網(wǎng)絡(luò)安全技術(shù)及應(yīng)用(第七章).ppt

1、2020/7/15,1,第7章 防火墻及其應(yīng)用,本章學(xué)習(xí)重點(diǎn)掌握內(nèi)容： 防火墻功能 防火墻核心技術(shù) 防火墻體系結(jié)構(gòu),2020/7/15,2,第7章 防火墻及其應(yīng)用,7.1 防火墻概述 7.2 防火墻技術(shù)與分類 7.3防火墻體系結(jié)構(gòu) 7.4 防火墻安全規(guī)則 7.5防火墻應(yīng)用,2020/7/15,3,7.1 防火墻概述,7.1.1 防火墻概念與發(fā)展歷程 1. 防火墻概念 防火墻是指設(shè)置在不同網(wǎng)絡(luò)之間，例如可信任的內(nèi)部網(wǎng)和不可信的公共網(wǎng)，或者不同網(wǎng)絡(luò)安全域之間的軟硬件系統(tǒng)組合。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。

2、,2. 防火墻的發(fā)展,第一代防火墻：第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，主要基于包過(guò)濾技術(shù)（Packet Filter），是依附于路由器的包過(guò)濾功能實(shí)現(xiàn)的防火墻。 第二代防火墻：1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey最早推出了第二代防火墻，即電路層防火墻。 第三代防火墻：到20世紀(jì)90年代初，開(kāi)始推出第三代防火墻，即應(yīng)用層防火墻（或者叫做代理防火墻）。 第四代防火墻：到1992年，USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamic Packet Filter）技術(shù)的的第四代防火墻。 第五代防火墻：到了1998年，NAI公司推出

3、了一種自適應(yīng)代理（Adaptive Proxy）技術(shù)，可以稱之為第五代防火墻。,3.防火墻的發(fā)展趨勢(shì),高安全性和高效率 對(duì)數(shù)據(jù)包的全方位檢查 分布式防火墻技術(shù) 建立與部署適用于IP V6協(xié)議下的防火墻體系架構(gòu),2020/7/15,6,7.1.2 防火墻的功能,對(duì)防火墻有兩個(gè)基本需求：一是保證內(nèi)部網(wǎng)的安全性；二是保證內(nèi)部網(wǎng)與外部網(wǎng)之間的連通性。 （1）過(guò)濾不安全數(shù)據(jù)和非法用戶。 （2）報(bào)警與審計(jì)。 （3）透明代理。 （4）抗攻擊能力。 （5）VPN 功能。 （6）路由管理。,2020/7/15,7,7.1.3 防火墻局限性,7.1.3 防火墻局限性 1.對(duì)某些正常服務(wù)的限制 2.無(wú)法抵御來(lái)自內(nèi)網(wǎng)

4、的威脅 3.無(wú)法阻擋旁路攻擊及潛在后門 4.無(wú)法控制對(duì)病毒文件的傳輸 5.內(nèi)網(wǎng)瓶頸問(wèn)題,2020/7/15,8,7.2 防火墻技術(shù)與分類,7.2.1 包過(guò)濾防火墻技術(shù) 1. 簡(jiǎn)單包過(guò)濾技術(shù) 2. 狀態(tài)檢測(cè)包過(guò)濾技術(shù) 7.2.2 代理服務(wù)防火墻技術(shù) 1. 電路級(jí)網(wǎng)關(guān) 2. 應(yīng)用級(jí)網(wǎng)關(guān) 3. 自適應(yīng)代理,7.2.1包過(guò)濾防火墻技術(shù),包過(guò)濾(Packet Filter)是所有防火墻中最核心的功能，與代理服務(wù)器技術(shù)相比，其優(yōu)勢(shì)是傳輸信息時(shí)不占用網(wǎng)絡(luò)帶寬。包過(guò)濾路由器在網(wǎng)絡(luò)上的物理位置和邏輯位置如圖7-2和圖7-3所示。包過(guò)濾型防火墻根據(jù)一組過(guò)濾規(guī)則集合，逐個(gè)檢查IP數(shù)據(jù)包，確定是否允許該數(shù)據(jù)包通過(guò)。,

