防火墙技术及设计课件

反病毒与防火墙技术－－byJeffery第二章防火墙技术及设计

在上一章中我们介绍了防火墙的一些基础知识，对防火墙已有了一定的认识。在本章我们通过对一些防火墙技术和典型的防火墙设计模式的介绍，来进一步从原理上认识防火墙。

1、包过滤包过滤又称“报文过滤”，它是防火墙最传统、最基本的过滤技术。防火墙的产生也是从这一技术开始的，最早是于1989年所提出的。防火墙的包过滤技术就是对通信过程中数据进行过滤(又称筛选)，使符合事先规定的安全规则(或称“安全策略)的数据包通过，而使那些不符合安全规则的数据包丢弃。这个安全规则就是防火墙技术的根本，它是通过对各种网络应用、通信类型和端口的使用来规定的。防火墙对数据的过滤，首先是根据数据包中包头部分所包含的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口及数据包传递方向等信息，判断是否符合安全规则，以此来确定该数据包是否允许通过。先来看一下防火墙方案部署的网络拓扑结构，所有的防火墙方案网络拓扑结构都可简化为如图2－1所示。在这个网络结构中防火墙位于内、外部网络的边界，内部网络可能包括各种交换机、路由器等网络设备。而外部网络通常是直接通过防火墙与内部网络连接，中间不会有其它网络设备。防火墙作为内、外部网络的唯一通道，所以进、出的数据都必须通过防火墙来传输的。这就有效地保证了外部网络的所有通信请求，当然包括黑客所发出的非法请求都能在防火墙中进行过滤。图2－1防火墙网络拓扑结构“动态包过滤”(Dynamicpacketfilter)技术首先是由USC信息科学院的BobBraden于1992年开发提出的，它属于第四代防火墙技术，后来演变为目前所说的状态监视(Statefulinspection)技术。1994年，以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。这种技术比起静态包过滤技术来说先进多了，它可动态根据实际应用请求，自动生成或删除相应包过滤规则，而无需管理员人工干预。这样就解决了静态包过滤技术使用和管理难度大的问题。同时动态包过滤技术还可分析高层协议，可以更有效、全面地对进出内部网络的通信进行监测，进一步确保内部网络的安全。但这种动态包过滤技术仍只能对数据的IP地址信息进行过滤，不能对用户身份的合法性进行鉴定。同时通常也没有日志记录可查，这为日常的网络安全管理带来了困难。正如此，它很快被新一代自适应代理防火墙所替代。在黑客攻击方面，包过滤式防火墙，在今天的黑客技术下，显得不堪一击。攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，”信息包冲击“是黑客比较常用的一种攻击手段，黑客们对包过滤式防火墙发出一系列信息包，不过这些包中的IP地址已经被替换掉了(FakeIP)，取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙，黑客便可以用这个IP地十来伪装他们发出的信息。对付包过滤防火墙另一种方法就是通常所说的”网络炸弹“，或者说”拒绝服务“(DoS)。攻击者向被攻击的计算机发出许许多多个虚假的“同步请求（SYN）”信号包，当服务器响应了这种信号包后，会等待请求发出者的回答，而攻击者不做任何的响应。当服务器在处理成千上万个虚假请求时，它便没有时间来处理正常的用户请求，处于这种攻击下的服务器和死锁没什么两样。此种防火墙的缺点是很明显的，通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。此外，配置繁琐也是包过滤防火墙的一个缺点。包过滤另一个关键的弱点就是不能在用户级别上进行过滤，即不能鉴别不同的用户和防止IP地址盗用。3、网络地址转换(NAT，NetworkAddressTranslate)当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法因特网IP地址有限，而且受保护网络往往有自己的一套本地IP地址规划。在防火墙上配置NAT技术，就需要在防火墙上配置一个合法IP地址集，当内部网络用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址，内部网络用户就可通过防火墙来访问外部网络。4、应用级网关(代理服务器)顾名思义，应用级网关工作在OSI七层参考模型的应用层，也有人把它称为“代理服务器”技术。它属于第五代防火墙技术，它最早是在1998年，由NAI公司推出的，并在其产品GauntletFirewallforNT中得以实现。它给代理类型的防火墙赋予了全新的意义。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络。代理服务是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程度或者特定服务，同时，还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特定的互联网服务，如超文本传输(HTTP)、远程文件传输(FTP)等。代理服务器通常拥有高速缓存，缓存中存有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就用不着重复地去下载同样的内容，既节约了时间也节约了网络资源。图2－2应用级网关的工作原理图应用级网关技术也可使用NAT技术隐藏内部网络用户IP地址，同时还可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。因此应用级网关比包过滤具有更高的安全性。