《信息安全導(dǎo)論》課件1第7章

第7章防火墻

7.1防火墻概述7.2防火墻采用的技術(shù)7.3防火墻系統(tǒng)的構(gòu)建

思考題

實驗7無線路由器的安全設(shè)置

7.1防?火?墻?概?述7.1.1防火墻的概念防火墻是位于兩個或多個網(wǎng)絡(luò)之間，實施網(wǎng)間訪問控制策略的一組組件，如圖7-1所示。設(shè)立防火墻的目的是為了保護內(nèi)部網(wǎng)絡(luò)不受來自外部網(wǎng)絡(luò)的攻擊，從而創(chuàng)建一個相對安全的內(nèi)網(wǎng)環(huán)境。理想的防火墻應(yīng)該滿足以下條件：①內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻；②只有符合安全政策的數(shù)據(jù)流才能通過防火墻；③防火墻自身應(yīng)對滲透免疫。圖7-1防火墻示意圖

(1)服務(wù)控制：控制可以訪問的Internet服務(wù)類型，包括向內(nèi)和向外。

(2)方向控制：控制一項特殊服務(wù)所要求的方向。

(3)用戶控制：控制訪問服務(wù)的人員。

(4)行為控制：控制服務(wù)的使用方式，如e-mail過濾等。

7.1.2防火墻的功能一般而言，一個單位的內(nèi)部網(wǎng)絡(luò)組成結(jié)構(gòu)復(fù)雜，各節(jié)點通常自主管理，但機構(gòu)有整體的安全需求和顯著的內(nèi)外區(qū)別。通過部署和使用防火墻，不但可以貫徹執(zhí)行單位的整體安全策略，防止外部攻擊，還可有效地隔離不同網(wǎng)絡(luò)，限制安全問題擴散，也可有效地記錄和審核Internet上的活動。7.1.3防火墻的局限性防火墻不能對內(nèi)部威脅提供防護支持，也不能對繞過防火墻的攻擊提供保護。受性能限制，防火墻不能有效地防范數(shù)據(jù)內(nèi)容驅(qū)動式攻擊，對病毒傳輸?shù)谋Ｗo能力也比較弱。為了提高安全性，防火墻系統(tǒng)限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，從而給用戶造成了使用的不便，這可能帶來傳輸延遲、性能瓶頸及單點失效。另外，作為一種被動的防護手段，防火墻不能自動防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。7.2防火墻采用的技術(shù)第一代防火墻幾乎與路由器同時出現(xiàn)，采用了包過濾(PacketFilter)技術(shù)。1989年，推出了電路層防火墻和應(yīng)用層防火墻的初步結(jié)構(gòu)。1992年，開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò)，并詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。第四代防火墻產(chǎn)品的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。告警功能會守住每一個TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。第四代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的認證手段，并實現(xiàn)了對郵件的加密。為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時，還為用戶定制提供支持，這類選項有：通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可利用這些支持方便地設(shè)置。

VPN可以在防火墻與防火墻或移動的客戶端之間對所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個虛擬通道，讓兩者感覺是在同一個網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。目前的防火墻都提供VPN服務(wù)。

7.2.1包過濾技術(shù)采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中適當位置對數(shù)據(jù)包進行過濾，根據(jù)檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎規(guī)則的數(shù)據(jù)包通過防火墻進入到內(nèi)部或外部網(wǎng)絡(luò)，而將不合乎規(guī)則的數(shù)據(jù)包加以丟棄，如圖7-2所示。

圖7-2IP層數(shù)據(jù)包過濾示意圖包過濾防火墻一般是根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息、數(shù)據(jù)包的協(xié)議類型、路由信息、流向等首部信息，來決定是否允許該數(shù)據(jù)包通過。對于IP數(shù)據(jù)包而言，其判斷依據(jù)有：①源、目的IP地址和源、目的端口；②數(shù)據(jù)包協(xié)議類型，如TCP、UDP、ICMP、IGMP等；③IP路由選項；④TCP標志位選項，如SYN、ACK、FIN、RST等；⑤數(shù)據(jù)包流向或流經(jīng)的網(wǎng)絡(luò)接口，如in或out等。目前，普通路由器、個人防火墻軟件、商業(yè)版防火墻產(chǎn)品，以及一些開源防火墻軟件如Iptables、Ipfilter都提供了包過濾功能。例7-1WindowsXP防火墻配置與使用。防火墻的啟用：[開始]→[程序]→[附件]→[通訊]→[網(wǎng)絡(luò)連接]，打開網(wǎng)絡(luò)連接對話框，點擊[更改Windows防火墻設(shè)置]選項，出現(xiàn)[Windows防火墻]對話框，再點擊[啟用]按鈕，如圖7-3所示。