5、圖7-2 包過(guò)濾路由器的物理位置,圖7-3 包過(guò)濾路由器的邏輯位置,兩類包過(guò)濾防火墻技術(shù),包過(guò)濾防火墻技術(shù)根據(jù)所使用的過(guò)濾方法又具體可分為：簡(jiǎn)單包過(guò)濾技術(shù)和狀態(tài)檢測(cè)包過(guò)濾技術(shù)。 1. 簡(jiǎn)單包過(guò)濾技術(shù) 也稱作稱靜態(tài)包過(guò)濾。簡(jiǎn)單包過(guò)濾防火墻在檢查數(shù)據(jù)包報(bào)頭時(shí)，只是根據(jù)定義好的過(guò)濾規(guī)則集來(lái)檢查所有進(jìn)出防火墻的數(shù)據(jù)包報(bào)頭信息，并根據(jù)檢查結(jié)果允許或者拒絕數(shù)據(jù)包，并不關(guān)心服務(wù)器和客戶機(jī)之間的連接狀態(tài)。,2. 狀態(tài)檢測(cè)包過(guò)濾技術(shù) 也稱動(dòng)態(tài)包過(guò)濾，是包過(guò)濾器和應(yīng)用級(jí)網(wǎng)關(guān)的一種折衷方案。該技術(shù)具有包過(guò)濾機(jī)制的高速和靈活性，也有應(yīng)用級(jí)網(wǎng)關(guān)的應(yīng)用層安全的優(yōu)點(diǎn)。狀態(tài)檢測(cè)包過(guò)濾防火墻除了有一個(gè)過(guò)濾規(guī)則集外，還要跟蹤通過(guò)

6、自身的每一個(gè)連接，提取有關(guān)的通信和應(yīng)用程序的狀態(tài)信息，構(gòu)成當(dāng)前連接的狀態(tài)列表。,7.2.2代理服務(wù)防火墻技術(shù),代理服務(wù)（Proxy Service）是指運(yùn)行于內(nèi)部網(wǎng)絡(luò)與外網(wǎng)之間的主機(jī)(堡壘主機(jī))上的一種應(yīng)用。當(dāng)用戶需要訪問(wèn)代理服務(wù)器另一側(cè)主機(jī)時(shí)，代理服務(wù)器對(duì)于符合安全規(guī)則的連接，會(huì)代替主機(jī)響應(yīng)訪問(wèn)請(qǐng)求，并重新向主機(jī)發(fā)出一個(gè)相同的請(qǐng)求。當(dāng)此連接請(qǐng)求得到回應(yīng)并建立起連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過(guò)代理程序的相應(yīng)連接映射來(lái)實(shí)現(xiàn)。代理既是客戶端（Client），也是服務(wù)器端（Server）。代理服務(wù)防火墻的工作原理如圖7-4。,圖7-4應(yīng)用代理防火墻的原理圖,代理服務(wù)防火墻主要包含以下三類

7、： 1.電路級(jí)網(wǎng)關(guān) 也稱線路級(jí)網(wǎng)關(guān)，工作在會(huì)話層，在兩主機(jī)首次建立TCP連接時(shí)建立通信屏障。它作為服務(wù)器接收外來(lái)請(qǐng)求，轉(zhuǎn)發(fā)請(qǐng)求；與被保護(hù)的主機(jī)連接時(shí)則扮演客戶機(jī)角色、起到代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如SYN，ACK和序列數(shù)據(jù)等是否合乎邏輯，然后由網(wǎng)關(guān)復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行數(shù)據(jù)包過(guò)濾。電路級(jí)網(wǎng)關(guān)中特殊的客戶程序只在初次連接時(shí)進(jìn)行安全協(xié)商控制，此后則不再參與內(nèi)外網(wǎng)之間的通信控制。,2. 應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來(lái)轉(zhuǎn)發(fā)和過(guò)濾特定的應(yīng)用服務(wù)，如TELNET，F(xiàn)TP服務(wù)等。這也是一種代理服務(wù)，只允許被認(rèn)為是可信的服務(wù)通過(guò)防火墻。此外，代理服務(wù)也可以過(guò)濾協(xié)議，如過(guò)濾FTP連接

