網(wǎng)絡安全技術及應用(第七章).ppt

1、2020/7/15,1,第7章 防火墻及其應用,本章學習重點掌握內(nèi)容： 防火墻功能 防火墻核心技術 防火墻體系結構,2020/7/15,2,第7章 防火墻及其應用,7.1 防火墻概述 7.2 防火墻技術與分類 7.3防火墻體系結構 7.4 防火墻安全規(guī)則 7.5防火墻應用,2020/7/15,3,7.1 防火墻概述,7.1.1 防火墻概念與發(fā)展歷程 1. 防火墻概念 防火墻是指設置在不同網(wǎng)絡之間，例如可信任的內(nèi)部網(wǎng)和不可信的公共網(wǎng)，或者不同網(wǎng)絡安全域之間的軟硬件系統(tǒng)組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結構和運行狀況，以此來保護企業(yè)內(nèi)部網(wǎng)絡的安全。

2、,2. 防火墻的發(fā)展,第一代防火墻：第一代防火墻技術幾乎與路由器同時出現(xiàn)，主要基于包過濾技術（Packet Filter），是依附于路由器的包過濾功能實現(xiàn)的防火墻。 第二代防火墻：1989年，貝爾實驗室的Dave Presotto和Howard Trickey最早推出了第二代防火墻，即電路層防火墻。 第三代防火墻：到20世紀90年代初，開始推出第三代防火墻，即應用層防火墻（或者叫做代理防火墻）。 第四代防火墻：到1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamic Packet Filter）技術的的第四代防火墻。 第五代防火墻：到了1998年，NAI公司推出

3、了一種自適應代理（Adaptive Proxy）技術，可以稱之為第五代防火墻。,3.防火墻的發(fā)展趨勢,高安全性和高效率 對數(shù)據(jù)包的全方位檢查 分布式防火墻技術 建立與部署適用于IP V6協(xié)議下的防火墻體系架構,2020/7/15,6,7.1.2 防火墻的功能,對防火墻有兩個基本需求：一是保證內(nèi)部網(wǎng)的安全性；二是保證內(nèi)部網(wǎng)與外部網(wǎng)之間的連通性。 （1）過濾不安全數(shù)據(jù)和非法用戶。 （2）報警與審計。 （3）透明代理。 （4）抗攻擊能力。 （5）VPN 功能。 （6）路由管理。,2020/7/15,7,7.1.3 防火墻局限性,7.1.3 防火墻局限性 1.對某些正常服務的限制 2.無法抵御來自內(nèi)網(wǎng)

4、的威脅 3.無法阻擋旁路攻擊及潛在后門 4.無法控制對病毒文件的傳輸 5.內(nèi)網(wǎng)瓶頸問題,2020/7/15,8,7.2 防火墻技術與分類,7.2.1 包過濾防火墻技術 1. 簡單包過濾技術 2. 狀態(tài)檢測包過濾技術 7.2.2 代理服務防火墻技術 1. 電路級網(wǎng)關 2. 應用級網(wǎng)關 3. 自適應代理,7.2.1包過濾防火墻技術,包過濾(Packet Filter)是所有防火墻中最核心的功能，與代理服務器技術相比，其優(yōu)勢是傳輸信息時不占用網(wǎng)絡帶寬。包過濾路由器在網(wǎng)絡上的物理位置和邏輯位置如圖7-2和圖7-3所示。包過濾型防火墻根據(jù)一組過濾規(guī)則集合，逐個檢查IP數(shù)據(jù)包，確定是否允許該數(shù)據(jù)包通過。,

5、圖7-2 包過濾路由器的物理位置,圖7-3 包過濾路由器的邏輯位置,兩類包過濾防火墻技術,包過濾防火墻技術根據(jù)所使用的過濾方法又具體可分為：簡單包過濾技術和狀態(tài)檢測包過濾技術。 1. 簡單包過濾技術 也稱作稱靜態(tài)包過濾。簡單包過濾防火墻在檢查數(shù)據(jù)包報頭時，只是根據(jù)定義好的過濾規(guī)則集來檢查所有進出防火墻的數(shù)據(jù)包報頭信息，并根據(jù)檢查結果允許或者拒絕數(shù)據(jù)包，并不關心服務器和客戶機之間的連接狀態(tài)。,2. 狀態(tài)檢測包過濾技術 也稱動態(tài)包過濾，是包過濾器和應用級網(wǎng)關的一種折衷方案。該技術具有包過濾機制的高速和靈活性，也有應用級網(wǎng)關的應用層安全的優(yōu)點。狀態(tài)檢測包過濾防火墻除了有一個過濾規(guī)則集外，還要跟蹤通過