圖7-3Windows防火墻當要拒絕所有連接時，選擇“不允許例外”復(fù)選框，此時安全性最高，Windows阻止程序時不通知用戶，并且在“例外”選項卡中的程序也會被阻止。當本機需要對外提供服務(wù)時，不選中“不允許例外”復(fù)選框，則在“例外”選項卡中的程序或端口允許被訪問，不在“例外”選項卡中的端口和程序?qū)⒉辉试S被外界訪問。轉(zhuǎn)到“例外”選項卡，添加允許端口：例如當本機需要對外界提供WWW服務(wù)時，將開放80端口等待/監(jiān)聽客戶端連接，點選添加端口，輸入端口名、端口號和使用協(xié)議，則外界只允許訪問本機80端口，即WWW服務(wù)，其他端口/服務(wù)都拒絕被訪問。7.2.2應(yīng)用代理技術(shù)應(yīng)用代理防火墻運行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器一樣，而對于服務(wù)器來說，它又是一臺客戶機。當代理服務(wù)器接收到客戶的請求后，會檢查用戶請求是否符合相關(guān)安全策略的要求，如果符合的話，代理服務(wù)器會代表客戶，去服務(wù)器那里取回所需信息再轉(zhuǎn)發(fā)給客戶，如圖7-4所示。

圖7-4應(yīng)用代理服務(wù)器的工作原理應(yīng)用代理防火墻工作在TCP/IP協(xié)議的應(yīng)用層，它使用代理軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用層服務(wù)，如FTP等，但它只允許有代理的服務(wù)通過防火墻。目前常見到的代理服務(wù)器防火墻產(chǎn)品有：商業(yè)版代理(cache)服務(wù)器，開源防火墻軟件TISFWTK(Firewalltoolkit)、Apache和Squid等。應(yīng)用代理防火墻具有如下優(yōu)點：

(1)防火墻理解應(yīng)用層協(xié)議，可以實施更細粒度的訪問控制，因此比包過濾更安全、更易于配置，界面友好。

(2)防火墻不允許內(nèi)外網(wǎng)主機的直接連接，安全檢查只需要詳細檢查幾個允許的應(yīng)用程序，比較容易對進出數(shù)據(jù)進行日志和審計。應(yīng)用代理防火墻也具有如下缺點：

(1)額外的處理負載，應(yīng)用代理防火墻的處理速度比包過濾防火墻要慢。

(2)對每一個應(yīng)用，都需要一個專門的代理，靈活性不夠。用戶可能需要改造網(wǎng)絡(luò)的結(jié)構(gòu)甚至應(yīng)用系統(tǒng)。應(yīng)用代理防火墻和包過濾防火墻的優(yōu)缺點見表7-1。

表7-1包過濾防火墻和應(yīng)用代理防火墻優(yōu)缺點7.2.3狀態(tài)檢測技術(shù)與流過濾技術(shù)狀態(tài)檢測防火墻采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。