8、、拒絕使用FTP命令等。,3.自適應(yīng)代理 自適應(yīng)代理(Adaptive Proxy) 技術(shù)結(jié)合了代理服務(wù)器防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)。組成自適應(yīng)代理防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器(Adaptive Proxy Server)與動(dòng)態(tài)包過(guò)濾器。在自適應(yīng)代理防火墻中，初始的安全檢查仍在應(yīng)用層中進(jìn)行，保證實(shí)現(xiàn)傳統(tǒng)防火墻的最大安全性。而一旦可信任身份得到認(rèn)證，建立了安全通道，隨后的數(shù)據(jù)包就可以重新定向到網(wǎng)絡(luò)層。這種技術(shù)能夠在確保安全性的基礎(chǔ)上提高代理服務(wù)器防火墻的性能。,2020/7/15,18,7.2.3 防火墻常見(jiàn)分類,7.2.3 防火墻常見(jiàn)分類 1. 按照實(shí)現(xiàn)方法分類 （

9、1）軟件防火墻 運(yùn)行于特定的計(jì)算機(jī)上，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。 （2）硬件防火墻 由計(jì)算機(jī)硬件、通用操作系統(tǒng)和防火墻軟件組成。 （3）專用防火墻 采用特別優(yōu)化設(shè)計(jì)的硬件體系結(jié)構(gòu)，使用專用的操作系統(tǒng)。,2. 按照體系結(jié)構(gòu)分類 （1）個(gè)人防火墻 安裝在計(jì)算機(jī)系統(tǒng)里的軟件防火墻，該軟件檢查到達(dá)防火墻兩端的所有數(shù)據(jù)包，無(wú)論是進(jìn)入還是發(fā)出，從而決定該攔截?cái)?shù)據(jù)包還是允許其通過(guò)。 （2）分布式防火墻 分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各結(jié)點(diǎn)之間的安全防護(hù)。分布式防火墻是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。,2020/7/15,20,7.3 防火墻體系結(jié)構(gòu),目前，防火墻的體系結(jié)構(gòu)，一般主

10、要有以下幾種 7.3.1 雙宿主主機(jī)結(jié)構(gòu) 7.3.2 屏蔽主機(jī)結(jié)構(gòu) 7.3.3 屏蔽子網(wǎng)結(jié)構(gòu),7.3.1 雙宿主主機(jī)結(jié)構(gòu),雙宿主主機(jī)防火墻體系結(jié)構(gòu)是圍繞著至少具有兩個(gè)網(wǎng)絡(luò)接口、帶有兩塊網(wǎng)卡的堡壘主機(jī)構(gòu)成，主機(jī)上的兩塊網(wǎng)卡分別與外部網(wǎng)以及內(nèi)部受保護(hù)網(wǎng)相連。堡壘主機(jī)上運(yùn)行防火墻軟件，可以轉(zhuǎn)發(fā)數(shù)據(jù)，提供服務(wù)等，這種主機(jī)可以充當(dāng)與其接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。,圖7-5 雙宿主主機(jī)結(jié)構(gòu),7.3.2 屏蔽主機(jī)結(jié)構(gòu),雙宿主主機(jī)防火墻是由一臺(tái)同時(shí)連接在內(nèi)外部網(wǎng)絡(luò)的堡壘主機(jī)來(lái)提供安全保障，而屏蔽主機(jī)結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)相連。此外還有一臺(tái)單獨(dú)的包過(guò)濾路

