第6章防火墙技术

计算机信息安全技术第六章防火墙技术目录6.1防火墙概述6.2防火墙的分类6.3防火墙的体系结构6.4防火墙的部署6.5防火墙技术的发展趋势6.6分布式防火墙技术6.1防火墙概述防火墙的定义防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域之间通信流的唯一通道，能根据用户有关的安全策略控制进出网络的访问行为。图6.1防火墙示意图6.1防火墙概述防火墙的特性

内部网络和外部网络之间的所有网络数据流都必须经过防火墙。只有符合安全策略的数据流才能通过防火墙。防火墙自身应具有非常强的抗攻击免疫力。6.1防火墙概述防火墙的功能阻止易受攻击的服务进入内部网集中安全管理对网络存取和访问进行监控审计检测扫描计算机的企图防范特洛伊木马防病毒功能6.1防火墙概述防火墙的局限性一、入侵者可以伪造数据绕过防火墙或者找到防火墙中可能开启的后门；二、防火墙不能防止来自网络内部的袭击；三、由于防火墙性能上的限制，通常它不具备实时监控入侵的能力；四、不能防御所有新的威胁，只能用来防备已知威胁，无法检测和防御最新的拒绝服务攻击（DOS）及蠕虫病毒的攻击。6.2防火墙的分类防火墙的发展简史

第一代防火墙(包过滤防火墙)第二、三代防火墙（代理型防火墙）第四代防火墙（动态包过滤防火墙）第五代防火墙（自适应代理防火墙）一体化安全网关UTM

防火墙技术的简单发展历史6.2防火墙的分类按软硬件形式分类软件防火墙硬件防火墙芯片级防火墙6.2防火墙的分类按防火墙技术分类包过滤（Packetfiltering）型

包过滤型防火墙工作在OSI网络参考模型的网络层和传输层；根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过;只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。6.2防火墙的分类第一代静态包过滤类型防火墙：

根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。图6.3第一代静态包过滤防火墙工作层次结构优点：

速度快、效率高，对流量的管理较出色；由于所有的通信必须通过防火墙，所以想绕过防火墙是困难的；同时对用户和应用是透明的。缺点：

允许外部网络直接连接到内部网络主机，网络边界的端口是静态、持续地打开；

只要数据包符合ACL规则都可以通过，无法区分数据包的真实意图。

不能为挂起的通信维持一个记录，无法识别UDP数据包和ICMP包的状态，所以必须根据数据包的格式来判断该数据包是否属于先前所允许的对话，可能导致基于IP源地址欺骗的网络攻击。

不支持用户身份认证，不提供日志功能，虽然可以过滤端口，但是不能过滤服务。2023/2/3116.2防火墙的分类第二代动态包过滤类型防火墙：采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测（StatefulInspection）技术。图6.4第二代动态包过滤防火墙工作层次结构优点：

检查的层面能够从网络层至应用层；

具有详细记录通过的每个包的信息的能力。缺点：

记录、测试和分析工作可能会造成网络连接的某种迟滞，尤其是在同时有许多连接激活的时候，或者有大量过滤网络通信的规则存在的时候。2023/2/3136.2防火墙的分类包过滤防火墙优点：不用改动客户机和主机上的应用程序包过滤防火墙缺点：过滤判别的依据只是网络层和传输层的有限信息，不能满足各种安全需求；过滤器中规则数目有限，随着规则数目增大，性能会受到很大影响；不能有效过滤如UDP、RPC一类的协议；大多数过滤器中缺少审计和报警机制，只能依据包头信息，不能对用户身份进行验证，容易受到“地址欺骗型”攻击2023/2/315防火墙安全规则通常情况下，网络管理员在防火墙设备的访问控制列表ACL（AccessControlList）中设定包过滤规则，以此来表明是否允许或者拒绝数据包通过。包过滤防火墙检查数据流中每个数据包的报头信息，例如源地址、目标地址、协议类型、协议标志、服务类型等，并与过滤规则进行匹配，从而在内外网络之间实施访问控制功能.包过滤防火墙的安全规则防火墙规则设置中所涉及的动作主要有以下几种：允许:允许数据包通过防火墙传输，并按照路由表中的信息被转发。放弃:不允许数据包通过防火墙传输，但仅丢弃，不发任何相应数据包。拒绝:不允许数据包通过防火墙传输，并向数据包的源端发送目的主机不可达的ICMP数据包。返回:没有发现匹配的规则，执行默认动作。

默认拒绝，即只允许指定允许的数据包，其他一切皆禁止，体现封闭性；

默认许可，即只禁止指定禁止的数据包，体现开放性。所有的防火墙都是在以下两种模式下配置安全规则：“白名单”模式系统默认为拒绝所有的流量，白名单上的规则是具有合法性访问的安全规则，这种模式是一种封闭的默认管理模式。“黑名单”模式系统默认为允许所有的流量，黑名单上定义的安全规则属于非法的、被禁止的网络访问，这种模式是一种开放的默认管理模式。包过滤防火墙一般有两类过滤规则的设置方法

1.按地址过滤用于拒绝伪造的数据包。若想阻止伪造源地址的数据包进入内部网。

规则号方向源地址目的地址动作n入内部任意拒绝2.按服务类型过滤即是按数据包的服务端口号来过滤。在TCP协议中，协议是双向的，以Telnet为例，其IP包的交换也是双向的。2023/2/320规则号方向协议源地址目的地址源端口目端口动作1出TCP内部任意23>1023允许2入TCP任意内部>102323允许6.2防火墙的分类应用代理（ApplicationProxy）型由于包过滤技术无法提供完善的数据保护措施，而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害（如SYN攻击、ICMP洪水等），因此人们需要一种更全面的防火墙保护技术。应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中，它也经历了两个不同的版本：第一代应用网关型代理防火墙和第二代自适应代理防火墙。

