第5章访问控制与防火墙

第5章访问控制与防火墙第一页，共57页。第5章访问控制与防火墙第二页，共57页。本章概要本章针对访问控制和防火墙技术展开详尽的描述：防火墙的分类；防火墙的工作原理；防火墙的不足；防火墙的部署方式。3第三页，共57页。课程目标通过本章的学习，读者应能够：了解访问控制与防火墙的基本原理；防火墙的部署方式；主流防火墙产品。4第四页，共57页。5.1网络防火墙的基本概念

防火墙是一种高级访问控制设备，是在被保护网和外网之间执行访问控制策略的一种或一系列部件的组合，是不同网络安全域间通信流的通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。它是网络的第一道防线，也是当前防止网络系统被人恶意破坏的一个主要网络安全设备。它本质上是一种保护装置，在两个网之间构筑了一个保护层。所有进出此保护网的传播信息都必须经过此保护层，并在此接受检查和连接，只有授权的通信才允许通过，从而使被保护网和外部网在一定意义下隔离，防止非法入侵和破坏行为。图1网络拓扑图不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户DMZ5第五页，共57页。防火墙的主要技术应用层代理技术

(ApplicationProxy)包过滤技术

(PacketFiltering)状态包过滤技术

(StatefulPacketFiltering)应用层表示层会话层传输层网络层数据链路层物理层防火墙的主要技术种类6第六页，共57页。5.2.1包过滤技术包过滤技术的基本概念包过滤技术指在网络中适当的位置对数据包有选择的通过，选择的依据是系统内设置的过滤规则，只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则从数据流中删除。包过滤一般由屏蔽路由器来完成。屏蔽路由器也称过滤路由器，是一种可以根据过滤规则对数据包进行阻塞和转发的路由器。

7第七页，共57页。包过滤技术的基本概念

包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。图3防火墙示意图8第八页，共57页。包过滤技术

包过滤技术是防火墙最常用的技术。对一个充满危险的网络，这种方法可以阻塞某些主机或网络连入内部网络，也可以限制内部人员对一些危险和色情站点的访问。图4包过滤技术概念数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据TCP报头IP报头分组过滤判断信息企业内部网屏蔽路由器数据包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略9第九页，共57页。包过滤的优点和不足包过滤技术具有以下优点：用户透明；传输性能高；成本较低。同样，包过滤技术也存在着以下几方面的不足：该技术是安防强度最弱的防火墙技术；虽然有一些维护工具，但维护起来十分困难；IP包的源地址、目的地址、TCP端口号是唯一可以用于判断是否包允许通过的信息；10第十页，共57页。只能阻止一种类型的地址欺骗，即外部主机伪装内部主机的IP，而对外部主机伪装其他外部主机的IP却不能阻止，另外不能防止DNS欺骗；如果外部用户被允许访问内部主机，则他就可以直接访问内部网络上的任何主机。11第十一页，共57页。5.2.2状态包检测技术

状态包检测技术是包过滤技术的延伸，常被称为“动态包过滤”，是一种与包过滤相类似但更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。适合网络流量大的环境。

状态包检测技术有以下主要特点：

a.高安全性：工作在数据链路层和网络层之间，确保截取和检测所有通过网络的原始数据包。虽然工作在协议栈的较低层，但可以监视所有应用层的数据包，从中提取有用的信息，安全性得到较大提高。12第十二页，共57页。b.高效性：一方面，通过防火墙的数据包都在协议栈的较低层处理，减少了高层协议栈的开销；另一方面，由于不需要对每个数据包进行规则检查，从而使得性能得到了较大提高。

C.可伸缩和易扩展：由于状态表是动态的，当有一个新的应用时，它能动态的产生新的规则，而无需另外写代码，因而具有很好的可伸缩和易扩展。

d.应用范围广：不仅支持基于TCP的应用，而且支持基于无连接协议的应用。13第十三页，共57页。5.2.3代理服务技术

代理(Proxy)服务技术又称为应用层网关(Applicationgateway)技术，是运行于内部网络与外部网络之间的主机(堡垒主机)之上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器将代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。14第十四页，共57页。1.代理服务技术的优点

