网络安全防护防火墙知识教学

1、防火墙网络安全防护1. 网络安全防护：防火墙（1）防火墙的概念防火墙，顾名思义，是指阻隔火的蔓延的，人们在需要防火的一边与外部边界之间修筑的一堵墙，以防止在外部火灾发生时火蔓延进受保护的一边。1. 网络安全防护：防火墙（1）防火墙的概念国家标准GB/T 20281-2015信息安全技术 防火墙技术要求和测试评价方法给出的防火墙定义是：部署于不同安全域之间，具备网络层访问控制及过滤功能，并具备应用层协议分析、控制及内容检测等功能，能够适用于IPv4、IPv6等不同网络环境的安全网关产品。1. 网络安全防护：防火墙（1）防火墙的概念部署：是在不同安全控制域之间建立的安全控制点工作原理：根据预先制定

2、的访问控制策略和安全防护策略，解析和过滤流经防火墙的数据流，实现向被保护的安全域提供访问控制、审计等服务请求。保护的资产：是安全控制点内部的网络服务和资源等、防火墙本身及其内部的重要数据。1. 网络安全防护：防火墙（1）防火墙的概念防火墙可以是软件、硬件或软硬件的组合。软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用，例如Windows系统自带的软件防火墙和著名安全公司Check Point推出的ZoneAlarm Pro 软件防火墙。1. 网络安全防护：防火墙如图所示，为Windows中自带的防火墙设置界面。如图所示，为ZoneAlarm Pro防火墙软件控制界面。

3、软件形式的防火墙具有安装灵活，便于升级扩展等优点，缺点是安全性受制于其支撑操作系统平台，性能不高。1. 网络安全防护：防火墙如图所示，为我国华为公司的硬件防火墙产品。目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构，也就是说这类防火墙和普通PC类似。还有基于特定用途集成电路（Application Specific Integrated Circuit，ASIC）、基于网络处理器（Network Processor，NP）以及基于现场可编程门阵列（Field-Programmable Gate Array，FPGA）的防火墙。这类防火墙采用专用操作系统，因此防火墙本身的漏洞比较少

4、，而且由于基于专门的硬件平台，因而处理能力强、性能高。1. 网络安全防护：防火墙（2）防火墙的工作原理防火墙总体来讲可分为“包过滤型”和“应用代理型”两大类。包过滤防火墙工作在网络层和传输层，它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃，从而达到对进出防火墙的数据进行检测和限制的目的。1. 网络安全防护：防火墙（2）防火墙的工作原理包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，而是适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙

5、多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。1. 网络安全防护：防火墙（2）防火墙的工作原理包过滤技术在发展中出现了两种不同版本，第一代称为静态包过滤，第二代称为动态包过滤。1. 网络安全防护：防火墙1）静态包过滤技术。这类防火墙几乎是与路由器同时产生的，它根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的包头信息进行制订。这些规则常称为数据包过滤访问控制列表（ACL）。各个厂商的防火墙产品都有自己的语法用于创建规则。1. 网络安全防护：防火墙在这张过滤规则样表中包含了：规则执行顺序、源IP地址、目标IP地址、协

6、议类型（TCP包、UDP包和ICMP包）、TCP或UDP包的源端口、TCP或UDP包的目的端口、TCP包头的标志位（如ACK）、对数据包的操作、数据流向在实际应用中，过滤规则表中还可以包含TCP包的序列号、IP校验和等，如果设备有多个网卡，表中还应该包含网卡名称。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP801023ACK允许3所有所有所有所有所有所有拒绝1. 网络安全防护：防火墙该表中的第1条规则允许内部用户向外部Web服务器发送数据包，并定向到80端口，第2条规则允许外部网络向内部的高端口发送TCP包，只要

