网络安全防火墙

网络安全防火墙技术网络安全的构成物理安全性设备的物理安全：防火、防盗、防破坏等通信网络安全性防止入侵和信息泄露系统安全性计算机系统不被入侵和破坏用户访问安全性通过身份鉴别和访问控制，阻止资源被非法用户访问数据安全性数据的完整、可用数据保密性信息的加密存储和传输安全的分层结构和主要技术物理安全层网络安全层系统安全层用户安全层应用安全层数据安全层加密访问控制授权用户/组管理单机登录身份认证反病毒风险评估入侵检测审计分析安全的通信协议VPN防火墙存储备份防火墙基本概念什么是防火墙防火墙是位于两个(或多个)网络间，实施网间访问控制的组件集合，通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流，达到保护内部网络的目的防火墙的设计目标内部和外部之间的所有网络数据流必须经过防火墙；只有符合安全政策的数据流才能通过防火墙；防火墙自身能抗攻击；防火墙=硬件+软件+控制策略防火墙逻辑位置示意图企业网现状移动

用户Internet

用户Internet企业网分公司商业伙伴危机四伏常见的威胁粗心大意或不满的员工恶意代码(Malware)病毒、蠕虫、特洛伊木馬、恶作剧程序恶性的竞争对手黑客(Hacker)……需求为什么需要防火墙保护内部网不受来自Internet的攻击创建安全域强化机构安全策略对防火墙的两大需求保障内部网安全保证内部网同外部网的连通防火墙系统四要素安全策略内部网外部网技术手段防火墙的控制制能力服务控制确定哪些服务务可以被访问问；方向控制对于特定的服服务，可以确确定允许哪个个方向能够通通过防火墙；；用户控制根据用户来控控制对服务的的访问；行为控制控制一个特定定的服务的行行为；防火墙能做什什么-1隔断挡住未经授权权的访问流量量；禁止具有脆弱弱性的服务带带来危害；实施保护，以以避免各种IP欺骗和路路由攻击；过滤过滤掉未经授授权的网络流流量；代理防火墙能做什什么-2审计报警NAT解决IP地址址不足的问题题保护内部网络络地址配置隐藏网络服务务的真实地址址计费VPN(IPSec)防火墙技术带带来的好处强化安全策略略有效地记录Internet上的活活动隔离不同网络络，限制安全全问题扩散是一个安全策策略的检查站站防火墙的不足足使用不便，有有些人认为防防火墙给人虚虚假的安全感感对用户不完全全透明，可能能带来传输延延迟瓶颈及单单点失效不能替代墙内内的安全措施施不能防范恶意意的知情者不能防范不通通过它的连接接，如拨号不能防范全新新的威胁不能有效地防防范数据驱动动式的攻击，，如病毒当使用端-端端加密时其作作用会受到很很大的限制关于防火墙的的争议防火墙破坏了了Internet端到到端的特性，，阻碍了新的的应用的发展展防火墙没有解解决主要的安安全问题，即即网络内部的的安全问题防火墙给人一一种误解，降降低了人们对对主机安全的的意识防火墙的类型型防火墙的类型型包过滤路由器器应用层网关电路层网关包过滤路由器器基本的思想在网络层对数据包进行行选择对于每个进来来的包，适用用一组规则，，然后决定转转发或者丢弃弃该包判断依据有(只考虑IP包)：数据包协议类类型：TCP、UDP、、ICMP、、IGMP等等源、目的IP地址源、目的端口口：FTP、、HTTP、、DNS等IP选项：源源路由、记录录路由等TCP选项：：SYN、ACK、FIN、RST等其它协议选项项：ICMPECHO、ICMPECHOREPLY等数据包流向：：in或out数据包流经网网络接口：eth0、eth1包过滤路由器器示意图网络层链路层物理层外部网络内部网络包过滤防火墙墙的特点在网络层上进行监测并没有考虑连连接状态信息息通常在路由器器上实现实际上是一种种网络的访问问控制机制优点：实现简单对用户透明一个包过滤路路由器即可保保护整个网络络缺点：正确制定规则则并不容易不可能引入认认证机制包过滤防火墙墙只通过简单单的规则控制制数据流的进进出，没考虑虑高层的上下下文信息过滤规则举例例第一条规则：：主机任何端口访访问任何主机机的任何端口口，基于TCP协议的数数据包都允许许通过。