计算机系统安全防火墙课件

1、计算机系统安全防火墙,1,计算机系统安全 第九章 防火墙,计算机系统安全防火墙,2,一、防火墙概述,什么是防火墙(Firewall) ,防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施,计算机系统安全防火墙,3,一、防火墙的用途,一、防火墙概述,1）作为“扼制点”，限制信息的进入或离开； 2）防止侵入者接近并破坏你的内部设施； 3）监视、记录、审查重要的业务流； 4）实施网络地址转换，缓解地址短缺矛盾。 防火墙只允许已授权的业务流通过，而且本身也应抵抗渗透攻击。 建立防火墙必须全面考虑安全策略，否则形同虚设,计算机系统安全防火墙,4,二、好的防火墙系统,一、防火墙概

2、述,1）内部网络和外部网络之间传输的数据必须通过防火墙； 2）只有防火墙系统中安全策略允许的数据可以通过防火墙； 3）防火墙本身不受各种攻击的影响,计算机系统安全防火墙,5,三、防火墙的优点,一、防火墙概述,1.防止易受攻击的服务 通过过滤不安全的服务来降低子网上主系统的风险。 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。 可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点,计算机系统安全防火墙,6,一、防火墙概述,2.控制访问网点系统 可以提供对系统的访问控制。如允许从外部访问某些主机(Mail Server和Web Server)

3、，同时禁止访问另外的主机。 3.集中安全性 防火墙定义的安全规则可用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。 可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户只需要经过一次认证即可访问内部网。例如对于密码口令系统或其他的身份认证软件等，放在防火墙系统中更是优于放在每个Internet能访问的机器上,计算机系统安全防火墙,7,一、防火墙概述,4.增强的保密、强化私有权 使用防火墙系统，站点可以防止finger 以及DNS域名服务。Finger能列出当前用户，上次登录时间，以及是否读过邮件等。 5.有关网络使用、滥用的记录和统计 防火墙可以记录各次

4、访问，并提供有关网络使用率等有价值的统计数字。 网络使用率统计数字可作为网络需求研究和风险分析的依据；收集有关网络试探的证据，可确定防火墙上的控制措施是否得当，能否抵御试探和攻击,计算机系统安全防火墙,8,四、防火墙的局限性,一、防火墙概述,1）防火墙防外不防内 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等,计算机系统安全防火墙,9,一、防火墙

5、概述,2）不能防范绕过防火墙的攻击 防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 3）防火墙配置复杂，容易出现安全漏洞 4）防火墙往往只认机器（IP地址）不认人（用户身份），并且控制粒度较粗,计算机系统安全防火墙,10,一、防火墙概述,5）防火墙不能防范病毒 防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 6）防火墙不能防止数据驱动式攻击。 当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特

6、别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出,计算机系统安全防火墙,11,五、防火墙的特点,一、防火墙概述,1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等； 2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动的安全； 3、客户端认证：只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分,计算机系统安全防火墙,12,五、防火墙的特点,一、防火墙概述,4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。

7、防火墙能监视这样的数据包并能扔掉它们； 5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块,计算机系统安全防火墙,13,1、服务访问政策,二、网络政策,服务访问政策是整个机构信息安全政策的延伸，既要可靠又要切合实际。 一个典型的政策可以不允许从Internet访问网点，但要允许从网点访问Internet。 另一个典型政策是允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web服务器和电子邮件服务器,计算机系统安全防火墙,14,允许,拒绝,2、防火墙设计政策,防火墙一般实施两个基本设计方针之一: 1. “没有明确允许的都是被禁止的”，即拒绝

8、一切未予特许的东西。 2. “没有明确禁止的都是被允许的”；也即是允许一切未被特别拒绝的东西,允许,拒绝,计算机系统安全防火墙,15,六、防火墙的体系结构,1）屏蔽路由器（Screened Router） 2）双宿主机网关； Dual Homed Host Gateway 3）屏蔽主机防火墙； Screened Gateway 4）屏蔽子网防火墙。 Screened Subnet,计算机系统安全防火墙,16,1.屏蔽路由器（Screened Router,包过滤路由器： 路由 + 过滤 这是最简单的防火墙。 缺点： 日志没有或很少，难以判断是否被入侵 规则表会随着应用变得很复杂 单一的部件保护

9、，脆弱,计算机系统安全防火墙,17,2.双宿主机网关,防火墙体系结构,计算机系统安全防火墙,18,防火墙体系结构,用一台装有两块网卡的计算机作为堡垒主机（Bastion host），两块网卡分别与内部网和外部网（或屏蔽路由器）相连，每块网卡有各自的IP地址。堡垒主机上运行防火墙软件代理服务（应用层网关）。在建立双宿主机时，应关闭操作系统的路由功能（IP转发），否则两块网卡间的通信会绕过代理服务器软件。 优点：与屏蔽路由器相比，提供日志以备检查 缺点：双宿主机易受攻击,计算机系统安全防火墙,19,3.屏蔽主机防火墙,防火墙体系结构,计算机系统安全防火墙,20,屏蔽主机体系结构,计算机系统安全防火