但是这种认证使得应用级网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。这种代理技术需要为每个应用编写专门的程序。应用级网关技术的主要优点是：可以提供用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实；因需对每一类应用都需要一个专门的代理，要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关，显然其灵活性不够，严重制约了新应用的采纳。电路级网关的应用原理与应用级网关相同，网关的作用就是接收客户端连接请求，根据客户的地址及所请求端口，将该连接重定向到指定的服务器地址及端口上，代理客户端完成网络连接，然后在客户和服务器间中转数据。它的优点就是通用性强、对客户端应用完全透明，但在转发前需同客户端交换连接信息，所以需对客户端应用作适当修改。（区别：）6.非军事化区(DMZ)DMZ位于企业内部网络和外部网络之间的小网络区域，它是为内部网络放置一些必须公开的服务器设施而划分的，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡，就是这个DMZ区域。网络结构如图2－3所示。图2－3DMZ区透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。8、隔离域名服务器(SplitDomainNameServer)这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。二、几种典型的防火墙设计在防火墙已走过的历史中，主要出现过以下几种设计结构模式，它们各自代表着相应时期的防火墙技术。1、屏蔽路由器模式这是最初的防火墙设计方案，它不是采用专用的设备部署的，而是在原有的路由器上进行包过滤部署的。具备这种包过滤技术的路由器也称为“屏蔽路由器”。一个屏蔽路由器是最简单的防火墙策略。这个方法在防火墙概念提出初期非常流行，主要是因为很多公司已经具备了这样的硬件条件，也没有专门的防火墙设备推出。原有路由器设备的公司只需要进行一些另外的包过滤配置即可实现防火墙安全策略。这种防火墙方案拓扑结构如图2－4所示。图中担当屏蔽路由器角色的就是原有路由器，在其中的防火墙包过滤配置中，可以根据数据包包头信息中的IP地址、UDP和TCP端口来过滤数据。图2－4防火墙拓扑结构图1这种防火墙方案有个最大的缺点就是配置复杂，非专业人员很难正确、有效地配置。如果采用这种措施，就需要对TCP/IP有很好的理解，并能够在路由器上正确地进行有关数据包过滤的设置。如果不能够正确地进行配置，危险的数据包就有可能透过防火墙进入内部局域网。如果这是唯一的安全设备，那么黑客们将非常容易地攻破系统，在局域网里为所欲为。另外一点值得注意的就是采用这种措施，内部网络的IP地址并没有被隐藏起来，并且它不具备监测，跟踪和记录的功能。2、双宿主机模式这种模式也有称”双穴主机模式“。它是一种非常简单的防火墙模式，它不是用真正的硬件防火墙来实现的，它是通过在一台俗称为”堡垒主机“的计算机上安装有配置网络控制软件来实现的。所谓”双宿主机“，就是指堡垒主机同时连接着一个内、外部网络，担当起全部的网络安全维护责任。网络拓扑结构如图2－5所示。图2－5防火墙网络拓扑结构图2在图中起安全防护作用的堡垒主机其实就是一台计算机，为了自身的安全，在这台堡垒主机上安装的服务最少，只需要安装一些与包过滤功能有关的软件，满足一般的网络安全防护即可。它所拥有权限最少，这样就可避免一旦黑客攻占了堡垒主机后，迅速控制内部网络的不良后果。因为控制权限低，黑客虽然攻陷了堡垒主机，但仍不能拥有什么过高的网络访问权限，也就不至于给内部网络造成太大危害。这种双宿主机模式还有的应用于对多个内部网络或网段的维护。就是一个堡垒主机同时连接着一个外部网络和两个或以上内部网络(或网段)。这就需要在堡垒主机上安装多块网卡。3、屏蔽主机模式由于前一种”屏蔽路由器“防火墙方案过于单调，很容易被黑客攻击，所以在后期的防火墙技术中，又增加一道安全防线，在路由器后增加了一个用于应用安全控制的计算机，充当堡垒主机角色。这就是所谓的”屏蔽主机防火墙“模式，又有称”屏蔽主机“模式。屏蔽主机防火墙模式网络拓扑结构如图2－6所示。图2－6防火墙网络拓扑结构图3这种设计采用屏蔽路由器和堡垒主机双重安全设施，所有进出的数据都要经过屏蔽路由器和堡垒主机，保证了网络级和应用级的安全。路由器进行包过滤，堡垒主机进行应用安全控制。这是一种很可靠的设计，一个黑客必须穿透路由和堡垒主机才能够到达内部网络。为了使堡垒主机具备足够强的抗攻击性能，在堡垒主机上只安装最小的服务、并且所拥有的权限也是最低的。采用这种设计作为应用级网关(代理服务器)，可以使用网络地址转换(NAT)技术来屏蔽内部网络。可以更进一步，建立”屏蔽多宿主机防火墙“模式。在这种结构中，堡垒主机可以连接多个内部网络或网段，也就需在堡垒主机上安装多块网卡。它同样可以使内部网络在物理上和外部网络断开，所以也可以达到保护内部网络的目的。多宿主机防火墙网络拓扑结构如图2－7所示。图2－7防火墙网络拓扑结构图44、非军事区结构模式在前面的防火墙技术中，我们已介绍了DMZ(非军事区)技术。网络设备开发商，利用这一技术，开发出了相应的防火墙解决方案。DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如图2－8所示。图2－8非军事区结构图DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器，但要注意的是电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到