k第十一周防火墙技术

华南理工大学经贸学院

本科课程－－电子商务安全与保密第十一周（第23章）防火墙技术1现在是1页\一共有67页\编辑于星期一ServerClient防火墙（Firewall）注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。2现在是2页\一共有67页\编辑于星期一防火墙技术防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。基本工作原理是在可信任网络的边界上建立起网络控制系统隔离内部和外部网络执行访问控制策略防止外部的未授权节点访问内部网络和非法向外传递内部信息3现在是3页\一共有67页\编辑于星期一防火墙基本功能模块应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤防火墙技术现在是4页\一共有67页\编辑于星期一防火墙相关概念堡垒主机：是指一个计算机系统，它对外部网络（互联网络）暴露，同时又是内部网络用户的主要连接点，所以非常容易被侵入，因此这个系统需要严加保护。双宿主主机：具有至少两个网络接口的通用计算机系统。包过滤：设备对进出网络的数据流进行有选择的控制与操作。参数网络：为了增加一层安全控制，而在外部网络与内部网络之间增加的一个网络。参数网络有时也被称为停火带。代理服务器：代表内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求送达外部服务器，同时将外部服务器的响应再回送给用户。5现在是5页\一共有67页\编辑于星期一防火墙的分类按实现设备分类软件防火墙、硬件防火墙、芯片级防火墙按网络体系结构分类工作在OSI参考模型中的不同位置最常见：网络层：包过滤防火墙应用层：代理服务器按应用技术分类包过滤防火墙、代理服务器、电路级网关按拓扑结构分类双宿主主机防火墙、屏蔽主机防火墙、屏蔽子网防火墙。6现在是6页\一共有67页\编辑于星期一防火墙技术内容－分组过滤应用层表示层会话层传输层网络层数据链路层物理层物理层数据链路层网络层应用层表示层会话层传输层网络层数据链路层物理层外部网络主机内部网络主机分组过滤型防火墙7现在是7页\一共有67页\编辑于星期一包过滤模型

包过滤防火墙现在是8页\一共有67页\编辑于星期一包过滤防火墙工作在网络层（IP

层）根据过滤规则和安全策略，逐个检查IP

包（TCP包、UDP包），确定是否允许通过优点对应用透明，合法建立的连接不被中断。速度快、效率高。安全性级别低：不能识别高层信息、容易受到欺骗配置简单，但要求有一定专业知识例子：只允许telnet的出站规则类比：天网个人防火墙、金山网镖的包过滤规则天网个人防火墙中的IP规则及规则的设置界面9现在是9页\一共有67页\编辑于星期一包过滤一般要检查下面几项：（1）IP源地址；（2）IP目的地址；（3）协议类型（TCP包、UDP包和ICMP包）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP消息类型；（7）TCP报头中的ACK位。另外，TCP的序列号、确认号，IP校验以及分段偏移也往往是要检查的选项。包过滤防火墙现在是10页\一共有67页\编辑于星期一规则原则按地址过滤；按服务过滤。防火墙的规则动作有以下几种类型：通过（accept）

