計(jì)算機(jī)網(wǎng)絡(luò)安全-第九章-防火墻技術(shù)

*第9章防火墻技術(shù)

防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)之上并是一種應(yīng)用最為廣泛的安全技術(shù)。在構(gòu)建網(wǎng)絡(luò)安全環(huán)境的過程中，防火墻能夠有效地限制了數(shù)據(jù)在網(wǎng)絡(luò)內(nèi)外的自由流動(dòng)，它的網(wǎng)絡(luò)安全保障作用已受到人們的廣泛關(guān)注。本章主要介紹防火墻的基本概念、防火墻原理、技術(shù)和防火墻體系結(jié)構(gòu)等技術(shù)。

*本章內(nèi)容提要:防火墻的概念

防火墻的原理及分類

防火墻技術(shù)

防火墻體系結(jié)構(gòu)

防火墻的構(gòu)成

第9章防火墻技術(shù)*9.1防火墻的概念

基于Internet體系結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用有兩大部分：Intranet和Extranet。Intranet是借助Internet的技術(shù)和設(shè)備在Intranet上構(gòu)造出企業(yè)WWW網(wǎng)，可放入企業(yè)全部信息，實(shí)現(xiàn)企業(yè)信息資源的共享；而Extranet是在電子商務(wù)、協(xié)同合作的需求下，用Extranet間的通道，獲得其他網(wǎng)絡(luò)中允許共享的、有用的信息。*防火墻的概念因此按照企業(yè)內(nèi)部的安全體系結(jié)構(gòu)，防火墻應(yīng)當(dāng)滿足如下要求。1）保證對主機(jī)和應(yīng)用的安全訪問。2）保證多種客戶機(jī)和服務(wù)器的安全性。3）保護(hù)關(guān)鍵部門不受到來自內(nèi)部和外部的攻擊，為通過Internet與遠(yuǎn)程訪問的雇員、客戶、供應(yīng)商提供安全通道。*防火墻的概念因此，防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)（包括硬件和軟件），目的是保護(hù)網(wǎng)絡(luò)不被可疑目標(biāo)入侵。

防火墻的作用防火墻能夠做什么？控制和管理網(wǎng)絡(luò)訪問保護(hù)網(wǎng)絡(luò)和系統(tǒng)資源數(shù)據(jù)流量的深度檢測身份驗(yàn)證扮演中間人角色記錄和報(bào)告事件*9.2防火墻的原理及分類

防火墻的原理

防火墻的分類

*防火墻的原理

1．基于網(wǎng)絡(luò)體系結(jié)構(gòu)的防火墻原理

2.基于雙網(wǎng)絡(luò)堆棧DualNetworkStack的防火墻原理

*防火墻的原理

1．基于網(wǎng)絡(luò)體系結(jié)構(gòu)的防火墻原理防火墻是建立在不同分層結(jié)構(gòu)上的、具有一定安全級(jí)別和執(zhí)行效率的通信交換技術(shù)。無論是OSI/RM還是TCP/IPRM，都具有相同的實(shí)現(xiàn)原理，如下圖所示?；诰W(wǎng)絡(luò)體系結(jié)構(gòu)的防火墻實(shí)現(xiàn)原理防火墻與OSI基本防火墻NetworkTransport高級(jí)防火墻DataLinkSessionApplication*防火墻的原理

按照網(wǎng)絡(luò)的分層體系結(jié)構(gòu)，在不同的分層結(jié)構(gòu)上實(shí)現(xiàn)的防火墻不同，通常有如下幾種。1）基于網(wǎng)絡(luò)層實(shí)現(xiàn)的防火墻，通常稱為包過濾防火墻。2）基于傳輸層實(shí)現(xiàn)的防火墻，通常稱為傳輸級(jí)網(wǎng)關(guān)。3）基于應(yīng)用層實(shí)現(xiàn)的防火墻，通常稱為應(yīng)用級(jí)網(wǎng)關(guān)。4）整合上述所有技術(shù)，形成混合型防火墻，根據(jù)安全性能進(jìn)行彈性管理。層次越高，能檢測的資源越多，越安全，但執(zhí)行效率變差*防火墻的原理