7、ACK位置位，且入包的源端口为80。即允许外部Web服务器的应答返回内部网络。1. 网络安全防护：防火墙最后一条规则拒绝所有数据包，以确保除了先前规则所允许的数据包外，其他所有数据包都被丢弃。当数据流进入包过滤防火墙后，防火墙检查数据包的相关信息，开始从上至下扫描过滤规则，如果匹配成功则按照规则设定的操作执行，不再匹配后续规则。所以，在访问控制列表中规则的出现顺序至关重要。1. 网络安全防护：防火墙访问控制列表的配置有两种方式：严策略。接受受信任的IP包，拒绝其他所有IP包；宽策略。拒绝不受信任的IP包，接受其他所有IP包。显然，前者相对保守，但是相对安全。后者仅可以拒绝有限的可能造成安全隐患

8、的IP包，网络攻击者可以改变IP地址轻松绕过防火墙，导致包过滤技术在实际应用中失效。所以，在实际应用中一般都应采用严策略来设置防火墙规则。表中所示即应用了严策略。1. 网络安全防护：防火墙（2）防火墙的工作原理1）静态包过滤技术的缺陷。通常，外部主机发给内部主机的数据包是应答包，是由于内部主机首先向外部主机提出了访问请求。当时攻击者可以主动发给内部某台主机一个应答包以对该主机进行扫描等操作。来看这张过滤规则表。对于这种不是真正响应请求的应答包，由于它符合规则表的第2条，防火墙会允许其通过，而给内部主机的安全带来隐患。究其原因，就是因为这张表的规则是离散的，不能对一次网络连接的多个数据包进行综合

9、判断。1. 网络安全防护：防火墙（2）防火墙的工作原理1）静态包过滤技术的缺陷。序号源IP目标IP协议源端口目的端口标志位操作1内部网络地址外部网络地址TCP任意80任意允许2外部网络地址内部网络地址TCP801023ACK允许3所有所有所有所有所有所有拒绝1. 网络安全防护：防火墙（2）防火墙的工作原理2）状态包过滤技术。状态包过滤（Stateful Packet Filter）是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，对接收到的数据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。1. 网络安全防护：防火墙（2）防火墙的工作原理2）状态包过滤技

10、术。跟传统包过滤只有一张过滤规则表不同，状态包过滤同时维护过滤规则表和状态表。过滤规则表是静态的，而状态表中保留着当前活动的合法连接，它的内容是动态变化的，随着数据包来回经过设备而实时更新。当新的连接通过验证，在状态表中则添加该连接条目，而当一条连接完成它的通信任务后，状态表中的该条目将自动删除。1. 网络安全防护：防火墙（2）防火墙的工作原理2）状态包过滤技术的局限。基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。对于包过滤防火墙而言，数据包来自远端主机。由于防火墙不是数据包的最终接收者，仅仅能够对数据包网络层和传输层信息头等控制信息进行分析，所以难以了解数据包是由哪个应用程

11、序发起。目前的网络攻击和木马程序往往伪装成常用的应用层服务的数据包逃避包过滤防火墙的检查，这也正是包过滤技术难以解决的问题之一。1. 网络安全防护：防火墙（2）防火墙的工作原理2）状态包过滤技术的局限。访问控制列表的配置和维护困难。包过滤技术的实现依赖于详细和正确的访问控制列表。在实际应用中，对于一个大型的网络，由于可信任的IP数目巨大而且经常变动，而防火墙的安全性能与访问控制列表中的配置规则出现的先后顺序有关，网络安全策略维护将变得非常繁杂。而且，基于IP地址的包过滤技术，即使采用严策略的防火墙规则也无法避免IP地址欺骗的攻击。1. 网络安全防护：防火墙（2）防火墙的工作原理2）状态包过滤技

