第7章防火墻技術(shù)

2

課程主要內(nèi)容防火墻概述防火墻體系結(jié)構(gòu)防火墻分類防火墻配置

2

3

防火墻的英文名稱為Firewall，該詞是早期建筑領(lǐng)域的專用術(shù)語，原指建筑物間的一堵隔離墻，用途是在建筑物失火時阻止火勢的蔓延。

在現(xiàn)代計算機網(wǎng)絡(luò)中，防火墻通常位于一個可信任的內(nèi)部網(wǎng)絡(luò)與一個不可信任的外界網(wǎng)絡(luò)之間，用于保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。它在網(wǎng)絡(luò)環(huán)境下構(gòu)筑內(nèi)部網(wǎng)和外部網(wǎng)之間的保護層，并通過網(wǎng)絡(luò)路由和信息過濾的安全實現(xiàn)網(wǎng)絡(luò)的安全，其會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。

§7.1

防火墻概述

3

4防火墻系統(tǒng)的邏輯部署下圖所示。防火墻邏輯部署示意圖

4

通常防火墻建立在內(nèi)部網(wǎng)和Internet之間的一個路由器或計算機上，該計算機也叫堡壘主機。它就如同一堵帶有安全門的墻，可以阻止外界對內(nèi)部網(wǎng)資源的非法訪問和通行合法訪問，也可以防止內(nèi)部對外部網(wǎng)的不安全訪問和通行安全訪問。

5

防火墻一般具有三個顯著的特性：

（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻；只有當防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。

（2）只有符合安全策略的數(shù)據(jù)流才能通過防火墻

；

防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。

（3）防火墻自身應具有非常強的抗攻擊免疫力。

這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。

6

7防火墻的功能：

防火墻最基本的功能就是控制在計算機網(wǎng)絡(luò)中不同信任程度區(qū)域間傳送的數(shù)據(jù)流。

具體體現(xiàn)在以下四個方面：

（1）防火墻是網(wǎng)絡(luò)安全的屏障；

（2）防火墻可以強化網(wǎng)絡(luò)安全策略；

（3）防火墻可以對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計；

（4）防火墻可以防范內(nèi)部信息的外泄。

除此上述的安全防護功能之外，防火墻上還可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），虛擬專用網(wǎng)（VPN）等其他功能?！?.1

防火墻概述

7

8防火墻的缺陷：

防火墻是網(wǎng)絡(luò)安全體系中的重要組成部分，但是僅通過防火墻技術(shù)是不能解決所有的安全問題的，防火墻在安全防范中的主要缺陷包括：傳統(tǒng)的防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊；防火墻不能防范不通過防火墻的攻擊；防火墻不能防范惡意代碼的傳輸；防火墻不能防范利用標準協(xié)議缺陷進行的攻擊；防火墻不能防范利用服務器系統(tǒng)漏洞進行的攻擊；防火墻不能防范未知的網(wǎng)絡(luò)安全問題；防火墻對已有的網(wǎng)絡(luò)服務有一定的限制?！?.1

防火墻概述

8

防火墻技術(shù)分代出現(xiàn)時間采用技術(shù)第一代防火墻1984年包過濾技術(shù)第二代防火墻1989年應用網(wǎng)關(guān)技術(shù)第三代防火墻1992年狀態(tài)檢測技術(shù)第四代防火墻1998年自適應代理技術(shù)基于防火墻技術(shù)原理分類：有包過濾防火墻、代理服務器防火墻、狀態(tài)檢測防火墻和自適應代理防火墻§7.2

防火墻分類

9

101.包過濾技術(shù)

包過濾技術(shù)也稱為分組過濾技術(shù)。它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢測攻擊行為，在網(wǎng)絡(luò)層提供較低級別的安全防護和控制。過濾規(guī)則以用于IP順行處理的包頭信息為基礎(chǔ)，不理會包內(nèi)的正文信息內(nèi)容。

包過濾工作原理示意圖§7.2

防火墻分類

10

11分組過濾防火墻的過濾規(guī)則示例

上例中，規(guī)則庫中僅有4條規(guī)則。規(guī)則1允許內(nèi)網(wǎng)的機器（10.1.1.*網(wǎng)段）訪問外網(wǎng)服務；規(guī)則2允許外界通過端口80訪問內(nèi)網(wǎng)的服務器，即打開的web服務器對外的HTTP服務；規(guī)則3允許外界通過端口53訪問內(nèi)網(wǎng)的服務器，53號端口是DNS服務；規(guī)則4禁止了所有其它類型的數(shù)據(jù)包。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許10.1.1.****TCP2允許*>102380TCP3允許*>102353UDP4禁止任意任意任意任意任意§7.2

