信息安全综合实验：防火墙oweroin

信息安全综合实验陈伟Email:chenwei@Tel验二防火墙实验防火墙的原理防火墙的分类常用防火墙实验内容网络安全保护急需解决的问题黑客不良网站DOS网络攻击病毒，蠕虫禁止内容访问恶意网页/邮件Internet策略控制网络攻击防御内容级攻击防御数据安全加密黑客防火墙的基本概念所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，实际上是一种隔离技术。防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。防火墙的功能允许网络管理员定义一个中心点来防止非法用户进入内部网络。可以很方便地监视网络的安全性，并报警。可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。是审计和记录Internet使用费用的一个最佳地点。防火墙的基本特性内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力实验二防火墙实验防火墙的原理防火墙的分类常用防火墙实验内容防火墙的分类包过滤防火墙以色列的Checkpoint防火墙Cisco公司的PIX防火墙代理防火墙（应用层网关防火墙）美国NAI公司的Gauntlet防火墙包过滤防火墙第一代：静态包过滤根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。包过滤防火墙第二代：动态包过滤采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（StatefulInspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪根据需要可动态地在过滤规则中增加或更新。只对对网网络络级级数数据据包包做做保保护护是是不不够够的的FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBANNEDWORDSanewnation,nliberty,anddedicatedtothepropositionthatall防火墙只检查包头–让带有攻击和禁止内容的“合法”数据包通过应用用层层内内容容过过滤滤1.重重新新组组装装数数据据包包FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBANNEDWORDSanewliberty,anddedicatedtothepropositionthatall…URL过滤

仅查找URL黑名单，

遗漏了深入在内容

里被禁止的词汇BADCONTENTBANNEDWORDSNASTYTHINGSNASTIERTHINGS不接受的内容攻击特征2.对对比比不不允允许许内内容容和和攻攻击击列列表表网络络层层内内容容(数数据据包包)基于数据包

