网络与信息安全：11防火墙11

防火墙及其策略防火墙技术简介用来控制采用不同安全策略网络之间的网络流量防火墙越先进，覆盖层次越多防火墙的网络层次防火墙增值功能网络地址转换NATDHCP（动态主机配置协议）加密功能，比如VPN内容过滤功能（有可能被规避掉）邮件附件过滤病毒过滤WEB浏览，如Java、Javascript、ActiveX包过滤防火墙最基本的防火墙包含对系统地址和通信会话进行访问控制的基本路由设备通常工作在第三层现代网络结构中，为了负载均衡和/或高可用性（采用多个防火墙提高网络吞吐量）也可能采用在第二层容易实现HA访问控制功能由一套规则集组成，基于以下网络包信息：源地址目的地址流量类型高层通信会话的一些特征，如传输层会话端口进出路由器设备的端口有时候作为边界路由器使用具有速度、灵活性和阻止DOS攻击的能力包过滤防火墙的一些基本弱点由于不检查高层数据，因此不能防止利用与应用相关的弱点或功能的攻击由于防火墙能得到的信息有限，因此相应的日志功能也有限许多包过滤防火墙不支持用户高级用户鉴定方案由于TCP/IP规范和协议栈存在的问题，这类防火墙比较容易受到攻击由于存在访问控制策略变量，可能遭到违规安全配置包过滤防火墙的应用示例适用场合：高速环境SOHO包过滤规则过滤标准源地址目的地址端口所用协议动作接受否认丢弃状态检测防火墙基于网络第四层的包过滤因为TCP协议的特点，难以用简单的包过滤对数据连接进行控制控制连接端口固定，但实际数据传送的数据连接所用端口是根据控制连接协商的，并不固定，如H.323状态检测防火墙建立动态TCP连接状态表，来验证每次连接。应用代理网关防火墙将低层访问控制功能和高层应用功能结合一起的防火墙无需在防火墙的内外接口间的第三层路由一旦应用代理网关软件不工作，防火墙系统就不能传递包所有通过防火墙的包都必须在应用代理软件的控制下应用代理网关防火墙应用代理网关防火墙特点传统的防火墙规则用户鉴定强大的日志能力安全漏洞少，防地址欺骗能力强应用代理网关防火墙缺点速度慢不适于高带宽或实时应用应用和协议的支持能力限制专用代理防火墙专用代理防火墙和应用代理防火墙的区别在于它保留了对网络流量的代理控制，但是它不包含防火墙能力。因为这个原因，它们常用在传统防火墙后面。过程和作用主防火墙接收到入口网流时，判断要送到哪个应用，然后将此流量送到相应地代理服务器，如邮件代理服务器代理服务器对此网络流量进行过滤和日志功能后，送到内部系统中代理服务器也可以接收来自内部的网络流量，经过过滤、日志后交给主防火墙一般来讲，代理服务器用来减轻主防火墙的负载，并进行专门的过滤和日志比如HTTP代理专用代理防火墙目的加强用户身份鉴别进行专门的过滤和日志减轻主防火墙的负载可以限制到特定地方的出口流量，并检查流量内容JAVAApplet或应用过滤ActivX控制过滤JavaScript过滤阻断具体的MIME类型病毒过滤和删除应用相关命令的过滤用户相关的控制降低性能，提高管理成本专用防火墙系统配置混合防火墙在单一防火墙系统中融合多种防火墙功能。基于主机的防火墙用来保护单台主机/服务器为限制进出主机的流量提供访问控制能力低成本好处更好地保护应用无须为主机单独配置防火墙和划分子网个人防火墙/个人防火墙应用用来保护家庭用户系统个人防火墙：直接安装在要保护的系统上个人防火墙应用：类似传统防火墙，用来保护一个小网络CableModem路由器LAN路由器DHCP服务器…防火墙的环境考虑NATDMZ网络VPN网络边界定义IDSDNS各类服务器的放置防火墙的应用策略和管理NAT解决两个安全问题：隐藏防火墙后面的内部网络地址规划根据RFC1918，解决可路由地址不足问题三种实现方式：静态NAT：每个内部地址都有一个对应的外部可路由地址。由于地址资源紧张，较少使用隐藏NAT：所有内部系统共享相同的外部可路由IP地址。较为常用内部资源不能被外部共享所有内部资源都使用防火墙外部接口地址，不灵活PAT（PortAddressTranslation)无须使用防火墙外部接口地址可以选择内部某些资源对外共享，将通过某个端口的入口连接映射到具体的主机上最安全，最方便DMZ网络DMZ定义：作为内外网都可以访问的计算机系统和资源的连接点，这些系统和资源不能放置在内部保护网络内。DMZ网络另一种典型配置VPN(VirtualPrivateNetwork)VPNVPN常用协议IPsecPPTPL2TPVPN服务器的设置防火墙上性能问题防火墙后密文过滤问题网络边界的定义外联网（Extranet）内网（Intranet)IDSDNS分割DNS各类服务器的放置原则：采用边界路由器/包过滤器保护外部服务器不将对外部可访问的服务器放置在内部保护网络中将内部服务器按照其安全敏感程度和访问需求放置在内部防火墙后面隔离服务器以避免对特定服务器的攻击波及到网络其余部分各类服务器的放置防火墙的HA提高系统的可靠性防火墙方案设计指南尽量简单根据设备功能用其所用不将防火墙用作其它意图不将路由器作防火墙用深层防御采用多层安全而不是单级安全不将所有安全功能都置于防火墙内部利用路由器的过滤功能采用主机防火墙防止内部威胁防火墙安全策略防火墙策略防火墙规则