第4章防火墻工作原理及應(yīng)用.ppt

1、第4章防火墻工作原理及應(yīng)用，4.1防火墻概念及分類4.1.1防火墻簡介4.1.2包過濾防火墻4.1.3代理服務(wù)防火墻4.1.4復(fù)合防火墻4.1.5個人防火墻，第4章防火墻工作原理及應(yīng)用，4.2防火墻架構(gòu)4.2.1。堡壘主機(jī)4.2.2。非軍事區(qū)4.2.3。屏蔽路由器4.2.4雙主機(jī)主機(jī)體系結(jié)構(gòu)4.2.5主機(jī)過濾體系結(jié)構(gòu)4.2.6子網(wǎng)過濾體系結(jié)構(gòu)4.2.7組合體系結(jié)構(gòu)，第4章防火墻工作原理和應(yīng)用(續(xù))，4.3防火墻選擇和產(chǎn)品介紹4.3.1防火墻限制4.3.2制定防火墻安全策略4.3.3防火墻選擇原則4.3.4典型防火墻介紹，第4章防火墻工作原理和應(yīng)用(續(xù))，第4章防火墻工作原理和應(yīng)用，當(dāng)網(wǎng)絡(luò)涉及不

2、同的信任級別(如內(nèi)部網(wǎng)、互聯(lián)網(wǎng)或網(wǎng)絡(luò)分區(qū))時，控制設(shè)備必須這種控制設(shè)備幾乎總是某種形式的防火墻。防火墻允許授權(quán)數(shù)據(jù)通過，但拒絕未經(jīng)授權(quán)的數(shù)據(jù)通信，并記錄訪問報(bào)告。由于防火墻的使用可以增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性，防火墻技術(shù)的研究已經(jīng)成為網(wǎng)絡(luò)信息安全技術(shù)的主導(dǎo)研究方向。本章將介紹防火墻的基本功能、工作原理、分類、體系結(jié)構(gòu)、局限性以及典型的防火墻產(chǎn)品。4.1防火墻的概念和分類，網(wǎng)絡(luò)防火墻是一種將內(nèi)部網(wǎng)與互聯(lián)網(wǎng)隔離開來的防御系統(tǒng)，并且有一扇門允許人們在內(nèi)部網(wǎng)和開放的互聯(lián)網(wǎng)之間進(jìn)行通信。訪客必須先越過防火墻的安全線，然后才能聯(lián)系目標(biāo)計(jì)算機(jī)。網(wǎng)絡(luò)防火墻如圖4.1所示。圖4.1，網(wǎng)絡(luò)防火墻和4.1.1防火墻簡介，

3、當(dāng)沒有防火墻時，局域網(wǎng)內(nèi)的每個節(jié)點(diǎn)都暴露給互聯(lián)網(wǎng)上的其他主機(jī)，內(nèi)部網(wǎng)的安全性由每個節(jié)點(diǎn)的堅(jiān)固性決定，安全性等于其中最弱的節(jié)點(diǎn)。使用防火墻后，防火墻將內(nèi)聯(lián)網(wǎng)的安全性統(tǒng)一到自身，網(wǎng)絡(luò)安全性將在防火墻系統(tǒng)上得到加強(qiáng)，而不是分布在內(nèi)聯(lián)網(wǎng)的所有節(jié)點(diǎn)上。防火墻將內(nèi)部網(wǎng)與互聯(lián)網(wǎng)分開，只允許安全和經(jīng)過批準(zhǔn)的信息進(jìn)入，并防止對內(nèi)部網(wǎng)構(gòu)成威脅的數(shù)據(jù)。它防止黑客改變、復(fù)制和破壞重要信息；同時不妨礙人們上網(wǎng)。根據(jù)安全策略，允許從內(nèi)部網(wǎng)到互聯(lián)網(wǎng)的流量和響應(yīng)返回流量通過防火墻。根據(jù)安全策略，從互聯(lián)網(wǎng)到內(nèi)部網(wǎng)的流量被阻止。根據(jù)安全策略，來自互聯(lián)網(wǎng)的特殊流量可能被允許到達(dá)內(nèi)部網(wǎng)。圖4.2，防火墻、服務(wù)器、內(nèi)網(wǎng)、互聯(lián)網(wǎng)的工作原

