第7講防火墻（一）

第7講防火墻（一）一、防火墻基本知識(shí)1、防火墻的提出2、防火墻示意圖3、防火墻是什么4、防火墻概念5、防火墻實(shí)現(xiàn)層次6、防火墻功能7、防火墻的作用8、爭(zhēng)議及不足企業(yè)上網(wǎng)面臨的安全問題之一:

內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的有效隔離解答:

防火墻網(wǎng)絡(luò)間的訪問----需隔離FIREWALL1、防火墻的提出2、防火墻示意圖Internet1.企業(yè)內(nèi)聯(lián)網(wǎng)2.部門子網(wǎng)3.分公司網(wǎng)絡(luò)3、防火墻是什么（1）在一個(gè)受保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來強(qiáng)制執(zhí)行企業(yè)安全策略的一個(gè)或一組系統(tǒng).防火墻主要用于保護(hù)內(nèi)部安全網(wǎng)絡(luò)免受外部網(wǎng)不安全網(wǎng)絡(luò)的侵害。典型情況：安全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)為因特網(wǎng)。但防火墻不只用于因特網(wǎng)，也可用于Intranet各部門網(wǎng)絡(luò)之間（內(nèi)部防火墻）。例：財(cái)務(wù)部與市場(chǎng)部之間。3、防火墻是什么（2）4、防火墻概念（1）最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時(shí)侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。RichKosinski(InternetSecurity公司總裁）： 防火墻是一種訪問控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問。換句話說，防火墻是一道門檻，控制進(jìn)/出兩個(gè)方向的通信。WilliamCheswick和SteveBeilovin（1994）：防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的一組組件，這組組件共同具有下列性質(zhì)：只允許本地安全策略授權(quán)的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會(huì)影響信息的流通4、防火墻概念（2）4、防火墻概念（3）簡(jiǎn)單的說，網(wǎng)絡(luò)安全的第一道防線

防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。5、防火墻實(shí)現(xiàn)層次6、防火墻功能（1）基本功能模塊應(yīng)用程序代理包過濾&狀態(tài)檢測(cè)用戶認(rèn)證NATVPN日志IDS與報(bào)警內(nèi)容過濾防火墻的功能過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄進(jìn)出網(wǎng)絡(luò)的信息和活動(dòng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警6、防火墻功能（2）7、防火墻的作用（1）Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡(jiǎn)化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。應(yīng)該注意的是：對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的機(jī)構(gòu)來說，重要的問題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是何時(shí)會(huì)受到攻擊。網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機(jī)構(gòu)在變換ISP時(shí)帶來的重新編址的麻煩。Internet防火墻是審計(jì)和記錄Internet使用量的一個(gè)最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸的位置，并能夠根據(jù)機(jī)構(gòu)的核算模式提供部門級(jí)的記費(fèi)。Internet防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。Internet防火墻作為部署WWW服務(wù)器和FTP服務(wù)器的地點(diǎn)非常理想。還可以對(duì)防火墻進(jìn)行配置，允許Internet訪問上述服務(wù)，而禁止外部對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問?；ヂ?lián)網(wǎng)非法獲取內(nèi)部數(shù)據(jù)7、防火墻的作用（2）示意圖8、爭(zhēng)議及不足使用不便，認(rèn)為防火墻給人虛假的安全感對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點(diǎn)失效不能替代墻內(nèi)的安全措施不能防范惡意的知情者不能防范不通過它的連接不能防范全新的威脅當(dāng)使用端-端加密時(shí)，其作用會(huì)受到很大的限制二、防火墻種類1、防火墻的種類2、包過濾防火墻3、NAT模式4、代理服務(wù)器5、全狀態(tài)檢查1、防火墻的種類防火墻的存在形式：軟件、硬件。根據(jù)防范方式和側(cè)重點(diǎn)的不同可分為四類：包過濾應(yīng)用層代理電路層代理狀態(tài)檢查2、包過濾防火墻（1）2、包過濾防火墻（2）包過濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。防火墻審查每個(gè)數(shù)據(jù)報(bào)以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息。包頭信息中包括IP源地址、IP目標(biāo)端地址、類型（TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目標(biāo)端口、ICMP消息類型、TCP包頭中的ACK位置。包的進(jìn)入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會(huì)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。包過濾防火墻使得防火墻能夠根據(jù)特定的服務(wù)允許或拒絕流動(dòng)的數(shù)據(jù)，因?yàn)槎鄶?shù)的服務(wù)收聽者都在已知的TCP/UDP端口號(hào)上。例如，Telnet服務(wù)器在TCP的23號(hào)端口上監(jiān)聽遠(yuǎn)地連接，而SMTP服務(wù)器在TCP的25號(hào)端口上監(jiān)聽人連接。為了阻塞所有進(jìn)入的Telnet連接，防火墻只需簡(jiǎn)單的丟棄所有TCP端口號(hào)等于23的數(shù)據(jù)包。為了將進(jìn)來的Telnet連接限制到內(nèi)部的數(shù)臺(tái)機(jī)器上，防火墻必須拒絕所有TCP端口號(hào)等于23并且目標(biāo)IP地址不等于允許主機(jī)的IP地址的數(shù)據(jù)包。2、包過濾防火墻（3）檢查內(nèi)容數(shù)據(jù)包過濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭：IP源地址IP目標(biāo)地址協(xié)議類型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息類型TCP包頭的ACK位TCP包的序列號(hào)、IP校驗(yàn)和等優(yōu)點(diǎn)：