6、自身的每一個連接，提取有關的通信和應用程序的狀態(tài)信息，構成當前連接的狀態(tài)列表。,7.2.2代理服務防火墻技術,代理服務（Proxy Service）是指運行于內(nèi)部網(wǎng)絡與外網(wǎng)之間的主機(堡壘主機)上的一種應用。當用戶需要訪問代理服務器另一側主機時，代理服務器對于符合安全規(guī)則的連接，會代替主機響應訪問請求，并重新向主機發(fā)出一個相同的請求。當此連接請求得到回應并建立起連接之后，內(nèi)部主機同外部主機之間的通信將通過代理程序的相應連接映射來實現(xiàn)。代理既是客戶端（Client），也是服務器端（Server）。代理服務防火墻的工作原理如圖7-4。,圖7-4應用代理防火墻的原理圖,代理服務防火墻主要包含以下三類

7、： 1.電路級網(wǎng)關 也稱線路級網(wǎng)關，工作在會話層，在兩主機首次建立TCP連接時建立通信屏障。它作為服務器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護的主機連接時則扮演客戶機角色、起到代理服務的作用。它監(jiān)視兩主機建立連接時的握手信息，如SYN，ACK和序列數(shù)據(jù)等是否合乎邏輯，然后由網(wǎng)關復制、傳遞數(shù)據(jù)，而不進行數(shù)據(jù)包過濾。電路級網(wǎng)關中特殊的客戶程序只在初次連接時進行安全協(xié)商控制，此后則不再參與內(nèi)外網(wǎng)之間的通信控制。,2. 應用級網(wǎng)關 應用級網(wǎng)關使用軟件來轉(zhuǎn)發(fā)和過濾特定的應用服務，如TELNET，F(xiàn)TP服務等。這也是一種代理服務，只允許被認為是可信的服務通過防火墻。此外，代理服務也可以過濾協(xié)議，如過濾FTP連接

8、、拒絕使用FTP命令等。,3.自適應代理 自適應代理(Adaptive Proxy) 技術結合了代理服務器防火墻的安全性和包過濾防火墻的高速度等優(yōu)點。組成自適應代理防火墻的基本要素有兩個：自適應代理服務器(Adaptive Proxy Server)與動態(tài)包過濾器。在自適應代理防火墻中，初始的安全檢查仍在應用層中進行，保證實現(xiàn)傳統(tǒng)防火墻的最大安全性。而一旦可信任身份得到認證，建立了安全通道，隨后的數(shù)據(jù)包就可以重新定向到網(wǎng)絡層。這種技術能夠在確保安全性的基礎上提高代理服務器防火墻的性能。,2020/7/15,18,7.2.3 防火墻常見分類,7.2.3 防火墻常見分類 1. 按照實現(xiàn)方法分類 （

9、1）軟件防火墻 運行于特定的計算機上，一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關。 （2）硬件防火墻 由計算機硬件、通用操作系統(tǒng)和防火墻軟件組成。 （3）專用防火墻 采用特別優(yōu)化設計的硬件體系結構，使用專用的操作系統(tǒng)。,2. 按照體系結構分類 （1）個人防火墻 安裝在計算機系統(tǒng)里的軟件防火墻，該軟件檢查到達防火墻兩端的所有數(shù)據(jù)包，無論是進入還是發(fā)出，從而決定該攔截數(shù)據(jù)包還是允許其通過。 （2）分布式防火墻 分布式防火墻負責對網(wǎng)絡邊界、各子網(wǎng)和網(wǎng)絡內(nèi)部各結點之間的安全防護。分布式防火墻是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。,2020/7/15,20,7.3 防火墻體系結構,目前，防火墻的體系結構，一般主