10、墙,21,防火墙体系结构,由屏蔽路由器和应用网关组成。 两道屏障：网络层的包过滤；应用层代理服务 注：与双宿主机网关不同，这里的应用网关只有一块网卡。 优点：双重保护，安全性更高。 实施策略：针对不同的服务，选择其中的一种或两种保护措施,计算机系统安全防火墙,22,4.屏蔽子网体系结构,防火墙体系结构,组成：一个包含堡垒主机的周边子网、两台屏蔽路由器,计算机系统安全防火墙,23,屏蔽子网体系结构,计算机系统安全防火墙,24,防火墙体系结构,屏蔽子网防火墙中，添加周边网络进一步地把内部网络与Internet隔离开。 通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。 要想侵入用这种类型

11、的体系结构构筑的内部网络，侵袭者必须通过外部路由器，堡垒主机，内部路由器三道关口。 1）周边网络：非军事化区、停火区（DMZ） 周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络,计算机系统安全防火墙,25,防火墙体系结构,周边网络的作用 对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。 因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的,计算机系统安全防火墙,26,防火墙体系结构,2）堡垒主机 接受来自外

12、界连接的主要入口： 1对于进来的电子邮件（SMTP）会话，传送电子邮件到站点； 2对于进来的FTP连接，转接到站点的匿名FTP服务器； 3对于进来的域名服务（DNS）站点查询等,计算机系统安全防火墙,27,防火墙体系结构,出站服务按如下任一方法处理： 1.在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 2.设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。但是禁止内部的客户端与外部世界之间直接通信(如拨号上网,计算机系统安全防火墙,28,防

13、火墙体系结构,3）内部路由器 内部路由器（阻塞路由器）：保护内部的网络使之免受Internet和周边子网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。 内部路由器所允许的在周边网和内部网之间服务可不同于内部路由器所允许的在外部和内部网之间的服务。 限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害,计算机系统安全防火墙,29,防火墙体系结构,4）外部路由器 在理论上，外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎

14、任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。 外部路由器安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包,计算机系统安全防火墙,30,内部防火墙问题,防火墙体系结构,在大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙,计算机系统安全防火墙,31,复合型防火墙,复合型防火墙,采用哪种形式的防火墙取决于经费、技术、时间等,包过滤,应用网关,电路网关

15、,计算机系统安全防火墙,32,包过滤技术,包过滤技术,计算机系统安全防火墙,33,包过滤技术的原理,包过滤技术,在路由器上加入IP Filtering 功能，这样的路由器就成为Screening Router 。 Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。 如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行； 如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃； 如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃,计算机系统安全防火墙,34,IPv4,包过滤技术,版本号,Version,4bit,报头长,

16、IHL,4bit,服务类型,ServiceType,8bit,分组总长度,Total Length,16bit,标识,Identification,16bit,标志,Flags,3bit,片偏移,Fragment Offset,13bit,生存时间,Time to Live,8bit,传输层协议,Protocol,8bit,头部校验和,Header Checksum,16bit,源,IP,地址,Source Address(32bit,宿,IP,地址,Destination Address(32bit,可选项,Option,有效负载 Payload（0或多个字节,20 bytes,0 4 8

17、16 19 31,填充域,padding,计算机系统安全防火墙,35,ICMP报文,包过滤技术,ICMP报文的一般格式,Data,差错信息 出错IP数据报的头+64个字节数据,类型,Type,8bit,代码,Code,8bit,检验和,Checksum,16bit,不同类型和代码有不同的内容Data,0 8 16 31,ICMP header ICMP data,IP header I P data,封装,计算机系统安全防火墙,36,TCP头部,包过滤技术,源端口,Source Port,16bit,宿端口,Destination Port,16bit,序列号,Sequence Number,

18、32bit,确认号,Acknowledgment Number,32bit,Data,Offset,4bit,Reserved,6bit,U,R,G,A,C,K,P,S,H,R,S,T,S,Y,N,F,I,N,窗口大小,Window,size,16bit,校验和,Checksum,16bit,紧急指针,Urgent Pointer,16bit,选项,Options (0,或多个,32,bit,字,数据,Data,可选,计算机系统安全防火墙,37,UDP头部,包过滤技术,UDP源端口,UDP宿端口,UDP长度,UDP校验和,16bit,16bit,最小值为8,全“0”：不选； 全“1”：校验和为

19、0,计算机系统安全防火墙,38,包过滤的依据,包过滤技术,IP 源地址 IP目的地址 封装协议(TCP、UDP、或IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 TCP报头的ACK位 包输入接口和包输出接口,计算机系统安全防火墙,39,依赖于服务的过滤,包过滤技术,多数服务对应特定的端口，例：Telnet、SMTP、POP3分别为23、25、110。如要封锁输入Telnet 、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。 典型的过滤规则有以下几种： .只允许进来的Telnet会话连接到指定的一些内部主机 .只允许进来的FTP会话连接到指

20、定的一些内部主机 .允许所有出去的Telnet 会话 . 允许所有出去的FTP 会话 .拒绝从某些指定的外部网络进来的所有信息,计算机系统安全防火墙,40,独立于服务的过滤,有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。要防止这类攻击，需要在过滤规则中考虑其它信息，如：路由表、特定的IP选项、特定的片段偏移等。不依赖于服务的攻击有三类： 1）源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击,计算机系统