狀態(tài)檢測技術(shù)是根據(jù)會話的信息來決定單個數(shù)據(jù)包是否可以通過，但不能實際處理應(yīng)用層協(xié)議。由東軟軟件股份有限公司在其NetEye防火墻3.0版中首創(chuàng)的“流過濾”技術(shù)，是在狀態(tài)檢測包過濾的架構(gòu)上發(fā)展起來的新一代防火墻技術(shù)，它帶給用戶最大的好處在于對應(yīng)用層的保護能力大幅度提升，以包過濾的外部形態(tài)，提供了應(yīng)用級的保護能力。流過濾技術(shù)的核心是專門設(shè)計的TCP協(xié)議棧，該協(xié)議棧根據(jù)TCP協(xié)議的定義對出入防火墻的數(shù)據(jù)包進行了完全的重組，并根據(jù)應(yīng)用層的安全規(guī)則對組合后的數(shù)據(jù)流進行檢測。由于這個協(xié)議棧的存在，網(wǎng)絡(luò)通信在防火墻內(nèi)部由鏈路層上升到了應(yīng)用層。數(shù)據(jù)包不再直接到達目的端，而是完全受防火墻中的應(yīng)用協(xié)議模塊的控制。這種應(yīng)用協(xié)議模塊的工作方式非常類似于代理防火墻針對不同協(xié)議的代理程序，代替服務(wù)器接受來自客戶端的訪問，再代替客戶端去獲取訪問的結(jié)果，所不同的是，這種模塊能夠支持更多的協(xié)議種類和更大規(guī)模的并發(fā)訪問。7.2.4網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)目前的防火墻產(chǎn)品都提供了網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)涉及到公用地址和專用地址。公用地址又稱為合法IP地址，是指由Internet網(wǎng)絡(luò)信息中心(InterNIC)分配的IP地址，要想在Internet上實現(xiàn)通信，就必須有一個公用地址。為了解決IP地址短缺問題，Internet網(wǎng)絡(luò)信息中心為公司專用網(wǎng)絡(luò)提供了保留網(wǎng)絡(luò)IP專用的方案。這些專用網(wǎng)絡(luò)地址包括：①子網(wǎng)掩碼為的(一個A類的地址)；②子網(wǎng)掩碼為的(一個B類的地址)；③子網(wǎng)掩碼為的(一個C類的地址)。專用地址不能直接與Internet通信。使用專用地址的內(nèi)部網(wǎng)絡(luò)，要與Internet進行通信，則該專用地址必須轉(zhuǎn)換成公用地址。網(wǎng)絡(luò)地址轉(zhuǎn)換器NAT(NetworkAddressTranslator)就是完成上述地址轉(zhuǎn)換的一個部件，如圖7-5所示。它位于使用專用地址的Intranet和使用公用地址的Internet之間，其任務(wù)是：①把從Intranet傳出的數(shù)據(jù)包中的端口號和專用的IP地址換成它自己的端口號和公用的IP地址，然后將數(shù)據(jù)包發(fā)給外部網(wǎng)絡(luò)的目的主機，同時記錄一個跟蹤信息在映像表中，以便向客戶機發(fā)送回答信息；②將從Internet傳入的數(shù)據(jù)包的目的端口號和公用IP地址轉(zhuǎn)換為客戶機的端口號和內(nèi)部網(wǎng)絡(luò)使用的專用IP地址并轉(zhuǎn)發(fā)給客戶機。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)使我們可以在內(nèi)網(wǎng)中使用未注冊的專用IP地址，而在與外部網(wǎng)絡(luò)通信時使用注冊的公用IP地址，從而大大降低了連接成本；同時，NAT也起到將內(nèi)部網(wǎng)絡(luò)隱藏起來，保護內(nèi)部網(wǎng)絡(luò)的作用，因為對外部用戶來說只有使用公用IP地址的NAT是可見的。

圖7-5NAT的工作原理另外，聯(lián)想網(wǎng)御科技公司采用的多NP(NetProcessor)技術(shù)防火墻，可使處理性能成倍提高，從而能滿足包括電信骨干網(wǎng)在內(nèi)的最高端用戶的網(wǎng)絡(luò)流量需求，而中網(wǎng)“黑客愁TM”雙盾防火墻具有雙系統(tǒng)智能防御的特點?？傮w上講，防火墻技術(shù)是一項比較成熟的技術(shù)，目前更多地考慮是性能的提高、用戶界面和管理、互操作性和標準化?，F(xiàn)代防火墻正朝著綜合化、智能化、分布式方向發(fā)展。

7.3防火墻系統(tǒng)的構(gòu)建構(gòu)建一個完善的防火墻系統(tǒng)一般按如下的步驟進行：

(1)制定安全策略。安全策略是對訪問如何控制的高層指南。安全策略定義了哪些行為被允許，哪些不被允許。每個組織都會有一些基本的安全策略，主要包括計算機使用策略、公司資源的保護策略、內(nèi)部通信策略、遠程外部訪問控制策略和資料保護策略。確保內(nèi)部用戶合理、合法使用外部Internet服務(wù)和外界Internet用戶合法使用單位的對外網(wǎng)絡(luò)服務(wù)，同時又能防止這些用戶的惡意行為，是防火墻系統(tǒng)構(gòu)建中制定安全策略的總體要求。哪些內(nèi)部用戶在什么時段能夠訪問Internet的哪些資源，哪些外部用戶在什么時段能夠使用單位對外提供的哪些服務(wù)是安全策略包含的主要內(nèi)容。