10、要有以下幾種 7.3.1 雙宿主主機結構 7.3.2 屏蔽主機結構 7.3.3 屏蔽子網(wǎng)結構,7.3.1 雙宿主主機結構,雙宿主主機防火墻體系結構是圍繞著至少具有兩個網(wǎng)絡接口、帶有兩塊網(wǎng)卡的堡壘主機構成，主機上的兩塊網(wǎng)卡分別與外部網(wǎng)以及內(nèi)部受保護網(wǎng)相連。堡壘主機上運行防火墻軟件，可以轉(zhuǎn)發(fā)數(shù)據(jù)，提供服務等，這種主機可以充當與其接口相連的網(wǎng)絡之間的路由器，它能夠從一個網(wǎng)絡到另一個網(wǎng)絡發(fā)送IP數(shù)據(jù)包。,圖7-5 雙宿主主機結構,7.3.2 屏蔽主機結構,雙宿主主機防火墻是由一臺同時連接在內(nèi)外部網(wǎng)絡的堡壘主機來提供安全保障，而屏蔽主機結構中提供安全保護的主機僅僅與內(nèi)部網(wǎng)相連。此外還有一臺單獨的包過濾路

11、由器，它的作用是避免用戶直接與內(nèi)部網(wǎng)絡相連。屏蔽主機結構如圖7-6所示。,圖7-6 屏蔽主機結構,7.3.3 屏蔽子網(wǎng)結構,在屏蔽子網(wǎng)結構中，有二臺與邊界網(wǎng)絡直接相連的過濾路由器，一臺位于邊界網(wǎng)絡與外部網(wǎng)之間，我們稱之為外部路由器；另一臺位于邊界網(wǎng)絡與內(nèi)部網(wǎng)絡之間，我們稱之為內(nèi)部路由器；在這種結構下，黑客要攻擊到內(nèi)部網(wǎng)必須通過二臺路由器的安全控制，即使入侵者通過了堡壘主機，他還必須通過內(nèi)部路由器才能抵達內(nèi)部網(wǎng)。,圖7-7 屏蔽子網(wǎng)結構,2020/7/15,27,7.4 防火墻安全規(guī)則,通常情況下，網(wǎng)絡管理員在防火墻設備的訪問控制列表ACL（Access Control List）中設定包過濾規(guī)

12、則，以此來表明是否允許或者拒絕數(shù)據(jù)包通過。包過濾防火墻檢查數(shù)據(jù)流中每個數(shù)據(jù)包的報頭信息，例如源地址、目標地址、協(xié)議類型、協(xié)議標志、服務類型等，并與過濾規(guī)則進行匹配，從而在內(nèi)外網(wǎng)絡之間實施訪問控制功能.,圖7-8 包過濾防火墻的安全規(guī)則,防火墻規(guī)則設置中所涉及的動作主要有以下幾種： 允許: 允許數(shù)據(jù)包通過防火墻傳輸，并按照路由表中的信息被轉(zhuǎn)發(fā)。 放棄: 不允許數(shù)據(jù)包通過防火墻傳輸，但僅丟棄，不發(fā)任何相應數(shù)據(jù)包。 拒絕: 不允許數(shù)據(jù)包通過防火墻傳輸，并向數(shù)據(jù)包的源端發(fā)送目的主機不可達的ICMP數(shù)據(jù)包。 返回: 沒有發(fā)現(xiàn)匹配的規(guī)則，執(zhí)行默認動作。,所有的防火墻都是在以下兩種模式下配置安全規(guī)則： “白

13、名單”模式 系統(tǒng)默認為拒絕所有的流量，這需要在你的網(wǎng)絡中特殊指定能夠進入和出去的流量的一些類型，因此白名單上的規(guī)則是具有合法性訪問的安全規(guī)則 “黑名單”模式 系統(tǒng)默認為允許所有的流量，這種情況需要特殊指定要拒絕的流量的類型，因此在黑名單上定義的安全規(guī)則屬于非法的、被禁止的網(wǎng)絡訪問，這種模式是一種開放的默認管理模式。,包過濾防火墻一般有兩類過濾規(guī)則的設置方法 1. 按地址過濾 用于拒絕偽造的數(shù)據(jù)包。若想阻止偽造原地址的數(shù)據(jù)包進入內(nèi)部網(wǎng)，可按表7-1設置規(guī)則。 2. 按服務類型過濾 即是按數(shù)據(jù)包的服務端口號來過濾。在TCP協(xié)議中，協(xié)議是雙向的，以Telnet為例，其IP包的交換也是雙向的。服務器端包過濾應該按照表7-2設置規(guī)則。,2020/7/15,32,7.5 防火墻應用,7.5.1 構建防火墻的基本步驟 1. 配置內(nèi)外部網(wǎng)絡 2. 用戶自定義安全策略 3. 搭建防火墻安