第二条规则：：任何主机的的20端口访访问主机的任何端端口，基于TCP协议的的数据包允许许通过。第三条规则：：任何主机的的20端口访访问主机小于1024的端口口，如果基于于TCP协议议的数据包都都禁止通过。。组序号动作源IP目的IP源端口目的端口协议类型1允许***TCP2允许*20*TCP3禁止*20<1024TCP针对包过滤防防火墙的攻击击IP地址欺骗骗，例如，假假冒内部的IP地址对策：在外部部接口上禁止止内部地址源路由攻击，，即由源指定定路由从而旁旁路安全措施施对策：禁止这这样的选项小碎片攻击，，利用IP分分片功能把TCP头部切切分到不同的的分片中，以以绕过用户定定义的过滤规规则对策：丢弃分分片太小的分分片利用复杂协议议和管理员的的配置失误进进入防火墙例如，利用ftp协议对对内部进行探探查应用用层层网网关关应用用层层网网关关在应用用层层上建建立立协协议议过过滤滤和和转转发发功功能能针对对特定定的的网网络络应应用用服服务务协协议议使用用指指定定的的数数据据过滤滤逻逻辑辑，并并在在过过滤滤的的同同时时，，对对数数据据包包进进行行必必要要的的分分析析、、登登记记和和统统计计，，形形成成报报告告特点点所有有的的连连接接都都通通过过防防火火墙墙，，防防火火墙墙作作为为网网关关在应用用层层上实实现现，，网网关关理理解解应应用用协协议议，，可可以以实实施施更更细细粒粒度度的的访访问问控控制制可以以监监视视包包的的内内容容可以以实实现现基基于于用用户户的的认证证可以以提提供供理理想想的的日日志志功功能能对每每一一类类应应用用，，都都需需要要一一个个专专门门的的代代理理，，不不够够灵灵活活非常常安安全全，，但但是是开开销销比比较较大大应用用层层网网关关的的工工作作原原理理客户网关服务务器器发送请求转发请求请求响应转发响应应用用层层网网关关不不依依赖赖包包过过滤滤工工具具来来管管理理Internet服服务务，，而而是是采采用用为为每每种种所所需需服服务务在在网网关关上上安安装装代代理理服服务务的的方方式式来来管管理理Internet服服务务。。如如果果网网络络管管理理员员没没有有为为某某种种应应用用安安装装代代理理编编码码，，那那么么该该项项服服务务就就不不被被支支持持并并不不能能通通过过防防火火墙墙系系统统来来转转发发。。可以以完完全全控控制制提提供供哪哪些些服服务务，，因因为为没没有有特特定定服服务务的的代代理理就就表表示示该该服服务务不不提提供供。。应用用层层网网关关的的协协议议栈栈结结构构HTTPFTPTelnetSmtp传输输层层网络络层层链路路层层应用用层层网网关关的的优优缺缺点点优点点允许许用用户户““直直接接””访访问问Internet；；易于于记记录录日日志志；；缺点点新的的服服务务不不能能及及时时地地被被代代理理每个个被被代代理理的的服服务务都都要要求求专专门门的的代代理理软软件件客户户软软件件需需要要修修改改，，重重新新编编译译或或者者配配置置有些些服服务务要要求求建建立立直直接接连连接接，，无无法法使使用用代代理理比如如聊聊天天服服务务、、或或者者即即时时消消息息服服务务代理理服服务务不不能能避避免免协协议议本本身身的的缺缺陷陷或或者者限限制制应用用层层网网关关实实现现编写写代代理理软软件件代理理软软件件一一方方面面是是服服务务器器软软件件但是是它它所所提提供供的的服服务务可可以以是是简简单单的的转转发发功功能能另一一方方面面也也是是客客户户软软件件对于于外外面面真真正正的的服服务务器器来来说说，，是是客客户户软软件件针对对每每一一个个服服务务都都需需要要编编写写模模块块或或者者单单独独的的程程序序实现现一一个个标标准准的的框框架架，，以以容容纳纳各各种种不不同同类类型型的的服服务务软件件实实现现的的可可扩扩展展性性和和可可重重用用性性客户户软软件件软件件需需要要定定制制或或者者改改写写对于于最最终终用用户户的的透透明明性性？？