网络通信安全管理员认证－中级防火墙补充

第十六讲防火墙*防火墙系统的体系结构*防火墙的主要技术详解*防火墙的流行趋势*主流防火墙产品市场篇重提两个概念

防火墙的体系结构双重宿主主机体系结构；屏蔽主机体系结构（单宿主堡垒主机）；屏蔽子网体系结构；其它的防火墙结构。双重宿主主机体系结构双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。实现双重宿主主机的防火墙体系结构禁止这种简单发送功能，完全阻止了内外网络之间的IP通信。两个网络之间的通信一般情况下采用代理服务的方法。也可以采用数据共享的方式。双重宿主主机体系结构图解

Internet防火墙双重宿主主机内部网络……双重宿主主机体系结构

双重宿主主机体系结构例子1

双重宿主主机体系结构例子2

双宿主主机防火墙优缺点优点：安全至关重要（唯一通道）：把一个内部网络从一个不可信的外部网络中分离出来。因为双宿主主机不能直接转发任何TCP/IP流量，所以它可以彻底阻塞内部和外部不可信网络间的任何IP流量。

缺点：性能非常重要（中转站）：必须支持很多用户的访问提一句：多宿主主机防火墙被屏蔽主机防火墙体系结构双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭)，而被屏蔽主机体系结构使用一个单独的路由器来提供与内部网络相连主机(堡垒)的服务。在这种体系结构中，主要的安全措施是数据包过滤被屏蔽主机防火墙体系结构典型构成：包过滤路由器＋堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。被屏蔽主机机防火墙体体系结构被屏蔽主机机防火墙优优缺点：优点：屏蔽路由器器可按如下下规则之一一进行配置置：允许内部主主机为了某某些服务请请求与外部部网上的主主机建立直直接连接（（即允许那那些经过过过滤的服务务）。不允许所有有来自外部部主机的直直接连接并并强迫内部部主机经由由堡垒主机机使用代理理服务。。安全性更高高，双重保保护：该防防火墙系统统提供的安安全等级比比包过滤防防火墙系统统要高，因因为它实现现了网络层层安全（包包过滤）和和应用层安安全（代理理服务）。。（提示：无无双宿主安安全）缺点：过滤路由器器能否正确确配置是安安全与否的的关键。如如果路由器器被损害，，堡垒主机机将被穿过过，整个网网络对侵袭袭者是开放放的。屏蔽子网体体系结构1屏蔽子网体体系结构在在本质上与与屏蔽主机机体系结构构一样，但但添加了额额外的一层层保护体系系——周边边网络。堡堡垒主机位位于周边网网络上，周周边网络和和内部网络络被内部路路由器分开开。原因：堡垒垒主机是用用户网络上上最容易受受侵袭的机机器。通过过在周边网网络上隔离离堡垒主机机，能减少少在堡垒主主机被侵入入的影响。。屏蔽子网体体系结构示示意图Internet周边网络内部网络……外部路由器器堡垒主机内部路由器器屏蔽子网体体系结构2周边网络是是一个防护护层，在其其上可放置置一些堡垒垒主机、信信息服务器器、Modem组，，以及其它它公用服务务器，它们们是牺牲主主机，可能能会受到攻攻击，因此此又被称为为非军事区区（DMZ中立区））。周边网络的的作用：即即使堡垒主主机被入侵侵者控制，，它仍可消消除对内部部网的侦听听。最简单的屏屏蔽子网结结构有两个个屏蔽（包包过滤）路路由器，一一个连接外外网与边界界网络，另另一个连接接边界网络络与内网。。和一个堡堡垒主机构构成。为了了攻进内网网，入侵者者必须通过过两个屏蔽蔽路由器。。屏蔽子网体体系结构3堡垒主机堡垒主机位位于周边网网络，是整整个防御体体系的核心心。堡垒主机可可被认为是是应用层网网关，可以以运行各种种代理服务务程序。对于出站服服务不一定定要求所有有的服务经经过堡垒主主机代理，，但对于入入站服务应应要求所有有服务都通通过堡垒主主机。屏蔽子网体体系结构4外部路由器器（访问路路由器）作用：保护护周边网络络和内部网网络不受外外部网络的的侵犯。它把入站的的数据包路路由到堡垒垒主机。防止部分IP欺骗，，它可分辨辨出数据包包是否真正正来自周边边网络，而而内部路由由器不可。。内部路由器器（阻塞路路由器）作用：保护护内部网络络不受外部部网络和周周边网络的的侵害，它它执行大部部分过滤工工作。外部路由器器一般与内内部路由器器应用相同同的规则。。其它的防火火墙结构一个堡垒主主机和一个个非军事区区示意图……DMZ堡垒主机内部网外部路由器Internet其它的防火火墙结构两个堡垒主主机和两个个非军事区区外部DMZ外部堡垒主主机内部网外部路由器器Internet……内部堡垒主主机内部DMZ防火墙的关关键技术包过滤---根据流经该该设备的数数据包包头头信息，决决定是否允允许该数据据包通过判断依据有有：数据包协议议类型：TCP、UDP、ICMP、、IGMP等源、目的IP地址源、目的端端口：FTP、HTTP、、DNS等等IP选项：：源路由、记记录路由等等TCP选项项：SYN、ACK、FIN、RST等其它协议选选项：ICMPECHO、ICMPECHOREPLY等数据包流向向：in或或out数据包流经经网络接口口：eth0、eth1包过滤示例例堡垒主机内部网外部网络包过滤示例例防火墙关键键技术应用代理服服务客户网关服务器网关理解应应用协议，，可以实施施更细粒度度的访问控控制对每一类应应用，都需需要一个专专门的代理理灵活性不够够发送请求转发请求请求响应转发响应防火墙关键键技术网络地址转转换技术（（NAT））解决方法：：网络地址址转换器就就是在防火火墙上装一一个合法IP地址集集。