网络管理与安全技术课件

网络管理与安全技术网络管理与安全技术1第7章防火墙防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各企业网络中实施安全保护的核心，安全管理员可以通过其选择性地拒绝进出网络的数据流量，增强了对网络的保护作用。第7章防火墙防火墙作为网络安全的一种防护手2防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。

防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的内部网络，可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙可以是非常简单的过滤器，也可能是精心配置的网关。但都可用于监测并过滤所有内部网和外部网之间的信息交换。防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输，并对网络数据的流动实现有效地管理。7.1防火墙基本概念防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组3防火墙示意图防火墙示意图4UF3500/3100防火墙应用

三端口NAT模式交换机路由器集线器防火墙UF3500/3100WWW服务器Mail服务器PCPCFTP服务器UF3500/3100防火墙应用

57.1.1防火墙技术发展状况

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，防火墙技术得到了飞速的发展。许多公司推出了功能不同的防火墙系统产品。第一代防火墙，又称为包过滤防火墙，其主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过或进行转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。7.1.1防火墙技术发展状况

自从1986年美国Dig6第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。7.1.1防火墙技术发展状况

第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代77.1.2防火墙的任务

防火墙应能够确保满足以下四个目标：1.实现安全策略防火墙的主要目的是强制执行人们所设计的安全策略。比如，安全策略中只需对E-mail服务器的SMTP流量作些限制，那么就要在防火墙中直接设置并执行这一策略。防火墙一般实施两个基本设计策略之一：n

凡是没有明确表示允许的就要被禁止；n

凡是没有明确表示禁止的就要被允许。7.1.2防火墙的任务防火墙应能够确保满足以下四个目标82.创建检查点

防火墙在内部网络和公网间建立一个检查点。通过检查点防火墙设备可以监视、过滤和检查所有进来和出去的流量。网络管理员可以在检查点上集中实现安全目的。7.1.2防火墙的任务2.创建检查点7.1.2防火墙的任务97.1.2防火墙的任务

九运会信息网络系统已经受并成功地抵御了87万多次网络攻击7.1.2防火墙的任务

10

3.记录Internet活动防火墙可以进行日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。3.记录Internet活动117.1.2防火墙的任务保护内部网络对于公网防火墙隐藏了内部系统的一些信息以增加其保密性。当远程节点探测内部网络时，其仅仅能看到防火墙。远程节点不会知道内部网络结构和资源。防火墙以提高认证功能和对网络加密来限制网络信息的暴露，并通过对所有输入的流量时行检查，以限制从外部发动的攻击。7.1.2防火墙的任务保护内部网络127.2防火墙技术目前大多数防火墙都采用几种技术相结合的形式来保护网络不受恶意的攻击，其基本技术通常分为两类：l

网络数据单元过滤l

网络服务代理7.2防火墙技术目前大多数防火墙都采用几种技术相结合137.2.1数据包过滤数据包过滤（PacketFiltering）技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（AccessControlTable）。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。7.2.1数据包过滤数据包过滤（PacketFilte147.2.1数据包过滤包过滤技术工作在OIS七层模型的网络层上并有两个功能，即允许和阻止；如果检查数据包所有的条件都符合规则，则允许进行路由；如果检查到数据包的条件不符合规则，则阻止通过并将其丢弃。包检查是对IP头和传输层的头进行过滤，一般要检查下面几项：7.2.1数据包过滤包过滤技术工作在OIS七层模型的网络157.2.1数据包过滤l

源IP地址l

目的IP地址l

TCP/UDP源端口l

TCP/UDP目的端口l

协议类型（TCP包、UDP包、ICMP包）l

TCP报头中的ACK位l

ICMP消息类型7.2.1数据包过滤l

源IP地址167.2.1数据包过滤例如：若想禁止从Internet的远程登录到内部网设备中，则需要建立一条包过滤规则。因为Telnet服务是使用TCP协议的23端口，则禁止Telnet的包过滤规则为：规则号功能 源IP地址 目标IP地址 源端口目标端口 协议1 Discard * * 23 * TCP2 Discard * * * 23TCP

上表列出的信息是路由器丢弃所有从TCP23端口出去和进来的数据包。其它所有的数据包都允许通过。7.2.1数据包过滤例如：若想禁止从Internet的远17例如：FTP使用TCP的20和21端口。如果包过滤要禁止所有的数据包只允许特殊的数据包通过。

