防火墙技术基础

1、防火墙技术2课程介绍参考书目防火墙技术大全，机械工业出版社，2003年3月防火墙核心技术精解，中国水利水电出版社，2005年4月Internet 安全与防火墙，清华大学出版社，2004年6月构筑因特网防火墙，电子工业出版社，1998年1月Linux防火墙，人民邮电出版社，2000年10月防火墙原理与技术，机械工业出版社，2004年5月防火墙及其应用技术，清华大学出版社，2004年7月3课程介绍网络资源部分防火墙厂商站点技术站点4网络安全的现状在我们的生活中，经常可以听到下面的报道：XX网站受到黑客攻击XX计算机系统受到攻击，造成客户数据丢失目前又出现XX计算机病毒，已扩散到各大洲 计算机网络在

2、带给我们便利的同时已经体现出了它的脆弱性5网络安全的现状经常有网站遭受黑客攻击6Year网络安全的现状调查显示：网络攻击数量与日俱增7网络安全的现状网络病毒在全球范围内高速扩散8网络安全的现状黑客攻击技术与网络病毒日趋融合9网络安全的现状攻击者需要的技能日趋下降攻击工具复杂性攻击者所需技能10网络安全面临的威胁互联网在推动社会发展的同时，也面临着日益严重的安全问题：信息系统存在诸多弱点企业外部的网络攻击企业内部发起的网络破坏计算机病毒的破坏计算机网络的最大威胁是来自企业内部员工的恶意攻击和计算机病毒的威胁11网络安全面临的威胁企业外部的网络攻击1993年3月1日，由于骇客入侵，纽约市区供电中断

3、8个小时，造成巨大经济损失1998年6月，国内某著名银行一用户通过网络使用非法手段盗支36万元人民币1999年8月，一少年侵入德里医院篡改血库信息，致使12名病人因错误输血而死亡2006年9月12日下午，百度遭受有史以来最大规模的不明身份黑客攻击，导致百度搜索服务在全国各地出现了近30分钟的故障12网络安全面临的威胁企业内部的网络破坏尽管企业外部的攻击可以对企业网络造成巨大威胁，企业内部员工的不正确使用和恶意破坏是一种更加危险的因素统计显示：来自企业内部的网络破坏更加危险；员工的不正常使用也是企业内网的一个重要不安全因素13计算机病毒的破坏计算机病毒呈几何级数增长，影响恶劣1998年，CIH病

4、毒影响到2000万台计算机1999年，梅利莎造成8000万美元损失2003年，冲击波病毒造成了近100亿美元损失2006 年，熊猫烧香病毒，在两个多月的时间感染用户数百万，直接和间接损失无法估量。变种“金猪报喜”，危害再度升级2006年度中国大陆地区电脑病毒疫情和互联网安全报告显示，2006年被截获的新病毒达23万，几乎等于以往所有病毒数量的总和，而“熊猫烧香” 位列十大病毒之首14网络安全问题的严重性网络安全隐患到处存在据美国金融时报报道，现在平均每20秒就发生一次入侵计算机网络的事件；超过1/3的互联网被攻破被认为保护措施最严密的美国白宫被多次闯入中国国内80的网络存在安全隐患，20的网站

5、有严重安全问题15网络安全问题的严重性网络安全问题造成巨大损失据统计，在全球范围内，由于信息系统的脆弱性而导致的经济损失呈逐年上升的趋势美国FBI统计数据：美国每年因为网络安全问题而造成的经济损失高达数百亿美元161. 防火墙基本知识防火墙的定义为什么使用防火墙防火墙的部署防火墙的功能防火墙的优缺点防火墙的发展防火墙的设计策略防火墙的安全策略171.1 防火墙的定义当房屋还处于木制结构的时候，人们将石块堆砌在房屋周围用来防止火灾的发生，这是防火墙的最初含义181.1 防火墙的定义防火墙：是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称缓冲：是可信网络和不可信网络