的病毒扫描可能觉察不到横跨在

多个数据包里的攻击代理理防防火火墙墙第一一代代：：代代理理防防火火墙墙代理理防防火火墙墙也也叫叫应应用用层层网网关关（（ApplicationGateway））防防火火墙墙。。这这种种防防火火墙墙通通过过一一种种代代理理（（Proxy））技技术术参参与与到到一一个个TCP连连接接的的全全过过程程。。从内内部部发发出出的的数数据据包包经经过过这这样样的的防防火火墙墙处处理理后后，，就就好好像像是是源源于于防防火火墙墙外外部部网网卡卡一一样样，，从从而而可可以以达达到到隐隐藏藏内内部部网网结结构构的的作作用用。。这种种类类型型的的防防火火墙墙被被网网络络安安全全专专家家和和媒媒体体公公认认为为是是最最安安全全的的防防火火墙墙。。它它的的核核心心技技术术就就是是代代理理服服务务器器技技术术。。代理理防防火火墙墙的的优优缺缺点点代理理类类型型防防火火墙墙的的最最突突出出的的优优点点就就是是安安全全。。通过过专专门门为为特特定定的的服服务务如如Http编编写写的的安安全全化化的的应应用用程程序序进进行行处处理理，，然然后后由由防防火火墙墙本本身身提提交交请请求求和和应应答答没有有给给内内外外网网络络的的计计算算机机以以任任何何直直接接会会话话的的机机会会代理理防防火火墙墙的的最最大大缺缺点点就就是是速速度度相相对对比比较较慢慢比如如要要求求达达到到75-100Mbps时时，，代代理理防防火火墙墙就就会会成成为为内内外外网网络络之之间间的的瓶瓶颈颈代理理防防火火墙墙第二二代代：：自自适适应应代代理理防防火火墙墙自适适应应代代理理技技术术（（Adaptiveproxy））是是最最近近在在商商业业应应用用防防火火墙墙中中实实现现的的一一种种革革命命性性的的技技术术。。它可可以以结结合合代代理理类类型型防防火火墙墙的的安安全全性性和和包包过过滤滤防防火火墙墙的的高高速速度度等等优优点点组成成这这种种类类型型防防火火墙墙的的基基本本要要素素有有两两个个：：自自适适应应代代理理服服务务器器（（AdaptiveProxyServer））与与动动态态包包过过滤滤器器（（DynamicPacketfilter））。。在自自适适应应代代理理与与动动态态包包过过滤滤器器之之间间存存在在一一个个控控制制通通道道。。自适适应应代代理理就就可可以以根根据据用用户户的的配配置置信信息息，，决决定定是是使使用用代代理理服服务务从从应应用用层层代代理理请请求求还还是是从从网网络络层层转转发发包包。。如果果是是后后者者，，它它将将动动态态地地通通知知包包过过滤滤器器增增减减过过滤滤规规则则，，满满足足用用户户对对速速度度和和安安全全性性的的双双重重要要求求。。两种种防防火火墙墙技技术术的的对对比比包过过滤滤防防火火墙墙优点点价价格格较较低低,性能能开开销销小小，，处处理理速速度度较较快快缺点点定定义义复复杂杂，，容容易易出出现现因因配配置置不不当当带带来来问问题题,允许许数数据据包包直直接接通通过过，，容容易易造造成成数数据据驱驱动动式式攻攻击击的的潜潜在在危危险险代理理防防火火墙墙能够够透透彻彻地地理理解解相相关关服服务务的的命命令令对来来往往的的数数据据包包进进行行安安全全化化处处理理速速度度较较慢慢，，不不太太适适用用于于高高速速网网（（ATM或千千兆兆位位以以太太网网等等））之之间间的的应应用用防火火墙墙的的配配置置几个概概念堡垒主主机(BastionHost)：：对外外部网网络暴暴露，，同时时也是是内部部网络络用户户的主主要连连接点点多宿主主主机机(multi-homedhost)：至至少有有两个个网络络接口口的通通用计计算机机系统统DMZ(DemilitarizedZone，，非军军事区区或者者停火火区)：在在内部部网络络和外外部网网络之之间增增加的的一个个子网网双宿主主主机机所有的的流量量都通通过堡堡垒主主机优点：：简单单屏蔽主主机从物理理上把把内部部网络络和Internet隔隔开，，必须须通过过两层层屏障障只允许许堡垒垒主机机可以以与外外界直直接通通讯优点：：两层层保护护：包包过滤滤+应应用层层网关关；配配置灵灵活屏蔽子子网DMZ(DemilitarizedZone，，非军军事区区或者者停火火区)：在在内部部网络络和外外部网网络之之间增增加的的一个个子网网优点：：三层防防护，，用来来阻止止入侵侵者外面的的router只向向Internet暴露露屏蔽蔽子网网中的的主机机内部的的router只向向内部部私有有网暴暴露屏屏蔽子子网中中的主主机实验二二防防火墙墙实验验防火墙墙的原原理防火墙墙的分分类常用防防火墙墙实验内内容常见防防火墙墙个人防防火墙墙小型企企业防防火墙墙大型企企业防防火墙墙开源防防火墙墙（Opensource））防火墙墙的几几个技技术指指标防火墙墙吞吐吐量防火墙墙会话话数防火墙墙策略略什么是是内容容过滤滤什么是是DMZ什么是是NAT吞吐量量吞吐量量，指指防火火墙的的每秒秒通信信量，，主要要由防防火墙墙内网网卡，，及程程序算算法的的效率率决定定，尤尤其是是程序序算法法，会会使防防火墙墙系统统进行行大量量运算算，通通信量量大打打折扣扣。