规则号

功能

源IP地址目标IP地址源端口目标端口协议1Allow ***TCP2Allow * 20 * TCP第一条是允许地址为的网段内而其源端口和目的端口为任意的主机进行TCP的会话。第二条是允许端口为20的任何远程IP地址都可以连接到的任意端口上。第二条规则不能限制目标端口是因为主动的FTP客户端是不使用20端口的。当一个主动的FTP客户端发起一个FTP会话时，客户端是使用动态分配的端口号。而远程的FTP服务器只检查这个网络内端口为20的设备。有经验的黑客可以利用这些规则非法访问内部网络中的任何资源。所以要对FTP包过滤的规则加以相应修改例如：FTP使用TCP的20和21端口。如果包过滤要禁止所有187.2.1数据包过滤规则号功能源IP地址目标IP地址源端口目标端口

协议1 Allow * * 21 TCP2 Block * 20 <1024TCP3Allow * 20 * TCP ACK=1第一条是允许网络地址为内的任何主机与目标地址为任意且端口为21建立TCP的会话连接。第二条是阻止任何源端口为20的远程IP地址访问内部网络地址为且端口小于1024的任意主机。第三条规则是允许源端口为20的任意远程主机可以访问网络内主机任意端口。这些规则的应用是按照顺序执行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则，它会被立刻丢弃掉，第三条规则不会执行。但第三条规则仍然需要是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允许规则。7.2.1数据包过滤规则号功能源IP地址目197.2.1数据包过滤包过滤防火墙的优点速度快、逻辑简单、成本低、易于安装和使用，网络性能和透明度好。它通常安装在路由器上，因内部网络与Internet连接必须通过路由器，所以在原有网络上增加这类防火墙，几乎不需要任何额外的费用。包过滤防火墙的缺点不能对数据内容进行控制，缺乏用户级的授权；非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击。数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被冒充或窃取。7.2.1数据包过滤包过滤防火墙的优点207.2.2应用级网关应用层网关技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。实际的应用网关通常安装在专用工作站系统上7.2.2应用级网关应用层网关技术是在网络的应用层上217.2.2应用级网关应用级网关能够理解应用层上的协议，进行复杂一些的访问控制。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。常用的应用级防火墙有相应的代理服务器，应用级网关有较好的访问控制，但实现困难，而且有的应用级网关缺乏“透明度”7.2.2应用级网关应用级网关能够理解应用层上的协议，227.2.2应用级网关应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特定的逻辑来判断是否允许数据包通过。一旦符合条件，防火墙内外的计算机系统便可以建立直接联系，外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态，这大大增加了非法访问和攻击的机会。7.2.2应用级网关应用层网关防火墙和数据包过滤有一个237.2.3代理服务应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接是由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。另外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。7.2.3代理服务应用代理服务技术能够将所有跨越防火247.2.3代理服务应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求，然后防火墙连接到服务器，并代表这个客户端重复这个请求。返回时数据发送到代理服务器，然后再传送给用户，从而确保内部IP地址和口令不在Internet上出现。7.2.3代理服务应用代理服务器对客户端的请求行使“257.2.3代理服务代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。根据其处理协议的不同，可分为FTP网关型、WWW网关型、Telnet网关型等防火墙，其优点在于既能进行安全控制，又可加速访问，但实现起来比较困难，对于每一种服务协议必须设计一个代理软件模式，以进行安全控制。7.2.3代理服务代理技术与包过滤技术完全不同，包过滤267.2.3代理服务应用层代理主要的优点：支持用户认证并提供详细的注册信息；过滤规则相对于包过滤路由器更容易配置和测试；

可提供详细的日志和安全审计功能；可以隐藏内部网的IP地址以保护内部主机不受外部主机的进攻；内部网中的所有主机通过代理可以访问Internet。应用层代理也有明显的缺点：应用层实现的防火墙会造成执行速度慢，其性能明显下降；每个应用程序都必须有一个代理服务程序来进行安全控制，并随应用升级面升级。其适应性和连接性都是有限的。7.2.3代理服务应用层代理主要的优点：277.2.4状态检测状态检测是对包过滤功能的扩展。传统的包过滤在用动态端口的协议时，事先无法知道哪些端口需要打开，就会将所有可能用到的端口打开，而这会给安全带来不必要的隐患。状态检测将通过检查应用程序信息来判断此端口是否需要临时打开，并当传输结束时，端口马上恢复为关闭状态。7.2.4状态检测状态检测是对包过滤功能的扩展。287.2.4状态检测状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不要求每个被访问的应用都有代理。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用服务。状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。状态检测是检查OSI七层模型的所有层，以决定是否过滤，而不仅仅是对网络层检测。7.2.4状态检测状态检测防火墙克服了包过滤防火墙和应用297.3防火墙体系结构及其应用防火墙体系结构通常分为四类：l