(2)設(shè)計安全體系結(jié)構(gòu)。根據(jù)業(yè)務(wù)和安全控制的需要，合理規(guī)劃內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、合理劃分安全區(qū)域、恰當?shù)夭渴鸱阑饓?，是安全體系結(jié)構(gòu)設(shè)計的主要內(nèi)容。強化內(nèi)外網(wǎng)隔離，設(shè)立所謂非軍事化區(qū)域(DMZ)，把信息服務(wù)器以及其他公用服務(wù)器放在DMZ網(wǎng)絡(luò)中是目前很多機構(gòu)采用的防火墻體系結(jié)構(gòu)，如圖7-6所示。圖7-6采用非軍事化區(qū)域的防火墻體系結(jié)構(gòu)其他防火墻體系結(jié)構(gòu)還包括篩選路由器、堡壘機、多堡壘主機、使用多臺內(nèi)部路由器、使用雙重宿主主機與屏蔽子網(wǎng)等類型，如圖7-7所示。圖7-7某市政府網(wǎng)絡(luò)和多防火墻部署拓撲圖

(3)制定規(guī)則順序。為每個防火墻制定訪問規(guī)則和次序是具體化安全策略的過程。這種具體化需要把相應(yīng)的控制策略轉(zhuǎn)化為一條條針對地址、端口、協(xié)議等的限制規(guī)則。另外，很多防火墻是以順序方式檢查數(shù)據(jù)包的，當發(fā)現(xiàn)一條匹配規(guī)則時，就停止檢查并應(yīng)用響應(yīng)規(guī)則。因此，制定規(guī)則集時應(yīng)特別注意規(guī)則的次序，不同的次序放置可能會完全改變防火墻對數(shù)據(jù)包的控制效果。

(4)落實規(guī)則集。本步驟需要根據(jù)所采用防火墻的管理工具的特點，對防火墻進行具體的配置，把上述第(3)步制定的規(guī)則逐條轉(zhuǎn)化為相關(guān)配置命令。另外，在配置時需要了解防火墻的默認設(shè)置情況。

(5)測試與修正。防火墻系統(tǒng)在安裝與配置完畢之后應(yīng)測試其是否正常工作，測試方法包括配置測試、端口檢查、在線檢測和日志審核。另外，網(wǎng)絡(luò)環(huán)境變化時應(yīng)重新對防火墻系統(tǒng)進行配置和測試，周期性測試能確保系統(tǒng)正常穩(wěn)定地工作，及時消除系統(tǒng)隱患。

思考題

(1)防火墻有哪些局限性?

(2)常見的防火墻系統(tǒng)有哪幾種？比較它們的優(yōu)缺點。

(3)簡述包過濾防火墻的工作原理及特點。

(4)雙宿主堡壘主機與單宿主堡壘主機的區(qū)別是什么?

(5)選購防火墻產(chǎn)品需要考慮哪些因素？我國相關(guān)防火墻的標準有哪些？

(6)寫出構(gòu)建防火墻系統(tǒng)的步驟。實驗7無線路由器的安全設(shè)置一、實驗?zāi)康?/p>

(1)熟悉防火墻的工作原理。

(2)掌握TP-LinkTL-WR340G+無線路由器的訪問控制功能和配置方法。

(3)了解天網(wǎng)、瑞星、思科等防火墻的特點和使用方法。二、實驗準備

(1)防火墻目前的主流產(chǎn)品主要有CiscoSecurePIX防火墻、華為3ComQuidway?SecPath系列防火墻、天融信NGFW4000系列防火墻、CheckpointFire-wall-1和SonicWallSonicWall。這些產(chǎn)品的配置與使用大同小異。對其配置一般通過三種方式進行：本地控制臺端口、遠程Telnet和SSH。防火墻的配置原則是簡單實用、全面深入、內(nèi)外兼顧。

