第6章 防火墙技术

第6章防火墙技术6.1防火墙技术概述6.2防火墙的分类6.3防火墙的结构6.4防火墙的技术实例6.5LinuxIptables防火墙配置6.1防火墙技术概述

防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。防火墙示意图引用监视器模型ReferencemonitorSubjectObjectAuditingAuthorizationDatabaseAuthenticationAccessControl引用监视器模型的属性止旁路性（non-bypass）抗篡改性（tamperproof）

可验证性（verifiable）引用监视器模型的作用其它安全模型的基础操作系统的安全内核防火墙技术的借鉴唯一出入口安全策略（规则）允许的，才可以通过具有很高的抗攻击能力防火墙规则也称安全策略，由匹配条件和处理方式两部分构成匹配条件：逻辑表达式处理方式Accept:允许数据包或信息通过Reject:拒绝数据包或信息通过，并通知信息源Drop:直接将数据包或信息丢弃，并且不通知信息源基本规则IP包表防火墙规则表匹配规则1?匹配规则2?匹配规则3?拒绝接受YYYNNN默认拒绝原则IP包表防火墙规则表匹配规则1?匹配规则2?匹配规则3?接受拒绝YYYNNN默认允许原则一切未被允许的就是禁止的一切未被禁止的就是允许的匹配条件IP源地址，如=IP目标地址，如=/源端口，如=1456目标端口，如>1024向内：通过防火墙向外部网络发出的数据包向外：通过防火墙进入内部网络的数据包6.2防火墙的分类按防范领域分网络防火墙个人防火墙按产品形式分硬件防火墙软件防火墙按实现技术分数据包过滤应用层代理数据包过滤技术检测每个IP数据包，取得包头信息，根据这些信息与规则集中的规则匹配，以做相应的动作。原地址、目标地址、传输层类型、源端口、目标端口包括静态包过滤防火墙和状态检测防火墙静态包过滤防火墙包过滤技术的优点不针对特殊的应用服务不要求客户端和服务器做特殊配置可以直接放在边界路由器上价格较低开销较小包过滤技术的缺点过滤规则的配置较为复杂，对网络管理员的要求较高难以验证其正确与否，不同产品的匹配条件表达不一样容易由于过滤负载较重，造成网络访问瓶颈不支持用户级的访问控制不理解特定服务的上下文动态包过滤防火墙典型的动态包过滤防火墙工作在网络层，更先进的工作在传输层；检查数据包头的信息包括：数据源地址、目的地址、应用或协议、源端口号、目的端口号在过滤规则上与静态包过滤防火墙相似，但它首先对外出的数据包身份进行记录，此后如果有相同的连接数据包进入防火墙，它就直接允许这些数据包通过；动态包过滤防火墙要对已经建立规则进行动态维护，它是动态的和有状态的。性能分析优点：当动态包过滤防火墙采用SMP技术时，对网络性能影响非常小；动态包过滤防火墙的安去性优于静态包过滤防火墙。动态包过滤防火墙的“状态感知”能力也得到显著提高；缺点：仅工作于网络层，只能检查IP和TCP头；由于没有对数据包的净荷进行过滤，因此仍然具有低安全性；应用层代理在TCP/IP协议的应用层实现数据或信息过滤的防火墙实现方式。运行在防火墙主机上的特殊应用程序或服务器程序，根据安全策略接受用户对网络的请求，并在用户访问应用信息时依据预先设定的应用协议安全规则进行信息过滤。应用层代理工作示意图外部服务器进程代理服务器进程代理客户端进程外部网路防火墙内部网路代理客户端进程应用层代理工作示意图防火墙应用层代理的优点不需直接与外部网络连接，内部网络安全性较高应用层代理采用Cache机制，用户信息可以共享，提高信息访问效率可以支持用户概念，提供用户认证可以实现基于内容的信息过滤应用层代理的缺点不同的应用服务，要求又不同的代理程序或不同的代理服务器实时性要求高的服务不适合代理不能改进底层协议的安全性。常用术语堡垒主机双重宿主主机周边网络体系结构双重宿主主机体系结构被屏蔽主机体系结构被屏蔽子网体系结构6.3防火墙的结构DMZ外部网络包过滤设备堡垒主机堡垒主机周边网络包过滤设备内部网络外部用户内部用户非安全、不可信网路安全、可信网路双重宿主主机通过不同的网络接口连入多个网络的主机系统。网桥路由器网关双重宿主主机体系结构在采用代理技术的双宿主机中，主机的路由功能是被禁止的，两个网络之间的通信通过应用层代理实现

