课程四：防火墙技术

防火墙技术课件简介课件名称防火墙技术适用专业及等级安全L1级内容简介防火墙技术大纲防火墙类型、功能、性能指标、局限性介绍版本V_1.0日期2015.09.23主要更新内容无负责人曹二皇遗留问题无教材主要阅读对象安全管理人员、安全技术人员培训重点：熟悉防火墙类型、功能、性能指标等，熟练掌握防火墙技术原理、功能等。建议培训时间：约2小时课程基础：熟悉中国移动防火墙及web服务器技术规范及设备安全技术要求系统管理人员培训重点：了解防火墙类型、功能、性能指标等，熟练防火墙技术原理、功能等。建议培训时间：约1小时课程基础：无提纲防火墙简介防火墙类型防火墙功能防火墙技术相关术语防火墙性能指标防火墙的局限性简介——防火墙是什么？

“城门失火，殃及池鱼”怎么办？简介——防火墙是什么？InputInputoutputoutputforwardforward过滤！过滤！过滤！实现一个公司的安全策略创建一个阻塞点记录INTERNET活动限制网络暴露简介——防火墙是什么？Internet路由器内部子网1内部子网2企业内部网简介——防火墙的发展历程（1）第一阶段：基于路由器的防火墙第二阶段：用户化的防火墙工具套第三阶段：建立在通用操作系统上的防火墙第四阶段：具有安全操作系统的防火墙简介——防火墙的发展历程（2）第一代基于路由器防火墙产品的特点：利用路由器本身对分组的解析,以访问控制表（ACL）方式实现对分组的过滤；过滤判决的依据可以是：地址、端口号、IP旗标及其它网络特征；只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络可采用路由器附带防火墙功能的方法；简介——防火墙的发展历程（3）第一代防火墙产品的不足之处：路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易；路由器上的分组过滤规则的设置和配置存在安全隐患；攻击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙；防火墙的规则设置会大大降低路由器的性能；简介——防火墙的发展历程（4）作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求，提供模块化的软件包；软件可通过网络发送，用户可根据需要构造防火墙；与第一代防火墙相比，安全性提高了，价格降低了。简介——防火墙的发展历程（5）第二代防火墙产品的不足之处：配置和维护过程复杂、费时；对用户的技术要求高；全软件实现，安全性和处理速度均有局限；实践表明，使用中出现差错的情况很多；简介——防火墙的发展历程（6）第三代建立在通用操作系统上的防火墙具有以下特点：是批量上市的专用防火墙产品；包括分组过滤或者借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高；简介——防火墙的发展历程（7）第三代防火墙产品存在的问题：作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证；由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击；用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商；简介——防火墙的发展历程（8）第四代具有安全操作系统的防火墙具有以下特点：防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理:即去掉不必要的系统特性，加固内核，强化安全保护；对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部分构成威胁；具有加密与鉴别功能；透明性好，易于使用；防火墙类型包过滤防火墙状态检测防火墙代理防火墙混合防火墙个人防火墙防火墙类型——包过滤（1）包过滤防火墙又叫网络级防火墙，是防火墙最基本的形式；防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。包过滤防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则；本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的设备可能有两块网卡，一块连到内部网络，一块连到公共的Internet。防火墙类型——包过滤（2）包过滤防火墙的工作原理：防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。防火墙类型——包过滤（3）建立包过滤防火墙规则的例子如下：在公共网络，只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许与Web连接使用相同端口的连接，所以它并不是十分安全。丢弃从公共网络传入，但源地址为内部网络地址的包，从而减少IP欺骗性的攻击。丢弃包含源路由信息的包，以减少源路由攻击。要记住，在源路由攻击中，传入的包包含路由信息，它覆盖了包通过网络应采取得正常路由，可能会绕过已有的安全程序。通过忽略源路由信息，防火墙可以减少这种方式的攻击。防火墙类型——包过滤（4）使用包过滤防火墙的优点包括：防火墙对每条传入和传出网络的包实行低水平控制；每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等，防火墙将基于这些信息应用过滤规则；防火墙可以识别和丢弃带欺骗性源IP地址的包；包过滤防火墙是两个网络之间访问的唯一来源，因为所有的通信必须通过防火墙，绕过是困难的；包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征；防火墙类型——包过滤（5）使用包过滤防火墙的缺点包括：配置困难：因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞；为特定服务开放的端口存在着危险，可能会被用于其他传输；可能还有其他方法绕过防火墙进入网络，例如拨入连接，但这个并不是防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因；防火墙类型——状态检测（1）状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由checkpoint提出。防火墙类型——状态检测（2）工作原理：TCP包：当建立起一个TCP连接时，通过的第一个包被标有包的SYN标志。通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。对内部的连接试图连到外部主机，防火墙注明连接包，允许响应随后在两个系统之间传输的包，直到连接结束为止。在这种方式下，传入的包只有在它是响应一个已建立的连接时，才会被允许通过。防火墙类型——状态检测（3）工作原理：UDP包：UDP包比TCP包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难，因为没有打开的连接可利用，以测试传入的包是否应被允许通过。可是，如果防火墙跟踪包的状态，就可以确定。对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。和TCP包一样，没有传入的UDP包会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包，情况和UDP包类似。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。防火墙类型——状态检测（4）状态/动态检测防火墙的优点有：具有检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则；识别带有欺骗性源IP地址包的能力；具有基于应用程序信息验证一个包的状态的能力，例如基于一个已经建立的FTP连接，允许返回的FTP包通过；允许一个先前认证过的连接继续与被授予的服务通信；具有记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等；防火墙类型——状态检测（5）状态/动态检测防火墙的缺点：状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。防火墙类型——代理防火墙（1）应用级防火墙主要工作在应用层。应用级防火墙往往又称为应用级网关。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立对公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。