(2)無線路由器是WIFI無線局域網(wǎng)的基礎(chǔ)，目前大多數(shù)主流產(chǎn)品都直接具備寬帶網(wǎng)接入功能，并集成多個RJ45有線網(wǎng)絡(luò)端口，非常適合家庭用戶以及中小型辦公用戶。不同品牌型號的無線路由器的技術(shù)參數(shù)也不相同，需要參閱廠商的技術(shù)資料。請讀者查閱資料，了解TP-LinkTL-WR340G+無線路由器的特點。

(3)如圖7-8所示，TP-LinkTL-WR340G+無線路由器的安全設(shè)置包括防火墻設(shè)置、IP地址過濾、域名過濾、MAC地址過濾、遠端WEB管理、高級安全設(shè)置等內(nèi)容。

(4)查找有關(guān)資料，了解思科各型號防火墻的使用方法。圖7-8TP-LinkTL-WR340G+無線路由器的安全設(shè)置三、實驗內(nèi)容

1．配置無線路由器打開Web瀏覽器，在地址欄中打入無線路由器的地址，此時系統(tǒng)會要求輸入登錄密碼。一般而言，該密碼可以在產(chǎn)品的說明書上查到。對于一個新的沒有設(shè)置過的路由器，會出現(xiàn)設(shè)置向?qū)?，我們可以選定寬帶網(wǎng)的類型，如果無線路由器還需要連接100/10M有線網(wǎng)絡(luò)，那么我們還需要進一步設(shè)置IP/DHCP，一旦用戶的有線網(wǎng)卡和無線網(wǎng)卡的TCP/IP屬性設(shè)置成自動獲得IP地址，就能由無線路由器處得到一個IP地址。

2．配置無線客戶端對于WIFI網(wǎng)絡(luò)而言，客戶端的配置異常簡單，在控制面板的網(wǎng)絡(luò)屬性中打開無線網(wǎng)卡的TCP/IP屬性，然后將IP地址設(shè)定為自動，并禁用DNS與網(wǎng)關(guān)，此時無線網(wǎng)卡可以自動分配到IP地址，并接入Internet。必須保證與無線路由器的ESSID值完全相同(包含字母大小寫)，只有在完全相同的前提下才能讓無線網(wǎng)卡訪問無線路由器，這也是保證無線網(wǎng)絡(luò)安全的重要措施之一。不同無線網(wǎng)卡設(shè)置ESSID的地方不盡相同，有些是在控制面板中，有些通過網(wǎng)卡專用的應(yīng)用程序，具體可以參閱說明書。一般相同品牌的無線路由器與無線網(wǎng)卡采用相同的ESSID默認值，無需設(shè)置即可使用，但這樣會帶來一些安全隱患，建議更換ESSID值。

3．IP地址過濾通過數(shù)據(jù)包過濾功能可以控制局域網(wǎng)中計算機對互聯(lián)網(wǎng)上某些網(wǎng)站的訪問。具體配置條目如下：

(1)生效時間：本條規(guī)則生效的起始時間和終止時間。時間請按hhmm格式輸入。

(2)局域網(wǎng)IP地址：局域網(wǎng)中被控制計算機的IP地址，為空表示對局域網(wǎng)中所有計算機進行控制。也可以輸入一個IP地址段。

(3)局域網(wǎng)端口：局域網(wǎng)中被控制計算機的服務(wù)端口，為空表示對該計算機的所有服務(wù)端口進行控制。也可以輸入一個端口段。

(4)廣域網(wǎng)IP地址：廣域網(wǎng)中被控制的網(wǎng)站的IP地址，為空表示對整個廣域網(wǎng)進行控制。也可以輸入一個IP地址段。

(5)廣域網(wǎng)端口：廣域網(wǎng)中被控制網(wǎng)站的服務(wù)端口，為空表示對該網(wǎng)站所有服務(wù)端口進行控制，也可以輸入一個端口段。

(6)協(xié)議：被控制的數(shù)據(jù)包所使用的協(xié)議。

(7)通過：當選擇“允許通過”時，符合本條目所設(shè)置的規(guī)則的數(shù)據(jù)包可以通過路由器，否則該數(shù)據(jù)包將不能通過路由器。狀態(tài)：只有選擇“生效”后本條