当内部某一一用户要访访问Internet时，防防火墙动态态地从地址址集中选一一个未分配配的地址分分配给该用用户；同时，对于于内部的某某些服务器器如Web服务器，，网络地址址转换器允允许为其分分配一个固固定的合法法地址。好处：缓解IP地地址匮乏问问题；对外隐藏了了内部主机机的IP地地址，提高高了安全性性。网络地址转转换技术（（NAT））源IP目的IP080源IP目的IP0源IP目的IP0源IP目的IP008防火墙网关关NAT技术术中将不合合法IP转转换为合法法IP网络地址转转换技术（（NAT））例子InternetIntranet防火墙路由器将内部网地地址转换成成网关地址址问题：所有有返回数据据包目的IP都是，防火墙墙如何识别别并送回真真正主机？？方法：1、、防火墙记住住所有发送送包的目的的端口；2、防火墙记记住所有发发送包的TCP序列列号防火墙关键键技术电路级网关关状态包检测测技术自适应技术术…………关于防火墙墙技术的一一些观点防火墙技术术是一项已已成熟的技技术目前更需要要的是提高高性能，尤尤其是将它它集成到更更大的安全全环境中去去时当然其他方方面的改进进也是存在在的防火墙新技技术问题的提出出：传统防火墙墙结构在其其技术原理理上对来自自内部的安安全威胁不不具备防范范能力，且且具有以下下不足三高一低））1、高成本本2、高管理理负担3、高盲点点4、低性能能自适应的代代理服务防防火墙它将前几代代防火墙的的优点合成成到一个单单一的完整整系统中并并使它们的的弱点缩减减到最小。。基本的安全全检测仍在在应用层进进行，但一一旦安全检检测代理明明确了会话话的所有细细节，那么么其后的数数据包就可可以直接经经过速度更更快的网络络层。因此，自适适应防火墙墙基本上和和标准代理理服务防火火墙一样安安全，并且且比状态包包检测有更更快的性能能。从而使“速速度和安全全”的折衷衷处于最佳佳状态重要提示：：防火墙技技术领域中中，速度与与安全是永永恒的主题题。自适应的代代理服务防防火墙以安全守卫卫为例，我我们假设张张师傅是一一个有着十十年工作经经验的邮递递员，每天天要送大量量的信件给给某大厦住住户。原来来的应用级级代理保安安每一次都都打开邮件件检查其是是不是本大大厦住户的的邮件。接接着他检查查投递名单单，并由大大厦内可信信的邮件分分捡员安排排投递之前前检查张师师傅的ID(虽然他他认识张师师傅多年)。这种方方法十分牢牢靠。但在在特定情况况下，增加加额外时延延是不值得得的。自适应的代代理服务防防火墙采用新的自自适应代理理机制，速速度和安全全的“粒度度”可以由由防火墙管管理员设置置。一旦这这样的决定定作出后，，自适应防防火墙管理理所有处于于这一规则则下的连接接企图，自自动的“适适应”传输输流以获得得与所选择择的安全级级别相适应应的尽可能能高的性能能。例如，，在上述情情况下，““自适应代代理”守卫卫也许被告告知检查张张师傅的ID，检查查邮件投递递单，检查查邮件收件件人，接着着处理包。。但当下一一次投递到到来时，守守卫在整个个安全模式式下按照策策略会简化化处理过程程，以提高高守卫的处处理能力。。分布式防火火墙问题的提出出：通常，，高安全性性的传统防防火墙是整整个企业网网的瓶颈所所在。其原原因是安全全计算过度度集中，大大量的应用用级检测、、过滤计算算使防火墙墙的吞吐能能力大幅下下降，降低低了传统防防火墙在大大型网络中中的应用效效能。分布式防火火墙分布式计算算思想分布式概念念的引入有有效地降低低了中心防防火墙模块块的计算负负载，大大大缓解了对对中心防火火墙模块吞吞吐能力的的要求。同时布置在在用户端的的个人防火火墙模块处处理原来在在传统防火火墙中进行行的应用级级安全处理理，提高了了新型防火火墙的安全全处理能力力。分布式防火墙墙示意图其它新技术深度包检测人工智能、模模糊—聪明的保镖集成多种功能能、各措施联联动---IPS（入侵侵防御系统））(a)在在防火墙内部部各主机是可可信的；(b)防火墙墙外部每一个个访问都是攻攻击性的，至至少是有潜在在攻击性的访访问网络处理器（（NetworkProcessor）和专用用集成电路（（ASIC））—千兆创建防火墙的的步骤成功的创建一一个防火墙系系统一般需要要六步：1、制定安全全策略2、搭建安全全体系结构3、制定规则则次序4、落实规则则集5、注意更换换控制6、做好审计计工作防火墙产品选选购一般防火墙产产品的选购策策略1．防火墙的安安全性2．防火墙的高高效性3．防火墙的适适用性4．防火墙的可可管理性5、可升级性如如何？6．完善及时的的售后服务体体系防火墙选购必必读第一要素：防防火墙的基本本功能第二要素：企企业的特殊要