代理服务（ProxyService）是指运行于内部网络与外网之间的主机(堡垒主机)上的一种应用。

当用户需要访问代理服务器另一侧主机时，代理服务器对于符合安全规则的连接，会代替主机响应访问请求，并重新向主机发出一个相同的请求。

当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序的相应连接映射来实现。代理既是客户端（Client），也是服务器端（Server）。6.2防火墙的分类图6.5代理型防火墙结构示意图6.2防火墙的分类第一代应用网关（ApplicationGateway）型防火墙：通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。图6.6第一代应用网关防火墙工作层次结构6.2防火墙的分类第二代自适应代理（Adaptiveproxy）型防火墙：结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。基本要素：自适应代理服务器（AdaptiveProxyServer）与动态包过滤器（DynamicPacketfilter）。图6.7第二代自适应代理防火墙工作层次结构初始的安全检查仍在应用层中进行，保证实现传统防火墙的最大安全性。而一旦可信任身份得到认证，建立了安全通道，随后的数据包就可以重新定向到网络层。6.2防火墙的分类按防火墙结构分类单一主机防火墙路由器集成式防火墙分布式防火墙按防火墙的应用部署分类边界防火墙个人防火墙混合防火墙按防火墙性能分类百兆级防火墙千兆级防火墙6.3防火墙的体系结构堡垒主机体系结构堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点（checkpoint），以达到把整个网络的安全问题集中在某个主机上解决。设计和建立堡垒主机的基本原则有二条：1、最简化原则。堡垒主机越简单，对它进行保护就越方便。2、预防原则。只有充分对最坏的情况加以准备，并设计好对策，才可有备无患。6.3防火墙的体系结构双宿主主机体系结构双宿主主机的防火墙系统由一台装有两张网卡的堡垒主机构成。两张网卡分别与外部网以及内部受保护网相连。图6.8双宿主主机防火墙结构示意图（1）两个端口之间不能直接进行IP数据包的转发。（2）防火墙内部的系统可以与双宿主主机进行通信，同时防火墙外部的系统也可以与双宿主主机进行通信，但二者之间不能直接进行通信。（3）双宿主主机的防火墙体系结构相对简单，双宿主主机位于外部网和内部网之间，起到隔离和安全访问控制的作用。6.3防火墙的体系结构双宿主主机的实现方案：应用层数据共享，用户直接登录到双宿主主机图6.9双宿主主机结构防火墙（应用层数据共享）6.3防火墙的体系结构应用层代理服务，在双宿主机上运行代理服务器图6.10双宿主主机结构防火墙（应用层代理服务）（1）屏蔽主机结构中提供安全保护的主机仅仅与内部网相连。此外还有一台单独的包过滤路由器，它的作用是避免用户直接与内部网络相连。（2）过滤路由器按如下规则过滤数据包：任何外部网的主机都只能与内部网的堡垒主机建立连接，甚至只有提供某些类型服务的外部网的主机才被允许与堡垒主机建立连接。（3）任何外部系统对内部网络的操作都必须经过堡垒主机，同时堡垒主机本身具有较全面的安全维护。（4）在一台路由器上施加安全保护，比在一台主机上施加保护更便于管理，具有可操作性。（5）只要黑客设法通过了堡垒主机，那么整个内部网与堡垒主机之间就不再有任何阻碍；同样，路由器的保护也存在相同的缺陷，若黑客闯过路由器，那么整个内部网便会完全暴露。6.3防火墙的体系结构屏蔽主机体系结构6.3防火墙的体系结构图6.12屏蔽主机防火墙转发数据包的过程6.3防火墙的体系结构屏蔽子网体系结构

屏蔽子网结构就是在屏蔽主机结构中再增加一层边界网络（DMZ）的安全机制，使得内部网与外部网之间有二层隔断。图6.13屏蔽子网防火墙结构示意图在屏蔽子网结构中，有二台与边界网络直接相连的过滤路由器，一台位于边界网络与外部网之间，我们称之为外部路由器；另一台位于边界网络与内部网络之间，我们称之为内部路由器；屏蔽子网结构解决了双宿主主机和屏蔽主机两种结构的不足，是一种具有较完整体系结构，并且常用的防火墙构建方案。6.3防火墙的体系结构防火墙的结构组合策略

多堡垒主机合并内、外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器6.4防火墙的部署（自学）防火墙的设计原则

保持设计的简单性安排事故计划防火墙的选购原则第一要素：防火墙的基本功能第二要素：企业的特殊要求第三要素：与用户网络结合6.4防火墙的部署（自学）常见防火墙产品CheckpointFirewall-1Sonicwall系列防火墙NetScreenFirewallAlkatelInternetDevices系列防火墙北京天融信公司网络卫士防火墙NAIGauntlet防火墙6.5防火墙技术的发展趋势（自学）防火墙包过滤技术发展趋势身份认证技术多级过滤技术病毒防护技术防火墙的体系结构发展趋势防火墙的系统管理发展趋势

首先是集中式管理，分布式和分层的安全结构是将来的趋势。强大的审计功能和自动日志分析功能。网络安全产品的系统化。分布式防火墙体系结构包含如下部分：网络防火墙(NetworkFirewall)

用于内部网与外部网之间，以及内部网各子网之间的防护。与传统边界防火墙相比，网络防火墙增加了一种针对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。主机防火墙(HostFirewall)

作用在同一内部子网之间的工作站与服务器之间，确保内部网络服务器的安全。因此，防火墙的作用不仅用于内部网与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间的防护。中心管理(CentralManagement)

这是防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志汇