6、之间的一个“缓冲”屏障：是防范从其他网络发起攻击的“屏障”纽带：是可信网络与不可信网络进行联络的唯一“纽带”191.2 为什么使用防火墙没有防火墙：网络管理员要确保多台主机尽可能安全网络越大，维护整个网络的安全越复杂每台主机的安全由自身决定，整个系统的安全由系统中安全性最差的主机决定有防火墙：网络管理员只要集中关注防火墙注意：防火墙只是提供了一层避免错误的额外保护，并非防火墙后边的系统不再需要严格的安全措施？201.2 为什么使用防火墙服务器工作站工作站工作站互联网Internet 接入网络211.3 防火墙的部署Internet1. 企业内联网2. 部门子网3. 分公司网络221.3 防火墙

7、的部署防火墙是软件或硬件设备的组合，可以位于：两/多个具有不同安全性要求的网络的互联之处，保护安全性要求高的网络最常见的是部署在本地网与Internet相连的地方，保护本地网网络边界之内，保护一小批特定主机例如部署在公司局域网内部的财务部门主机与局域网其它主机之间，保护财务部门敏感数据231.3 防火墙的部署必须遵循的原则：所有的通信都经过防火墙所有在内部网络和外部网络之间传输的数据都必须通过防火墙防火墙只放行经过授权的网络流量只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙防火墙本身不会影响信息的流通，并能经受得起各种攻击241.4 防火墙的功能过滤进出网络的数据包管理

8、进出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和告警251.5 防火墙的优缺点优点：对企业内部网络实现了集中的安全管理，可以强化网络安全策略允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上可以方便地监视网络的安全性并报警261.5 防火墙的优缺点优点：利用NAT技术，可以缓解地址空间的短缺，隐藏内部网结构审计和记录网络访问和使用的最佳地点对一个内部网络已经连接到Internet上的机

9、构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息网络管理员可以在此向管理部门提供Internet连接的费用情况，并能够根据机构的核算模式提供部门级的计费网络管理员可以在此查出潜在的带宽瓶颈的位置271.5 防火墙的优缺点优点：Internet防火墙也可以成为向客户发布信息的地点Internet防火墙可以作为部署WWW服务器和FTP服务器的地点可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问28缺点：为了提高安全性，限制或者关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用不便

10、对用户不完全透明，可能带来传输延迟、瓶颈等问题无法防护内部网络用户的攻击无法防范通过防火墙以外的其他途径的攻击无法防范数据驱动型的攻击不能完全防止被病毒感染的文件或者软件的传输被动防护手段，不能防范因特网上新的威胁与攻击1.5 防火墙的优缺点291.6 防火墙的发展第一阶段：基于路由器的防火墙由于多数路由器本身就包含有分组过滤功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品 301.6 防火墙的发展第一代防火墙的特点：利用路由器本身的对分组的解析，以访问控制表方式实现对分组的过滤过滤判决的依据可以是地址、端口号、ICMP报文类型等只有分组过滤的功

11、能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙的功能的方法，对安全性要求较高的网络则可单独利用一台路由器组成防火墙311.6 防火墙的发展第一代防火墙的不足：路由协议十分灵活，本身具有安全漏洞，外部网络要探询内部网络十分容易路由器上的分组过滤规则的设置和配置存在安全隐患。路由器中过滤规则的设置和配置十分复杂，涉及到规则的逻辑一致性，作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，一旦出现新的协议，必须加上更多的规则限制，会带来很多错误路由器防火墙的最大隐患是：攻击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙

12、路由器防火墙的本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能32第二阶段：用户化的防火墙工具套为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户化的防火墙工具套的出现 1.6 防火墙的发展331.6 防火墙的发展第二代防火墙的特点：将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可自己动手构造防火墙与第一代防火墙相比，安全性提高了，价格降低了第二代防火墙的

