計算機信息安全技術 課件 第6章 防火墻技術

計算機信息安全技術第六章防火墻技術目錄6.1防火墻概述6.2防火墻的分類6.3防火墻技術

6.4防火墻的體系結構6.5防火墻的部署6.6防火墻技術的發(fā)展趨勢6.7Windows防火墻6.1防火墻概述防火墻的定義防火墻是一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域之間通信流的唯一通道，能根據(jù)用戶有關的安全策略控制進出網(wǎng)絡的訪問行為。圖6.1防火墻示意圖6.1防火墻概述防火墻至少提供兩個基本的服務：有選擇地限制外部網(wǎng)用戶對本地網(wǎng)的訪問，保護本地網(wǎng)的特定資源。有選擇地限制本地網(wǎng)用戶對外地網(wǎng)的訪問。安全、管理、速度是防火墻的三大要素。6.1防火墻概述防火墻的特性

內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。防火墻自身應具有非常強的抗攻擊能力。6.1防火墻概述防火墻的功能

1．阻止易受攻擊的服務。2．集中安全性管理。3．對網(wǎng)絡存取和訪問進行監(jiān)控審計。4．檢測掃描計算機的企圖。5．防范特洛伊木馬。6．防病毒功能。7．支持VPN技術。8．提供網(wǎng)絡地址翻譯NAT功能6.1防火墻概述防火墻的局限性一、入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能開啟的后門；二、防火墻不能阻止來自網(wǎng)絡內(nèi)部的攻擊；三、通常它不具備實時監(jiān)控入侵的能力；四、防火墻不能防御所有新的威脅。五、防火墻通常工作在網(wǎng)絡層，僅以防火墻則無法檢測和防御最新的拒絕服務攻擊（DoS）及蠕蟲病毒的攻擊。6.2防火墻的分類防火墻的發(fā)展簡史

第一代防火墻第二、三代防火墻第四代防火墻第五代防火墻一體化安全網(wǎng)關UTM6.2防火墻的分類按軟硬件形式分類軟件防火墻硬件防火墻芯片級防火墻按防火墻結構分類單一主機防火墻路由器集成式防火墻分布式防火墻6.2防火墻的分類按防火墻的應用部署分類邊界防火墻個人防火墻混合防火墻按防火墻性能分類百兆級防火墻千兆級防火墻按防火墻技術分類包過濾（Packetfiltering）型應用代理（ApplicationProxy）型6.3防火墻技術包過濾技術以色列的Checkpoint防火墻美國Cisco公司的PIX防火墻代理服務技術美國NAI公司的Gauntlet防火墻狀態(tài)檢測技術NAT技術6.3防火墻技術包過濾（Packetfiltering）技術

包過濾型防火墻工作在OSI網(wǎng)絡參考模型的網(wǎng)絡層和傳輸層；它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉發(fā)到相應的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。6.3防火墻技術包過濾技術出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。第一代靜態(tài)包過濾類型防火墻：根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。圖6.3第一代靜態(tài)包過濾防火墻工作層次結構6.3防火墻技術第二代動態(tài)包過濾型防火墻：采用動態(tài)設置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術后來發(fā)展成為包狀態(tài)檢測（StatefulInspection）技術。圖6.4第二代動態(tài)包過濾防火墻工作層次結構6.3防火墻技術包過濾技術

1.過濾規(guī)則（1）過濾規(guī)則序號FRNO（FilterruleNumber），它決定過濾算法執(zhí)行時過濾規(guī)則排列的順序。（2）過濾方式（Action）包括允許（Allow）和阻止（Block）。（3）源IP地址SIP（SourceIPaddress）。（4）源端口SP（SourcePort）。（5）目的IP地址DIP（DestinationIPaddress）。（6）目的端口DP（DestinationPort）。（7）協(xié)議標志PF（ProtocolFlags）。（8）最后一項是注釋（Comment）。6.3防火墻技術包過濾技術