4、理和防火墻的基本功能，作為一個中心“遏制點(diǎn)”，內(nèi)網(wǎng)的安全管理是集中的，所有通信都通過防火墻。僅釋放授權(quán)的網(wǎng)絡(luò)流量，屏蔽非法請求，防止未經(jīng)授權(quán)的訪問，并生成安全警報(bào)；可以抵御對自身的攻擊。防火墻可以為管理者提供以下問題的答案：誰在使用網(wǎng)絡(luò)？他們什么時候使用了什么網(wǎng)絡(luò)資源？他們連接到什么網(wǎng)站？他們在網(wǎng)上做什么？誰想上網(wǎng)，但是失敗了？防火墻的基本功能(續(xù))，防火墻工作在開放系統(tǒng)互連參考模型上，防火墻的發(fā)展歷史，第一代防火墻技術(shù)是由附在邊界路由器上的訪問控制表組成，并采用包過濾技術(shù)。第二代代理防火墻是電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)。1994年，以色列檢查站公司開發(fā)了第一個基于動態(tài)包過濾技術(shù)的防火墻產(chǎn)品。199

5、8年，美國網(wǎng)絡(luò)聯(lián)盟公司NAI(網(wǎng)絡(luò)聯(lián)合公司)引入了自適應(yīng)代理技術(shù)。雖然防火墻的發(fā)展已經(jīng)走過了近20年的歷程，但是按照內(nèi)部和外部數(shù)據(jù)的處理方式，防火墻大致可以分為兩大系統(tǒng)：包過濾防火墻和代理防火墻。前者以思科公司的檢查點(diǎn)防火墻和PIX防火墻為代表，后者以NAI公司的排管防火墻為代表。表4.2顯示了兩個防火墻系統(tǒng)的性能比較。兩個防火墻系統(tǒng)的性能比較，兩個防火墻系統(tǒng)的性能比較(續(xù))，防火墻的組成，防火墻可以是一個路由器、一臺電腦或一臺主機(jī)，或者是一個由多臺主機(jī)組成的系統(tǒng)。防火墻應(yīng)該放在網(wǎng)絡(luò)的邊界。網(wǎng)絡(luò)邊界是本地網(wǎng)絡(luò)的整個邊界。本地網(wǎng)絡(luò)通過輸入點(diǎn)和輸出點(diǎn)與其他網(wǎng)絡(luò)相連。這些連接點(diǎn)應(yīng)該配備防火墻。但是，

6、防火墻也應(yīng)該部署在網(wǎng)絡(luò)邊界內(nèi)，為特定主機(jī)提供額外的特殊保護(hù)。圖4.3，防火墻的位置，防火墻的分類，防火墻的分類方法有很多：根據(jù)采用的技術(shù)不同，可以分為包過濾防火墻和代理服務(wù)防火墻；根據(jù)應(yīng)用對象的不同，可以分為企業(yè)防火墻和個人防火墻；根據(jù)實(shí)現(xiàn)方式的不同，可以分為軟件防火墻、硬件防火墻和專用防火墻。軟件防火墻，防火墻運(yùn)行在一臺特定的計(jì)算機(jī)上，一般來說，這臺計(jì)算機(jī)是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。像其他軟件產(chǎn)品一樣，軟件防火墻在使用前需要在計(jì)算機(jī)上安裝和配置。使用這種防火墻需要網(wǎng)絡(luò)管理員熟悉操作系統(tǒng)平臺。硬件防火墻由PC機(jī)硬件、通用操作系統(tǒng)和防火墻軟件組成。在定制的個人電腦硬件上，Linux、FreeBSD、Sol

7、aris和其他具有最小化安全處理和集成防火墻軟件的操作系統(tǒng)運(yùn)行在由通用個人電腦系統(tǒng)、閃存盤和網(wǎng)卡組成的硬件平臺上。它具有開發(fā)成本低、性能實(shí)用、穩(wěn)定性和擴(kuò)展性好、價格低廉的特點(diǎn)。因?yàn)檫@種防火墻依賴于操作系統(tǒng)內(nèi)核，它會受到操作系統(tǒng)本身安全性的影響，而且其處理速度也很慢。專用防火墻采用專門優(yōu)化的硬件架構(gòu)和專門的操作系統(tǒng)，在穩(wěn)定性和傳輸性能、速度快、處理能力強(qiáng)、性能高方面具有獨(dú)特的優(yōu)勢；由于其特殊的操作系統(tǒng)，易于配置和管理，漏洞少，但擴(kuò)展能力有限，價格昂貴。由于專用防火墻具有良好的序列化程度，用戶可以根據(jù)應(yīng)用環(huán)境選擇合適的產(chǎn)品。4.1.2包過濾防火墻，包過濾是所有防火墻的核心功能，包過濾標(biāo)準(zhǔn)是根據(jù)安全