以一台双重宿主主机作为防火墙的主体，执行分离外部网路和内部网络的任务。双重宿主主机直接暴露在外部网络中，充当了堡垒主机的角色，这种体系的弱点是，一旦堡垒主机被攻破，使其直接成为一个路由器，那被外部的网络可以直接访问内部的网络。被屏蔽主机体系结构通过一个单独的路由器和内部网络上的堡垒主机工动构成防火墙外部网络堡垒主机屏蔽路由器交换机工作站工作站工作站内部网络防火墙被屏蔽主机体系结构屏蔽的路由器中数据包过滤策略可以按照下列方案之一设置：允许其他的内部主机为了某些服务开放到Internet上的主机连接；不允许来自内部主机的所有连接（经过堡垒主机使用代理服务）；对内部用户对外部网络的访问，可以强制经过堡垒主机，也可以让其直接经过屏蔽路由器出去，针对不同的应用采取不同的安全策略。被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络—周边网络，将容易受到攻击的堡垒主机置于这个周边网络中。（1）入侵者必须突破三个不同的设备才能非法入侵内部网络（外部路由器。堡垒主机及内部路由器）；（2）由于外部路由器只能向Internet通知DMZ网络的存在，Internet上的系统没有路由器与内部网络相同。这样网络管理员可以保证内部网络是“不可见”的，并且在DMZ网络上选定的服务才对Internet开放；（3）由于内部路由器只向内部网络通知DMZ网络的存在，内部网络上的系统不能通过直连通向Internet，这样保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet;（4）内部路由器在作为内部网络和Internet之间的最后防火墙系统时，能够支持比双重宿主堡垒主机更大的数据包吞吐量。6.4节

防火墙技术实例包过滤技术（ACL）状态检测技术（SPI）地址转换技术（NAT）网络代理技术（PROXY）1、包过滤技术定义：防火墙通过对信息头的检测就可以决定是否将数据包发往目的地址，从而达到对进入和流出网络的数据进行监测和限制的目的。包过滤技术（访问控制列表）访问控制列表的配置有两种方式限制策略。接受受信任的IP包，拒绝其他所有IP包宽松策略。拒绝不受信任的IP包，接受其他所有IP包包过滤技术IP源地址IP目的地址封装协议（IP/IPX）TCP/UDP端口ICMP包类型包输入接口包输出接口2、包过滤的检查项包过滤技术包规则是否允许传输？包规则是否阻塞传输？是否是最后一个规则？存储包过滤器分析包报头字段IP、TCP和UDP应用下一包规则阻塞包允许包转发YYY3、包过滤防火墙过滤过程N包过滤技术

动态访问控制列表是对ACL的扩展，以实现对数据包的动态过滤，当配置了动态访问控制列表，可以实现指定用户的IP数据流临时通过防火墙，进行会话连接。当动态访问控制列表被触发后，动态访问控制列表重新配置接口上的已有访问控制列表，允许指定的用户访问指定的IP地址。在会话结束后，将接口配置恢复到原来的状态。4、动态访问控制列表原理包过滤技术Internet协议源地址源端口目的地址目的端口行为方向TCPanyanyacceptoutTCPanyanyacceptin内部网络动态访问控制列表工作原理图5、动态访问控制列表认证信息（1）DA（4）身份认证（2）访问控制列表（3）6.4节防火墙的技术包过滤技术状态检测技术网络地址转换网络代理技术状态检测技术（SPI）