2.基于雙網(wǎng)絡(luò)堆棧DualNetworkStack的防火墻原理

為了進(jìn)一步提高防火墻的安全性，該防火墻采用了連線隔離和通信協(xié)議棧的堆疊技術(shù)，其實(shí)現(xiàn)原理如下圖所示?；陔p網(wǎng)絡(luò)堆棧（DualNetworkStack）防火墻實(shí)現(xiàn)原理*9.2防火墻的原理及分類

防火墻的原理

防火墻的分類

*防火墻的分類

從實(shí)現(xiàn)技術(shù)方式來分類包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻、代理防火墻狀態(tài)檢測防火墻從形態(tài)上來分類軟件防火墻硬件防火墻*9.3防火墻技術(shù)

隔離的技術(shù)

管理的技術(shù)

通信堆疊的技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

主機(jī)防火墻與網(wǎng)絡(luò)防火墻*隔離的技術(shù)1．隔離的定義最安全且簡單的做法是將網(wǎng)絡(luò)的物理線路切斷，但完全的中斷卻失去了網(wǎng)絡(luò)本身的優(yōu)勢及方便性。因此，解決的方法是設(shè)計(jì)防火墻系統(tǒng)在不同區(qū)域間執(zhí)行連接的管理，如圖所示。防火墻隔離技術(shù)*隔離的技術(shù)2．隔離技術(shù)的分類防火墻隔離技術(shù)根據(jù)其所能支持區(qū)域隔離網(wǎng)絡(luò)的數(shù)量分為三種。1）Dual-Home2）Tri-Home3）Multi-Home將網(wǎng)絡(luò)區(qū)隔為兩段，如圖9.5（a）所示。

在防火墻上增加第三塊網(wǎng)卡的網(wǎng)絡(luò)，稱安全服務(wù)網(wǎng)絡(luò)或非軍事隔離區(qū)如圖9.5（b）所示。支持區(qū)域隔離多端網(wǎng)絡(luò)的防火墻防火墻隔離技術(shù)類型*9.3防火墻技術(shù)

隔離的技術(shù)

管理的技術(shù)

通信堆疊的技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

主機(jī)防火墻與網(wǎng)絡(luò)防火墻*管理的技術(shù)

從管理網(wǎng)絡(luò)互連的角度講，主要管理下述內(nèi)容。1）連接來源地址（IP地址、主機(jī)名稱、網(wǎng)絡(luò)名稱、子網(wǎng)絡(luò)區(qū)段）。2）連接目的地址（IP地址、主機(jī)名稱、網(wǎng)絡(luò)名稱、子網(wǎng)絡(luò)區(qū)段）。3）網(wǎng)絡(luò)服務(wù)的類別（HTTP、Telnet、FTP、SMTP等）。4）連接的時(shí)間。5）連接的方向（Ext→Int、Int→Ext等）。6）連接的身份（Username/Password）。*9.3防火墻技術(shù)

隔離的技術(shù)

管理的技術(shù)

主機(jī)防火墻與網(wǎng)絡(luò)防火墻

通信堆疊的技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

主機(jī)防火墻與網(wǎng)絡(luò)防火墻主機(jī)防火墻位置優(yōu)勢低成本難于部署、維護(hù)缺乏透明度功能局限性示例MicrosoftICFNortonPersonalFirewall網(wǎng)絡(luò)防火墻功能強(qiáng)大性能高透明度強(qiáng)成本高內(nèi)部攻擊保護(hù)性差示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinet

FortiGate天融信NetGuard*9.3防火墻技術(shù)

隔離的技術(shù)

管理的技術(shù)

防火墻操作系統(tǒng)的技術(shù)

通信堆疊的技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

*通信堆疊的技術(shù)