8、策略制定的。它通常由網(wǎng)絡(luò)管理員設(shè)置在防火墻設(shè)備的ACL中。與代理服務(wù)器相比，它的優(yōu)點(diǎn)是不占用網(wǎng)絡(luò)帶寬來傳輸信息。包過濾規(guī)則通常存儲在路由器的ACL中。ACL中定義了各種規(guī)則來指示是批準(zhǔn)還是拒絕數(shù)據(jù)包的通過。如果所有規(guī)則都不匹配，防火墻將使用默認(rèn)規(guī)則。通常，默認(rèn)規(guī)則要求防火墻丟棄數(shù)據(jù)包。包過濾的核心是安全策略的設(shè)計(jì)，即包過濾算法。圖4.4，數(shù)據(jù)包的ACL過濾，否、是、否、當(dāng)數(shù)據(jù)包到達(dá)防火墻接口時，它是否與第一個匹配？接口上有ACL嗎？還有其他條目嗎？是，應(yīng)用條件，拒絕，允許，轉(zhuǎn)發(fā)到接口，否，ICMP消息，圖4.5，ACL處理成數(shù)據(jù)包，無狀態(tài)包過濾防火墻，無狀態(tài)包過濾也稱為靜態(tài)包過濾或未檢查包過濾

9、。當(dāng)防火墻檢查數(shù)據(jù)包報(bào)頭時，它不關(guān)心服務(wù)器和客戶端之間的連接狀態(tài)，而只根據(jù)定義的允許或拒絕數(shù)據(jù)包的過濾規(guī)則集檢查進(jìn)出防火墻的所有數(shù)據(jù)包報(bào)頭。圖4.6，實(shí)現(xiàn)無狀態(tài)包過濾防火墻，無狀態(tài)包過濾防火墻的優(yōu)點(diǎn)和缺點(diǎn)，無狀態(tài)包過濾防火墻的最大優(yōu)點(diǎn)是它的速度快、效率高和優(yōu)秀的流量管理；因?yàn)樗械耐ㄐ哦急仨毻ㄟ^防火墻，所以很難繞過它。同時對用戶和應(yīng)用程序透明。無狀態(tài)包過濾防火墻的缺點(diǎn)也很明顯：它允許外部網(wǎng)絡(luò)直接連接到內(nèi)部網(wǎng)絡(luò)主機(jī)；只要數(shù)據(jù)包符合ACL規(guī)則，就無法區(qū)分“好”和“壞”數(shù)據(jù)包；它無法識別知識產(chǎn)權(quán)欺詐。它也不支持用戶身份驗(yàn)證，也不提供日志功能。雖然可以過濾端口，但不能過濾服務(wù)。，IP欺騙，當(dāng)外部主機(jī)偽

10、裝內(nèi)部主機(jī)的IP地址時，防火墻可以防止這種類型的IP欺騙。但是，當(dāng)外部主機(jī)冒充可信外部主機(jī)的IP地址時，防火墻無法阻止它們。由于無狀態(tài)包過濾防火墻不能保留暫停通信的記錄，它必須根據(jù)數(shù)據(jù)包的格式判斷數(shù)據(jù)包是否屬于先前允許的會話。這使得它有可能被IP欺騙，并且無法識別UDP數(shù)據(jù)包和ICMP數(shù)據(jù)包的狀態(tài)。無法過濾服務(wù)。對于一些較新的多媒體應(yīng)用程序，在會話開始之前，端口號是未知的。例如，如果網(wǎng)絡(luò)服務(wù)器的默認(rèn)端口是80，并且計(jì)算機(jī)上安裝了RealPlayer，它將搜索可以連接到RealAudio服務(wù)器的端口，而不管該端口是否被其他協(xié)議使用，RealPlayer只使用端口80進(jìn)行搜索。這樣，RealPla