13、不足：配置和维护过程复杂、费时对用户的技术要求高全软件实现，安全性和处理速度均有局限实践表明，使用中出现差错的情况很多 34第三阶段：建立在通用操作系统上的防火墙基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品 1.6 防火墙的发展35第三代防火墙的特点：批量上市的防火墙专用产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高 1.6 防火墙的发展361.6 防火墙的发展第三代防火墙的不足：用户必须依赖两方面的安全支持：一是防火墙厂商；一是操

14、作系统厂商 作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统的厂商不会对操作系统的安全性负责从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击371.6 防火墙的发展第四阶段：具有安全操作系统的防火墙具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有质量上的提高381.6 防火墙的发展第四代防火墙的特点：防火墙厂商具有操作系统的源代码，并可实现安全内核对安全内核实现加固处理，即去掉不必要的系统特性，加上内核特性，强化安全保护对每个服务器、子系统

15、都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能透明性好，易于使用 391.6 防火墙的发展未来防火墙的发展方向 第一，防火墙的性能将不断突破。随着网络应用的不断丰富，网络带宽需求会不断的增长，并对防火墙的性能提出更高的要求，满足千兆、万兆以及更高的带宽要求是防火墙发展的一个方向第二，防火墙将不断的深入应用防护。随着网络安全技术的发展，网络层和操作系统的漏洞将越来越少，但应用层的安全问题却越来越突出，防火墙将会把更多的注意力放在深度应用防护上，不断挖掘应用防护的深度第三，防火墙将支

16、持更多的应用层协议。对应用协议支持的广度，也是防火墙的发展趋势，它将支持更多新的应用协议，使更多的应用程序能和防火墙协同工作第四，防火墙将作为企业安全管理平台的一个组件。随着安全管理平台的发展，未来企业所有的安全设备将由安全管理平台统一调度和管理，防火墙需要向安全管理平台提供安全策略管理接口、安全事件管理接口、安全审计接口第五，防火墙将更可靠、更智能化。一方面，防火墙越来越稳定可靠，同时也更趋于智能化，并将解决IPV6未来会出现的安全问题401.7 防火墙的设计策略(1)一切未被允许的就是禁止的防火墙应该封锁所有的信息流，然后逐项开放希望提供的服务优点：安全性好，实用性强缺点：用户所能使用的服

17、务范围受到严格限制(2)一切未被禁止的就是允许的防火墙应该转发所有的信息流，然后逐项屏蔽有害的服务优点：灵活，可以为用户提供更多服务缺点：安全可靠性不高411.8 防火墙的安全策略用户帐号策略用户权限策略信任关系策略包过滤策略认证策略签名策略数据加密策略密钥分配策略审计策略42防火墙产品(国外)43Cisco防火墙技术Cisco的防火墙解决方案包括：集成在路由器中的防火墙技术IOS专用防火墙PIX44Cisco防火墙技术IOS (Internet Operation System)网际操作系统是一个与硬件分离的软件体系结构，随网络技术的不断发展，可动态地升级以适应不断变化的技术(硬件和软件)。

18、IOS可以被视作一个网际互连中枢，一个高度智能的管理员，负责管理控制复杂的分布式网络资源的功能。包括两部分：ACL(Access Control List，访问控制列表)，是IOS Firewall Feature Set的基础，也是Cisco IOS标准配置的一部分。在购买了路由器后，ACL功能已经具备IOS Firewall Feature Set(IOS防火墙软件包)，是在ACL的基础上对安全控制的进一步提升，是一套专门针对防火墙功能的附加软件包，可通过IOS升级获得，并且可以加载到多个Cisco路由器平台上45Cisco防火墙技术Cisco IOS防火墙特征:基于上下文的访问控制(CB

19、AC)入侵检测 动态端口映射 网络事务跟踪记录事件记录网络地址转换 Java能防止下载动机不纯的小应用程序在现有功能基础上又添加了拒绝服务探测和预防功能，从而增加了保护在探测到可疑行为后可向中央管理控制台实时发送警报和系统记录错误信息TCP/UDP事务处理记录按源/目的地址和端口对跟踪用户访问配置和管理特性与现有管理应用程序密切配合46Cisco防火墙技术PIX(Private Internet eXchange) 防火墙是一种软硬件结合的防火墙，是为了满足高级别的安全需求，以较好的性价比提供严密的、强有力的安全防范PIX产品系列PIX 501PIX 506PIX 515PIX 525PIX