屏蔽路由器（ScreeningRouter）l

屏蔽主机网关(ScreenedHostGateway)l

双穴主机网关(Dual-HomedGateway)l

屏蔽子网(ScreenedSubnet)7.3防火墙体系结构及其应用防火墙体系结构通常分为四307.3.1屏蔽路由器

屏蔽路由器就是实施过滤的路由器包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。通常过滤规则定义为：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进行访问是有限制的，即没有特别允许的数据包都拒绝。7.3.1屏蔽路由器屏蔽路由器就是实施过滤的路由器317.3.1屏蔽路由器

INTERNET包过滤路由器内部网络屏蔽路由器7.3.1屏蔽路由器INTERNET包过滤路由器内部网络327.3.1屏蔽路由器

优点是价格低且易于使用，缺点需要掌握TCP/IP知识才能创建相应的过滤规则，若有配置错误将会导致不期望的流量通过或拒绝一些应接受的流量。包过滤路由器不隐藏内部网络的配置，任何允许访问屏蔽路由器的用户都可看到网络的布局和结构。其监视和日志功能较弱，通常也没有警报的功能。这就意味着网络管理员要不断地检查网络以确定其是否受到攻击。防火墙一旦被攻陷后很难发现攻击者。7.3.1屏蔽路由器优点是价格低且易于使用，337.3.2屏蔽主机网关防火墙系统采用了包过滤路由器和堡垒主机组成的防火墙。提供的安全等级比包过滤防火墙要高，其实现了网络层安全（包过滤）和应用层安全（代理服务）。堡垒主机可以通过网络地址解析来隐藏内部网络的配置信息。INTERNET包过滤路由器内部网络屏蔽主机防火墙信息服务器堡垒主机7.3.2屏蔽主机网关防火墙系统采用了包过滤路由器和堡347.3.2屏蔽主机网关屏蔽主机防火墙是针对所有进出的信息都要经过堡垒主机而设计的。堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行过滤规则配置，使得外部系统只能访问堡垒主机，内部系统的其他主机的信息全部被阻塞。确保了内部网络不受外部攻击。由于内部主机与堡垒主机处于同一网络，安全策略之一就是决定是否允许内部系统直接访问Internet或使用堡垒主机上的代理服务来访问Internet。若要强制内部用户使用代理服务，则可在路由器配置过滤规则时，让Internet只接受来自堡垒主机的内部数据包。7.3.2屏蔽主机网关屏蔽主机防火墙是针对所有进出的信息357.3.2屏蔽主机网关该防火墙系统的优点内网的变化不影响堡垒主机和屏蔽路由器的配置。可将提供公开的信息服务的服务器放置在由包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性，可让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先通过堡垒主机。如果安全等级较低，则可将路由器配置成让外部用户直接访问公共的信息服务器。7.3.2屏蔽主机网关该防火墙系统的优点367.3.2屏蔽主机网关与包过滤比较，这种方法的缺点是：增加了成本并降低了性能。因为堡垒主机处理信息时，网络经常需要更多的时间来对用户的请求做出响应。使用户访问Internet变得较慢。如果堡垒主机服务器作为应用级网关，内部客户端必须被配置成使用应用网关服务。7.3.2屏蔽主机网关与包过滤比较，这种方法的缺点是：377.3.3双宿主机网关用一台装有两块网卡的堡垒主机做防火墙，一块与内网相连，一块与外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。这种防火墙由于在内部网络和外部网络之间创建了完全的物理隔断，增加了更有效的安全性。INTERNET包过滤路由器内部网络双宿堡垒主机防火墙信息服务器堡垒主机7.3.3双宿主机网关用一台装有两块网卡的堡垒主机做防387.3.3双宿主机网关在单宿主堡垒主机结构上，所有外部的流量直接转发到堡垒主机上执行。黑客可修改路由器而不把数据包转发给堡垒主机，这样将会绕过堡垒主机且直接进入到内部网络中。双宿堡垒主机有两个网络接口，但主机不能在两个端口之间直接转发信息。这种物理结构强行让所有去往内部网络的信息经过堡垒主机。7.3.3双宿主机网关在单宿主堡垒主机结构上，所有外部的397.3.3双宿主机网关双宿主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。便于日后的检查之用。由于堡垒主机是唯一能从Internet上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。对于入侵者来说，允许其注册到堡垒主机，就可容易的破坏堡垒主机而整个内部网络受到攻击的威胁。因此，避免被渗透和不允许非法用户注册对堡垒主机来说是至关重要的。7.3.3双宿主机网关双宿主机网关优于屏蔽路由器的地方是407.3.4屏蔽子网实施防火墙最常见的方法就是屏蔽子网。在内部网络和外部网络之间建立一个被隔离的子网，称之为非军事区DMZ。其是用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开，网络管理员将堡垒主机、信息服务器以及其他公用服务器放在DMZ网络中。内部网络和外部网络均可访问被屏蔽子网，但禁止其穿过被屏蔽子网直接通信。屏蔽子网中的堡垒主机作为唯一可访问点，并作为应用网关代理。INTERNET包过滤路由器内部网络屏蔽子网防火墙信息服务器堡垒主机包过滤路由器7.3.4屏蔽子网实施防火墙最常见的方法就是屏蔽子网。417.3.4屏蔽子网对于进来的信息，外面的路由器用于防范通常的外部攻击，并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机和信息服务器。里面的路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ到内部网络的访问。对于出来的信息，里面的路由器管理内部网络到DMZ的访问。它允许内部系统只访问堡垒主机和信息服务器。外面的路由器上的过滤规则要求使用代理服务，即只接受来自堡垒主机的去往Internet的数据包。7.3.4屏蔽子网对于进来的信息，外面的路由器用于防范通427.3.4屏蔽子网屏蔽子网防火墙系统有以下几个优点：