状态包检查技术又称为反射访问控制列表技术。反射访问控制列表能够动态建立访问控制列表条目，在这些临时条目中不仅包含必要的包过滤信息，还包含了网络会话的状态信息来确定和充许或拒绝通信。这些临时条目在新会话开始时创建，并在会话结束时被删除。1、状态检测定义状态检测技术数据包到达防火墙接口数据包是否属于一个已经存在的连接策略集是否允数据包的内容将数据包转发到最终的目的地址并且更新对话表，进行日志记录数据包到达防火墙接口该数据包是否通过了规则集的检测拒绝该数据包，并进行日志记录YesYesYesNOYesNONO2、状态包检查技术原理状态检测技术所有静态包过滤的检查项TCP通信的连接状态(顺序号SYN及确认号ACK)UDP/ICMP通信的通信状态(协议及地址)3、状态检查的检查项状态检测技术Internet协议源地址目的地址SYNACKTCP:300036:801000250036内部网络（4）匹配ACL和会话状态4、状态检查访问控制列表原理图SA（1）会话状态（2）DA（3）6.4节防火墙的技术包过滤技术状态检测技术网络地址转换网络代理技术网络地址转换

简单地说，NAT就是通过某种方式将IP地址进行转换

1、地址转换所谓的网络地址转换，就是指在一个网络内部，根据需要可以随意自定义IP地址（不需要经过申请）即私有IP地址。在网络内部，各计算机间通过私有IP地址进行通讯。而当计算机要与外部

Internet网络进行通讯时，具有NAT功能的设备（如路由器或防火墙）负责将其私有IP地址转换为向ISP申请的即公网的IP地址进行通信。网络地址转换内部局部地址：在内部网络中使用，标识内部网络的主机。在内部网络中分配给主机的私用IP地址(如：)内部全局地址：在外部网络中使用，标识内部网络的主机。一般是由互联网服务提供商提供的一个合法IP地址（如：)外部全局地址：在外部网络中使用，标识外部网络的主机。一般是由互联网服务提供商提供的一个合法IP地址，该地址是从全球统一可寻址的地址空间中分配的（8）。外部局部地址：在内部网络中使用，标识外部网络的主机。外部网络的主机表现在内部网络的IP地址。这一地址是从内部可寻址的地址空间中分配的，很可能是从私有IP地址空间中分配(如：)。2、NAT的几个概念网络地址转换静态地址转换:通过手工指定内部局部地址和内部全局地址的映射，是一对一的关系，映射表是固定不变的。动态地址转换：如果NAT映射表是由防火墙动态建立的，我们称为动态NAT，它也是一对一的关系，但映射表可以改变。端口复用地址转换：首先它也是一种动态NAT，它和动态NAT区别是将多个内部IP地址映射成一个外部IP地址，关键是，它使用套接字来区分多个不同的会话3、NAT的分类网络地址转换

Internet内部局部IP内部全局IP内部网络NAT映射表主机B4、静态网络地址转换技术SA（1）DA（5）202.168.22DA（4）（2）（3）SA网络地址转换

Internet协议内部局部IP内部全局IP外部全局IPTCP:2492:2492:80TCP:3000:3000:80TCP:1500:1500:23内部网络NAT映射表主机B主机C5、动态网络地址转换技术SA（1）（2）SA（3）DA（4）DA（4）DA（5）6.4节防火墙的技术包过滤技术状态检测技术网络地址转换网络代理技术网络代理技术HostCHostAHostB数据包数据包拆数据包查询控制策略根据策略决定如何处理数据包数据包IP报头TCP报头数据包过滤的判断信息数据包控制策略应用代理的判断信息应用代理可以对数据包的数据区进行分析，以此来判别数据包是否允许通过。1、网络代理的工作原理网络代理技术TelnetdTelnet客户进程Telnet客户进程Telnetd服务进程Telnet外部不安全网络内部安全网络应用层代理应用层代理服务器起到了内部网络向外部网络申请服务时的中间转接作用。应用层代理上的服务实际上分为一个客户代理和一个服务器代理，telnetd是一个telnet的服务器守护进程，它侦听来到telnet的连接。然后决定下一步是否中转连接。2、Telnet代理服务为例网络代理技术Internet审计、监控、报警、安全策略等WWW代理服务Email代理服务FTP代理服务其他代理服务答复请求答复请求应用层代理内部网络3、Internet客户通过应用层代理访问内部网络主机网络代理技术