a.代理放火墙的最大好处是透明性。对用户来说，代理服务器提供了一个“用户正在与目标服务器直接打交道”的假象；对目标服务器来说，代理服务器提供了一个“目标服务器正在与用户的主机系统直接打交道”的假象。

b.由于代理机制完全阻断了内部网络与外部网络的直接联系，保证了内部网络拓扑结构等重要信息被限制在代理网关内侧，不会外泄，从而减少了黑客攻击时所需的必要信息。15第十五页，共57页。

c.通过代理访问Internet可以隐藏真实IP地址，同时解决合法IP地址不够用的问题。因为Internet见到的只是代理服务器的地址，内部不合法的IP地址可以通过代理访问Internet。

d.用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。

e.应用层网关有能力支持可靠的拥护认证并提供详细的注册信息。代理工作在客户机和真实服务器之间，可提供很详细的日志和安全审计功能。16第十六页，共57页。2.代理服务技术的不足

a.有限的连接：某种代理服务器只能用于某种特定的服务，如FTP服务器提供FTP服务，Telnet服务器提供Telnet服务，所能提供的服务和可伸缩性是有限的。所以代理服务器主要应用于安防要求较高但网络流量不太大的环境。

b.有限的技术：代理服务器不能为RPC、Talk和其他一些基于通用协议簇的服务提供代理。17第十七页，共57页。

c.有限的性能：处理性能远不及状态包检测技术高。

d.有限的应用：代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时，如果代理服务程序不予支持，则此应用不能使用。解决的方法之一是自行编制特定服务的代理服务程序，但工作量大，而且技术水平要求很高。18第十八页，共57页。5.3防火墙的功能利用防火墙保护内部网主要有以下几个主要功能：控制对网点的访问和封锁网点信息的泄露防火墙可看作检查点，所有进出的信息都必须穿过它，为网络安全起把关作用，有效地阻挡外来的攻击，对进出的数据进行监视，只允许授权的通信通过；保护网络中脆弱的服务。能限制被保护子网的泄露为防止影响一个网段的问题穿过整个网络传播，防火墙可隔离网络的一个网段和另一个网段，从而限制了局部网络安全问题对整个网络的影响。19第十九页，共57页。具有审计作用防火墙能有效地记录Internet网的活动，因为所有传输的信息都必须穿过防火墙，防火墙能帮助记录有关内部网和外部网的互访信息和入侵者的任何企图。能强制安全策略

Internt网上的许多服务是不安全的，防火墙是这些服务的“交通警察”，它执行站点的安全策略，仅仅允许“认可”和符合规则的服务通过。此外，防火墙还具有其他一些优点，如：监视网络的安全并产生报警；保密性好，强化私有权；提供加密和解密及便于网络实施密钥管理的能力。20第二十页，共57页。5.4防火墙的不足

虽然网络防火墙在网络安全中起着不可替代的作用，但它不是万能的，有其自身的弱点，主要表现在：防火墙不能防备病毒虽然防火墙扫描所有通过的信息，但扫描多半是针对源与目标地址以及端口号，而并非数据细节，有太多类型的病毒和太多种方法可使病毒在数据中隐藏，防火墙在病毒的防范上是不适用的。防火墙对不通过它的连接无能为力虽然防火墙能有效的控制所有通过它的信息，但对从网络后门及调制解调器拨人的访问则无能为力。21第二十一页，共57页。防火墙不能防备内部人员的攻击目前防火墙只提供对外部网络用户攻击的防护，对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。所以，如果入侵者来自防火墙的内部，防火墙则无能为力。限制有用的网络服务防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。由于多数网络服务在设计之初根本没有考虑安全性，所以都存在安全问题。防火墙限制这些网络服务等于从一个极端走向了另一个极端。22第二十二页，共57页。防火墙不能防备新的网络安全问题防火墙是一种被动式的防护手段，只能对现在已知的网络威胁起作用。随着网络攻击手段的不断更新和新的网络应用的出现，不可能靠一次性的防火墙设置来解决永远的网络安全问题。23第二十三页，共57页。5.5防火墙的体系结构

防火墙可以设置成许多不同的结构，并提供不同级别的安全，而维护和运行的费用也不同。防火墙有多种分类方式。下面介绍四种常用的体系结构：筛选路由器、双网主机式体系结构～屏蔽主机式体系结构和屏蔽子网式体系结构。

