第4章-防火墙技术

防火墙技术目录4.1概述4.2防火墙的种类4.3防火墙的体系结构4.4防火墙部署4.5防火墙的功能防火墙的提出企业上网面临的安全问题之一:

内部网与互联网的有效隔离解答:

防火墙网络间的访问----需隔离FIREWALL4.1概述1、防火墙形态接口属性固定内网外网SSN2、防火墙示意图Internet企业内联网部门子网分公司网络4.1概述3、防火墙是什么在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统.4.1概述Internet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为4、防火墙定义内部网4.1概述防火墙连线图直通线交叉线交叉线串口线管理机SSN区域外网内网5、防火墙特点防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。典型情况：安全网络为企业内部网络，不安全网络为因特网。但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。4.1概述6、防火墙概念最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。RichKosinski(InternetSecurity公司总裁）：

防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，用来控制进/出两个方向的通信。网络安全的第一道防线4.1概述7、防火墙实现层次4.1概述8、防火墙的基本功能模块应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤4.1概述9、防火墙的主要功能防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警10、Internet防火墙的作用(1)(1).Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。(2).在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。10、Internet防火墙的作用(2)(3).Internet防火墙可以作为部署NAT(NetworkAddressTranslator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。(4).Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。(5).Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。11、对防火墙的评价防火墙不可以防范什么?防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务。防火墙不能防范来自内部人员恶意的攻击。防火墙不能阻止被病毒感染的程序或文件的传递。防火墙不能防止数据驱动式攻击。例:特洛伊木马。4.1概述内部提供拨号服务绕过防火墙防火墙不可以防范什么?4.2防火墙的种类防火墙的存在形式：软件、硬件。根据防范方式和侧重点的不同可分为：4.2.1包过滤防火墙4.2.2代理服务器4.2.3状态检测防火墙4.2.1包过滤防火墙应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层简单包过滤技术介绍应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头简单包过滤防火墙的工作原理简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱按地址规则方向源地址目标地址动作A出内部网络拒绝B入内部网络拒绝按服务规则方向类型源地址目的地址源端口目的端口行为操作访问控制列表（ACL），过滤规则，包过滤的核心示例：两个默认策略：默认=丢弃：没有明确允许的就被禁止。默认=转发：没有明确禁止的就是允许。优点：

速度快，性能高对用户透明缺点：1.维护比较困难(需要对TCP/IP了解）2.安全性低（IP欺骗等）3.不提供有用的日志，或根本就不提供4.不防范数据驱动型攻击5.不能根据状态信息进行控制6.不能处理网络层以上的信息7.无法对网络上流动的信息提供全面的控制；互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层包过滤防火墙优缺点包过滤技术的一些实现商业版防火墙产品个人防火墙路由器OpenSourceSoftware–Ipfilter(FreeBSD、OpenBSD、Solaris，…)–Ipfw(FreeBSD)–Ipchains(Linux2.0.x/2.2.x)–Iptables(Linux2.4.x)代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现.外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。4.2.2代理服务器代理服务器代理服务器示意图应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用代理技术介绍应用层表示层会话层传输层网络层链路层物理层优点：安全性高提供应用层的安全缺点：性能差伸缩性差只支持有限的应用不透明FTPHTTPSMTP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查数据应用代理防火墙的工作原理不检查IP、TCP报头不建立连接状态表网络层保护比较弱应用层代理的优点1.应用层代理能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。2.网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。3.防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。4.应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。5.代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。应用层代理的缺点应用层代理的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。比如，透过应用层代理Telnet访问要求用户通过两步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。代理服务的分类代理服务分类：代理服务可分为应用级代理与电路级代理：应用级代理是已知代理服务向哪一应用提供的代理，它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息，缺点为只适用于单一协议。电路级代理：是一个通用代理服务器，它工作于OSI互联模型的会话层或TCP/IP协议的TCP层。它适用于多个协议，但它不能识别在同一个协议栈上运行的不同的应用，当然也就不需要对不同的应用设置不同的代理模块。拓扑结构同应用层代理服务器相同接收客户端连接请求，代理客户端完成网络连接，在客户和服务器间中转数据电路级代理工作示意图输入数据流输出数据流代理服务器的一些实现商业版防火墙产品商业版代理(cache)服务器OpenSource–TISFWTK(Firewalltoolkit)–Apache–Squid4.2.3状态检测防火墙状态检测防火墙又称动态包过滤防火墙。状态检测防火墙在网络层由一个监测引擎截获数据包，抽取出与应用层状态有关的信息，并以此作为依据决定对该数据包是接受还是拒绝。状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。监测引擎：一个在网关上执行网络安全策略的软件模块。监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。状态检测示意图应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层应用层表示层会话层传输层监测引擎状态检测的优缺点优点：一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。包过滤防火墙和代理服务防火墙都不支持此类端口的检测。缺点：

