防火墙技术详解

北京天和科瑞咨询有限公司北京邮电大学移动互联网与信息化实验室2011年6月防火墙技术详解防火墙技术详解

1.1防火墙简介

1.2防火墙的功能要求

1.3防火墙的安全配置

1.4防火墙的安全管理简介——防火墙是什么？InputInputoutputoutputforwardforward过滤！过滤！过滤！实现一个公司的安全策略创建一个阻塞点记录INTERNET活动限制网络暴露简介——防火墙的放在哪？Internet路由器内部子网1内部子网2企业内部网防火墙类型包过滤防火墙状态检测防火墙代理防火墙混合防火墙个人防火墙防火墙类型——包过滤（1）任务:就是作为“通信警察”，指引包和截住那些有危害的包。包过滤防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则；本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的设备可能有两块网卡，一块连到内部网络，一块连到公共的Internet。防火墙类型——包过滤（2）包过滤防火墙的工作原理：防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。防火墙类型——包过滤（3）建立包过滤防火墙规则的例子如下：在公共网络，只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许与Web连接使用相同端口的连接，所以它并不是十分安全。丢弃从公共网络传入，但源地址为内部网络地址的包，从而减少IP欺骗性的攻击。丢弃包含源路由信息的包，以减少源路由攻击。要记住，在源路由攻击中，传入的包包含路由信息，它覆盖了包通过网络应采取得正常路由，可能会绕过已有的安全程序。通过忽略源路由信息，防火墙可以减少这种方式的攻击。防火墙类型——包过滤（4）使用包过滤防火墙的优点包括：防火墙对每条传入和传出网络的包实行低水平控制；每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等，防火墙将基于这些信息应用过滤规则；防火墙可以识别和丢弃带欺骗性源IP地址的包；包过滤防火墙是两个网络之间访问的唯一来源，因为所有的通信必须通过防火墙，绕过是困难的；包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征；使用包过滤防火墙的缺点包括：配置困难：因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞；为特定服务开放的端口存在着危险，可能会被用于其他传输；可能还有其他方法绕过防火墙进入网络，例如拨入连接，但这个并不是防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因；防火墙类型——状态检测（1）状态检测又称动态包过滤，是在传统包过滤上的功能扩展，包过滤防火墙中引入了状态检测表，最早由checkpoint提出。防火墙类型——状态检测（2）工作原理：TCP包：当建立起一个TCP连接时，通过的第一个包被标有包的SYN标志。通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。对内部的连接试图连到外部主机，防火墙注明连接包，允许响应随后在两个系统之间传输的包，直到连接结束为止。在这种方式下，传入的包只有在它是响应一个已建立的连接时，才会被允许通过。防火墙类型——状态检测（3）工作原理：UDP包：UDP包比TCP包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难，因为没有打开的连接可利用，以测试传入的包是否应被允许通过。可是，如果防火墙跟踪包的状态，就可以确定。对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。和TCP包一样，没有传入的UDP包会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包，情况和UDP包类似。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。防火墙类型——状态检测（4）状态/动态检测防火墙的优点有：具有检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则；识别带有欺骗性源IP地址包的能力；具有基于应用程序信息验证一个包的状态的能力，例如基于一个已经建立的FTP连接，允许返回的FTP包通过；允许一个先前认证过的连接继续与被授予的服务通信；具有记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等；状态/动态检测防火墙的缺点：所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。防火墙类型——代理防火墙（1）应用级防火墙主要工作在应用层。应用级防火墙往往又称为应用级网关。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立对公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。

防火墙类型——代理防火墙（2）HTTPHTTPS/SSLSMTPPOP3IMAPNNTPTELNETFTP支持的常见应用程序：应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制，为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内部发动攻击的可能性大大减少。防火墙类型——代理防火墙（3）