允许IP包通过防火墙传输。放弃（deny）

不允许IP包通过防火墙传输，但仅仅丢弃，不做任何响应。拒绝（reject）

不允许IP包通过防火墙传输，并向源端发送目的主机不可达的ICMP报文。返回（return）

没有发现匹配的规则，省缺动作。包过滤防火墙11现在是11页\一共有67页\编辑于星期一天网防火墙举例12现在是12页\一共有67页\编辑于星期一包过滤操作过程：(1)包过滤规则必须被存储在包过滤设备的端口；(2)当数据包在端口到达时，包头被提取，同时包过滤设备检查IP、TCP、UDP等包头中的信息；(3)包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包；(4)如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。包过滤防火墙现在是13页\一共有67页\编辑于星期一包过滤防火墙第一代：静态包过滤根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。现在是14页\一共有67页\编辑于星期一静态包过滤无法过滤服务对于一些比较新的多媒体应用在会话开始之前端口号是未知的。例如，Web服务器默认端口为80，而计算机上又安装了RealPlayer，那么它会搜寻可以允许连接到RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口而搜寻的。就这样无意中，RealPlayer就利用了Web服务器的端口。包过滤防火墙15现在是15页\一共有67页\编辑于星期一第二代：动态包过滤即包状态监测（StatefulInspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪状态包检测模式增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。状态包检测防火墙在网络层拦截输入包，并利用足够的企图连接的状态信息做出决策。根据需要可动态地在过滤规则中增加或更新。包过滤防火墙现在是16页\一共有67页\编辑于星期一优点安全性相比静态包过滤技术要高，提升了防火墙的性能状态检测机制可以区分连接的发起方与接收方可以通过状态分析阻断更多的复杂攻击行为，可以通过分析打开相应的端口而不是“一刀切”工作在协议栈的较低层，通过防火墙的所有数据包都在低层处理，不需要协议栈的上层来处理数据包，减少了高层协议的开销执行效率高。通过已知合法数据包的模式来比较进出数据包，比应用级代理在过滤数据包上更加有效；缺点主要工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高。对高层协议栈内容有足够的能见度较低。检查内容多，对防火墙性能提出了更高的要求包过滤防火墙现在是17页\一共有67页\编辑于星期一防火墙技术内容－应用代理应用层表示层会话层传输层网络层数据链路层物理层物理层数据链路层网络层应用层表示层会话层传输层网络层数据链路层物理层外部网络主机内部网络主机应用代理型防火墙应用层表示层会话层传输层18现在是18页\一共有67页\编辑于星期一代理服务器型防火墙代理服务器:ProxyServer.每个代理服务器都有所支持的协议HttpProxy,Socket4/5Proxy,FtpProxy等等代理服务器的应用模式工作在应用层，根据规则为客户请求建立新的服务连接，或拒绝服务连接要求从网络层切断了内外网络之间的连通性，安全性大大提高。能够识别高层协议信息，进行高层协议过滤。对应用不透明，客户端需要重新配置（如IE、QQ、CuteFTP）速度较慢、效率低。19现在是19页\一共有67页\编辑于星期一代理的工作方式双向通信必须经过应用代理，禁止IP直接转发；只允许本地安全策略允许的通信信息通过；代理服务现在是20页\一共有67页\编辑于星期一防火墙技术内容－应用代理(cont.)外部Telnet服务器内部Telnet服务器日志系统Telnet代理FTP代理认证系统应用网关一个Telnet代理的例子21现在是21页\一共有67页\编辑于星期一一个Telnet应用代理的过程用户首先Telnet到应用网关主机，并输入内部目标主机的名字（域名、IP地址）应用网关检查用户的源IP地址等，并根据事先设定的访问规则来决定是否转发或拒绝然后用户必须进行是否验证（如一次一密等高级认证设备）应用网关中的代理服务器为用户建立在网关与内部主机之间的Telnet连接代理服务器在两个连接（用户/应用网关，代理服务器/内部主机）之间传送数据应用网关对本次连接进行日志记录防火墙技术内容－应用代理(cont.)22现在是22页\一共有67页\编辑于星期一代理防火墙第一代：代理防火墙代理防火墙也叫应用层网关（ApplicationGateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。现在是23页\一共有67页\编辑于星期一代理防火墙第二代：自适应代理防火墙自适应代理技术（Adaptiveproxy）是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点组成这种类型防火墙的基本要素有两个：自适应代理服务器（AdaptiveProxyServer）与动态包过滤器（DynamicPacketfilter）。在自适应代理与动态包过滤器之间存在一个控制通道。基本的安全检测仍在应用层进行；但一旦安全检测代理明确了会话的所有细节，那么其后的数据包就可以直接经过速度更快的网络层。自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。现在是24页\一共有67页\编辑于星期一电路级网关工作在传输层。它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。也称为通用代理，统一的代理应用程序，各协议可透明地通过通用代理防火墙。电路级网关实现的典型例子是SOCKS软件包，是DavidKoblas在1990年开发的。25现在是25页\一共有67页\编辑于星期一电路级网关起一定的代理服务作用，它监视两主机建立连接时的握手信息，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据。在IP层代理各种高层会话，具有隐藏内部网络信息的能力，且透明性高；但由于其对会话建立后所传输的具体内容不再作进一步地分析，因此安全性稍低。电路级网关防火墙现在是26页\一共有67页\编辑于星期一电路级网关不允许进行端点到端点的TCP连接，而是建立两个TCP连接：一个在网关和内部主机上的TCP用户程序之间，另一个在网关和外部主机的TCP用户程序之间。一旦建立两个连接，只是把TCP数据包从一个连接转送到另一个连接中去而不检验其中的内容。其安全功能就是确定哪些连接是允许的。和包过滤型防火墙有一个共同特点，都是依靠特定的逻辑来判断是否允许数据包通过；但包过滤型防火墙允许内外计算机系统建立直接联系，而电路级网关无法IP直达。27现在是27页\一共有67页\编辑于星期一