降低网络速度配置比较复杂应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头状态检测包过滤防火墙的工作原理不检查数据区建立连接状态表前后报文相关应用层控制很弱建立连接状态表应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101检查整个报文内容复合型防火墙的工作原理可以检查整个数据包内容根据需要建立连接状态表网络层保护强应用层控制细会话控制较弱建立连接状态表防火墙核心技术比较综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙复合型防火墙单个包报头单个包报头单个包数据单个包全部防火墙技术的新发展——自适应代理技术新型的自适应代理(Adaptiveproxy)防火墙，本质上也属于代理服务技术，但它也结合了动态包过滤(状态检测)技术。自适应代理技术是在商业应用防火墙中实现的一种革命性的技术。组成这类防火墙的基本要素有两个：自适应代理服务器与动态包过滤器。它结合了代理服务防火墙安全性和包过滤防火墙的高速度等优点，在保证安全性的基础上将代理服务器防火墙的性能提高10倍以上。

在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务器从应用层代理请求，还是使用动态包过滤器从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。自适应代理技术的特点4.3防火墙的体系结构防火墙的体系结构：筛选路由器双重宿主主机结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构内部网络外部网络包过滤器进行包过滤1、筛选路由器2、双重宿主主机模式它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙.通常用一台装有两块或多块网卡的堡垒主机做防火墙。堡垒主机：BastionHost堡垒主机是一种配置了安全防范措施的网络的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。2、双重宿主主机体系结构双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。因此IP数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。结构图Internet防火墙双重宿主主机内部网络……双重宿主主机体系结构2、双重宿主主机体系结构（2）双重宿主主机的特性：安全至关重要（唯一通道），其用户口令控制安全是关键。必须支持很多用户的访问（中转站），其性能非常重要。缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。内部网络外部网络禁止内外网络之间直接通信双宿主主机

通过应用代理通过登陆到双宿主主机上获得服务缺点：如何保护双宿主主机本身的安全所有的通信必须经过双宿主主机双宿主主机3.屏蔽主机模式屏蔽主机防火墙由包过滤路由器和堡垒主机组成。包过滤路由器外部网内部网堡垒主机屏蔽主机模式特点：在这种方式的防火墙中，堡垒主机安装在内部网络上。通常在路由器上设立过滤规则，并使堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可能被越过，使内部网完全暴露。3、屏蔽主机体系结构（2）屏蔽路由器可按如下规则之一进行配置：允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过数据包过滤的服务）。不允许所有来自外部主机的直接连接。(强迫那些主机经由堡垒主机使用代理服务）。安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。堡垒主机进行规则配置，只允许外部主机与堡垒主机通讯互联网对内部其他主机的访问必须经过堡垒主机缺点：堡垒主机与其他主机在同一个子网