速度快，性能高對(duì)用戶透明缺點(diǎn)：維護(hù)比較困難(需要對(duì)TCP/IP了解）安全性低（IP欺騙等）不提供有用的日志，或根本就不提供不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制2、包過濾防火墻（4）優(yōu)缺點(diǎn)互連的物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層2、包過濾防火墻（5）透明模式包過濾:網(wǎng)橋形式3、NAT模式（1）3、NAT模式（2）NATSample(PAT)3、NAT模式（3）虛擬IP3、NAT模式（4）路由模式4、代理服務(wù)器（1）代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。不允許通信直接經(jīng)過外部網(wǎng)和內(nèi)部網(wǎng)。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終端代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)。外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。

4、代理服務(wù)器（2）4、代理服務(wù)器（3）Telnet代理服務(wù)器4、代理服務(wù)器（4）代理服務(wù)的分類代理服務(wù)分類：代理服務(wù)可分為應(yīng)用級(jí)代理與電路級(jí)代理：應(yīng)用級(jí)代理是已知代理服務(wù)向哪一應(yīng)用提供的代理，它在應(yīng)用協(xié)議中理解并解釋命令。應(yīng)用級(jí)代理的優(yōu)點(diǎn)為它能解釋應(yīng)用協(xié)議從而獲得更多的信息，缺點(diǎn)為只適用于單一協(xié)議。電路級(jí)代理是在客戶和服務(wù)器之間不解釋應(yīng)用協(xié)議即建立回路。電路級(jí)代理的優(yōu)點(diǎn)在于它能對(duì)各種不同的協(xié)議提供服務(wù)，缺點(diǎn)在于它對(duì)因代理而發(fā)生的情況幾乎不加控制。