11、yer無意中利用了網(wǎng)絡(luò)服務(wù)器的端口。有狀態(tài)包過濾防火墻，有狀態(tài)包過濾也被稱為SPI(狀態(tài)-完成包檢)或動態(tài)包過濾，后來發(fā)展成包狀態(tài)監(jiān)控技術(shù)，這是包過濾和應(yīng)用層網(wǎng)關(guān)之間的一種折衷。它具有包過濾機(jī)制的速度和靈活性，同時也具有應(yīng)用層網(wǎng)關(guān)的應(yīng)用層安全優(yōu)勢。SPI防火墻，使用SPI技術(shù)的防火墻不僅有一個過濾規(guī)則集，而且跟蹤通過它的每個連接，并繪制相關(guān)的通信和應(yīng)用程序狀態(tài)信息，以形成當(dāng)前的連接狀態(tài)列表。該列表至少包括源和目標(biāo)IP地址、源和目標(biāo)端口號、TCP序列號信息以及與該特定會話相關(guān)的每個TCP/UDP連接的附加標(biāo)簽。當(dāng)會話通過防火墻時，SPI防火墻將數(shù)據(jù)包與狀態(tài)表和規(guī)則集進(jìn)行比較，只允許與狀態(tài)表和規(guī)則

12、集匹配的項(xiàng)目通過。SPI防火墻(續(xù))，在維護(hù)狀態(tài)表后，防火墻可以使用更多信息來決定是否允許數(shù)據(jù)包通過，這大大降低了將數(shù)據(jù)包偽裝成正在使用的連接的一部分的可能性。SPI防火墻可以檢測特定類型數(shù)據(jù)包的數(shù)據(jù)。例如，運(yùn)行FTP協(xié)議的服務(wù)器和客戶端程序有許多漏洞，其中一些來自不正確的請求或不正確的命令。SPI防火墻不執(zhí)行代理功能，即不在源主機(jī)和目的主機(jī)之間建立中轉(zhuǎn)連接；它不提供與應(yīng)用層網(wǎng)關(guān)相同的保護(hù)級別，只在數(shù)據(jù)包的數(shù)據(jù)部分查找特定的字符串。規(guī)則集是否允許數(shù)據(jù)包的內(nèi)容通過？數(shù)據(jù)包到達(dá)防火墻接口，是，否，丟棄數(shù)據(jù)包，更新日志記錄對話框表，向源主機(jī)發(fā)送ICMP消息，否，否，數(shù)據(jù)包是否屬于現(xiàn)有連接？建立連接項(xiàng)

13、，數(shù)據(jù)包的內(nèi)容是否符合規(guī)則集？是，將數(shù)據(jù)包轉(zhuǎn)發(fā)到接口更新對話框表進(jìn)行記錄，是，圖4.7，SPI防火墻的處理過程，例如，例1，當(dāng)主機(jī)a試圖訪問時，必須通過路由器，路由器配置為SPI防火墻。以下是主機(jī)a發(fā)送連接請求的工作過程，如圖4.8所示。1)向發(fā)送連接請求；2)當(dāng)請求到達(dá)路由器時，路由器檢查狀態(tài)表；3)如果存在連接并且狀態(tài)表正常，則允許數(shù)據(jù)包通過；4)如果不存在連接，創(chuàng)建一個狀態(tài)項(xiàng)，并將請求與防火墻規(guī)則集進(jìn)行比較；5)如果規(guī)則允許內(nèi)部主機(jī)訪問TCP/80。數(shù)據(jù)包被允許通過；6)網(wǎng)絡(luò)服務(wù)器接收數(shù)據(jù)包；7)向路由器返回同步/確認(rèn)信息，路由器檢查狀態(tài)表；8)狀態(tài)表正確，數(shù)據(jù)包被允許通過，數(shù)據(jù)包到達(dá)發(fā)

14、送請求的第一臺計(jì)算機(jī)；9)如果規(guī)則不允許內(nèi)部主機(jī)訪問TCP/80。然后數(shù)據(jù)包被禁止通過，路由器發(fā)送ICMP消息。、使用以太網(wǎng)，步驟(3)、步驟(2)、步驟(4)、步驟(6)、步驟(5)、步驟(7)、步驟(9)、互聯(lián)網(wǎng)，圖4.8，主機(jī)A通過SPI防火墻發(fā)送連接請求，SPI防火墻的優(yōu)缺點(diǎn)檢查級別可以從網(wǎng)絡(luò)層到應(yīng)用層；它能夠詳細(xì)記錄每個數(shù)據(jù)包的信息，包括應(yīng)用程序?qū)?shù)據(jù)包的請求、連接的持續(xù)時間、內(nèi)部和外部系統(tǒng)發(fā)出的連接請求等。缺點(diǎn)：所有這些記錄、測試和分析工作可能會導(dǎo)致網(wǎng)絡(luò)連接的一些延遲，尤其是當(dāng)許多連接同時被激活時，或者當(dāng)有大量過濾網(wǎng)絡(luò)通信的規(guī)則時。然而，硬件速度越快，問題就越不明顯。4.1.3代理

