版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第8章防火墙技术的原理与应用
8.1防火墙概述
8.2防火墙技术与类型
8.3防火墙主要技术参数
8.4防火墙防御体系结构类型
8.5防火墙部署与应用案例8.6本章小结
本章思考与练习
8.1防
火
墙
概
述
8.1.1防火墙技术背景目前,各组织机构都是通过便利的公共网络与客户、合作伙伴进行信息交换的,但是,一些敏感的数据有可能泄露给第三方,特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁,连网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的平安信任程度和需要保护的对象,人为地划分假设干平安区域,这些平安区域有:*公共外部网络,如Internet。*内联网(Intranet),如某个公司或组织的专用网络,网络访问限制在组织内部。*Extranet,是内联网的扩展延伸,常用作组织与合作伙伴之间进行通信。*军事缓冲区域,简称DMZ,该区域是介于内部网络和外部网络之间的网络段,常放置公共效劳设备,向外提供信息效劳。在平安区域划分的根底上,通过一种网络平安设备,控制平安区域间的通信,就能实现隔离有害通信的作用,进而可以阻断网络攻击。这种平安设备的功能类似于防火使用的墙,因而人们就把这种平安设备俗称为“防火墙〞,它一般安装在不同的平安区域边界处,用于网络通信平安控制,由专用硬件或软件系统组成。8.1.2防火墙工作原理防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的平安规那么来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络平安屏障的作用。防火墙一般用来将内部网络与Internet或者其他外部网络互相隔离,限制网络互访,保护内部网络的平安,如图8-1所示。图8-1防火墙部署安装示意图
防火墙根据网络包所提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否那么不允许,如图8-2所示。防火墙的平安策略有两种类型,即:(1)只允许符合平安规那么的包通过防火墙,其他通信包禁止。(2)禁止与平安规那么相冲突的包通过防火墙,其他通信包都允许。图8-2防火墙工作示意图
防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。按照TCP/IP协议的层次,防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层,首先依据各层所包含的信息判断是否遵循平安规那么,然后控制网络通信连接,如禁止、允许。防火墙简化了网络的平安管理。如果没有它,网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的平安,就必须在每台主机上安装平安软件,并对每台主机都要定时检查和配置更新。归纳起来,防火墙的功能有:*过滤非平安网络访问。将防火墙设置为只有预先被允许的效劳和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。*限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络效劳,通常受保护网络中的Mail、FTP、WWW效劳器等可让外部网络访问,而其他类型的访问那么予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些效劳,例如某些不良网址。*网络访问审计。防火墙是外部网络与受保护网络之间的惟一网络通道,可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的效劳数据。防火墙的日志也可用于入侵检测和网络攻击取证。*网络带宽控制。防火墙可以控制网络带宽的分配使用,实现局部网络质量效劳(QoS)保障。*协同防御。目前,防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改平安策略,增强网络平安。8.1.3防火墙缺陷尽管防火墙有许多防范功能,但它也有一些力不能及的地方,因为防火墙只能对通过它的网络通信包进行访问控制,所以对未经过它的网络通信就无能为力了。例如,如果允许从内部网络直接拨号访问外部网络,那么防火墙就失效了,攻击者通过用户拨号连接直接访问内部网络,绕过防火墙控制,也能造成潜在的攻击途径。除此之外,防火墙还有一些脆弱点,例如:*防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多,以致于不能指望防火墙逐个扫描每个文件查找病毒,而只能在每台主机上安装反病毒软件。*防火墙不能防止基于数据驱动式的攻击。当有些外表看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击效果。防火墙对此无能为力。*防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制,例如tunnel等。8.2防火墙技术与类型
8.2.1包过滤包过滤是在IP层实现的防火墙技术。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中数据区内容的智能型包过滤器。基于包过滤技术的防火墙,简称包过滤型防火墙,英文表示就是PacketFilter,其工作机制如图8-3所示。
图8-3包过滤工作机制