12、术的局限。对安全管理人员的要求高，在建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的了解。包过滤防火墙难以详细了解主机之间的会话关系。包过滤防火墙处于网络边界并根据流经防火墙的数据包进行网络会话分析，生成会话连接状态表。由于包过滤防火墙并非会话连接的发起者，所以对网络会话连接的上下文关系难以详细了解，容易受到欺骗。1. 网络安全防护：防火墙（2）防火墙的工作原理2）状态包过滤技术的局限。大多数过滤器中缺少审计和报警机制，只能依据包头信息，而不能对用户身份进行验证，很容易遭受欺骗型攻击。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术采用应用代理技术的防火墙工作

13、在应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用代理技术的发展也经历了两个版本，第一代的应用层网关（Application Gateway）技术，第二代的自适应代理（Adaptive Proxy）技术。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术应用层网关可分3种类型：双宿主主机网关；屏蔽主机网关；屏蔽子网网关。这三种网关都要求有一台主机，通常称为“堡垒主机”（Bastion Host），它起着防火墙的作用，即隔离内外网的作用。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术：双宿主主机

14、网关特点：堡垒主机充当应用层网关。在主机中需要插入两块网卡，用于将主机分别连接到被保护的内网和外网上。在主机上运行防火墙软件，被保护内网与外网间的通信必须通过主机，因而可以将内网很好地屏蔽起来。内网可以通过堡垒主机获得外网提供的服务。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术：双宿主主机网关优点：这种应用层网关能有效地保护和屏蔽内网，且要求的硬件较少，因而是应用较多的一种防火墙；缺点：但堡垒主机本身缺乏保护，容易受到攻击。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽主机网关特点：为了保护堡垒主机而将它置入被保护网的范围中，在被保护内网与外网之间设

15、置一个屏蔽路由器。它不允许外网用户对被保护内网进行直接访问，只允许对堡垒主机进行访问，屏蔽路由器也只接收来自堡垒主机的数据。与前述的双宿主主机网关类似，也在堡垒主机上运行防火墙软件。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽主机网关优点：屏蔽主机网关是一种更为灵活的防火墙软件，它可以利用屏蔽路由器来做更进一步的安全保护。缺点：此时的路由器又处于易受攻击的地位。此外，网络管理员应该管理在路由器和堡垒主机中的访问控制表，使两者协调一致，避免出现矛盾。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关特点：不少被保护网有这样一种要求，即它能向外

16、网上的用户提供部分信息。这部分存放在公用信息服务器上的信息，应允许由外网的用户直接读取。针对这种情况，屏蔽子网网关结构使用一个或者更多的屏蔽路由器和堡垒主机，同时在内外网间建立一个被隔离的子网DMZ。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关DMZ网络是一个与内部网络和外部网络隔离的小型网络，一般将堡垒主机、Web服务器、邮件服务器以及其他公用服务器放在DMZ网络中。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关整个体系结构中存在3道防线。外部屏蔽路由器防火墙用于管理所有外部网络对DMZ的访问，它只允许外部系统访问堡垒主机或是

17、DMZ中对外开放的服务器，并防范来自外部网络的攻击。内部屏蔽路由器防火墙位于DMZ网络和内部网之间，提供第三层防御。它只接受源于堡垒主机的数据包，管理DMZ到内部网络的访问。它只允许内部系统访问DMZ网络中的堡垒主机或是服务器。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关优点：这种防火墙系统的安全性很好，因为来自外部网络将要访问内部网络的流量，必须经过这个由屏蔽路由器和堡垒主机组成的DMZ子网络；可信网络内部流向外界的所有流量，也必须首先接收这个子网络的审查。1. 网络安全防护：防火墙（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关堡垒主机上运行代理服务，

18、它是一个连接外部非信任网络和可信网络的“桥梁”。堡垒主机是最容易受侵袭的，万一堡垒主机被控制，如果采用了屏蔽子网体系结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部屏蔽路由器的保护。1. 网络安全防护：防火墙（2）防火墙的工作原理4）自适应代理技术：特点：采用这种技术的防火墙有两个基本组件：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet Filter）。在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。1. 网络安全防护：防火墙（2）防火墙的工作原理4）自适应代理技术：在对防火墙进行配置时，用户仅仅将所需要的服务类