2.包過濾規(guī)則的制定過程（1）確定安全需求及安全目標，明確什么是應該和不應該被允許的，然后制定合適的安全策略。（2）必須正式規(guī)定允許的包類型、包字段的邏輯表達。（3）必須用防火墻支持的語法重寫表達式。6.3防火墻技術包過濾技術3.包過濾操作過程（1）包過濾規(guī)則必須被存儲作為包過濾設備的端口上。（2）當數(shù)據(jù)包在端口到達時，包頭被提取。同時包過濾設備檢查IP，TCP，UDP等包頭中的域。（3）包過濾規(guī)則以特定的次序被存儲，每一規(guī)則按照被存儲的次序作用于包。（4）如果一條規(guī)則阻止傳輸，包就被棄掉。（5）如果一條規(guī)則允許傳輸，包就被通過。（6）如果一個包不滿足任意規(guī)則，它就被棄掉。6.3防火墻技術代理（ApplicationProxy）服務技術應用代理型防火墻工作在OSI應用層。其特點是完全“阻隔”了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流。在代理型防火墻技術的發(fā)展過程中，經(jīng)歷了兩個不同的版本：第一代應用網(wǎng)關型代理防火墻；第二代自適應代理防火墻。6.3防火墻技術圖6.5代理型防火墻結構示意圖6.3防火墻技術第一代應用網(wǎng)關（ApplicationGateway）型防火墻：通過代理（Proxy）技術參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過該防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部網(wǎng)結構的作用。圖6.6第一代應用網(wǎng)關防火墻工作層次結構6.3防火墻技術第二代自適應代理（Adaptiveproxy）型防火墻：結合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上?；疽兀鹤赃m應代理服務器（AdaptiveProxyServer）與動態(tài)包過濾器（DynamicPacketfilter）。圖6.7第二代自適應代理防火墻工作層次結構6.3防火墻技術代理服務技術在Intranet中設置了一個代理服務器，將外部網(wǎng)(Internet)與內(nèi)部網(wǎng)之間的連接分為兩段:從Internet上的主機引到代理服務器；由代理服務器連到內(nèi)部網(wǎng)中的某一個主機(服務器)。當主機請求訪問Intranet的某個應用服務器時，該請求總被送到代理服務器，并在其中通過安全檢查后，再由代理服務器與內(nèi)部網(wǎng)中的應用服務器建立鏈接。

所有Internet上的主機對內(nèi)部網(wǎng)中應用服務器的訪問，都被送到代理服務器，由后者去代替在Internet上的相應主機，對Intranet的應用服務器進行訪問。這樣就把Internet主機對Intranet應用服務器的訪問，置于代理服務器的安全控制之下，從而使訪問者無法了解到Intranet的結構和運行情況。6.3防火墻技術狀態(tài)檢測技術狀態(tài)檢測技術是包過濾技術的延伸，使用各種狀態(tài)表（statetables）來追蹤活躍的TCP會話。由用戶定義的訪問控制列表（ACL）決定允許建立哪些會話（session），只有與活躍會話相關聯(lián)的數(shù)據(jù)才能穿過防火墻。6.3防火墻技術狀態(tài)檢測技術狀態(tài)檢測技術防火墻的工作過程：

(1)防火墻檢查數(shù)據(jù)包是否是一個已經(jīng)建立并且正在使用的通信流的一部分。

(2)根據(jù)所使用的協(xié)議，決定對數(shù)據(jù)包的檢查程度。

(3)如果數(shù)據(jù)包和連接表的各項都不匹配，那么防火墻就會檢測數(shù)據(jù)包是否與它所配置的規(guī)則集相匹配。

(4)在數(shù)據(jù)包檢測后，防火墻就會將該數(shù)據(jù)包轉發(fā)到它的目的地址，并且防火墻會在其連接表中為此次對話創(chuàng)建或者更新一個連接項，防火墻將使用這個連接項對返回的數(shù)據(jù)包進行校驗。