入侵者必须攻克三个不同的设备且不被发现才能侵袭内部网络。内部网络对Internet来说是不可见的，因为所有进出的数据包都会直接送到DMZ。并且只有在DMZ网络上选定的系统才对Internet开放。这使黑客想得到内部系统的信息几乎不太可能的。由于内部路由器只向内部网络通告DMZ的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。这种配置避免了内部用户绕过内网的安全机制。7.3.4屏蔽子网屏蔽子网防火墙系统有以下几个优点：437.3.4屏蔽子网

外部路由器直接将数据引向DMZ网络上所指定的系统，无必要设置双宿堡垒主机。

内部路由器作为内部网络与公网之间的防火墙系统并支持比双宿堡垒主机更大的数据包吞吐量。在DMZ网络上可以安装NAT于堡垒主机上，从而避免在内部网络上重新编址或重新划分子网。在实际应用中，具体采用哪一种防火墙主要取决于网络向用户提供什么样的服务及网络所接受的风险等级。还要取决于经费和技术人员的技术及时间等因素。7.3.4屏蔽子网

外部路由器直接将数据引向DMZ网络447.4防火墙的类型

大多数防火墙都可以实现上述所讨论的功能，在实际使用中的防火墙以其实现形式可以分为以下四种类型：l

嵌入式防火墙l

软件防火墙l

硬件防火墙l

应用程序防火墙7.4防火墙的类型大多数防火墙都可以实现上述所讨论的45

7.4.1嵌入式防火墙

当防火墙功能被集成到路由器或者交换机上时，这种防火墙称为嵌入式（embedded）防火墙。其通常只对分组信息进行IP级的检查，可获得较高的性能，易于实现并有较好的性价比。

7.4.1嵌入式防火墙当防火墙功能被集成到路由器或者467.4.2软件防火墙

软件防火墙又分有两种类型:一是企业级软件防火墙，其用于大型网络上并执行路由选择功能。另一种是SOHO(SmallOfficeHomeOffice)级。软件防火墙通常会提供全面的防火墙功能.基于服务器的防火墙实际上是在操作系统之上运行的应用程序。其系统平台有Unix、Linux以及WindowsNT、2000、XP和.NET等。7.4.2软件防火墙软件防火墙又分有两种类型:477.4.3硬件防火墙