4、代理服務(wù)器（5）應(yīng)用層代理的優(yōu)點(diǎn)應(yīng)用層代理能夠讓網(wǎng)絡(luò)管理員對(duì)服務(wù)進(jìn)行全面的控制，因?yàn)榇響?yīng)用限制了命令集并決定哪些內(nèi)部主機(jī)可以被該服務(wù)訪問。網(wǎng)絡(luò)管理員可以完全控制提供那些服務(wù)，因?yàn)闆]有特定服務(wù)的代理就表示該服務(wù)不提供。防火墻可以被配置成唯一的可被外部看見的主機(jī)，這樣可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻。應(yīng)用層代理有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。另外，用于應(yīng)用層的過濾規(guī)則相對(duì)于包過濾防火墻來說更容易配置和測(cè)試。代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控制會(huì)話，所以可以提供很詳細(xì)的日志和安全審計(jì)功能。應(yīng)用層代理的最大缺點(diǎn)是要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的軟件。比如，透過應(yīng)用層代理Telnet訪問要求用戶通過兩步而不是一步來建立連接。不過，特殊的端系統(tǒng)軟件可以讓用戶在Telnet命令中指定目標(biāo)主機(jī)而不是應(yīng)用層代理來使應(yīng)用層代理透明。每個(gè)應(yīng)用程序都必須有一個(gè)代理服務(wù)程序來進(jìn)行安全控制，每一種應(yīng)用升級(jí)時(shí)，一般代理服務(wù)程序也要升級(jí)。4、代理服務(wù)器（6）應(yīng)用層代理的缺點(diǎn)5、全狀態(tài)檢查（1）狀態(tài)檢測(cè)技術(shù)：在包過濾的同時(shí)，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。監(jiān)測(cè)引擎：一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊。監(jiān)測(cè)引擎采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層監(jiān)測(cè)引擎5、全狀態(tài)檢查（2）5、全狀態(tài)檢查（3）

狀態(tài)檢測(cè)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：一旦某個(gè)訪問違反安全規(guī)定，就會(huì)拒絕該訪問，并報(bào)告有關(guān)狀態(tài)作日志記錄。它會(huì)監(jiān)測(cè)無連接狀態(tài)的遠(yuǎn)程過程調(diào)用（RPC）和用戶數(shù)據(jù)報(bào)（UDP）之類的端口信息。缺點(diǎn)：降低網(wǎng)絡(luò)速度配置比較復(fù)雜三、防火墻體系結(jié)構(gòu)1、雙重宿主主機(jī)體系結(jié)構(gòu)2、屏蔽主機(jī)體系結(jié)構(gòu)3、屏蔽子網(wǎng)體系結(jié)構(gòu)4、其它的防火墻結(jié)構(gòu)1、雙重宿主主機(jī)體系結(jié)構(gòu)（1）雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)筑的。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個(gè)網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。然而實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP通信。兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享和應(yīng)用層代理服務(wù)的方法實(shí)現(xiàn)。一般情況下采用代理服務(wù)的方法。Internet防火墻雙重宿主主機(jī)內(nèi)部網(wǎng)絡(luò)…1、雙重宿主主機(jī)體系結(jié)構(gòu)（2）1、雙重宿主主機(jī)體系結(jié)構(gòu)（3）雙重宿主主機(jī)的特性：安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問（中轉(zhuǎn)站），其性能非常重要。缺點(diǎn)：雙重宿主主機(jī)是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。2、屏蔽主機(jī)體系結(jié)構(gòu)（1）屏蔽主機(jī)體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機(jī)承擔(dān)安全責(zé)任。一般這種防火墻較簡(jiǎn)單，可能就是簡(jiǎn)單的路由器。典型構(gòu)成：包過濾路由器＋堡壘主機(jī)。包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機(jī)。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)連接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需要擁有高等級(jí)的安全。2、屏蔽主機(jī)體系結(jié)構(gòu)（2）屏蔽路由器可按如下規(guī)則之一進(jìn)行配置：允許內(nèi)部主機(jī)為了某些服務(wù)請(qǐng)求與外部網(wǎng)上的主機(jī)建立直接連接（即允許那些經(jīng)過過濾的服務(wù)）。不允許所有來自外部主機(jī)的直接連接。安全性更高，雙重保護(hù)：實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。缺點(diǎn)：過濾路由器能否正確配置是安全與否的關(guān)鍵。如果路由器被損害，堡壘主機(jī)將被穿過，整個(gè)網(wǎng)絡(luò)對(duì)侵襲者是開放的?！蛱鼐W(wǎng)2、屏蔽主機(jī)體系結(jié)構(gòu)（3）3、屏蔽子網(wǎng)體系結(jié)構(gòu)（1）屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系——周邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。原因：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被侵入的影響。Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)…外部路由器堡壘主機(jī)內(nèi)部路由器3、屏蔽子網(wǎng)體系結(jié)構(gòu)（2）3、屏蔽子網(wǎng)體系結(jié)構(gòu)（3）周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信