若按所采用的通信堆疊來區(qū)分，目前在市場上可以看到的防火墻技術(shù)有下列類型。1）包過濾技術(shù)（PacketFiltering）。2）狀態(tài)檢查技術(shù)（StatefulInspection）。3）傳輸級(jí)網(wǎng)關(guān)技術(shù)（Circuit-LevelGateway）。4）應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)（Application-LevelGateway）。*通信堆疊的技術(shù)

1．包過濾技術(shù)（1）包過濾技術(shù)原理通過檢測IP包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕（2）運(yùn)作方式包過濾技術(shù)（PacketFiltering）如下圖所示。圖

包過濾技術(shù)原理

*通信堆疊的技術(shù)

1）在TCP/IP網(wǎng)絡(luò)層（NetworkLayer）可以檢查的通信資料有源IP地址（SourceIPAddress）、目的IP地址（DestinationIPAddress）、封裝包的類型（TCP/UDP）、源地址通信端口號(hào)、目的地址通過端口號(hào)。2）內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間是直接通信（DirectConnection）。3）防火墻根據(jù)進(jìn)出防火墻IP封包進(jìn)行比較、檢查、校驗(yàn)。*通信堆疊的技術(shù)

2．狀態(tài)檢查技術(shù)（1）運(yùn)作方式狀態(tài)檢查（StatefulInspection）技術(shù)如下圖所示。

狀態(tài)檢測技術(shù)*通信堆疊的技術(shù)

1）在數(shù)據(jù)鏈路層及網(wǎng)絡(luò)層之間插入一個(gè)狀態(tài)檢查模塊。2）由狀態(tài)檢查模塊動(dòng)態(tài)檢查各層的網(wǎng)絡(luò)連接狀態(tài)和通信信息（包括歷史數(shù)據(jù)）存入表格。3）防火墻根據(jù)該表內(nèi)容對返回受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析判斷，這樣，只有響應(yīng)受保護(hù)網(wǎng)絡(luò)請求的數(shù)據(jù)包才被放行。狀態(tài)防火墻有狀態(tài)包過濾防火墻技術(shù)與無狀態(tài)包過濾防火墻執(zhí)行相似的操作保持對連接狀態(tài)的跟蹤，狀態(tài)表無需開放高端口訪問權(quán)限不屬于現(xiàn)有會(huì)話的訪問將被拒絕檢查更高級(jí)的信息TCPFlag、TCPSeq.更多的DoS防護(hù)特定應(yīng)用層協(xié)議檢測不能阻止應(yīng)用層攻擊狀態(tài)表導(dǎo)致的系統(tǒng)開銷部署方式作為主要的防御措施需要更加嚴(yán)格的控制狀態(tài)防火墻（續(xù)）比如你允許了ip為的數(shù)據(jù)包通過防火墻，但是惡意的人偽造ip的話，沒有通過tcp的三次握手也可以闖過包過濾防火墻。

按照TCP基于狀態(tài)的特點(diǎn)，在防火墻上記錄各個(gè)連接的狀態(tài)，彌補(bǔ)包過濾防火墻的缺點(diǎn)但是狀態(tài)防火墻會(huì)根據(jù)TCP的狀態(tài)，阻止偽造IP的數(shù)據(jù)包進(jìn)入內(nèi)網(wǎng)*通信堆疊的技術(shù)

3．傳輸級(jí)網(wǎng)關(guān)技術(shù)（稱電路網(wǎng)關(guān)技術(shù)較普遍）（1）運(yùn)作方式傳輸級(jí)網(wǎng)關(guān)（Circuit-LevelGateway）技術(shù)如下圖所示。傳輸級(jí)網(wǎng)關(guān)技術(shù)原理*通信堆疊的技術(shù)

1）在傳輸層（TransportLayer）檢查的信息有：源IP地址（SourceIPAddress）、目的IP地址（DestinationIPAddress）、封裝包的類型（TCP/UDP）、源地址通信端口號(hào)、目的地址通信端口號(hào)、可掌握網(wǎng)絡(luò)連接狀態(tài)信息。2）內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間是透過防火墻轉(zhuǎn)發(fā)的。3）監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,決定該會(huì)話是否合法4）將所有公司內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址，這個(gè)地址是由防火墻使用的*通信堆疊的技術(shù)