目前,包过滤是防火墙的根本功能之一。多数现代的IP路由软件或设备都支持包过滤功能,并默认转发所有的包。ipf、ipfw、ipfwadm是有名的自由过滤软件,可以运行在Linux操作系统平台上。包过滤的控制依据是规那么集,典型的过滤规那么表示格式由规那么号、匹配条件、匹配操作三局部组成,包过滤规那么格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP,TCP,ICMP)、通信方向及规那么运算符来描述过滤规那么条件。而匹配操作有拒绝、转发、审计等三种。表8-1是包过滤型防火墙过滤规那么表,这些规那么的作用在于只允许内、外网的邮件通信,其他的通信都禁止。表8-1防火墙过滤规那么表包过滤型防火墙对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。在实际网络平安管理中,包过滤技术经常用来进行网络访问控制。下面以CiscoIOS为例,说明包过滤器的作用。CiscoIOS有两种访问规那么形式,即标准IP访问表和扩展IP访问表,它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行。标准IP访问控制规那么的格式如下:assess-listlist-mumber{deny|pernit}source[source-wildcard][log]而扩展IP访问规那么的格式是:assess-listlist-mumber{deny|pernit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]其中:*标准IP访问控制规那么的list-number规定为1~99,而扩展IP访问规那么的list-number规定为100~199;*deny表示假设经过CiscoIOS过滤器的包条件匹配,那么禁止该包通过;*permit表示假设经过CiscoIOS过滤器的包条件匹配,那么允许该包通过;*source表示来源的IP地址;*source-wildcard表示发送数据包的主机IP地址的通配符掩码,其中1代表“忽略〞,0代表“需要匹配〞,any代表任何来源的IP包;*destination表示目的IP地址;*destination-wildcard表示接收数据包的主机IP地址的通配符掩码;*protocol表示协议选项,如IP、ICMP、UDP、TCP等;*log表示记录符合规那么条件的网络包。下面给出一个例子,用Cisco路由器防止DDoS攻击,配置信息如下:!theTRINOODDoSsystemsaccess-list170denytcpanyanyeq27665logaccess-list170denyudpanyanyeq31335logaccess-list170denyudpanyanyeq27444log!theStacheldrahtDDoSsystemsaccess-list170denytcpanyanyeq16660logaccess-list170denytcpanyanyeq65000log!theTrinityV3systemsaccess-list170denytcpanyanyeq33270logaccess-list170denytcpanyanyeq39268log!theSubsevensystemsandsomevariantsaccess-list170denytcpanyanyrange67116712logaccess-list170denytcpanyanyeq6776logaccess-list170denytcpanyanyeq6669logaccess-list170denytcpanyanyeq2222logaccess-list170denytcpanyanyeq7000log简而言之,包过滤成为当前解决网络平安问题的重要技术之一,不仅可以用在网络边界上,而且也可应用在单台主机上。例如,现在的个人防火墙以及Windows2000和WindowsXP都提供了对TCP、UDP等协议的过滤支持,用户可以根据自己的平安需求,通过过滤规那么的配置来限制外部对本机的访问。图8-4是利用Windows2000系统自带的包过滤功能对139端口进行过滤,这样可以阻止基于RPC的漏洞攻击。图8-4Windows2000过滤配置示意图
包过滤防火墙技术的优点是低负载、高通过率、对用户透明;但是包过滤技术的弱点是不能在用户级别进行过滤,如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设置成一个合法主机的IP地址,就可以轻易通过包过滤器。
8.2.2应用效劳代理应用效劳代理防火墙扮演着受保护网络的内部网主机和外部网络主机的网络通信连接“中间人〞的角色,代理防火墙代替受保护网络的主机向外部网络发送效劳请求,并将外部效劳请求响应的结果返回给受保护网络的主机,如图8-5所示。图8-5代理效劳工作流程示意图采用代理效劳技术的防火墙简称代理效劳器,它能够提供在应用级的网络平安访问控制。代理效劳器按照所代理的效劳可以分为FTP代理、TELENET、HTTP代理、SOCKET代理、邮件代理等。代理效劳器通常由一组按应用分类的代理效劳程序和身份验证效劳程序构成。每个代理效劳程序应用到一个指定的网络端口,代理客户程序通过该端口获得相应的代理效劳。例如,IE浏览器支持多种代理配置,包括HTTP、FTP、SOCKs等,如图8-6所示。图8-6IE浏览器配置示意图
代理效劳技术也是常用的防火墙技术,平安管理员为了对内部网络用户进行应用级上的访问控制,常安装代理效劳器,如图8-7所示。受保护内部用户对外部网络访问时,首先需要通过代理效劳器的认可,才能向外提出请求,而外网的用户只能看到代理效劳器,从而隐藏了受保护网的内部结构及用户的计算机信息。因而,代理效劳器可以提高网络系统的平安性。应用效劳代理技术的优点是:图8-7代理效劳器工作示意图*不允许外部主机直接访问内部主机;*支持多种用户认证方案;*可以分析数据包内部的应用命令;*可以提供详细的审计记录。而它的缺点是:*速度比包过滤慢;*对用户不透明;*与特定应用协议相关联,代理效劳器并不能支持所有的网络协议。8.2.3网络地址转换NAT是“NetworkAddressTranslation〞的英文缩写,中文的意思是“网络地址转换〞。NAT技术主要是为了解决公开地址缺乏而出现的,它可以缓解少量因特网IP地址和大量主机之间的矛盾。