工作原理：应用级防火墙检查进出的数据包，通过自身（网关）复制传递数据，防止在受信主机与非受信主机间直接建立联系。应用级防火墙能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和审核。其基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内网。防火墙类型——代理防火墙（4）使用应用程序代理防火墙的优点有：指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问；通过限制某些协议的传出请求，来减少网络中不必要的服务；大多数代理防火墙能够记录所有的连接，包括地址和持续时间；这些信息对追踪攻击和发生的未授权访问的事件是很有用的；应用程序代理防火墙的缺点有：必须在一定范围内定制用户的系统，这取决于所用的应用程序；一些应用程序可能根本不支持代理连接；实现麻烦，而且有的应用级网关缺乏“透明度”；在实际使用中，用户在受信任网络上通过防火墙访问Internet时，经常会出现延迟和多次登录才能访问外网的问题；应用级防火墙每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙；防火墙类型——混合型防火墙具有包过滤防火墙的功能；具有应用级代理防火墙的功能；结合两类防火墙高效率和高安全性的优点；防火墙类型——个人防火墙现在网络上流传着很多的个人防火墙软件，它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相似的方式，保护一台计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使得它们可以监视传入传出网卡的所有网络通信。以个人PC为主，单一主机为防护主体；以Port阻挡为主，或结合入侵检测系统的部分功能；均为Windows操作系统的软件；防火墙类型——个人防火墙

1.防火墙能够控制是否允许某个模块访问网络。当应用程序访问网络的时候，对参与访问的模块进行检查，根据模块的访问规则决定是否允许该访问。

2.通过启发式查毒技术，当有程序进行网络活动的时候，对该进程调用未知木马扫描程序进行扫描，提高对可疑程序自动识别的能力

3.对需要调用IE接口的程序进行检查,对恶意程序进行检查，报警并阻断

4.提供强大的、可以升级的黑名单规则库。库中是非法的、高风险、高危害的网站地址列表，符合该库的访问会被禁止的。

防火墙功能从总体上看，防火墙应具有以下基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；审计和报警机制；网络地址转换NAT防火墙双机热备负载均衡联动：与IDS联动/与病毒服务器的联动VPN功能功能与技术——过滤

过滤是防火墙所要实现的最基本功能，现在的防火墙已经由最初的地址、端口判定控制，发展到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。

URL级信息过滤这往往是代理模块的一部分，许多产品把这个功能单独提取出来，以满足用户需要，它实现起来其实是和代理结合在一起的。URL过滤用来控制内部网络对某些站点的访问，如禁止访问某些站点、禁止访问站点下的某些目录、只允许访问某些站点或者其下目录等等。功能与技术——

NAT（1）NAT——网络地址转换

翻译内部主机的IP地址而使外部的监视器无法探测到他们。NAT的实现方式当网络数据包流入防火墙时，系统会检查该数据包是否符合用户设定的NAT规则，如果找到符合的规则，系统会按照规则对数据包进行转换，同时建立一条NAT进程，当有数据包返回时，将检查进程表，进行相应的处理。这里我们可以看到，NAT需要对每一条TCP/IP连接建立一条对应的NAT进程表项。假如不对查询算法进行优化，在访问量大的情况下，查询NAT进程表项将会占用大量CPU。功能与技术——

NAT（2）NAT的模式静态地址映射：在内部的IP地址与公有IP地址间建立一一对应的静态映射关系，对用户来说，既可拥有自己的公有地址，方便的和外部通信，又可不必直接与外部网络相连，得到防火墙的保护；动态地址池分配：采用动态地址池分配，管理员可以事先定义好一组可用的公有Internet地址，当用户需要对外访问时，防火墙将会从这一组可用的公有Internet地址中的IP动态分配抽取一个没有使用的IP地址给用户，使用户得到合法的IP地址与外部访问。当用户完成访问时，系统将回收这个IP地址，将它分配给另外一个用户使用；端口地址转换：采用端口地址转换，管理员只需要设定一个或多个可以用作端口地址转换的公有Internet地址，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法InternetIP可以映射六万多个台内部网主机；功能与技术——代理透明代理（Transparentproxy）透明代理实质上属于DNAT的一种，它主要指内网主机需要访问外网主机时，不需要做任何设置，完全意识不到防火墙的存在，而完成内外网的通信。但其基本原理是防火墙截取内网主机与外网通信，由防火墙本身完成与外网主机通信，然后把结果传回给内网主机，在这个过程中，无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。而从外网只能看到防火墙，这就隐藏了内网网络，提高了安全性;传统代理传统代理工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。功能与技术——审计和报警机制在防火墙结合网络配置和安全策略对相关数据分析完成以后，就要作出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全规定，审计和报警机制开始起作用，并作记录，报告等等；审计是一种重要的安全措施，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置，并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后，以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员；功能与技术——流量控制（带宽管理）流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制，基于用户的控制是通过用户登录来控制每个用户的流量，从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。功能与技术——统计分析、流量计费流量统计是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间、协议等等进行统计，并可以与管理界面实现挂接，实时或者以统计报表的形式输出结果。流量计费从而也是非常容易实现的。功能与技术——