4．應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)（1）運(yùn)作方式應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)如下圖所示。應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)*通信堆疊的技術(shù)

1）內(nèi)部使用者無法直接連接到外部主機(jī)，應(yīng)用網(wǎng)關(guān)（ApplicationGateway）起到外部主機(jī)的傳遞作用，是對所有內(nèi)部主機(jī)的代理。2）內(nèi)部網(wǎng)絡(luò)的設(shè)定被保護(hù)且隱藏起來。3）應(yīng)用代理（ApplicationProxy）是安全強(qiáng)化過的程序。4）在應(yīng)用層（ApplicationLayer）直接解釋及響應(yīng)應(yīng)用程序，不必知道通信口或者協(xié)議。*9.3防火墻技術(shù)

隔離的技術(shù)

管理的技術(shù)

防火墻操作系統(tǒng)的技術(shù)

通信堆疊的技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

*網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

每當(dāng)在內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)要與外部的網(wǎng)絡(luò)互聯(lián)時(shí)，防火墻會(huì)隱藏其IP地址并以防火墻的外部IP地址來取代。外部用戶無法得知內(nèi)部用戶的內(nèi)部網(wǎng)絡(luò)的地址信息，因?yàn)樗环阑饓Φ耐獠縄P地址所隱藏。這個(gè)轉(zhuǎn)換內(nèi)部網(wǎng)絡(luò)IP地址的操作就叫做網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）技術(shù)。地址轉(zhuǎn)換防火墻NAT防火墻技術(shù)解決了公有IP地址匱乏的問題在L3/L4操作隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)引入了延時(shí)破壞了IP的端到端模型對應(yīng)用的支持限制一些應(yīng)用將連接信息嵌入到應(yīng)用層報(bào)文中NATALG（ApplicationLayerGateway）地址轉(zhuǎn)換防火墻（續(xù)）NATALG（SQLNET）*9.3防火墻技術(shù)

多重地址轉(zhuǎn)換技術(shù)

代理服務(wù)器技術(shù)

*多重地址轉(zhuǎn)換技術(shù)

當(dāng)SSN/DMZ或內(nèi)部網(wǎng)絡(luò)提供多個(gè)相同的網(wǎng)絡(luò)服務(wù)時(shí)，必須通過多重地址轉(zhuǎn)換技術(shù)，利用不同的外部IP地址將網(wǎng)絡(luò)服務(wù)傳遞到內(nèi)部的服務(wù)器上。通過MAT可以保護(hù)內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全，也可以分散外部網(wǎng)絡(luò)服務(wù)到不同的IP地址，如下圖所示。多重地址轉(zhuǎn)換技術(shù)*9.3防火墻技術(shù)

多重地址轉(zhuǎn)換技術(shù)

代理服務(wù)器技術(shù)

*代理服務(wù)器技術(shù)

代理服務(wù)器（ProxyServer）作用在應(yīng)用層，它用來提供應(yīng)用層服務(wù)的控制，在內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時(shí)起到中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其他結(jié)點(diǎn)的直接請求。代理技術(shù)則能進(jìn)行安全控制和加速訪問，有效地實(shí)現(xiàn)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離，安全性較好，并具有較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。其缺點(diǎn)是對于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)代理軟件模塊來進(jìn)行安全控制，而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同，分析困難，因此實(shí)現(xiàn)也比較困難。*9.5防火墻的構(gòu)成

防火墻的配置

防火墻區(qū)域防火墻拓?fù)湮恢脤Ｓ茫▋?nèi)部）和公共（外部）網(wǎng)絡(luò)之間網(wǎng)絡(luò)的出口和入口處專用網(wǎng)絡(luò)內(nèi)部：關(guān)鍵的網(wǎng)段，如數(shù)據(jù)中心防火墻區(qū)域Trust（內(nèi)部）Untrust（外部，Inte