但NAT技术用在网络平安应用方面,那么能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,从而提高内部网络的平安性。基于NAT技术的防火墙上装有一个合法的IP地址集,当内部某一用户访问外网时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。实现网络地址转换的方式有:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)三种类型。其中,静态NAT设置起来最为简单,此时内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池那么是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。PAT那么是把内部地址映射到外部网络的一个IP地址的不同端口上。NAT的三种方式目前已被许多的路由器产品支持。在路由器上定义启用NAT的一般步骤如下:第一步,确定使用NAT的接口,通常将连接到内部网络的接口设定为NAT内部接口,将连接到外网的接口设定为NAT的外部接口。第二步,设定内部全局地址的转换地址及转换方式。第三步,根据需要将外部全局地址转换为外部本地地址。目前,专用的防火墙产品都支持地址转换技术,比较常见的有:IP-Filter和iptable。IP-Filter的功能强大,它可完成ipfwadm、ipchains、ipfw等防火墙的功能,而且安装配置相比照较简单。8.3防火墙主要技术参数
8.3.1防火墙功能指标防火墙主要功能类指标项如表8-2所示。
表8-2防火墙主要功能类指标项
8.3.2防火墙性能指标评估防火墙性能指标涉及到防火墙所采用的技术,根据现有防火墙产品,防火墙在性能方面的指标主要有:*最大吞吐量:检查防火墙在只有一条默认允许规那么和不丢包的情况下到达的最大吞吐速率。*转送速率:检查防火墙在通常平安规那么发生作用的情况下,能以多快的速度转送正常的网络通信量。*最大规那么数:检查在添加大数量访问规那么的情况下,防火墙的性能变化状况。*并发连接数:防火墙在单位时间内所能建立的最大TCP连接数,即每秒的连接数。8.3.3防火墙平安指标由于防火墙在网络平安中扮演着重要的角色,因此防火墙的自身平安至关重要。当前,评价防火墙的平安功能的指标主要有:*入侵实时警告:防火墙能够对自身和受保护网络的非法攻击进行多种告警,如声音、日志、邮件、呼机、等。*实时入侵防范:提供实时入侵响应功能,当发生入侵事件时,防火墙能够动态响应,调整平安策略,阻挡恶意报文。*抗攻击性要求:防火墙具有抵抗针对本身和受保护网络的攻击能力,这些攻击包括IP地址欺骗、拒绝效劳攻击、渗透性攻击等。*防火墙所采用的操作系统应是平安可信的:防火墙应采用平安的操作系统或平安增强型的操作系统。8.4防火墙防御体系结构类型8.4.1基于双宿主主机防火墙结构基于双宿主主机结构是最根本的防火墙系统结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中,一般都是将一个内部网络和外部网络分别连接在不同的网卡上,使内外网络不能直接通信。对从一块网卡上送来的IP包,经过一个平安检查模块检查后,如果是合法的,那么转发到另一块网卡上,以实现网络的正常通信;如果不合法,那么阻止通信。这样,内外网络直接的IP数据流完全在双宿主主机的控制之中,如图8-8所示。图8-8双宿主主机防火墙结构
8.4.2基于代理型防火墙结构双宿主主机结构由一台同时连接内外网络的主机提供平安保障,代理型结构那么不同。代理型结构中由一台主机同外部网连接,该主机代理内部网和外部网的通信。同时,代理型结构中还包括过滤路由器,即代理效劳器和路由器共同构建了一个网络平安边界防御架构,如图8-9所示。图8-9代理型防火墙结构
在这种结构中,代理主机位于内部网络。一般情况下,过滤路由器可按如下规那么进行配置:*允许其他内部主机为某些类型的效劳请求与外部网络建立直接连接。*任何外部网(或Internet)的主机只能与内部网络的代理主机建立连接。*任何外部系统对内部网络的操作都必须经过代理主机。同时,代理主机本身要求要有较全面的平安保护。由于这种结构允许包从外部网络直接传送到内部网(代理主机),因此这种结构的平安控制看起来似乎比双宿主主机结构差。在双宿主主机结构中,外部网络的包理论上不可能直接抵达内部网。但实际上,应用双宿主主机结构防护数据包从外部网络进入内部网络也很容易失败,并且这种失败是随机的,所以无法有效地预先防范。一般来说,代理型结构比双宿主主机结构能提供更好的平安保护,同时操作也更加简便。代理型结构的主要缺点是,只要攻击者设法攻破了代理主机,那么对于攻击者来说,整个内部网络与代理主机之间就没有任何障碍了,攻击者变成了内部合法用户,完全可以侦听到内部网络上的所有信息。8.4.3基于屏蔽子网的防火墙结构如图8-10所示,子网过滤结构是在代理型结构中增加了一层周边网络的平安机制,使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网,减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机,也不能侦听到内部网络的信息,不能对内部网络直接操作。基于屏蔽子网的防火墙结构的特点是:*应用代理位于被屏蔽子网中,内部网络向外公开的效劳器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络。*两个包过滤路由器的功能和配置是不同的,包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问,都必须经过代理效劳器的检查和认证。*优点:平安级别最高。*缺点:本钱高,配置复杂。图8-10屏蔽子网防火墙结构
8.5防火墙部署与应用案例
