按保護(hù)對(duì)象分類保護(hù)整個(gè)網(wǎng)絡(luò)保護(hù)單臺(tái)主機(jī)網(wǎng)絡(luò)防火墻單機(jī)防火墻5.2防火墻的分類9保護(hù)單臺(tái)主機(jī)安全策略分散安全功能簡(jiǎn)單普通用戶維護(hù)安全隱患較大策略設(shè)置靈活保護(hù)整個(gè)網(wǎng)絡(luò)安全策略集中安全功能復(fù)雜多樣專業(yè)管理員維護(hù)安全隱患小策略設(shè)置復(fù)雜單機(jī)防火墻網(wǎng)絡(luò)防火墻產(chǎn)品形態(tài)軟件硬件或者軟件安裝點(diǎn)單臺(tái)獨(dú)立的Host網(wǎng)絡(luò)邊界處安全策略分散在各個(gè)安全點(diǎn)對(duì)整個(gè)網(wǎng)絡(luò)有效保護(hù)范圍單臺(tái)主機(jī)一個(gè)網(wǎng)段管理方式分散管理集中管理功能功能單一功能復(fù)雜、多樣管理人員普通計(jì)算機(jī)用戶專業(yè)網(wǎng)管人員安全措施單點(diǎn)安全措施全局安全措施結(jié)論單機(jī)防火墻是網(wǎng)絡(luò)防火墻的有益補(bǔ)充，但不能代替網(wǎng)絡(luò)防火墻為內(nèi)部網(wǎng)絡(luò)提供強(qiáng)大的保護(hù)功能單機(jī)防火墻&網(wǎng)絡(luò)防火墻10操作系統(tǒng)平臺(tái)安全性性能穩(wěn)定性網(wǎng)絡(luò)適應(yīng)性分發(fā)升級(jí)成本硬件防火墻基于精簡(jiǎn)專用OS高高較高強(qiáng)不易較容易Price=firewall+Server軟件防火墻基于龐大通用OS較高較高高較強(qiáng)非常容易容易Price=Firewall僅獲得Firewall軟件，需要準(zhǔn)備額外的OS平臺(tái)安全性依賴低層的OS網(wǎng)絡(luò)適應(yīng)性弱（主要以路由模式工作）穩(wěn)定性高軟件分發(fā)、升級(jí)比較方便硬件+軟件，不用準(zhǔn)備額外的OS平臺(tái)安全性完全取決于專用的OS網(wǎng)絡(luò)適應(yīng)性強(qiáng)（支持多種接入模式）穩(wěn)定性較高升級(jí)、更新不太靈活硬件防火墻&軟件防火墻11按防火墻的體系結(jié)構(gòu)分類多宿主主機(jī)被屏蔽主機(jī)被屏蔽子網(wǎng)12概念堡壘主機(jī)(Bastionhost):堡壘主機(jī)是一種配置了安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)，堡壘主機(jī)為網(wǎng)絡(luò)之間的通信提供了一個(gè)阻塞點(diǎn)，也就是說如果沒有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問。DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施。13雙宿主主機(jī)

（Dual-HomedHostFirewall）雙宿主主機(jī)(Dual-homedHost):有兩個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng)，一個(gè)接口接內(nèi)部網(wǎng)，一個(gè)接口接外部網(wǎng)。14被屏蔽主機(jī)

(ScreenedHostFirewall)外部網(wǎng)絡(luò)必須通過堡壘主機(jī)才能訪問內(nèi)部網(wǎng)絡(luò)中的資源。內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)則可以通過堡壘主機(jī)或者屏蔽路由器訪問外部網(wǎng)絡(luò)中的某些資源15被屏蔽子網(wǎng)