因因此，，大多多数防防火墙墙虽号号称100M防火墙墙，由由于其其算法法依靠靠软件件实现现，通通信量量远远远没有有达到到100M,实际只只有10M-20M。纯硬硬件防防火墙墙，由由于采采用硬硬件进进行运运算，，因此此吞吐吐量可可以达达到线线性，，90-95M,是真正正的100M防火墙墙。会话数数会话数数，是是指防防火墙墙可以以同时时允许许终端端访问问的最最大数数量，，由于于该网网络出出口必必须通通过防防火墙墙，因因此会会话数数代表表了加加有该该防火火墙的的网络络可以以允许许多少少个外外部的的访问问。防火墙墙策略略数黑客攻攻击采采用算算法进进行程程序设设计，，分为为多种种攻击击方式式，防防火墙墙之所所以防防范黑黑客，，原理理是根根据黑黑客的的算法法，设设计出出相应应的防防范规规则加加入防防火墙墙预先在在防火火墙内内设定定的黑黑客判判别规规则称称为防防火墙墙策略略，防防火墙墙策略略越多多，性性能越越好但由于于策略略越多多将导导致防防火墙墙运算算加大大，因因此通通信量量将大大幅降降低，，防火火墙策策略/防火墙墙通信信量，，是相相互矛矛盾的的。只只用纯纯硬件件防火火墙才才可以以解决决以上上问题题。内容过过滤、、DMZ、、NAT内容过过滤，，是指指对经经过防防火墙墙的信信息进进行监监测，，可以以按照照用户户需求求，禁禁止带带有色色情，，反动动或任任何用用户希希望禁禁止的的信息息浏览览或被被浏览览。DMZ(非军事事区)=Untrust（非信信任区区），，与军军事区区和信信任区区相对对应。。非信信任区区，作作用是是把WEB,e-mail,等允许许外部部访问问的服服务器器单独独接在在该区区端口口，使使整个个需要要保护护的内内部网网络接接在信信任区区端口口后，，不允允许任任何访访问，，实现现内外外网分分离，，达到到用户户需求求。NAT,地地址转转换，，有了了NAT,防火火墙可可以作作为代理服服务器器，使使整个个内部部网络络所用用用户户可以通通过一一条线线路，，一个个帐号号，同同时访访问互互联网网。NAT原原理防火墙墙09外部地地址9内部用用户:6012NAT:601209:6000109:60001虚拟专专用网网(VPN)SonicWall功能能比较较功能T口数746防火墙吞吐量90M200M300M3DES吞吐量30M50M75M并发会话数600032000120K策略数VPN通道数10501000反病毒蠕虫XXX内容过滤VVV入侵检测VVV用户认证无无无WatchGuard功功能比比较功能V10V60V100X500X700X1000接口数746333防火墙吞吐量90M200M300M100M150M225M3DES吞吐量30M50M75M20M40M75M并发会话数600032000120K策略数VPN通道数105010000100500反病毒蠕虫XXXVVV内容过滤VVVVVV入侵检测VVVVVV用户认证无无无无无无NetScreen的功功能比比较功能5XP50204接口数防火墙吞吐量10M170M400M3DES吞吐量1M50M200M并发会话数20008000128K策略数10040004000VPN通道数1010001000反病毒蠕虫XXX内容过滤VVV入侵检测VVV用户认证有限制无无Cisco的功功能比比较功能PIX501PIX515EPIX535接口数防火墙吞吐量10M188M1Gbps3DES吞吐量3M63M100M并发会话数3500125K500K策略数VPN通道数520002000反病毒蠕虫XXX内容过滤VVV入侵检测VVV用户认证10用户无无内部地地址不允许许外部部访问问传统的的防火火墙配配置非军事事区DMZ内/外外部可可以访访问有外部部IP,转转发发防火墙墙firewall外部地地址内部可可以访访问DMZ内部用用户恶意用用户一种新新型的的防火火墙设设置虚拟DMZ外部可可以访访问内部IP单一映映象外部可可以访访问内部IP优点屏蔽了了DMZ的的结构构内部IP可扩展展性,Cluster的结结构Http://friewall.ip/接受请请求路径选选择表表80->:8021->.21选定包过滤滤示例例堡垒主机机内部网外部网络包过滤示示例(续)匹配那些些有RSTorACKbits设置置的TCP包OpenSource防防火墙Ipfilter(FreeBSD、OpenBSD、Solaris，，…)Ipfw(FreeBSD)Ipchains(Linux2.0.x/2.2.x)Iptables(Linux2.4.x)网络层的的处理流流程Ip_rcv()RoutetableIp_forward()DemasqIp_output()RoutetableIp_local_deliver()inputforwardoutput传输层链路层masqLinux内核核中的包包过滤In_Rule1In_Rule2In_Rule3Rule1Rule2inputforwardoutputFirewall_opsuserAcceptDeny