在介绍之前，先了解几个相关的基本概念：堡垒主机：高度暴露于Internet并且是网络中最容易受到侵害的主机。它是防火墙体系的大无畏者，把敌人的火力吸引到自己身上，从而达到保护其他主机的目的。堡垒主机的设计思想是检测点原则，把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其他主机的安全。堡垒主机必须有严格的安防系统，因其最容易遭到攻击。24第二十四页，共57页。屏蔽主机：被放置到屏蔽路由器后面网络上的主机称为屏蔽主机，该主机能被访问的程度取决于路由器的屏蔽规则。屏蔽子网：位于屏蔽路由器后面的子网，子网能被访问的程度取决于路由器的屏蔽规则。筛选路由式体系结构这种体系结构极为简单，路由器作为内部网和外部网的唯一过滤设备，如下图所示。25第二十五页，共57页。防火墙的体系结构内部网外部网筛选路由器式体系结构

包过滤筛选路由器26第二十六页，共57页。双网主机式体系结构

这种体系结构有一主机专门被用作内部网和外部网的分界线。该主机里插有两块网卡，分别连接到两个网络。防火墙里面的系统可以与这台双网主机进行通信，防火墙外面的系统(Internet上的系统)也可以与这台双网主机进行通信，但防火墙两边的系统之间不能直接进行通信。另外，使用此结构，必须关闭双网主机上的路由分配功能，这样就不会通过软件把两个网络连接在一起了。图6双网主机式体系结构内部网外部网双网主机27第二十七页，共57页。屏蔽主机式体系结构此类型的防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。下图中的屏蔽路由器实现了把所有外部到内部的连接都路由到了堡垒主机上。堡垒主机位于内部网络，屏蔽路由器联接Internet和内部网络，构成防火墙的第一道防线。（参见下页图7）图7屏蔽主机式体系结构28第二十八页，共57页。防火墙的体系结构屏蔽主机式体系结构Internet堡垒主机防火墙屏蔽路由器29第二十九页，共57页。

屏蔽路由器必须进行适当的配置，使所有外部到内部的连接都路由到了堡垒主机上，并且实现外部到内部的主动连接。此类型防火墙的安全级别较高，因为它实现了网络层安全(屏蔽路由器——包过滤)和应用层安全(堡垒主机——代理服务)。入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。即使入侵了内部网络，也必须和堡垒主机相竞争，而堡垒主机是安全性很高的机器，主机上没有任何入侵者可以利用的工具，不能作为黑客进一步入侵的基地。此类型防火墙中屏蔽路由器的配置十分重要，如果路由表遭到破坏，则数据包不会路由到堡垒主机上，使堡垒主机被越过。30第三十页，共57页。屏蔽子网(ScreenedSubNet)式体系结构

这种体系结构本质上与屏蔽主机体系结构一样，但是增加了一层保护体系——周边网络，而堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开。由前可知，当堡垒主机被人侵之后，整个内部网络就处于危险之中，堡垒主机是最易受侵袭的，虽然其很坚固，不易被入侵者控制，但万一被控制，仍有可能侵袭内部网络。如果采用了屏蔽子网(ScreenedSubNet)式体系结构，入侵者将不能直接侵袭内部网络，因为内部网络受到了内部屏蔽路由器的保护。屏蔽子网式体系结构如下图所示。图8屏蔽子网式体系结构31第三十一页，共57页。防火墙的体系结构屏蔽子网式体系结构Internet堡垒主机屏蔽路由器屏蔽路由器周边网络32第三十二页，共57页。5.6防火墙的构筑原则构筑防火墙主要从以下几个方面考虑：体系结构的设计；安全策略的制订；安全策略的实施。33第三十三页，共57页。5.7防火墙产品Juniper公司的Netscreen防火墙产品

Netscreen防火墙可以说是硬件防火墙领域内的领导者。2004年2月，Netscreen被网络设备巨头Juniper收购，成为Juniper的安全产品部，两家公司合并后将与Cisco展开激烈的竟争。Netscreen的产品完全基于硬件ASIC芯片，它就像个盒子一样安装使用起来很简单。产品系列：Netscreen－5000产品系列是定制化、高性能的安全系统，适用于高端用户。Netscreen-500集防火墙、VPN及流量管理等功能于一体，是一款高性能的产品，支持多个安全域，适用于中高端用户。其中端产品主要有：Netscreen－204、Netscreen－208。34第三十四页，共57页。低端产品有：