(ScreenedsubnetFirewall)內(nèi)網(wǎng)可以訪問外網(wǎng)內(nèi)網(wǎng)可以訪問DMZ外網(wǎng)不能訪問內(nèi)網(wǎng)外網(wǎng)可以訪問DMZ中的服務(wù)器DMZ不能訪問內(nèi)網(wǎng)和外網(wǎng)165.3防火墻實(shí)現(xiàn)技術(shù)原理簡(jiǎn)單包過濾防火墻動(dòng)態(tài)包過濾(狀態(tài)檢測(cè))防火墻應(yīng)用代理防火墻包過濾與應(yīng)用代理復(fù)合型防火墻171．簡(jiǎn)單包過濾防火墻

（Packetfiltering）數(shù)據(jù)包過濾技術(shù)的發(fā)展：靜態(tài)包過濾、動(dòng)態(tài)包過濾。

包過濾防火墻在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，包過濾模塊一般檢查網(wǎng)絡(luò)層、傳輸層內(nèi)容，包括下面幾項(xiàng)：①源、目的IP地址；②源、目的端口號(hào)；③協(xié)議類型；④TCP報(bào)頭的標(biāo)志位。18簡(jiǎn)單包過濾防火墻的工作原理119應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)TCP數(shù)據(jù)IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)只檢查報(bào)頭111011011簡(jiǎn)單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡(jiǎn)單包過濾防火墻不建立連接狀態(tài)表前后報(bào)文無關(guān)應(yīng)用層控制很弱簡(jiǎn)單包過濾防火墻的工作原理220包過濾防火墻的工作流程21優(yōu)點(diǎn)：保護(hù)整個(gè)網(wǎng)絡(luò)；對(duì)用戶透明；可用路由器，不需要其他設(shè)備。缺點(diǎn)：1.包過濾的一個(gè)重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的包和壞的包。2.包過濾規(guī)則難配置。3.新的協(xié)議的威脅。4.IP欺騙包過濾防火墻的特點(diǎn)22包過濾型防火墻規(guī)則

它工作在網(wǎng)絡(luò)層、傳輸層，對(duì)每一報(bào)文根據(jù)報(bào)頭進(jìn)行過濾，通過預(yù)定義規(guī)則對(duì)報(bào)文進(jìn)行操作。 規(guī)則定義在轉(zhuǎn)發(fā)控制表中，因產(chǎn)品不同控制表格式不同，這里討論抽象的過濾規(guī)則。

23報(bào)文遵循自上至下的次序運(yùn)用每一條規(guī)則，直到遇到與其相匹配的規(guī)則為止。操作方式有：轉(zhuǎn)發(fā)、丟棄、報(bào)錯(cuò)、備忘等。根據(jù)不同實(shí)現(xiàn)方式，報(bào)文過濾可在進(jìn)入或者離開防火墻時(shí)進(jìn)行。24應(yīng)用實(shí)例要求：1.內(nèi)網(wǎng)的用戶可以訪問所有的WEB服務(wù)器。2.外網(wǎng)的用戶只可以訪問內(nèi)部的WEB服務(wù)器（）。25E0訪問規(guī)則E0端口

方向動(dòng)作源地址源端口目的地址目的端口協(xié)議進(jìn)站允許/24>1023any80TCP進(jìn)站拒絕any

any

【問題】1.第一條中源地址是否可以改為any?為什么？2.第一條中源端口是否可以改為any?為什么？3.S0口需要什么樣的規(guī)則？26S0訪問規(guī)則【問題】1.攻擊者在內(nèi)網(wǎng)安裝了一個(gè)服務(wù)端的端口大于1023，客戶端的端口是80的木馬，是否可以通過這個(gè)防火墻？2.防火墻是否能夠阻擋對(duì)服務(wù)器的SYN掃描？方向動(dòng)作源地址源端口目的地址目的端口協(xié)議進(jìn)站允許any>102380TCP進(jìn)站允許any80/24>1023TCP進(jìn)站拒絕any

any

27判斷數(shù)據(jù)包的標(biāo)志位【問題】1.此時(shí)防火墻是否能夠阻擋對(duì)服務(wù)器的SYN掃描？2.對(duì)于特殊構(gòu)造了標(biāo)志位的數(shù)據(jù)包？3.是否可以阻擋反彈端口的木馬？方向動(dòng)作源地址源端口目的地址目的端口協(xié)議標(biāo)志位進(jìn)站允許any>102380TCP