因为硬件路由器也要使用软件，所以将硬件防火墙又称为设备防火墙。其设计成一种总体系统，不需要复杂的安装或配置就可以提供防火墙功能。硬件防火墙与软件防火墙相似，可以针对企业应用市场来设计，也可以针对SOHO环境。基于设备的防火墙也为集成解决方案，是指运行在专用的硬件和软件上的防火墙产品。如CiscoPIX防火墙就属于这种集成设备，其整个系统不能实现除防火墙之外的其他任何功能，并且也没有硬盘或服务器的其他常规组件。由于它的集成性和专用性，其速度、稳定性和安全性方面都比基于服务器的防火墙更好。但基于服务器的防火墙会提供一些额外的配置和支持选项，并且价格比集成解决方案要便宜。7.4.3硬件防火墙因为硬件路由器也要使用软件，所以将487.4.4应用程序防火墙

应用程序防火墙经常是作为现有硬件或软件防火墙的组件实现的。它们的主要目的是提供一种复杂的内容过滤层次，用来对应用层传输的数据进行过滤。随着防火墙功能的提高，对于数据的过滤已经越来越多地集中到了应用层，应用程序防火墙的针对性也越来越强。7.4.4应用程序防火墙应用程序防火墙经常是作为现有硬497.4.5选择防火墙需要综合考虑的问题

防火墙管理的难易度一般企业很少以现有的网络设备直接当作防火墙，如包过滤可直接放在路由器上，但其并不能达到完全的控制。设定工作困难、须要具备完整的知识。嵌入式防火墙不易排错，是一般企业不愿意使用的主要原因。

7.4.5选择防火墙需要综合考虑的问题防火墙管理的难易度507.4.5选择防火墙需要综合考虑的问题2.防火墙自身的安全性大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。在防火墙上除了执行防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效。当黑客取得了防火墙上的控制权以后，其可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。7.4.5选择防火墙需要综合考虑的问题2.防火墙自身的安全517.4.5选择防火墙需要综合考虑的问题防火墙应该是企业整体网络的保护者，并能弥补其它操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台。防火墙应向使用者提供完整的安全检查功能，但防火墙并不能有效地杜绝所有的恶意封包，想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙不但应该具备包括检查、认证、警告、记录的功能，并且能够为使用者可能遇到的困境，事先提出解决方案，如IP不足形成的IP转换的问题，信息加密/解密的问题，大企业要求能够透过Internet集中管理的问题等，这也是选择防火墙时必须考虑的问题。没有一个防火墙的设计能够适用于所有的环境，所以建议选择防火墙时，还应根据站点的特点来选择合适的防火墙。7.4.5选择防火墙需要综合考虑的问题防火墙应该是企业整体52网络管理与安全技术网络管理与安全技术53第7章防火墙防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各企业网络中实施安全保护的核心，安全管理员可以通过其选择性地拒绝进出网络的数据流量，增强了对网络的保护作用。第7章防火墙防火墙作为网络安全的一种防护手54防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。

防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的内部网络，可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙可以是非常简单的过滤器，也可能是精心配置的网关。但都可用于监测并过滤所有内部网和外部网之间的信息交换。防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输，并对网络数据的流动实现有效地管理。7.1防火墙基本概念防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组55防火墙示意图防火墙示意图56UF3500/3100防火墙应用

三端口NAT模式交换机路由器集线器防火墙UF3500/3100WWW服务器Mail服务器PCPCFTP服务器UF3500/3100防火墙应用

577.1.1防火墙技术发展状况

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，防火墙技术得到了飞速的发展。许多公司推出了功能不同的防火墙系统产品。第一代防火墙，又称为包过滤防火墙，其主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过或进行转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。7.1.1防火墙技术发展状况

自从1986年美国Dig58第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。7.1.1防火墙技术发展状况

第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代597.1.2防火墙的任务

防火墙应能够确保满足以下四个目标：1.实现安全策略防火墙的主要目的是强制执行人们所设计的安全策略。比如，安全策略中只需对E-mail服务器的SMTP流量作些限制，那么就要在防火墙中直接设置并执行这一策略。防火墙一般实施两个基本设计策略之一：n

凡是没有明确表示允许的就要被禁止；n

凡是没有明确表示禁止的就要被允许。7.1.2防火墙的任务防火墙应能够确保满足以下四个目标602.创建检查点

防火墙在内部网络和公网间建立一个检查点。通过检查点防火墙设备可以监视、过滤和检查所有进来和出去的流量。网络管理员可以在检查点上集中实现安全目的。7.1.2防火墙的任务2.创建检查点7.1.2防火墙的任务617.1.2防火墙的任务