RejectIPChains简简介[1]ipchains1.3.9规则[build-inChains]input,output,forward目标(targets]AcceptRejectDenyMASQREDIRECTRETURN操作规则则Add,Delete,Append.-X,DeleteAllMasquerade-M-L-M-SIpchains简简介[2]规则匹配配协议,-p[!]protocol,-ptcp,icmp,udp,all,地址源地址&端端口-s[!]address[[!]port]目的地址址&端口口-d[!]address[[!]port]SYN位位.[!]-y,第一个tcp请请求包网络接口口-i[!]name,-ieth0双向,-bipchains---例子子例子不允许进入入防火墙墙ipchains-Ainput-jDENY-s从10.11.11.x来的的包要作作NATipchains-Aforward-jMASQ-s/24Ipchains例例子[2]允许内部部用户访访问外部部,不允允许外部部访问内内部ipchains-Aoutput-y-s-ieth0-jACCEPTipchains-Ainput-y-jDENY-ieth0不允许内内部用户户访问8ipchains-Ainput-d8-ieth1-jDENY更复杂的的例子/~xhg/ipchains-HOWTOs实验二防防火墙墙实验防火墙的的原理防火墙的的分类常用防火火墙实验内容容实验目的的通过实验验深入理理解防火火墙的功功能和工工作原理理。掌握防火火墙包过过滤策略略的设计计方法。。了解常用用几种防防火墙的的设置方方法和使使用方法法天网防火火墙个人人版、瑞星（或或飞塔））百兆防防火墙、、Linux系统统中iptables防火墙墙。实验内容容下载使用用天网个个人版防防火墙可以去校校园网FTP下下载五人一组组，设置置瑞星或或飞塔防防火墙如有条件件，学习习使用IPTable构建Linux下面面的防火火墙9、静夜夜四无无邻，，荒居居旧业业贫。。。12月月-2212月月-22Thursday,December29,202210、雨中黄黄叶树，，灯下白白头人。。。03:48:4803:48:4803:4812/29/20223:48:48AM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2203:48:4803:48Dec-2229-Dec-2212、故人人江海海别，，几度度隔山山川。。。03:48:4803:48:4803:48Thursday,December29,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2203:48:4803:48:48December29,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。29十十二二月月20223:48:48上上午午03:48:4812月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月223:48上上午午12月月-2203:48December29,202216、行动动出成成果，，工作作出财财富。。。2022/12/293:48:4803:48:4829December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。3:48:48上上午午3:48上上午午03:48:4812月月-229、没有失失败，只只有暂时时停止成成功！。。12月-2212月-22Thursday,December29,202210、很多事事情努力力了未必必有结果果，但是是不努力力却什么么改变也也没有。。。03:48:4803:48:4803:4812/29/20223:48:48AM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2203:48:4803:48Dec-2229-Dec-2212、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。03:48:4803:48:4803:48Thursday,December29,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2203:48:4803:48:48December29,202214、意志志坚强强的人人能把把世界界放在在手中中像泥泥块一一样任任意揉揉捏。。29十十二二月20223:48:48上上午03:48:4812月月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月223:48上午午12月