進(jìn)站允許any

any

TCPestablished進(jìn)站拒絕any

any

282.動(dòng)態(tài)包過濾(狀態(tài)檢測(cè))防火墻工作原理1：29應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)TCP數(shù)據(jù)IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)只檢查報(bào)頭111011011不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表動(dòng)態(tài)包過濾(狀態(tài)檢測(cè))防火墻的工作原理230應(yīng)用實(shí)例

【問題】動(dòng)態(tài)包過濾防火墻如何解決了特殊構(gòu)造了標(biāo)志位的數(shù)據(jù)包？但是還是無法阻擋反彈端口的木馬。1.TCP開始攻擊IP規(guī)則連接表TCP開始攻擊IPTCP開始攻擊IPTCP開始攻擊IPSYNACKSYN2.允許允許TCP開始攻擊IPn.……31動(dòng)態(tài)包過濾防火墻的工作流程323．代理防火墻（ProxyServer）代理防火墻的工作過程：33代理防火墻的工作原理34代理服務(wù)器的類型HTTP代理：代理客戶機(jī)的http訪問，主要代理瀏覽器訪問網(wǎng)頁，它的端口一般為80、8080、3128等。FTP代理：代理客戶機(jī)上的ftp軟件訪問ftp服務(wù)器，其端口一般為21、2121。POP3代理：代理客戶機(jī)上的郵件軟件用pop3方式收郵件，其端口一般為110。Telnet代理：能夠代理通信機(jī)的telnet，用于遠(yuǎn)程控制，入侵時(shí)經(jīng)常使用。其端口一般為23。Socks代理：是全能代理，支持多種協(xié)議，包括http、ftp請(qǐng)求及其它類型的請(qǐng)求，其標(biāo)準(zhǔn)端口為1080。……35應(yīng)用實(shí)例例1：不允許上。方法：1.使用包過濾防火墻把服務(wù)器的所有IP過濾掉。2.使用代理防火墻過濾域名，而不管IP地址怎么改變。clint7,30,31,3233,34,35,40,0,1,2,3,61.172.2015,6服務(wù)器36Client用SOCKS5client服務(wù)器61.172.201.*SOCKS5代理服務(wù)器170.1.1.*【問題】圖中的防火墻如果改為代理防火墻，是否可以過濾Client傳過來的數(shù)據(jù)包？37Client用“特殊”的HTTP代理【說明】client端發(fā)出HTTP請(qǐng)求時(shí)，不包含的信息，代理防火墻就檢測(cè)不到字段，實(shí)現(xiàn)不了過濾。HTTP代理需要“特殊”定制，代理服務(wù)器知道這類client端發(fā)出的請(qǐng)求是要訪問，它會(huì)幫助client端下載的內(nèi)容。38代理技術(shù)的優(yōu)點(diǎn)代理易于配置。

代理能生成各項(xiàng)記錄。代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。

代理能過濾數(shù)據(jù)內(nèi)容。代理能為用戶提供透明的加密機(jī)制。代理可以方便地與其他安全手段集成。

39代理技術(shù)的缺點(diǎn)代理速度較路由器慢。代理對(duì)用戶不透明。對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器。