NetScreen－50、Netscreen－25。Netscreen－GlobalSecurityManagement(集群防火墙集中管理软件)提供了服务提供商和企业所需要的用来管理所有Netscreen产品的特性。与防毒领袖厂商TrendMicro合作推出的Netscreen-5GT集成防火墙/VPN/DoS保护功能并提供了内置的病毒扫描功能。

主要特色：35第三十五页，共57页。a.专用的网络安全整合式设备：高性能安全产品，集成防火墙、VPN和流量管理功能，性能优越。

b.产品线完整，能满足各大小商业需求：适用于包括宽带接入的移动用户，小型、中型或大型企业，高流量的电子商务网站，以及其他网络安全的环境。

c.安装和管理：通过使用内置的WebUI界面、命令行界面和Netscreen中央管理方案，在几分钟内完成安装和管理，并且可以快速实施到数千台设备上。

d.通用性：所有设备都提供相同核心功能和管理界面，便于管理和操作。36第三十六页，共57页。CyberwallPlus系列防火墙CyberwallPlus系列防火墙是由网屹(Network－1)公司开发，是基于软件的防火墙。

Cyberwallplus家族由四种系列防火墙产品和中心的管理器组成，提供全方位的保护。它们分别是CyberwallPLUS－SV保护服务器防火墙；CyberwallPLUS－WS保护工作站防火墙；CyberwallPLUS-IP边界防火墙；CyberwallPLUS－AP多协议防火墙及CyberwallPLUS－CM集中管理产品。37第三十七页，共57页。

a.CyberwallPLUS-SV和CyberwallPLUS－WS是为分别保护与互联网或企业网相连的Windows服务器和工作站而设计的，它以先进的信息包过滤技术为基础，提供周密的网络访问控制、优化主机入侵检测、防止入侵算法和详细的流量审核日志。CyberwallPlus－AP是高速的局域网防火墙，是为满足不断增长的内部网络安全需要而设计的。38第三十八页，共57页。

b.CyberwallPlus-AP运行在装有两个以太网卡WindowsNT/2000的系统上，帮助用户的计算机网络抵御恶意的网络访问和入侵。CyberwallPlus-AP是一个有两个端口的系统，以透明的网桥模式工作，而不像大多数防火墙是路由模式，能够接受、过滤4500余种IP和非IP协议。CyberwallPins－AP设计简单、有效，应用时不需要破坏现有的网络地址或重新配置网络，甚至可以放在同一IP子网的节点之间。39第三十九页，共57页。

c.CyberwallPlus－IP是保护专有网络抵御攻击和入侵的互联网防火墙，位于网络的周边，保护进出公共互联网流量的安全，是一个高经济效益的网络安全解决方案，提供多层次的包过滤检测，阻止未授权的网络访问。CyberwallPlus－IP作为先进的防火墙解决方案系列的一员，为用户提供强有力的安全保护功能，它具备高度的灵活性、可伸缩性，可以很好地适应用户对未来安全需求的变化。40第四十页，共57页。CheckPoint防火墙

作为CheckPoint软件技术有限公司网络安全性产品线中最为重要的产品。CheckPointTMFireWall-1是业界领先的企业级安全性套件，它集成了访问控制、认证、加密、网络地址翻译、内容安全性和日志审核等特性。

a.FireWall-1通过分布式的客户机/服务器结构管理安全策略，保证高性能、高伸缩性和集中控制。

b.FireWall－l由基本模块(防火墙模块、状态检测模块和管理模块)和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/服务器结构。41第四十一页，共57页。

c.FireWall－1采用CheckPoint公司的状态检测(StatefulInspection)专利技术，以不同的服务区分应用类型，为网络提供高安全、高性能和高扩展性保证。

d.Firewall－1状态检测模块分析所有的包通信层，汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用。

e.Firewall－1可以在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中，通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。42第四十二页，共57页。思科安全PIX防火墙

CiscoSecurePIX防火墙基于包过滤和应用代理两种主流防火墙技术的基础上，提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。ASA自适应安全算法与包过滤相比，功能更加强劲；另外，ASA与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过PLX防火墙。这样，内部和外部的授权用户就可以透明地访问企业资源，同时保护内部网络不会受到非授权访问的侵袭。［关于ASA算法详情请访问http://］43第四十三页，共57页。