一旦堡垒主机被攻破或被越过，整个内网和堡垒主机之间就再也没有任何阻挡。不允许外部主机直接访问除堡垒主机之外的其他主机过滤器被屏蔽主机4、屏蔽子网体系结构（1）屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。结构图Internet周边网络内部网络……外部路由器堡垒主机内部路由器屏蔽子网体系结构4、屏蔽子网体系结构（2）周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。4、屏蔽子网体系结构（3）堡垒主机堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。4、屏蔽子网体系结构（4）外部路由器（访问路由器）作用：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。内部路由器（阻塞路由器）作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。内部网络外部网络堡垒主机内部筛选路由器外部筛选路由器禁止内外网络直接进行通讯内外部网络之间的通信都经过堡垒主机内部网络外部网络堡垒主机被屏蔽子网4.4防火墙部署受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostAHostCHostDHostB同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址防火墙相当于网桥，原网络结构没有改变透明接入受保护网络InternetHostAHostCHostDHostB防火墙相当于一个简单的路由器提供简单的路由功能路由接入路由器HTTP服务器DNS服务器Email服务器防火墙DMZ区内部专用网络InternetDDNPSTNATMISDNX.25帧中继防火墙管理器外部网络安装方式之一防火墙防火墙管理工作站分支机构受保护局域网防火墙防火墙资源子网路由器路由器路由器分支机构受保护局域网公共网络总部路由器路由器安装方式之二公众服务网

省电子政务外网平台市政府政协人大Internet市局中心服务器中心服务器XX市政府网络拓扑结构图邮件服务器市委拨号市局互联网防火墙服务器防火墙互连防火墙内部用户区

互连区内部服务器区外部服务器区4.5防火墙的功能HostCHostD基本的访问控制技术AccessnattoanypassAccesstoblockAccessdefaultpass1010010101规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址WWW1WWW2WWW3服务器负载均衡负载均衡算法：顺序选择地址+权值根据PING的时间间隔来选择地址+权值根据Connect的时间间隔来选择地址+权值根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值://根据负载均衡算法将数据重定位到一台WWW服务器服务器阵列响应请求支持第三方认证服务器InternetRADIUS服务器OTP认证服务器chenaifeng12354876防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙支持第三方RADIUS服务器认证支持OTP认证服务器支持TACAS及TACAS+服务器支持S/KEY认证服务器根据认证结果决定用户对资源的访问权限分级带宽管理InternetWWWMailDNS财务部子网采购部子网出口带宽512KDMZ区保留256K分配70K带宽分配90K带宽分配96K带宽DMZ区域内部网络总带宽512K内网256KDMZ256K70K90K96K+++财务子网采购子网生产子网生产部子网日志分析不做日志做通信日志：即传统日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过做应用层命令日志：在通信日志的基础之上，记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。做访问日志：即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP协议，访问日志只记录下读、写文件的动作

做内容日志：即在应用层命令日志的基础之上，还记录下用户传输的内容。如用户发送的邮件，用户取下的网页等。但因为这个功能涉及到隐私问题，所以在普通的防火墙中没有包含

Firewall5G对所有的应用层协议都可以进行通信日志，而命令日志、访问日志、内容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议

提供日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞Clint://响应请求发送请求通信日志通信日志通信信息做通信日志Clint://响应请求发送请求命令日志命令日志做应用层命令日志命令信息Clint://响应请求发送请求访问日志访问日志做访问日志访问信息Clint://响应请求发送请求内容日志内容日志做内容日志内容信息HostCHostDHostBHostA受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与IDS的安全联动与病毒服务器的安全联动Internet110010101病毒服务器100010101000010101待发数据110010101100010101000010101110010101100010101000010101passpass无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文协议还原检查病毒没有发现病毒可以放过最后一个报文接收数据接收数据与内容服务器的安全联动Internet内容安全服务器来自外部的数据101010011010111011010001进行访问控制提交给内容安全服务器进行处理进行病毒、恶意JAVA或ActiveX程度的过滤利用提供的安全产品协作平台实现（ICSP协议的典型应用）ICSP协议是用来实现NGFW与信息内容检查系统之间的有机联动与URL服务器的安全联动内部网络Internet://URL服务器可以访问://吗？Ok!通过T-SCP安全产品协作平台实现防火墙与URL服务器的互动，从而控制对外部WEB站点的访问双地址路由功能中国教育网Internet内网根据源、目地址来进行路由主机B直接连接Internet主机A通过教育网上InternetInternetHostAHostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网跨路由器IP与MAC（用户）的绑定对DHCP应用环境的支持InternetDHCP服务器HostAHostBHostCHostDHostEHostF没有固定IP地址只允许HostB上网设定HostB的MAC地址设定HostB的IP地址为空根据HostB的MAC地址进行访问控制客户机建立连接并维持连接状态直到查询结