8.5.1防火墙部署的根本方法与步骤防火墙部署是指根据受保护的网络环境和平安策略,如网络物理结构或逻辑区域,将防火墙安装在网络系统中的过程。防火墙部署的根本过程包含以下几个步骤:第一步,根据组织或公司的平安策略要求,将网络划分成假设干平安区域;第二步,在平安区域之间设置针对网络通信的访问控制点;第三步,针对不同访问控制点的通信业务需求,制定相应的边界平安策略;第四步,依据控制点的边界平安策略,采用适宜的防火墙技术和防范结构;第五步,在防火墙上,配置实现对应的边界平安策略;第六步,测试并验证边界平安策略是否正常执行。第七步,运行和维护防火墙。8.5.2基于Cisco路由器的平安应用案例图8-11某公司的网络结构
为了保证内部网络和路由器的平安,特定义如下平安策略:*只允许指定的主机收集SNMP管理信息;*禁止来自外部网络的非法通信流通过;*禁止来自内部网络的非法通信流通过;*只允许指定的主机远程访问路由器。Cisco路由器的平安配置信息如下:HostnameEast!interfaceEthernet0ipipaccess-group100in!interfaceEthernet1ipipaccess-group102in!routerospf44network55area0network55area1!!access-list75appliestohostsallowedtogatherSNMPinfo!fromthisrouternoaccess-list75!!access-list100appliestotrafficfromexternalnetworks!totheinternalnetworkortotherouternoaccess-list100access-list100denyip 55anylogaccess-list100denyiphost0host0logaccess-list100denyip55anylogaccess-list100denyip55anylogaccess-list100denyip55 anylogaccess-list100denyip 55 anylogaccess-list100denyip 55 anylogaccess-list100denyip 55 anylogaccess-list100denyip 55 anylogaccess-list100denyip55anylogaccess-list100denyipanyhost55logaccess-list100denyipanyhostlogaccess-list100permittcpany55establishedaccess-list100denyicmpanyanyechologaccess-list100denyicmpanyanyredirectlogaccess-list100denyicmpanyanymask-requestlogaccess-list100permiticmpaccess-list100permitospfaccess-list100denytcpanyanyrange60006063logaccess-list100denytcpanyanyeq6667logaccess-list100denytcpanyanyrange1234512346logaccess-list100denytcpanyanyeq31337logaccess-list100permittcpgt1023access-list100denyudpanyanyeq2049logaccess-list100denyudpanyanyeq31337logaccess-list100denyudpanyanyrange3340034400logaccess-list100permitudpanyeqgt1023access-list100denytcpanyrange065535anyrange065535logaccess-list100denyudpanyrange065535anyrange065535logaccess-list100denyipanyanylog!!access-list102appliestotrafficfromtheinternalnetwork!toexternalnetworksortotherouteritselfnoaccess-list102access-list102denyiphost50host50logaccess-list102permiticmp55anyechoaccess-list102permiticmp55anyparameter-problemaccess-list102permiticmp55anypacket-too-bigaccess-list102permiticmp55anysource-quenchaccess-list102denytcpanyanyrange119logaccess-list102denytcpanyanyeq43logaccess-list102denytcpanyanyeq93logaccess-list102denytcpanyanyra
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 五年级思想品德上册教案
- 青海省公务员面试真题汇编5
- 山东省职业能力测验真题2013年
- 2024年运输承揽合同模板
- 2024年商业合作协议书范本
- 2024年酒店工作人员聘用合同
- 建筑工程项目组织管理
- 2024年简易租房协议书合同(2450字)
- 买房保密协议书范本2024年
- 2024年一般贸易合同模板
- 医疗器械质量安全风险会商管理制度
- 抑郁病诊断证明书
- 高铁项目桥上救援疏散通道施工方案2019.05.25
- 各科室廉政风险点排查表
- LED路灯说明书
- 1984年高考数学试题(全国理)及答案[1]
- 10kV电压互感器(母线PT)试验报告
- 成立事业部合作协议书
- 销售团队组织构架(实用收藏)
- 现代控制理论-14爱克曼(Ackermann)公式
- 明德小学防溺水教育学校师生家庭协调联动会议记录
评论
0/150
提交评论