19、型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。1. 网络安全防护：防火墙（2）防火墙的工作原理4）自适应代理技术：优点：安全性高。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机

20、任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。1. 网络安全防护：防火墙（2）防火墙的工作原理4）自适应代理技术：缺点：速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。1. 网络安全防护：防火墙（2）防火墙的工作原理5）虚拟专用网VPN：如图所示，组织内部的用户出差了，或是回家后如何使用组织内网。例如学校的图书馆资源进行IP限制。远程用户可以通过因特网建立到组织

21、内部网络的VPN连接，远程用户建立到远程访问服务器的VPN拨号后，会得到一个内网的IP地址，这样该用户就可以像是在内网中一样访问组织内部的主机，通常称这种应用为端到点的VPN接入。1. 网络安全防护：防火墙（2）防火墙的工作原理5）虚拟专用网VPN：如果分支机构的局域网如果不能通过专线连接，也可以利用站点间的VPN通过因特网将两个局域网连接起来。如图中，它具有一条跨越不安全的公网来连接两个端点的安全数据通道。通常称这种情况为点到点的VPN接入。1. 网络安全防护：防火墙（2）防火墙的工作原理5）虚拟专用网VPN：从上面的两个例子可以看出，VPN技术是利用因特网扩展内部网络的一项非常有用的技术，

22、它利用现有的因特网接入，只需稍加配置就能实现远程用户对内网的安全访问或是两个私有网络的相互访问。1. 网络安全防护：防火墙（2）防火墙的工作原理5）虚拟专用网VPN：一个虚拟专用网络至少应该能提供如下功能：数据加密：保证通过公共网络传输的数据即使被他人截获也不至于泄露信息。信息认证和身份认证：保证信息的完整性、合法性和来源可靠性(不可抵赖性)。访问控制：不同的用户应该分别具有不同的访问权限。1. 网络安全防护：防火墙（2）防火墙的工作原理5）虚拟专用网VPN：虚拟专用网络可以帮助远程用户、公司分支机构、商业伙伴以及供应商等和公司内部网络建立可信的安全连接，并保证数据的安全传输。虚拟专用网络利用

23、了现有的因特网环境，有利于降低建立远程安全网络连接的成本，同时也将简化网络的设计和管理的复杂度和难度，利于网络的扩展。随着移动用户的增加，虚拟专用网络的解决方案可以有效地实现远程网络办公和商业合作间的安全网络连接。1. 网络安全防护：防火墙（3）防火墙的部署只需要把防火墙的LAN端口与组织内部的局域网线路连接，把防火墙的WAN端口连接到外部网络线路连接即可。其实这是非常错误的观点，防火墙的具体部署方法要根据实际的应用需求而定，不是一成不变的。考虑一个典型的网络应用结构1. 网络安全防护：防火墙（3）防火墙的部署在这种应用中，整个网络结构分为3个不同的安全区域1）外部网络。包括外部因特网用户主机

24、和设备，这个区域为防火墙的非可信网络区域，此边界上设置的防火墙将对外部网络用户发起的通信连接按照防火墙的安全过滤规则进行过滤和审计，不符合条件的则不允许连接，起到保护内网的目的。1. 网络安全防护：防火墙（3）防火墙的部署2）DMZ网络。它是从内部网络中划分的一个小区域，其中包括内部网络中用于公众服务的服务器，如Web服务器、Email服务器、FTP服务器、外部DNS服务器等，都是为因特网公众用户提供某种信息服务的。在这个区域中，由于需要对外开放某些特定的服务和应用，因而网络受保护的级别较低，如果级别太高，则这些提供公共服务的网络应用就无法进行。也正因此，在这个区域中的网络设备所运行的应用也非常单一。1. 网络安全防