MAC与IP地址的绑定MAC与IP地址绑定起来，主要用于防止受控（不可访问外网）的内部用户通过更换IP地址访问外网。8800:88:CC:A0:2C:4DIP包8888:88:88:88:88:88NOIP包功能与技术——双机备份与负载均衡防火墙双机备份与负载均衡防火墙与IDS联动功能联动（与IDS的联动）监测网络报文设置命令功能与技术——VPNVPN功能（网关到网关模式）InternetVPN网关B非安全通道安全通道非安全通道VPN网关A数据在这一段是认证的数据在这一段是加密的防火墙配置简介本章我们会对防火墙的基本配置进行介绍，包括：帐号口令配置访问控制、流控配置地址转换配置VPN配置远程管理配置日志管理配置双机热备配置这里以CISCO的PIX为例进行说明。防火墙配置简介--帐号口令配置确保所有使用的口令必须为健壮口令，password和enable的口令都需要加密存放，对consoleline、auxiliaryline和virtualterminallines访问设置密码并加密保护：EnablesecretPIX(config)#enablesecret02manyRt3sConsoleLinePIX(config)#linecon0PIX(config-line)#passwordSoda-4-jimmYAuxiliaryLinePIX(config)#lineaux0PIX(config-line)#passwordPopcorn-4-saraVTYLinesPIX(config)#line

vty04PIX(config-line)#passwordDots-4-georg3保护口令不以明文显示PIX(config)#servicepassword-encryption

防火墙配置简介--Radius配置CISCOPIX防火墙

aaanew-model

aaa-serverHBCMCC_Authprotocolradius

aaa-serverHBCMCC_Authmax-failed-attempts3

aaa-serverHBCMCC_Auth

deadtime10

aaa-serverHBCMCC_Auth(inside)hostxx.xx.xx.xx

aaaauthenticationtelnetconsoleHBCMCC_AuthLOCAL防火墙配置简介--访问控制、流控配置配置access-list，设置允许登录的IP地址和登录类型:PIX(config)#access-list110permittcpA.B.C.Deq22PIX(config)#access-list110permitiphostanylog7PIX(config)#access-list110permitiphostanyPIX(config)#access-list110denyipanyanylog2PIX(config)#access-group110ininterface<interface>防火墙配置简介--NAT配置CISCOPIX防火墙内网某个网段被转换成某一个或多个外网地址Nat(inside)1Global(outside)1把某个内网地址映射到外网上Static(inside,outside)Static(inside,outside)tcp808080NAT0的作用Access-listnetpermitipanyNat(inside)0access-listnet防火墙配置简介--VPN配置CISCOPIX防火墙cryptoipsectransform-setmyset

esp-desesp-md5-hmaccryptodynamic-mapdynmap10settransform-setmysetcryptomapvpn10ipsec-isakmpdynamicdynmapcryptomapvpn20ipsec-isakmpcryptomapvpn20matchaddress110cryptomapvpn20setpeer1cryptomapvpn20settransform-setmysetcryptomapvpnclientconfigurationaddressinitiatecryptomapvpnclientconfigurationaddressrespondcryptomapvpninterfaceoutside

isakmpenableoutside

isakmpkey********address1netmask55isakmpidentityaddressisakmpclientconfigurationaddress-poollocalyyoutside

isakmppolicy10authenticationpre-shareisakmppolicy10encryptiondes

isakmppolicy10hashmd5isakmppolicy10group2isakmppolicy10lifetime86400防火墙配置简介—远程管理配置PIX在进行远程管理设置时,外网口上不能使用telnet进行管理,而只能使用SSH方式，设置SSH的超时间隔和尝试登录次数。PIX(config)#ip

sshtimeout90PIX(config)#ip

ssh

anthentication-retries2PIX(config)#linevty04PIX(config-line)#access-class22inPIX(config-line)#transportinputsshPIX(config-line)#loginlocalPIX(config-line)#exit

防火墙配置简介—日志管理配置CISCOPIX防火墙

loggingonloggingtimestamploggingstandbyloggingconsolealertsloggingbuffereddebuggingloggingtrapwarningslogginghistoryale