九运会信息网络系统已经受并成功地抵御了87万多次网络攻击7.1.2防火墙的任务

62

3.记录Internet活动防火墙可以进行日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。3.记录Internet活动637.1.2防火墙的任务保护内部网络对于公网防火墙隐藏了内部系统的一些信息以增加其保密性。当远程节点探测内部网络时，其仅仅能看到防火墙。远程节点不会知道内部网络结构和资源。防火墙以提高认证功能和对网络加密来限制网络信息的暴露，并通过对所有输入的流量时行检查，以限制从外部发动的攻击。7.1.2防火墙的任务保护内部网络647.2防火墙技术目前大多数防火墙都采用几种技术相结合的形式来保护网络不受恶意的攻击，其基本技术通常分为两类：l

网络数据单元过滤l

网络服务代理7.2防火墙技术目前大多数防火墙都采用几种技术相结合657.2.1数据包过滤数据包过滤（PacketFiltering）技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（AccessControlTable）。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。7.2.1数据包过滤数据包过滤（PacketFilte667.2.1数据包过滤包过滤技术工作在OIS七层模型的网络层上并有两个功能，即允许和阻止；如果检查数据包所有的条件都符合规则，则允许进行路由；如果检查到数据包的条件不符合规则，则阻止通过并将其丢弃。包检查是对IP头和传输层的头进行过滤，一般要检查下面几项：7.2.1数据包过滤包过滤技术工作在OIS七层模型的网络677.2.1数据包过滤l

源IP地址l

目的IP地址l

TCP/UDP源端口l

TCP/UDP目的端口l

协议类型（TCP包、UDP包、ICMP包）l

TCP报头中的ACK位l

ICMP消息类型7.2.1数据包过滤l

源IP地址687.2.1数据包过滤例如：若想禁止从Internet的远程登录到内部网设备中，则需要建立一条包过滤规则。因为Telnet服务是使用TCP协议的23端口，则禁止Telnet的包过滤规则为：规则号功能 源IP地址 目标IP地址 源端口目标端口 协议1 Discard * * 23 * TCP2 Discard * * * 23TCP

上表列出的信息是路由器丢弃所有从TCP23端口出去和进来的数据包。其它所有的数据包都允许通过。7.2.1数据包过滤例如：若想禁止从Internet的远69例如：FTP使用TCP的20和21端口。如果包过滤要禁止所有的数据包只允许特殊的数据包通过。

规则号

功能

源IP地址目标IP地址源端口目标端口协议1Allow ***TCP2Allow * 20 * TCP第一条是允许地址为的网段内而其源端口和目的端口为任意的主机进行TCP的会话。第二条是允许端口为20的任何远程IP地址都可以连接到的任意端口上。第二条规则不能限制目标端口是因为主动的FTP客户端是不使用20端口的。当一个主动的FTP客户端发起一个FTP会话时，客户端是使用动态分配的端口号。而远程的FTP服务器只检查这个网络内端口为20的设备。有经验的黑客可以利用这些规则非法访问内部网络中的任何资源。所以要对FTP包过滤的规则加以相应修改例如：FTP使用TCP的20和21端口。如果包过滤要禁止所有707.2.1数据包过滤规则号功能源IP地址目标IP地址源端口目标端口