防火墻分類

11

包過濾防火墻是最簡單的防火墻，通常它只包括對源IP地址和目的IP地址及端口的檢查。包過濾防火墻通常是一個具有包過濾功能的路由器。因為路由器工作在網(wǎng)絡(luò)層，因此包過濾防火墻又叫網(wǎng)絡(luò)層防火墻。包過濾是在網(wǎng)絡(luò)的出口(如路由器上)對通過的數(shù)據(jù)包進行檢測，只有滿足條件的數(shù)據(jù)包才允許通過，否則被拋棄。這樣可以有效地防止惡意用戶利用不安全的服務對內(nèi)部網(wǎng)進行攻擊。

12

13包過濾技術(shù)的優(yōu)勢包過濾技術(shù)的優(yōu)勢在于其容易實現(xiàn)，費用少，對性能的影響不大，對流量的管理較出色；使用一個過濾路由器就能協(xié)助保護整個網(wǎng)絡(luò)，目前多數(shù)Internet防火墻系統(tǒng)只用一個包過濾路由器；包過濾速度快、效率高。執(zhí)行包過濾，由于只檢查報頭相應的字段，不查看數(shù)據(jù)報的內(nèi)容；包過濾對終端用戶和應用程序是透明的。當數(shù)據(jù)包過濾路由器決定讓數(shù)據(jù)包通過時，它與普通路由器沒什么區(qū)別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每個主機上設(shè)置特別的軟件。

13

14包過濾技術(shù)的局限性

定義包過濾器可能是一項復雜的工作。網(wǎng)絡(luò)管理人員需要詳細地了解Internet各種服務、包頭格式和希望每個域查找的特定的值。

路由器數(shù)據(jù)包的吞吐量隨過濾器數(shù)量的增加而減少。

不能徹底防止地址欺騙。大多數(shù)包過濾路由器都是基于源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。

一些包過濾路由器不提供或只提供有限的日志能力，有可能直到入侵發(fā)生后，危險的包才可能檢測出來。

包過濾技術(shù)不能進行應用層的深度檢查，因此不能發(fā)現(xiàn)傳輸?shù)膼阂獯a及攻擊數(shù)據(jù)包?！?.2

防火墻分類

14

152.應用網(wǎng)關(guān)技術(shù)

應用網(wǎng)關(guān)（ApplicationGateway）技術(shù)又被稱為代理技術(shù)。它的邏輯位置在OSI7層協(xié)議的應用層上。應用代理防火墻比分組過濾防火墻提供更高層次的安全性，但這是以喪失對應用程序的透明性為代價的。

應用代理防火墻工作流程圖§7.2

防火墻分類

15

代理服務是運行在防火墻主機上的特定的應用程序或服務程序。防火墻主機可以是具有一個內(nèi)部網(wǎng)接口和一個外部網(wǎng)接口的雙穴(DuelHomed)主機，也可以是一些可以訪問Internet并可被內(nèi)部主機訪問的堡壘主機。代理服務位于內(nèi)部用戶和外部服務之間。代理程序在幕后處理所有用戶和Internet服務之間的通信以代替相互間的直接交談。感覺的連接實際的連接代理服務器內(nèi)部網(wǎng)絡(luò)Internet真正的服務器客戶機

16

17應用代理防火墻能夠提供更高層次的安全性：首先應用代理防火墻將保護網(wǎng)絡(luò)與外界完全隔離，并提供更細致的日志。這有助于發(fā)現(xiàn)入侵行為；應用代理防火墻本身是一臺主機，可以執(zhí)行諸如身份驗證等功能；應用代理防火墻檢測的深度更深，能夠進行應用級的過濾。

例如，有的應用代理防火墻可以過濾FTP連接并禁止FTP的“put”命令，從而保證用戶不能往匿名FTP服務器上寫入數(shù)據(jù)；由于域名系統(tǒng)（DNS）的信息不會從受保護的內(nèi)部網(wǎng)絡(luò)傳到外界，所以站點系統(tǒng)的名字和IP地址對Internet是隱蔽的?！?.2

防火墻分類

17

對于用戶，代理服務器給用戶一種直接使用“真正”服務器的感覺；對于真正的服務器，代理服務器給真正服務器一種在代理主機上直接處理用戶的假象。用戶將對“真正”服務器的請求交給代理服務器，代理服務器評價來自客戶的請求，并作出認可或否認的決定。如果一個請求被認可，代理服務器就代表客戶將請求轉(zhuǎn)發(fā)給“真正”的服務器，并將服務器的響應返回給代理客戶。

18

193.狀態(tài)檢測技術(shù)

狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。

與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，狀態(tài)檢測技術(shù)具有更好的靈活性和安全性。狀態(tài)檢測防火墻是包過濾技術(shù)及應用代理技術(shù)的一個折衷。。

§7.2

防火墻分類

19

狀態(tài)檢測防火墻監(jiān)視每一個有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能通過防火墻。它在協(xié)議底層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當前數(shù)據(jù)包和狀態(tài)信息與前一時刻的數(shù)據(jù)包和狀態(tài)信息進行比較，從而得到該數(shù)據(jù)包的控制信息，來達到保護網(wǎng)絡(luò)安全的目的。狀態(tài)檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，能夠根據(jù)協(xié)議、端口及源地址、目的地址的具體情況決定數(shù)據(jù)包是否可以通過。對于每個安全策略允許的請求，狀態(tài)檢測防火墻啟動相應的進程，可以快速地確認符合授權(quán)標準的數(shù)據(jù)包，這使得本身的運行速度很快?！?.2

防火墻分類

20

狀態(tài)檢測防火墻試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，這樣它就可以使用一組附加的標準，以確定是否允許和拒絕通信。狀態(tài)檢測防火墻是在使用了基本包過濾防火墻的通信上應用一些技術(shù)來做到這點的。由狀態(tài)檢測防火墻跟蹤的不僅是包中包含的信息，為了跟蹤包的狀態(tài)，防火墻還記錄有用的信息以幫助識別包，例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請求等。狀態(tài)檢測技術(shù)還能監(jiān)視RPC(遠程調(diào)用請求)和UDP的端口信息。包過濾防火墻和代理服務防火墻都不支持此類端口的檢測?！?.2

防火墻分類

21

4.自適應代理技術(shù)新型的自適應代理(Adaptiveproxy)防火墻，本質(zhì)上也屬于代理服務技術(shù)，但它也結(jié)合了動態(tài)包過濾(狀態(tài)檢測)技術(shù)。自適應代理技術(shù)是在商業(yè)應用防火墻中實現(xiàn)的一種革命性的技術(shù)。組成這類防火墻的基本要素有兩個：自適應代理服務器與動態(tài)包過濾器。它結(jié)合了代理服務防火墻安全性和包過濾防火墻的高速度等優(yōu)點，在保證安全性的基礎(chǔ)上將代理服務器防火墻的性能提高10倍以上?！?.2

防火墻分類

22

在自適應代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應代理的管理界面進行設(shè)置就可以了。然后，自適應代理就可以根據(jù)用戶的配置信息，決定是使用代理服務器從應用層代理請求，還是使用動態(tài)包過濾器從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求?！?.2

防火墻分類

23

常見的免費個人防火墻有：天網(wǎng)防火墻個人版、瑞星個人防火墻、360木馬防火墻、江民黑客防火墻和金山網(wǎng)標等。著名的個人防火墻產(chǎn)品如著名Symantec公司的諾頓、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的FreeZoneAlarm

等?！?.2

防火墻分類

24

瑞星個人防火墻的設(shè)置與使用

25

瑞星個人防火墻的設(shè)置與使用

26

瑞星個人防火墻的設(shè)置與使用

27

瑞星個人防火墻的設(shè)置與使用

28

29防火墻的體系結(jié)構(gòu)

防火墻在網(wǎng)絡(luò)中的部署位置也稱為防火墻的體系結(jié)構(gòu)，常見防火墻系統(tǒng)的體系結(jié)構(gòu)有4種：

篩選路由器體系結(jié)構(gòu)

單宿主堡壘主機體系結(jié)構(gòu)

雙宿主堡壘主機體系結(jié)構(gòu)

屏蔽子網(wǎng)體系結(jié)構(gòu)§7.3

防火墻的體系結(jié)構(gòu)

29

安裝防火墻以前的網(wǎng)絡(luò)

§7.3

防火墻的體系結(jié)構(gòu)

30

安裝防火墻后的網(wǎng)絡(luò)

§7.3

防火墻的體系結(jié)構(gòu)

31

DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務器設(shè)施，如企業(yè)Web服務器、FTP服務器和論壇等。通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)，因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。這樣，不管是外部還是內(nèi)部與對外服務器交換信息數(shù)據(jù)也要通過防火墻，實現(xiàn)了真正意義上的保護。

DMZ區(qū)(demilitarizedzone，也稱非軍事區(qū))§7.3

防火墻的體系結(jié)構(gòu)

32

1、雙重宿主主機體系結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主機計算機而構(gòu)筑的，該計算機至少有兩個網(wǎng)絡(luò)接口?？沙洚斉c這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。

實現(xiàn)雙重