15、服務(wù)防火墻，首先，代理服務(wù)器將常用頁面存儲在緩沖區(qū)中，以提高網(wǎng)絡(luò)通信速度。后來，代理服務(wù)器逐漸發(fā)展成為一種能夠提供強(qiáng)大安全功能的技術(shù)。代理可以在應(yīng)用層實(shí)現(xiàn)防火墻功能。代理技術(shù)對每個特定的應(yīng)用都有一個程序，可以實(shí)現(xiàn)比包過濾更嚴(yán)格的安全策略。代理服務(wù)器防火墻基于軟件。它在內(nèi)部用戶和外部主機(jī)之間運(yùn)行，并在它們之間轉(zhuǎn)發(fā)數(shù)據(jù)，就像是內(nèi)聯(lián)網(wǎng)和互聯(lián)網(wǎng)之間的一道真正的墻。外部訪問者只能看到代理服務(wù)器，但看不到任何內(nèi)部資源；然而，內(nèi)部客戶根本感覺不到代理服務(wù)器的存在，他們可以自由訪問外部網(wǎng)站。代理可以提供出色的訪問控制、登錄能力和地址轉(zhuǎn)換功能，并記錄進(jìn)出防火墻的信息，方便管理員對系統(tǒng)進(jìn)行監(jiān)控和管理。例如，示例2

16、主機(jī)A試圖訪問并通過代理服務(wù)器到達(dá)網(wǎng)關(guān)。以下是主機(jī)a發(fā)送的連接請求的工作過程，如圖4.9所示。1)主機(jī)發(fā)送訪問網(wǎng)站的請求；2)當(dāng)請求到達(dá)代理服務(wù)器時，代理服務(wù)器檢查防火墻規(guī)則集和數(shù)據(jù)包的報(bào)頭信息和數(shù)據(jù)；3)如果請求不被允許，代理服務(wù)器拒絕該請求，并向源主機(jī)發(fā)送一個ICMP消息；4)如果請求被允許，代理服務(wù)器修改源IP地址并創(chuàng)建數(shù)據(jù)包；5)代理服務(wù)器向目的計(jì)算機(jī)發(fā)送數(shù)據(jù)包，數(shù)據(jù)包表明源IP地址來自代理服務(wù)器；例如(續(xù))，6)返回的數(shù)據(jù)包再次發(fā)送到代理服務(wù)器。服務(wù)器根據(jù)防火墻規(guī)則集再次檢查包頭信息和數(shù)據(jù)；7)如果數(shù)據(jù)包不允許進(jìn)入內(nèi)部網(wǎng)，代理服務(wù)器丟棄數(shù)據(jù)包并發(fā)送ICMP消息；8)如果數(shù)據(jù)包被允許進(jìn)入內(nèi)聯(lián)網(wǎng)，代理服務(wù)器將其發(fā)送到首先發(fā)送請求的計(jì)算機(jī)；9)當(dāng)數(shù)據(jù)包到達(dá)首先發(fā)送請求的計(jì)算機(jī)時，數(shù)據(jù)包似乎來自外部主機(jī)，而不是代理服務(wù)器。如圖4.9所示，主機(jī)A發(fā)出一個連接請求。通過代理防火墻、代理服務(wù)器和包過濾的比較，代理服務(wù)器掃描整個IP包的數(shù)據(jù)，因此它提供了比包過濾更詳細(xì)的日志文件。如果數(shù)據(jù)包與包過濾規(guī)則匹配，則允許數(shù)據(jù)包通過防火墻，代理服務(wù)器需要用新的源IP地址重新構(gòu)建數(shù)據(jù)包，從而隱藏內(nèi)部用戶。使用代理服務(wù)器意味著互聯(lián)網(wǎng)上必須有一臺服務(wù)器，并且內(nèi)部主機(jī)不能與外部主機(jī)直接連接。帶有惡意攻擊的外部數(shù)據(jù)包無法到達(dá)內(nèi)部主機(jī)。對于網(wǎng)絡(luò)通信，如果包過濾由