20、53547Cisco防火墙技术PIX的主要特性:保护方案基于适应性安全算法ASA(Adaptive Security Algorithm)，能提供任何其它防火墙都不能提供的最高安全保护透明支持所有通用TCP/IP Internet服务，如万维网(WWW)、文件传输协议(FTP)、Telnet、Archie、Gopher和rlogin无需升级主机或路由器完全可以从未注册的内部主机访问外部Internet能与基于Cisco IOS的路由器互操作48Sonicwall系列防火墙针对中小企业需求开发的产品高性能价格优势Sonicwall系列防火墙包括：Sonicwall/10 Sonicwall/50

21、Sonicwall/PlusSonicwall/BanditSonicwall/DMZ PlusSonicwall系列防火墙的主要功能：阻止未授权用户访问防火墙内网络阻止拒绝服务攻击，并可完成Internet 内容过滤IP地址管理，网络地址转换(NAT)，也可作为Proxy制定网络访问规则，规定对某些网站访问的限制，如Internet Chat自动通知升级软件Sonicwall/DMZ Plus提供VPN功能49Checkpoint Firewall-1Checkpoint公司是一家专门从事网络安全产品开发的公司，是软件防火墙领域中的佼佼者，其产品Checkpoint Firewall-1在全

22、球软件防火墙产品中位居第一Firewall-1防火墙的操作在操作系统的核心层进行，而不是在应用程序层，这样可以使系统达到最高性能的扩展和升级Firewall-1防火墙的主要特点：对应用程序广泛支持，其开放式结构设计为扩充新的应用程序提供了便利状态检测机制能够理解并学习各种协议和应用，以支持最新的应用分布的客户机/服务器结构保证了高性能、高伸缩性和集中控制动态地址翻译把一个内部网的地址转换成一个合法地址，以解决内部网合法IP地址少的问题，同时可以隐藏内部网络结构，提供网络的安全性能负载均衡功能在提供相同服务的多个应用服务器之间实现负载分担，用户可选用不同的负载均衡算法路由器的集中安全管理功能通过

23、FireWall-1的管理工作站对企业内部的路由器提供集中的安全管理50NetScreen防火墙NetScreen科技公司专门从事高性能计算机网络安全系统的设计、开发、销售和服务最初面向小公司、企业和ISP提供高性能网络安全设备是一种硬件防火墙产品，将高速的性能、最大限度的安全性及简单易用等特点结合在一起，有效地消除了制约传统软件类防火墙的性能瓶颈NetScreen防火墙特点：采用ASIC(Application Specific Integrated Circuit，专用集成电路)硬件防火墙设计，性能较软件防火墙大大提高采用专用的系统平台，保证了自身体系结构的可靠性，消除了软件防火墙由于操作

24、系统平台本身引起的安全问题无用户数限制，并支持万个并发会话连接数具有简单易用的Web界面与命令行方式不足是审计的实现不够系统，没有做到每次联接记录的整合2004年juniper网络公司收购netscreen科技公司51ASIC(Application Specific Integrated Circuit，专用集成电路)，是一种带有逻辑处理的加速处理器，简单地说，ASIC就是利用硬件的逻辑电路实现软件的功能网络产品采用ASIC技术的目的在于把一些原先由CPU完成的经常性工作交给专门硬件来负责完成，从而在性能上实现突破性的提高ASIC技术目前已广泛应用于交换机、路由器、防火墙以及智能型IC卡身份证等领域 CPU芯片与ASIC芯片优缺点比较：CPU最大的优点是灵活性高，它利用指令集和软件完成各种各样的工作，但是CPU的实际处理能力往往受PC机和通用操作系统的规格限制ASIC则是以单一功能的集成电路来完成进程处理，虽然牺牲了灵活性但换来