应用层代理为一种特定的服务（如TFP，Telnet等）提供代理服务，它不但转发流量而且对应用层协议做出解释。而电路级代理（通常也称为电路级网关）也是一种代理，但是只是建立起一个回路，对数据包只起到转发的作用。代理的优点是它可以对各种不同的协议提供服务。4、电路级代理网络代理技术5、电路级代理网络层数据链路/物理层电路级网关传输层TCP端口TCP端口电路级网关工作原理示意图SOCKS防火墙工作原理图SOCKS代理服务器外部不安全网络网络服务器内部安全网络SOCKS化客户端防火墙6、SOCKS电路代理技术网络代理技术6.5LinuxIptables防火墙配置LinuxIptables防火墙配置1、发展在Linux2.0的内核中开始集成了Ipfwadm,Ipfwadm通过三个规则栈：INPUT、OUTPUT、和FORWARD实现传统的数据包过滤技术。在2.1版本以后的Linux内核中Ipfwadm开始被Ipchains所代替，Ipchains和Ipfwadm相比具有两个优势：在包过滤规则中可以明确定义多种协议，如，ICMP，而不仅限于TCP和UDP开发者增加了在几乎任何规则中使用否定的能力，如：可以通过声明一条规则“拒绝所有那些不是来自网络内部的外出数据包”来实现反欺骗。从2.3版本的Linux内核开始，Linux开发者开始致力于Iptables的工作，Iptables主要针对商业环境下带状态检测的包过滤技术进行了增强。LinuxIptables防火墙配置2、策略分类在Iptables防火墙中提供了3种策略规则表：Filter、Mangle和NAT。Filter：Filter表示专门过滤包的，内建三个链，可以对包进行DROP、LOG、ACCEPT和REJECT等操作。Mangle：这个表主要用来修改数据包包头中的某些值。如：TTL、TOS或MARK。NAT：NAT表的主要用处是网络地址转换。LinuxIptables防火墙配置3、原理ROUTINGDECISIONINPUTFORWARDLOCALPROCESSOUTPUT数据包LinuxIptables防火墙配置当一个包进来的时候，也就是从以太网卡进入防火墙，内核首先根据路由表决定包的目标。如果目标主机是本机，则如上图直接进入Input链，再由本地正在等待该包的进程接受。否则，如果从以太网卡进来的包目标不是本机，再看是否内核允许转发，如果不允许则DROP掉，如果允许转发，则送出本机。该Linux防火墙主机自身产生包，由OUTPUT链出LinuxIptables防火墙配置4、命令用法及格式#iptables[-ttable]command[match][target]其中：（1）[-ttable]选项[-ttable]选项允许使用filter、nat和mangle等3种可用的表选项。该选项不是必须的，如果未指定，则filter用作缺省表。LinuxIptables防火墙配置（2）command命令command命令是iptables中最重要的部分，它对指定了iptables命令的具体操作，例如，插入规则、将规则添加到规则链的末尾或删除规则。常用参数：-A将一条或多条规则附加到链的末尾。-P用于设置规则链中缺省执行的策略，即所有与链中任何规则都不匹配的数据包将被强制使用此链的策略。-F用于快速删除规则，如果指定了链名，该命令删除链中的所有规则；如果未指定链名，该命令删除所有链中的所有链中所有规则LinuxIptables防火墙配置（3）match匹配