21、安全防火墙,41,包过滤技术,2）源路由攻击 攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。 3）残片攻击 入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中Fragment Offset=1的数据包，即可挫败残片的攻击,计算机系统安全防火墙,42,推荐的过滤规则,任何进入内网的数据包不能将内部地

22、址作为源地址 任何进入内网的数据包必须将内部地址作为目标地址 任何离开内网的数据包必须将内部地址作为源地址 任何离开内网的数据包不能将内部地址作为目标地址 任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址 保留、DHCP自动配置和多播地址也要被阻塞： /8 /16 /24 /4 /4,计算机系统安全防火墙,43,包过滤路由器的优点,包过滤技术,1、实现包过滤几乎不再需要费用。这些特点都包含再标准的路由器软件中。绝大多数Internet防火墙系统只用一个包过滤路由器.

23、2、执行PACKET FILTER 所用的时间很少或几乎不需要什么时间。因为Internet 访问一般被提供给一个WAN接口。如果通信负载适中且定义的过滤很少的话,则对路由性能没有多大影响. 3、包过滤路由器对终端用户和应用程序是透明的,因此不需要专门的用户培训或在每主机上设置特别的软件,计算机系统安全防火墙,44,包过滤路由器的局限性,包过滤技术,1、定义包过滤器的工作复杂, 要了解Internet各种服务、包头格式和每个域查找的特定值。管理困难。 2、通过路由器的数据包有可能被用于数据驱动攻击 3、过滤器数目增加，路由器吞吐量下降 4、无法对流动的信息提供全面控制。不能理解上下文。 5、一

24、些应用协议不适合于包过滤，如：RPC、FTP等。 6、日志能力较弱。不能报告谁企图入侵。 7、难以针对用户实施安全策略,计算机系统安全防火墙,45,代理服务技术,代理服务,该技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。 此外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹,计算机系统安全防火墙,46,代理服务技术,代理服务,计算机系统安全防火墙,47,应用层网关,应用网关,应用层网

25、关（Application Level Gateways）技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议，如：超文本传输协议(HTTP)、远程文件传输协议(FTP)等，使用指定的数据过滤规则。并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。记录和控制所有进出流量是应用层网关的一个主要优点,计算机系统安全防火墙,48,应用层上的过滤,应用网关,计算机系统安全防火墙,49,应用层网关,计算机系统安全防火墙,50,电路层网关(Circuit Gateway,电路网关工作在OSI的会话层。分组地址是一个应用层的用户进程。电路网关在两个通信端点之间复制字节。电路

26、网关包含有支持某些TCP/IP应用的程序代码，但通常是有限的。 电路网关适于限制内部网对外部的访问，但不能实施协议过滤。从电路网关出来的连接好象都是从防火墙产生的，故可以隐藏内部网络信息。 电路网关与包过滤相似，但比包过滤高两层，安全性更好,计算机系统安全防火墙,51,电路层网关,计算机系统安全防火墙,52,一个例子,代理服务,用包过滤路由器封锁所有输入Telnet和Ftp 连接的网点。路由器允许Telnet和Ftp包只通过一个主系统，即Telnet/Ftp应用网关，然后再连接到目的主系统： 用户首先把Telnet连接到应用网关，并输入内部主系统名字； 网关检验用户的源IP地址，并根据访问准则

27、接受或拒绝； 用户可能需要证明自己的身份（可使用一次性口令装置）； 代理服务软件在网关和内部主系统之间建立Telnet连接； 代理服务软件在两个连接之间传送数据； 应用网关记录连接情况,计算机系统安全防火墙,53,代理服务的优点,代理服务,1）易于配置 软件实现，界面友好 2）日志记录，便于分析 3）灵活控制进出流量、内容(who、what、 where 、when) 例如，可以过滤协议。为防止用户向匿名FTP服务器写数据，可拒绝使用FTP 协议中的 put 命令； 能过滤数据内容：文本过滤、图像过滤、病毒扫描等。 4）为用户提供透明的加密机制 VPN 5）便于与其它安全手段集成 认证 授权

28、加密 TLS协议,计算机系统安全防火墙,54,代理服务的缺点,速度慢：检查内容；转发/响应 代理对用户不透明 对客户端要定制软件或改动； 如何跨平台；代理服务难以让可户非常满意 不能改进底层协议的安全 IP欺骗 SYN泛滥 拒绝服务攻击 有可能受到协议漏洞的威胁,计算机系统安全防火墙,55,包过滤与代理的结合,代理服务,为提高安全性，将包过滤方法与应用代理的方法结合起来，形成复合型防火墙产品。有两种方案。 1) 屏蔽主机防火墙体系结构：在该结构中，包过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在包过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击,计算机系统安全防火墙,56,代理服务,2)屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个包过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和包过滤路由器共同构成了整个防火墙的安全基础。 代理服务器及防火墙软件包： Wingate Microsoft Proxy Server,计算机系统安全防火墙,57,用户眼中的代