11、由器，它的作用是避免用戶直接與內(nèi)部網(wǎng)絡(luò)相連。屏蔽主機(jī)結(jié)構(gòu)如圖7-6所示。,圖7-6 屏蔽主機(jī)結(jié)構(gòu),7.3.3 屏蔽子網(wǎng)結(jié)構(gòu),在屏蔽子網(wǎng)結(jié)構(gòu)中，有二臺(tái)與邊界網(wǎng)絡(luò)直接相連的過(guò)濾路由器，一臺(tái)位于邊界網(wǎng)絡(luò)與外部網(wǎng)之間，我們稱之為外部路由器；另一臺(tái)位于邊界網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，我們稱之為內(nèi)部路由器；在這種結(jié)構(gòu)下，黑客要攻擊到內(nèi)部網(wǎng)必須通過(guò)二臺(tái)路由器的安全控制，即使入侵者通過(guò)了堡壘主機(jī)，他還必須通過(guò)內(nèi)部路由器才能抵達(dá)內(nèi)部網(wǎng)。,圖7-7 屏蔽子網(wǎng)結(jié)構(gòu),2020/7/15,27,7.4 防火墻安全規(guī)則,通常情況下，網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問(wèn)控制列表ACL（Access Control List）中設(shè)定包過(guò)濾規(guī)

12、則，以此來(lái)表明是否允許或者拒絕數(shù)據(jù)包通過(guò)。包過(guò)濾防火墻檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的報(bào)頭信息，例如源地址、目標(biāo)地址、協(xié)議類型、協(xié)議標(biāo)志、服務(wù)類型等，并與過(guò)濾規(guī)則進(jìn)行匹配，從而在內(nèi)外網(wǎng)絡(luò)之間實(shí)施訪問(wèn)控制功能.,圖7-8 包過(guò)濾防火墻的安全規(guī)則,防火墻規(guī)則設(shè)置中所涉及的動(dòng)作主要有以下幾種： 允許: 允許數(shù)據(jù)包通過(guò)防火墻傳輸，并按照路由表中的信息被轉(zhuǎn)發(fā)。 放棄: 不允許數(shù)據(jù)包通過(guò)防火墻傳輸，但僅丟棄，不發(fā)任何相應(yīng)數(shù)據(jù)包。 拒絕: 不允許數(shù)據(jù)包通過(guò)防火墻傳輸，并向數(shù)據(jù)包的源端發(fā)送目的主機(jī)不可達(dá)的ICMP數(shù)據(jù)包。 返回: 沒(méi)有發(fā)現(xiàn)匹配的規(guī)則，執(zhí)行默認(rèn)動(dòng)作。,所有的防火墻都是在以下兩種模式下配置安全規(guī)則： “白

13、名單”模式 系統(tǒng)默認(rèn)為拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型，因此白名單上的規(guī)則是具有合法性訪問(wèn)的安全規(guī)則 “黑名單”模式 系統(tǒng)默認(rèn)為允許所有的流量，這種情況需要特殊指定要拒絕的流量的類型，因此在黑名單上定義的安全規(guī)則屬于非法的、被禁止的網(wǎng)絡(luò)訪問(wèn)，這種模式是一種開(kāi)放的默認(rèn)管理模式。,包過(guò)濾防火墻一般有兩類過(guò)濾規(guī)則的設(shè)置方法 1. 按地址過(guò)濾 用于拒絕偽造的數(shù)據(jù)包。若想阻止偽造原地址的數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)，可按表7-1設(shè)置規(guī)則。 2. 按服務(wù)類型過(guò)濾 即是按數(shù)據(jù)包的服務(wù)端口號(hào)來(lái)過(guò)濾。在TCP協(xié)議中，協(xié)議是雙向的，以Telnet為例，其IP包的交換也是雙向的。服務(wù)器端包過(guò)濾應(yīng)該按照表7-2設(shè)置規(guī)則。,2020/7/15,32,7.5 防火墻應(yīng)用,7.5.1 構(gòu)建防火墻的基本步驟 1. 配置內(nèi)外部網(wǎng)絡(luò) 2. 用戶自定義安全策略 3. 搭建防火墻安