(5)防火墻通常對TCP包中被設置的FIN位進行檢測或者通過使用計時器來決定何時從連接表中刪除某連接項。6.3防火墻技術NAT技術（NetworkAddressTranslation,NAT）IETF標準中的一項技術，一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡IP地址的技術。靜態(tài)NAT（StaticNAT）永久映射為某一外部地址動態(tài)NAT（PooledNAT）臨時外部地址網(wǎng)絡地址端口轉換NAPT（Port-LevelNAT）映射的時候增加了端口號6.3防火墻技術NAT技術優(yōu)點對外隱藏IP資源共享充分利用包過濾防火墻機制NAT技術缺點不能處理嵌入式IP地址或端口不能從公網(wǎng)訪問內(nèi)部網(wǎng)絡服務地址轉換將增加交換延遲會導致某些應用程序無法正常運行6.4防火墻的體系結構堡壘主機體系結構堡壘主機是防火墻最基本的構件。它一般作用在網(wǎng)絡層（IP層），按照一定的安全策略，對進出內(nèi)部網(wǎng)絡的信息進行分析和限制，實現(xiàn)報文過濾功能。該防火墻優(yōu)點在于速度快等，但安全性能差。6.4防火墻的體系結構雙宿主主機體系結構雙宿主主機的防火墻系統(tǒng)由一臺裝有兩張網(wǎng)卡的堡壘主機構成。堡壘機上運行著防火墻軟件，可以轉發(fā)應用程序，提供服務等。內(nèi)外網(wǎng)絡之間的IP數(shù)據(jù)流被雙宿主主機完全切斷。用堡壘機取代路由器執(zhí)行安全控制功能。圖6.8雙宿主主機防火墻結構示意圖6.4防火墻的體系結構雙宿主主機的實現(xiàn)方案：應用層數(shù)據(jù)共享，用戶直接登錄到雙宿主主機圖6.9雙宿主主機結構防火墻（應用層數(shù)據(jù)共享）6.4防火墻的體系結構應用層代理服務，在雙宿主機上運行代理服務器雙宿主主機結構是由一臺同時連接在內(nèi)外部網(wǎng)絡的雙宿主主機提供安全保障的。圖6.10雙宿主主機結構防火墻（應用層代理服務）6.4防火墻的體系結構屏蔽主機體系結構

堡壘機與內(nèi)部網(wǎng)相連，用篩選路由器連接到外部網(wǎng)上，篩選路由器作為第一道防線，堡壘機作為第二道防線。這確保了內(nèi)部網(wǎng)絡不受未被授權的外部用戶的攻擊。該防火墻系統(tǒng)提供的安全等級比前面兩種防火墻系統(tǒng)要高，主要用于企業(yè)小型或中型網(wǎng)絡。6.4防火墻的體系結構圖6.12屏蔽主機防火墻轉發(fā)數(shù)據(jù)包過程6.4防火墻的體系結構屏蔽子網(wǎng)體系結構

屏蔽子網(wǎng)結構就是在屏蔽主機結構中再增加一層邊界網(wǎng)絡（DMZ）的安全機制，使得內(nèi)部網(wǎng)與外部網(wǎng)之間完全隔斷。圖6.13屏蔽子網(wǎng)防火墻結構示意圖6.4防火墻的體系結構防火墻的結構組合策略

多堡壘主機合并內(nèi)、外部路由器合并堡壘主機與外部路由器合并堡壘主機與內(nèi)部路由器

6.5防火墻的部署防火墻的設計原則

保持設計的簡單性安排事故計劃防火墻的選購原則第一要素：防火墻的基本功能第二要素：企業(yè)的特殊要求第三要素：與用戶網(wǎng)絡結合6.5防火墻的部署常見防火墻產(chǎn)品CheckpointFirewall-1Sonicwall系列防火墻NetScreenFirewallAlkatelInternetDevices系列防火墻北京天融信公司網(wǎng)絡衛(wèi)士防火墻NAIGauntlet防火墻Comodo防火墻6.5防火墻的部署Comodo防火墻6.6防火墻技術的發(fā)展趨勢防火墻包過濾技術發(fā)展趨勢身份認證技術多級過濾技術防病毒技術防火墻的體系結構發(fā)展趨勢硬件+軟件=靈活防火墻的系統(tǒng)管理發(fā)展趨勢

首先是集中式管理，分布式和分層的安全結構是將來的趨勢。強大的審計功能和自動日志分析功能。網(wǎng)絡安全產(chǎn)品的系統(tǒng)化。6.7Windows防火墻在Windows操作系統(tǒng)中內(nèi)置了一個稱為ICF的防火墻，ICF是一個基于包的防火墻，可以不響應Ping命令，可以禁止外部程序對你的計算機進行端口掃描，拋棄所有沒有請求的IP包。

ICF原理：通過保存一個通信表格，記錄