防火墙-防火墙技术备课讲稿

防火墙-防火墙技术防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙防火墙是指隔离在本地网络与外界网络之间的一道防御系统。通过防火墙可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。防火墙的定义防火墙嵌入在局域网和Internet连接的网关上所有从内到外和从外到内的数据都必须通过防火墙（物理上阻塞其它所有访问）只有符合安全政策的数据流才能通过防火墙防火墙特征确保一个单位内的网络与因特网的通信符合该单位的安全方针，简单地说，就是要为管理人员提供下列问题的答案：–谁在使用网络？–他们在网络上做什么？–他们什么时间使用了网络？–他们上网去了何处？–谁试图上网但没有成功？防火墙的作用根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。防火墙的功能防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行防火墙能防止非授权用户进入内部网络，有效地对抗外部网络入侵由于所有的访问都经过防火墙，防火墙成为审计和记录网络的访问和使用的最佳地点，可以方便地监视网络的安全性并报警。可以作为部署网络地址转换（NetworkAddressTranslation）的地点，利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。防火墙可以作为IPSec的平台，可以基于隧道模式实现VPN 。防火墙的优点为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。不能对内部威胁提供防护支持。受性能限制，防火墙对病毒传输保护能力弱。防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。防火墙不能有效地防范数据内容驱动式攻击。作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。防火墙的局限性在构筑防火墙之前,需要制定一套完整有效的安全战略网络服务访问策略

一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。

防火墙安全规则设计策略

一种是“一切未被允许的就是禁止的”，一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。防火墙策略常见的防火墙有三种类型：分组（包）过滤防火墙；应用代理防火墙；状态检测防火墙。防火墙的分类分组过滤（PacketFiltering）：包过滤；作用在协议组的网络层和传输层；根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过；只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。防火墙的分类-分组过滤应用代理（ApplicationProxy）：也叫应用网关（ApplicationGateway）；它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。防火墙的分类-应用代理状态检测（StatusDetection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。防火墙的分类-状态检测数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃分组过滤防火墙分组过滤防火墙的工作机制对每个经过的IP包应用安全规则集合检查，决定是转发或者丢弃该包过滤包是双向的过滤规则基于与IP或TCP包头中字段的匹配（如四元组：源IP地址、目的IP地址、源端口、目的端口）两种缺省策略（丢弃或允许）分组过滤防火墙优点：简单对用户透明高速缺点：对于利用特定应用的攻击，防火墙无法防范配置安全规则比较困难缺少鉴别，不支持高级用户认证日志功能有限分组过滤防火墙IP地址欺骗：丢弃那些从外部接口到达的，但却具有内部IP地址的包路由选路攻击：丢弃所有设置该选项的包微小分片攻击：丢弃协议类型是TCP并且IP分片标志为1的分片包可能的攻击和相应对策一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许***TCP2允许*20*TCP3禁止*20<1024TCP分组过滤防火墙WinRoute目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。案例：用WinRoute创建包过滤规则

以管理员身份安装该软件，安装完毕后，启动“WinRouteAdministration”，WinRoute的管理界面如图所示。默认情况下，该密码为空。点击按钮“OK”，进入系统管理。当系统安装完毕以后，该主机就将不能上网，需要修改默认设置，点击工具栏图标，出现本地网络设置对话框，然后查看“Ethernet”的属性，将两个复选框全部选中，如图所示。利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。选择菜单项“PacketFilter”。在包过滤对话框中可以看出目前主机还没有任何的包规则。选中图中网卡图标，单击按钮“添加”。出现过滤规则添加对话框，所有的过滤规则都在此处添加，如图9-9所示。因为“Ping”指令用的协议是ICMP，所以这里要对ICMP协议设置过滤规则。在协议下拉列表中选择“ICMP”，如图所示。在“ICMPType”栏目中，将复选框全部选中。在“Action”栏目中，选择单选框“Drop”。在“LogPacket”栏目中选中“LogintoWindow”，创建完毕后点击按钮“OK”，一条规则就创建完毕，如图所示。为了使设置的规则生效，点击按钮“应用”，如图所示。设置完毕，该主机就不再响应外界的“Ping”指令了，使用指令“Ping”来探测主机，将收不到回应，如图所示。虽然主机没有响应，但是已经将事件记录到安全日志了。选择菜单栏“View”下的菜单项“Logs>SecurityLogs”，察看日志纪录如图所示。FTP服务用TCP协议，FTP占用TCP的21端口，主机的IP地址是“09”，首先创建规则如表所示。组序号动作源IP目的IP源端口目的端口协议类型1禁止*09*21TCP案例：用WinRoute禁用FTP访问