协议议对对于于应应用用层层网网关关的的处处理理协议议设设计计时时考考虑虑到到中中间间代代理理的的存存在在，，特特别别是是在在考考虑虑安安全全性性，，比比如如数数据据完完整整性性的的时时候候电路路层层网网关关电路路层层网网关关是是一一个个通通用用代代理理服服务务器器，，工工作作TCP/IP协协议议的的TCP层层将所所有有跨跨越越防防火火墙墙的的网网络络通通信信分分为为两两段段建立立两两个个TCP连连接接，，一一个个是是内内主主机机与与防防火火墙墙，，另另一一个个是是防防火火墙墙与与外外主主机机电路路层层网网关关只只是是在在内内部部连连接接和和外外部部连连接接之之间间来来回回拷拷贝贝字字节节，，并并不不进进行行任任何何附附加加的的包包处处理理或或过过滤滤通过过电电路路层层网网关关传传递递的的数数据据似似乎乎起起源源于于网网关关，，隐隐藏藏了了被被保保护护网网络络的的信信息息电路层层网关关常用用于向向外连连接，，对于于要访访问互互联网网服务务的内内部用用户来来说使使用起起来很很方便便电路层层网关关示意意图不允许许外部部网与与内部部网的的直接接通信信在网络络的传传输层层上实实施访访问策策略：：防火火墙建建立两两个TCP连接接，一一个是是内主主机与与防火火墙，，另一一个是是防火火墙与与外主主机连接似似乎是是起源源于防防火墙墙，从从而隐隐藏了了受保保护网网络的的有关关信息息电路层层网关关的特特点拓扑结结构同同应用用程序序网关关相同同接收客客户端端连接接请求求代理理客户户端完完成网网络连连接在客户户和服服务器器间中转数据通用性性强电路层层网关关实现现方式式简单重重定向向根据客客户的的地址址及所所请求求端口口将该该连接接重定定向到到指定定的服服务器器地址址及端端口上上对客户户端应应用完完全透透明在转发发前同同客户户端交交换连连接信信息需对客客户端端应用用作适适当修修改电路层层网关关的优优缺点点优点效率高高精细控控制，，可以以在应应用层层上授授权为一般般的应应用提提供了了一个个框架架缺点客户程程序需需要修修改个人防防火墙墙是一种种能够够保护护个人人计算算机系系统安安全的的软件件，它它可以以直接接在用用户的的计算算机上上运行行；可以对对用户户计算算机的的网络络通信信进行行过滤滤；通常具具有学学习模模式，，可以以在使使用中中不断断增加加新的的规则则；分布式式防火火墙传统防防火墙墙技术术的几几个问问题依赖于于防火火墙一一端可可信，，另一一端是是潜在在的敌敌人Internet的的发展展使从从外部部穿过过防火火墙访访问内内部网网的需需求增增加了了一些内内部主主机需需要更更多的的权限限只依赖于端端-端加密密并不能完完全解决问问题过于依赖物物理拓扑结结构分布式防火火墙的思路路主要工作防防护工作在在主机端；；打破传统防防火墙的物物理拓扑结结构，不单单纯依靠物物理位置来来划分内外外；由安全策略略来划分内内外网；具体方法：：策略描述语语言：说明明什么连接接允许，什什么连接不不允许；一系列系统统管理工具具：用于将将策略发布布到每一主主机处，以以保证机构构的安全防火墙的配配置模式防火墙简图图Gateway(s)FilterFilterInsideOutside防火墙的位位置默认安全策策略没有明确禁禁止的行为为都是允许许的没有明确允允许的行为为都是禁止止的防火墙体系系结构双宿/多宿宿主机模式式(dual-homed/multi-homed)屏蔽主机模模式屏蔽子网模模式双宿/多宿宿主机模式式堡垒主机是是一种配置置了安全防防范措施的的网络上的的计算机，，它为网络络之间的通通信提供了了一个阻塞塞点，也就就是说如果果没有堡垒垒主机，网网络之间将将不能相互互访问。这种防火墙墙的特点是是主机的路路由功能是是被禁止的的，即主机机在两个端端口之间直直接转发信信息的功能能被关掉。。两个网络络之间的通通信通过应用层代理理服务来完成。如如果一旦黑黑客侵入堡堡垒主机并并使其具有有路由功能能，防火墙墙将变