协议1 Allow * * 21 TCP2 Block * 20 <1024TCP3Allow * 20 * TCP ACK=1第一条是允许网络地址为内的任何主机与目标地址为任意且端口为21建立TCP的会话连接。第二条是阻止任何源端口为20的远程IP地址访问内部网络地址为且端口小于1024的任意主机。第三条规则是允许源端口为20的任意远程主机可以访问网络内主机任意端口。这些规则的应用是按照顺序执行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则，它会被立刻丢弃掉，第三条规则不会执行。但第三条规则仍然需要是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允许规则。7.2.1数据包过滤规则号功能源IP地址目717.2.1数据包过滤包过滤防火墙的优点速度快、逻辑简单、成本低、易于安装和使用，网络性能和透明度好。它通常安装在路由器上，因内部网络与Internet连接必须通过路由器，所以在原有网络上增加这类防火墙，几乎不需要任何额外的费用。包过滤防火墙的缺点不能对数据内容进行控制，缺乏用户级的授权；非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击。数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被冒充或窃取。7.2.1数据包过滤包过滤防火墙的优点727.2.2应用级网关应用层网关技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。实际的应用网关通常安装在专用工作站系统上7.2.2应用级网关应用层网关技术是在网络的应用层上737.2.2应用级网关应用级网关能够理解应用层上的协议，进行复杂一些的访问控制。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。常用的应用级防火墙有相应的代理服务器，应用级网关有较好的访问控制，但实现困难，而且有的应用级网关缺乏“透明度”7.2.2应用级网关应用级网关能够理解应用层上的协议，747.2.2应用级网关应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特定的逻辑来判断是否允许数据包通过。一旦符合条件，防火墙内外的计算机系统便可以建立直接联系，外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态，这大大增加了非法访问和攻击的机会。7.2.2应用级网关应用层网关防火墙和数据包过滤有一个757.2.3代理服务应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接是由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。另外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。7.2.3代理服务应用代理服务技术能够将所有跨越防火767.2.3代理服务应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求，然后防火墙连接到服务器，并代表这个客户端重复这个请求。返回时数据发送到代理服务器，然后再传送给用户，从而确保内部IP地址和口令不在Internet上出现。7.2.3代理服务应用代理服务器对客户端的请求行使“777.2.3代理服务代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。根据其处理协议的不同，可分为FTP网关型、WWW网关型、Telnet网关型等防火墙，其优点在于既能进行安全控制，又可加速访问，但实现起来比较困难，对于每一种服务协议必须设计一个代理软件模式，以进行安全控制。7.2.3代理服务代理技术与包过滤技术完全不同，包过滤787.2.3代理服务应用层代理主要的优点：支持用户认证并提供详细的注册信息；过滤规则相对于包过滤路由器更容易配置和测试；

可提供详细的日志和安全审计功能；可以隐藏内部网的IP地址以保护内部主机不受外部主机的进攻；内部网中的所有主机通过代理可以访问Internet。应用层代理也有明显的缺点：应用层实现的防火墙会造成执行速度慢，其性能明显下降；每个应用程序都必须有一个代理服务程序来进行安全控制，并随应用升级面升级。其适应性和连接性都是有限的。7.2.3代理服务应用层代理主要的优点：797.2.4状态检测状态检测是对包过滤功能的扩展。传统的包过滤在用动态端口的协议时，事先无法知道哪些端口需要打开，就会将所有可能用到的端口打开，而这会给安全带来不必要的隐患。状态检测将通过检查应用程序信息来判断此端口是否需要临时打开，并当传输结束时，端口马上恢复为关闭状态。7.2.4状态检测状态检测是对包过滤功能的扩展。807.2.4状态检测状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不要求每个被访问的应用都有代理。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用服务。状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。状态检测是检查OSI七层模型的所有层，以决定是否过滤，而不仅仅是对网络层检测。7.2.4状态检测状态检测防火墙克服了包过滤防火墙和应用817.3防火墙体系结构及其应用防火墙体系结构通常分为四类：l

屏蔽路由器（ScreeningRouter）l

屏蔽主机网关(ScreenedHostGateway)l

双穴主机网关(Dual-HomedGateway)l

屏蔽子网(ScreenedSubnet)7.3防火墙体系结构及其应用防火墙体系结构通常分为四827.3.1屏蔽路由器

屏蔽路由器就是实施过滤的路由器包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。通常过滤规则定义为：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进行访问是有限制的，即没有特别允许的数据包都拒绝。7.3.1屏蔽路由器屏蔽路由器就是实施过滤的路由器837.3.1屏蔽路由器