利用WinRoute建立访问规则，如图所示。设置访问规则以后，再访问主机“09”的FTP服务，将遭到拒绝，如图所示。访问违反了访问规则，会在主机的安全日志中记录下来，如图所示。HTTP服务用TCP协议，占用TCP协议的80端口，主机的IP地址是“09”，首先创建规则如表所示。组序号动作源IP目的IP源端口目的端口协议类型1禁止*09*80TCP案例：用WinRoute禁用HTTP访问

利用WinRoute建立访问规则，如图所示。打开本地的IE连接远程主机的HTTP服务，将遭到拒绝，如图所示。访问违反了访问规则，所以在主机的安全日志中记录下来，如图所示。应用代理（ApplicationProxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。应用代理防火墙应用级网关应用级网关的工作机制优点：网关理解应用协议，可以实施更细粒度的访问控制，因此比包过滤更安全易于配置，界面友好不允许内外网主机的直接连接只需要详细检查几个允许的应用程序对进出数据进行日志和审计比较容易缺点：额外的处理负载，处理速度比包过滤慢对每一类应用，都需要一个专门的代理灵活性不够应用级网关常见防火墙系统模型

常见防火墙系统一般按照四种模型构建：筛选路由器模型；单宿主堡垒主机（屏蔽主机防火墙）模型；双宿主堡垒主机（屏蔽防火墙系统）模型；屏蔽子网模型。堡垒主机:BastionHost堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。双宿主机:Dual-homedHost有两个网络接口的计算机系统,一个接口接内部网,一个接口接外部网。一些概念安装安全操作系统只安装重要服务，如Telnet、DNS、FTP、SMTP等需要进行鉴别每个代理配置成只支持标准命令集的一个子集每个代理配置成只允许访问指定的主机所有连接、通信都执行日志审计各代理间相互独立每个代理都运行在专用和安全的目录中堡垒主机特征筛选路由器模型

筛选路由器模型是网络的第一道防线，功能是实施包过滤。如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。单宿主堡垒主机模型单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。双宿主堡垒主机模型

双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，DemilitarizedZone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。防火墙配置之一

（单地址堡垒主机）典型的路由器安全规则配置：对于来自Internet的数据包，只有目标指定为堡垒主机的IP包才允许进入对于来自内部网的数据包，只有来自堡垒主机的IP包才允许发出堡垒主机执行鉴别和代理服务比简单地配置单独的包过滤路由器或应用级网关具有更大的安全性：既实现了包一级又实现了应用级的过滤一个入侵者必须同时渗透两个单独的系统同时也为支持直接的Internet访问提供了灵活性（如配置Web服务器，可以将路由器配置成允许直接通信）单地址堡垒主机防火墙配置之二

（双地址堡垒主机）设置成双地址后，所有的专用网主机（如Web服务器）与Internet的通信都必须通过堡垒主机，比单地址方式对安全的要求更为严格双地址堡垒主机防火墙配置之三

（屏蔽的子网防火墙）采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事化区（de-militarizedzone；DMZ）”网络管理员将堡垒主机，WEB服务器、Mail服务器等公用服务器放在DMZ中。内部网络和外部网络均可访问DMZ，但禁止它们穿过DMZ直接进行通信。这