代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制。

代理防火墻提供應(yīng)用保護(hù)的協(xié)議范圍是有限的。40自適應(yīng)代理防火墻檢測(cè)應(yīng)用層的頭部信息，然后在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)。41應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)TCP數(shù)據(jù)IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP數(shù)據(jù)IP數(shù)據(jù)TCPTCP數(shù)據(jù)IPETH數(shù)據(jù)檢查整個(gè)報(bào)文內(nèi)容111011011可以檢查整個(gè)數(shù)據(jù)包內(nèi)容根據(jù)需要建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)強(qiáng)應(yīng)用層控制細(xì)會(huì)話控制較弱建立連接狀態(tài)表復(fù)合型防火墻的工作原理42綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)用層透明整體性能處理對(duì)象簡(jiǎn)單包過濾防火墻狀態(tài)檢測(cè)包過濾防火墻應(yīng)用代理防火墻復(fù)合型防火墻

單個(gè)包報(bào)頭

單個(gè)包報(bào)頭

單個(gè)包全部

單個(gè)包全部防火墻核心技術(shù)比較435.4防火墻的應(yīng)用實(shí)驗(yàn)（一）瑞星個(gè)人防火墻2008版445.4防火墻的應(yīng)用實(shí)驗(yàn)（二）代理類型—CCProxy1.設(shè)置IE的HTTP代理參數(shù)，觀察經(jīng)過代理后，數(shù)據(jù)包頭的變化。2.設(shè)置IE的socks代理參數(shù)，觀察經(jīng)過代理后，數(shù)據(jù)包頭的變化。3.CCProxy常用功能的設(shè)置：用戶

IP+MAC

內(nèi)容流量45補(bǔ)充：防火墻其它功能安全審計(jì)負(fù)載均衡雙機(jī)熱備防御功能聯(lián)動(dòng)功能內(nèi)容過濾VPN功能雙地址路由端口映射DHCP環(huán)境支持MAC綁定功能帶寬管理多協(xié)議支持46負(fù)載均衡算法：順序選擇地址+權(quán)值根據(jù)PING的時(shí)間間隔來選擇地址+權(quán)值根據(jù)Connect的時(shí)間間隔來選擇地址+權(quán)值根據(jù)Connect然后發(fā)送請(qǐng)求并得到應(yīng)答的時(shí)間間隔來選擇地址+權(quán)值服務(wù)器負(fù)載均衡47

雙機(jī)熱備（HA)功能48雙地址路由功能49MAP(端口映射)50對(duì)DHCP應(yīng)用環(huán)境的支持設(shè)定HostB的MAC地址設(shè)定HostB的IP地址為空根據(jù)HostB的MAC地址進(jìn)行訪問控制51IP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)IP與MAC（用戶）的綁定52多協(xié)議支持支持動(dòng)態(tài)路由對(duì)OSPF路由協(xié)議的支持對(duì)RIP、RIP2協(xié)議的支持多協(xié)議支持對(duì)NETBEUI、VOD協(xié)議的支持支持802.1q和Cisco的ISL協(xié)議等VLAN專用協(xié)議支持DHCP、BOOTP協(xié)議……535.5防火墻性能指標(biāo)最大位轉(zhuǎn)發(fā)率吞吐量延時(shí)丟包率背靠背最大并發(fā)連接數(shù)最大并發(fā)連接建立速率平均無故障間隔時(shí)間54備注：將測(cè)試結(jié)果乘以幀長(zhǎng)就是位轉(zhuǎn)發(fā)率最大位轉(zhuǎn)發(fā)率定義：防火墻的位轉(zhuǎn)發(fā)率指在特定負(fù)載下每秒鐘防火墻將允許的數(shù)據(jù)流轉(zhuǎn)發(fā)至正確的目的接口的位數(shù)。最大位轉(zhuǎn)發(fā)率指在不同的負(fù)載下反復(fù)測(cè)量得出的位轉(zhuǎn)發(fā)率數(shù)值中的最大值

55定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一,吞吐量小就會(huì)造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個(gè)網(wǎng)絡(luò)的性能

吞吐量56定義：入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔衡量標(biāo)準(zhǔn)：防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度

造成數(shù)據(jù)包延遲到達(dá)目標(biāo)地延時(shí)57定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)