防火墙类型——代理防火墙（2）代理防火墙通常支持的一些常见的应用程序有：HTTPHTTPS/SSLSMTPPOP3IMAPNNTPTELNETFTP防火墙类型——代理防火墙（3）应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制，为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内部发动攻击的可能性大大减少。防火墙类型——代理防火墙（4）

工作原理：应用级防火墙检查进出的数据包，通过自身（网关）复制传递数据，防止在受信主机与非受信主机间直接建立联系。应用级防火墙能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和审核。其基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内网。防火墙类型——代理防火墙（5）使用应用程序代理防火墙的优点有：指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问；通过限制某些协议的传出请求，来减少网络中不必要的服务；大多数代理防火墙能够记录所有的连接，包括地址和持续时间；这些信息对追踪攻击和发生的未授权访问的事件是很有用的；防火墙类型——代理防火墙（6）应用程序代理防火墙的缺点有：必须在一定范围内定制用户的系统，这取决于所用的应用程序；一些应用程序可能根本不支持代理连接；实现麻烦，而且有的应用级网关缺乏“透明度”；在实际使用中，用户在受信任网络上通过防火墙访问Internet时，经常会出现延迟和多次登录才能访问外网的问题；应用级防火墙每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙；防火墙类型——混合型防火墙具有包过滤防火墙的功能；具有应用级代理防火墙的功能；结合两类防火墙高效率和高安全性的优点；防火墙类型——个人防火墙现在网络上流传着很多的个人防火墙软件，它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相似的方式，保护一台计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使得它们可以监视传入传出网卡的所有网络通信。以个人PC为主，单一主机为防护主体；以Port阻挡为主，或结合入侵检测系统的部分功能；均为Windows操作系统的软件；防火墙类型——个人防火墙

1.防火墙能够控制是否允许某个模块访问网络。当应用程序访问网络的时候，对参与访问的模块进行检查，根据模块的访问规则决定是否允许该访问。

2.通过启发式查毒技术，当有程序进行网络活动的时候，对该进程调用未知木马扫描程序进行扫描，提高对可疑程序自动识别的能力

3.对需要调用IE接口的程序进行检查,对恶意程序进行检查，报警并阻断

4.提供强大的、可以升级的黑名单规则库。库中是非法的、高风险、高危害的网站地址列表，符合该库的访问会被禁止的。

防火墙功能从总体上看，防火墙应具有以下基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警；防火墙功能网络地址转换NAT防火墙双机热备负载均衡联动：与IDS联动/与病毒服务器的联动VPN功能功能与技术——过滤过滤是防火墙所要实现的最基本功能，现在的防火墙已经由最初的地址、端口判定控制，发展到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。