以PIXFirewall515为例，思科防火墙具有以下一些关键特性：

a.非常高的性能。

b.实时嵌入式操作系统。

c.位于企业网络和ienet访问路由器之间，并包括以太网、快速以太网、令牌环网或FDDILAN连接选项。

d.保护模式基于自适应安全算法(ASA)，可以确保最高的安全性。44第四十四页，共57页。e.用于验证和授权的“直通代理”技术。

f.URL过滤。

g.HPOpenView集成。

h.用于配置和管理的图形用户界面。

i.通过电子邮件和寻呼机提供报警和告警通知。

j.通过专用链路加密卡提供VPN支持。

k.符合委托技术评估计划(TTAR)，通过美国安全事务处(NSA)的认证。45第四十五页，共57页。

天融信公司的网络卫土

网络卫士是我国第一套自主知识产权的防火墙系统，是一种基于硬件的防火墙，目前有NGFW－3000、NGFW－4000、NGFW4000－UF、NGFW－ARES几款产品。网络卫士防火墙由多个模块组成，包括包过滤、应用代理、NAT、VPN、防攻击等功能模块，各模块可分离、裁剪和升级，以满足不同用户的需求。管理器的硬件平台为能运行Netscape4.0浏览器的Intel兼容微机，软件平台采用Win9x操作系统。主要特色：采用了领先一步的SSN(安全服务器网络)技术，安全性高于其他防火墙普遍采用的DMZ(非军事区)技术。SSN与外部网之间有防火墙保护，与内部网之间也有防火墙保护，一旦SSN受到破坏，内部网络仍会处于防火墙的保护之下。46第四十六页，共57页。

网络卫士防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能，可以为不同类型的Internet接入网络提供全方位的网络安全服务。该系统在增强传统防火墙安全性的同时，还通过VPN架构，为企业网提供一整套从网络层到应用层的安全解决方案，包括访问控制、身份验证、授权控制、数据加密、数据完整性等安全服务。47第四十七页，共57页。

清华紫光网联科技的UF3100/UF3500防火墙UF3100/UF3500是一种基于硬件的防火墙，兼具防火墙和流量控制等功能，无丢包数据通过率达50Mbps，可以支持T3线路甚至局域网间的流量要求。UF3100/UF3500结构紧凑(设计高度仅1U)，可放置在桌面或安装在标准机架上，是为机关或企业网内的数据提供最安全保护的硬件产品之一。主要特色：48第四十八页，共57页。a.防火墙系统采用汇编语言编写网络层IP包处理的操作，充分发挥了CPU的能力。UF3100防火墙自身具有很高的安全性，完全消除了Y2K问题，保护内部网络，并形成一个完整的安全系统。UF3100提供了一个附加的功能，即采用VPN技术使得远程用户能通过互联网安全访问内部网络。UF－3100将整个网络分成外部网、DMZ隔离区、内部网三层结构，大大增强了网络的抗攻击性能。硬件外形采用标准的19英寸的结构，便于安装。

b.UF3500防火墙是为ISP等大型机构设计使用的，数据通过率为70MbpS，还通过专门的FPGA实现了QOS，保证了视频、音频等实时应用程序的运行。UF3500还提供了硬件选项支持未来功能的增加，如保证更高加密强度的加密模块等。49第四十九页，共57页。

网眼防火墙NetEyeNetEye是一种软件防火墙产品，目前最新的版本是NetEye2.0版本。网眼防火墙NetEye2.0集网络数据的监控和管理于一体，可以随时对网络数据的流动情况进行分析、监控和管理，以便及时制订保护内部网络数据的相应措施。该系统具有可靠性高、不易遭到攻击破坏等特点。网眼防火墙NetEye2.0系统的管理主机和监控主机建立在一种独立安全的局域网络之内，而且通信数据经过了加密处理，提高了系统的安全性。50第五十页，共57页。

主要特色：可以工作在交换和路由两种模式下，当防火墙工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置；当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换；也就是说，内网和DMZ都可以使用保留地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。用户可以根据自己的网络情况和实际的安全需要来配置