INTERNET包过滤路由器内部网络屏蔽路由器7.3.1屏蔽路由器INTERNET包过滤路由器内部网络847.3.1屏蔽路由器

优点是价格低且易于使用，缺点需要掌握TCP/IP知识才能创建相应的过滤规则，若有配置错误将会导致不期望的流量通过或拒绝一些应接受的流量。包过滤路由器不隐藏内部网络的配置，任何允许访问屏蔽路由器的用户都可看到网络的布局和结构。其监视和日志功能较弱，通常也没有警报的功能。这就意味着网络管理员要不断地检查网络以确定其是否受到攻击。防火墙一旦被攻陷后很难发现攻击者。7.3.1屏蔽路由器优点是价格低且易于使用，857.3.2屏蔽主机网关防火墙系统采用了包过滤路由器和堡垒主机组成的防火墙。提供的安全等级比包过滤防火墙要高，其实现了网络层安全（包过滤）和应用层安全（代理服务）。堡垒主机可以通过网络地址解析来隐藏内部网络的配置信息。INTERNET包过滤路由器内部网络屏蔽主机防火墙信息服务器堡垒主机7.3.2屏蔽主机网关防火墙系统采用了包过滤路由器和堡867.3.2屏蔽主机网关屏蔽主机防火墙是针对所有进出的信息都要经过堡垒主机而设计的。堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行过滤规则配置，使得外部系统只能访问堡垒主机，内部系统的其他主机的信息全部被阻塞。确保了内部网络不受外部攻击。由于内部主机与堡垒主机处于同一网络，安全策略之一就是决定是否允许内部系统直接访问Internet或使用堡垒主机上的代理服务来访问Internet。若要强制内部用户使用代理服务，则可在路由器配置过滤规则时，让Internet只接受来自堡垒主机的内部数据包。7.3.2屏蔽主机网关屏蔽主机防火墙是针对所有进出的信息877.3.2屏蔽主机网关该防火墙系统的优点内网的变化不影响堡垒主机和屏蔽路由器的配置。可将提供公开的信息服务的服务器放置在由包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性，可让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先通过堡垒主机。如果安全等级较低，则可将路由器配置成让外部用户直接访问公共的信息服务器。7.3.2屏蔽主机网关该防火墙系统的优点887.3.2屏蔽主机网关与包过滤比较，这种方法的缺点是：增加了成本并降低了性能。因为堡垒主机处理信息时，网络经常需要更多的时间来对用户的请求做出响应。使用户访问Internet变得较慢。如果堡垒主机服务器作为应用级网关，内部客户端必须被配置成使用应用网关服务。7.3.2屏蔽主机网关与包过滤比较，这种方法的缺点是：897.3.3双宿主机网关用一台装有两块网卡的堡垒主机做防火墙，一块与内网相连，一块与外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。这种防火墙由于在内部网络和外部网络之间创建了完全的物理隔断，增加了更有效的安全性。INTERNET包过滤路由器内部网络双宿堡垒主机防火墙信息服务器堡垒主机7.3.3双宿主机网关用一台装有两块网卡的堡垒主机做防907.3.3双宿主机网关在单宿主堡垒主机结构上，所有外部的流量直接转发到堡垒主机上执行。黑客可修改路由器而不把数据包转发给堡垒主机，这样将会绕过堡垒主机且直接进入到内部网络中。双宿堡垒主机有两个网络接口，但主机不能在两个端口之间直接转发信息。这种物理结构强行让所有去往内部网络的信息经过堡垒主机。7.3.3双宿主机网关在单宿主堡垒主机结构上，所有外部的917.3.3双宿主机网关双宿主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。便于日后的检查之用。由于堡垒主机是唯一能从Internet上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。对于入侵者来说，允许其注册到堡垒主机，就可容易的破坏堡垒主机而整个内部网络受到攻击的威胁。因此，避免被渗透和不允许非法用户注册对堡垒主机来说是至关重要的。7.3.3双宿主机网关双宿主机网关优于屏蔽路由器的地方是927.3.4屏蔽子网实施防火墙最常见的方法就是屏蔽子网。在内部网络和外部网络之间建立一个被隔离的子网，称之为非军事区DMZ。其是用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开，网络管理员将堡垒主机、信息服务器以及其他公用服务器放在DMZ网络中。内部网络和外部网络均可访问被屏蔽子网，但禁止其穿过被屏蔽子网直接通信。屏蔽子网中的堡垒主机作为唯一可访问点，并作为应用网关代理。INTERNET包过滤路由器内部网络屏蔽子网防火墙信息服务器堡垒主机包过滤路由器7.3.4屏蔽子网实施防火墙最常见的方法就是屏蔽子网。937.3.4屏蔽子网对于进来的信息，外面的路由器用于防范通常的外部攻击，并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机和信息服务器。里面的路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ到内部网络的访问。对于出来的信息，里面的路由器管理内部网络到DMZ的访问。它允许内部系统只访问堡垒主机和信息服务器。外面的路由器上的过滤规则要求使用代理服务，即只接受来自堡垒主机的去往Internet的数据包。7.3.4屏蔽子网对于进来的信息，外面的路由器用于防范通947.3.4屏蔽子网屏蔽子网防火墙系统有以下几个优点：

入侵者必须攻克三个不同的设备且不被发现才能侵袭内部网络。内部网络对Internet来说是不可见的，因为所有进出的数据包都会直接送到DMZ。并且只有在DMZ网络上选定的系统才对Internet开放。这使黑客想得到内部系统的信息几乎不太可能的。由于内部路由器只向内部网络通告DMZ的存在，内部网络上的系统不能直接通往Inter