功能与技术——URL级信息过滤这往往是代理模块的一部分，许多产品把这个功能单独提取出来，以满足用户需要，它实现起来其实是和代理结合在一起的。URL过滤用来控制内部网络对某些站点的访问，如禁止访问某些站点、禁止访问站点下的某些目录、只允许访问某些站点或者其下目录等等。功能与技术——NAT（1）NAT——网络地址转换翻译内部主机的IP地址而使外部的监视器无法探测到他们。为什么需要网络地址转换？Internet技术是基于IP协议的技术，所有的信息通信都是通过IP包来实现的，每一个设备需要进行通信都必须有一个唯一的IP地址，NAT很好的解决了IP地址短缺的问题；避免内部主机直接暴露在网络中；功能与技术——NAT（2）NAT的实现方式当网络数据包流入防火墙时，系统会检查该数据包是否符合用户设定的NAT规则，如果找到符合的规则，系统会按照规则对数据包进行转换，同时建立一条NAT进程，当有数据包返回时，将检查进程表，进行相应的处理。这里我们可以看到，NAT需要对每一条TCP/IP连接建立一条对应的NAT进程表项。假如不对查询算法进行优化，在访问量大的情况下，查询NAT进程表项将会占用大量CPU。功能与技术——NAT（3）NAT的模式静态地址映射：在内部的IP地址与公有IP地址间建立一一对应的静态映射关系，对用户来说，既可拥有自己的公有地址，方便的和外部通信，又可不必直接与外部网络相连，得到防火墙的保护；动态地址池分配：采用动态地址池分配，管理员可以事先定义好一组可用的公有Internet地址，当用户需要对外访问时，防火墙将会从这一组可用的公有Internet地址中的IP动态分配抽取一个没有使用的IP地址给用户，使用户得到合法的IP地址与外部访问。当用户完成访问时，系统将回收这个IP地址，将它分配给另外一个用户使用；端口地址转换：采用端口地址转换，管理员只需要设定一个或多个可以用作端口地址转换的公有Internet地址，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法InternetIP可以映射六万多个台内部网主机；功能与技术——NAT（4）网络地址转换NAT防火墙09外部地址9内部用户:6012:601209:6000109:60001功能与技术——代理透明代理（Transparentproxy）透明代理实质上属于DNAT的一种，它主要指内网主机需要访问外网主机时，不需要做任何设置，完全意识不到防火墙的存在，而完成内外网的通信。但其基本原理是防火墙截取内网主机与外网通信，由防火墙本身完成与外网主机通信，然后把结果传回给内网主机，在这个过程中，无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。而从外网只能看到防火墙，这就隐藏了内网网络，提高了安全性;功能与技术——代理传统代理传统代理工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。代理能实现较高的安全性，不足之处是响应变慢。功能与技术——审计和报警机制（1）在防火墙结合网络配置和安全策略对相关数据分析完成以后，就要作出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全规定，审计和报警机制开始起作用，并作记录，报告等等；审计是一种重要的安全措施，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置，并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后，以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员；功能与技术——审计和报警机制（2）防火墙的审计和报警机制在防火墙体系中是很重要的，只有有了审计和报警，管理人员才可能知道网络是否受到了攻击。另外，防火墙的该功能也有很大的发展空间，如日志的过滤、抽取、简化等等。日志还可以进行统计、分析、（按照特征）存储（在数据库中），稍加扩展便又是一个网络分析与查询模块。功能与技术——审计和报警机制（3）日志由于数据量比较大，主要通过两种方式解决，一种是将日志挂接在内网的一台专门存放日志的日志服务器上；一种是将日志直接存放在防火墙本身的存储器上。日志单独存放这种方式配置较为麻烦，然而可以存放的日志量可以很大；日志存放在防火墙本身时，无需做额外配置，然而由于防火墙容量一般很有限，所存放的日志量往往较小。目前这两种方案在防火墙产品中均有使用。功能与技术——流量控制（带宽管理）流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制，基于用户的控制是通过用户登录来控制每个用户的流量，从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。功能与技术——统计分析、流量计费流量统计是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间、协议等等进行统计，并可以与管理界面实现挂接，实时或者以统计报表的形式输出结果。流量计费从而也是非常容易实现的。功能与技术——MAC与IP地址的绑定MAC与IP地址绑定起来，主要用于防止受控（不可访问外网）的内部用户通过更换IP地址访问外网。8800:88:CC:A0:2C:4DIP包8888:88:88:88:88:88IP包功能与技术——双机备份与负载均衡防火墙双机备份与负载均衡防火墙与IDS联动功能联动（与IDS的联动）监测网络报文设置命令功能与技术——VPN（1）在以往的网络安全产品中VPN是作为一个单独一个产品出现的，现在更多的厂家把两者捆绑到一起，这似乎体现了一种产品整合的趋势。