iptables命令中由match部分指定数据包所应具有的特征（如源和目的地地址、协议等），用于和规则的匹配。常用参数：-i指定本规则适用的进入/外出网络接口。通常有eth0、eth1、lo、ppp0等-p用于检查某些特定协议，包括TCP、UDP、ICMP，或者用逗号分隔的任意这3种协议的组合列表以及ALL，可以使用！符号，表示不与该项匹配。-s用于匹配数据包的源主机名称、源IP地址或网络地址，可以使用！符号，表示不与该项匹配。-d用于匹配数据包的目的地主机名、目的地IP地址。该匹配还允许对某一范围内IP地址进行匹配，可以使用！符号，表示不与该项匹配。LinuxIptables防火墙配置（4）target目标选项目标是规则中所指定的操作，与规则匹配的数据包将按照目标中定义的操作来执行。Match选项中必须使用大写的目标选项，如（ACCEPT、DROP、REJECT等。）ACCEPT：允许这个数据包通过。DROP：丢弃这个数据包。REFECT：删除通过的数据包，该目标的工作方式与DROP相同，但它和DROP的不同在于，REJECT不会在服务器和客户机上留下死套接字。LinuxIptables防火墙配置5、实例Internet防火墙内部网络eth1eth2eth0DMZ区www服务器/16/24/24实例一、允许内部网络访问InternetLinuxIptables防火墙配置第一步，设置默认策略：iptables–PINPUTDROPiptables–POUTPUTDROPiptables–PFORWARDDROP第二步，允许所有来自防火墙的网络流量进入Internet；激活SPI，允许任何相关的返回流量回到防火墙。iptables–AINPUT–ieth0–s–dany/0–jACCEPTiptables–AOUTPUT–mstate--stateESTABLISHED,RELATED–jACCEPTLinuxIptables防火墙配置第三步，实现内部网络接口和网络外部接口之间的数据转发；激活SPIiptables–AFORWARD–ieth1–oeth0–s/16–dany/0–jACCEPTiptables–AFORWARD–mstate--staeESTABLISHED,RELATED–jACCEPTLinuxIptables防火墙配置实例二主要完成的内网访问外网的ping,ftp（21，20）,telnet（23）的服务，括号中为端口号。外网访问防火墙的相应服务。其中为了使内网网段，内外网卡等作为变量。将它们定义为变量，内网网卡IP为LAN_IP,外网网卡IP为：INET_IP,内网网段IP为LAN_RANGE,允许被访问的外网IP：OUTINET,允许访问防火墙的外网IP：ININETLinuxIptables防火墙配置拓扑图如下外网网卡eth1内网网卡eth0内部网络/24/24/24/24LinuxWindows2000serverLinuxIptables防火墙配置配置步骤：1)初始化脚本#清除所有防火墙规则，相当于默认的禁止规则iptables–Fiptables-PINPUTDROP#丢弃输入的包iptables-POUTPUTDROP#丢弃输出的包LinuxIptables防火墙配置iptables-PFORWARDDROP#丢弃所有转发的包iptables-AINPUT-ilo-jACCEPT#打开本次回环的输入iptables-AOUTPUT-olo-jACCEPT#打开本地回环的输出iptables-AINPUT-ieth0-jACCEPT#打开内网网卡的输入iptables-AOUTPUT-oeth0-jACCEPT#打开内网网卡的输出iptables-tnat-APOSTROUTING-s192.168.10./24-jSNAT--to#将内网网段的ip地址改变为源地址为外网网卡的ip地址。相当于将内网的ip地址伪装为外网地址。LinuxIptables防火墙配置2)允许内网ping到外网机器iptables-AFORWARD-ieth0-picmp-s/24--icmp-type8-dany/0-jACCEPTiptables-AFORWARD-oeth0-picmp-sany/0--icmp-type0-d/24-jACCEPTLinuxIptables防火墙配置3)允许外网ping到防火墙iptables-AINPUT-ieth1-picmp-sany/0--icmp-type8-d-jACCEPTiptables-AOUTPUT-oeth1-picmp-s--icmp-type0

-damy/0-jACCEPTexit0LinuxIptables防火墙配置4)允许内网访问外网的telnet服务iptables-AFORWARD-ieth0-ptcp-s/24--sport1024:65535-dany/0--dport23-jACCEPTiptables-AFORWARD-oeth0-ptcp-sany/0--sport23-d/24--dport1024:65535-jACCEPTLinuxIptables防火墙配置5)允许外网访问防火墙的telnet服务iptables-AINPUT-ieth1-ptcp-sany/0--sport1024:65535-d--dport23-jACCEPTiptables-AOUTPUT-oeth1