功能与技术——VPN（2）VPN功能（网关到网关模式）InternetVPN网关B非安全通道安全通道非安全通道VPN网关A数据在这一段是认证的数据在这一段是加密的功能与技术——抗攻击能力（1）DOS（DDOS）攻击（分布式）拒绝服务攻击是目前一种很普遍的攻击方式，在预防上也是比较困难的；目前防火墙对于这种攻击的解决办法主要是提高防火墙本身的健壮性（如增加缓冲区大小）；例如：在Linux内核中有一个防止Synflooding攻击的选项：CONFIG_SYN_COOKIES，它是通过为每一个Syn建立一个缓冲（cookie）来分辨可信请求和不可信请求；另外对于ICMP攻击，可以通过关闭ICMP回应来实现；功能与技术——抗攻击能力（2）IP假冒（IPspoofing）IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的;防火墙设计上应该知道网络内外的IP地址分配，从而丢弃所有来自网络外部但却有内部地址的数据包；防火墙将内网的实际地址隐蔽起来，外网很难知道内部的IP地址，攻击难度加大；IP假冒主要来自外部，对内网可不考虑此问题（其实同时内网的IP假冒情况也可以得到遏制）；功能与技术——抗攻击能力（3）特洛伊木马防火墙本身预防木马比较简单，只要不让系统不能执行下载的程序即可；一个需要说明的地方是必须指出的是，防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上，内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决（防火墙只能在内网主机感染木马以后起一定的防范作用）；功能与技术——抗攻击能力（4）口令字攻击口令字攻击既可能来自外部，也可能来自内部，主要是来自内部；（在管理主机与防火墙通过单独接口通信的情况下，口令字攻击是不存在的）来自外部的攻击即用穷举的办法猜测防火墙管理的口令字，这个很容易解决，只要不把管理部分提供给外部接口即可；内部的口令字攻击主要是穷举和嗅探，其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字，如果口令字已加密，则解密得到口令字；目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。；功能与技术——抗攻击能力（5）邮件诈骗邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单，不接收任何邮件就可以了。然而象木马攻击一样，内网主机仍可收发邮件，邮件诈骗的危险仍然存在，其解决办法一个是内网主机本身采取措施防止邮件诈骗，另一个是在防火墙上做过滤。功能与技术——抗攻击能力（6）抗网络安全性分析网络安全性分析工具本是供管理人员分析网络安全性之用的（例如：端口扫描器、数据包嗅探器等），一旦这类工具用作攻击网络的手段，则能较方便地探测到内部网络的安全缺陷和弱点所在，这些分析工具给网络安全构成了直接威胁；防火墙可采用地址转换等技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网作分析；防火墙技术相关术语(1)几个概念堡垒主机(BastionHost)：对外部网络暴露，同时也是内部网络用户的主要连接点双宿主主机(dual-homedhost)：至少有两个网络接口的通用计算机系统DMZ(DemilitarizedZone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网防火墙技术相关术语—透明接入防火墙技术相关术语—路由接入防火墙技术相关术语—混合接入防