利用SOCKSv5所具有的强大而灵活的协议框架，例如透明的网络访问、容易支持认证和加密方法、快速开发新的网络应用、简化网络安全策略管理和支持双向代理等。电路级网关防火墙现在是28页\一共有67页\编辑于星期一三种防火墙技术安全功能比较

源地址目的地址用户身份数据内容包过滤YYNN应用代理YYY（Proxy认证）P电路级网关YYYN29现在是29页\一共有67页\编辑于星期一双宿主主机结构防火墙核心是具有双宿主功能的主机。至少有两个网络接口（内网、外网），充当路由器。不允许两网之间的直接发送功能。仅仅能通过防火墙所在主机上的内部代理或让用户直接登陆到双宿主主机来提供服务（即作为该主机的一个远程用户，绕过防火墙）提供高级别的安全控制。问题：用户账号本身会带来明显的安全问题，会允许某种不安全的服务；通过登陆来使用因特网太麻烦。30现在是30页\一共有67页\编辑于星期一双宿主主机结构防火墙31现在是31页\一共有67页\编辑于星期一屏蔽主机防火墙主要的安全机制由屏蔽路由器来提供包过滤，只允许外部访问堡垒主机的IP包通过堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机（而看不到内部网络其它部分）因此，堡垒主机需要保持更高的安全等级内部网的其它主机可自由访问外网32现在是32页\一共有67页\编辑于星期一屏蔽主机防火墙33现在是33页\一共有67页\编辑于星期一屏蔽主机防火墙优点：外部网对内部网的可控访问适合于向外提供网络服务的系统问题：如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的安全保护。配置复杂34现在是34页\一共有67页\编辑于星期一下面来看一下路由器不被正常路由的情况，这会降低系统的安全性。下图显示了正常的路由情况，路由器的路由表指向堡垒主机。内部网络号是，堡垒主机的IP地址为，路由表的内容为：目的：转发至：这样，网络上所有的流量都被转发到堡垒主机上。屏蔽主机防火墙现在是35页\一共有67页\编辑于星期一图正常的路由情况屏蔽主机防火墙现在是36页\一共有67页\编辑于星期一下图显示了路由表被破坏的情形，堡垒主机的路由项目被从路由表中删除，这样，进入屏蔽路由器的流量就不会被转发到堡垒主机上，可能被转发到另一主机上，即外部主机直接访问了内部主机而绕过了防火墙。在这种情况下，过滤路由器成了惟一的防线，在前面讲过屏蔽路由器的安全性较差，这样入侵者就很容易突破屏蔽路由器，内部网络也就处于危险之中了。屏蔽主机防火墙现在是37页\一共有67页\编辑于星期一图路由表被破坏的情形屏蔽主机防火墙现在是38页\一共有67页\编辑于星期一屏蔽子网防火墙添加额外的安全层：周边网，将内部网与因特网进一步隔开。周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内部网的通信（窃取密码），不会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了安全性。两个屏蔽路由器的规则设置的侧重点不同。外部路由器只允许外部流量进入，内部路由器只允许内部流量进入。39现在是39页\一共有67页\编辑于星期一屏蔽子网防火墙40现在是40页\一共有67页\编辑于星期一三种防火墙拓扑结构的区别三者的区别在于：内网与外网的数据连接“鸿沟”双宿主主机：在一台主机上屏蔽主机：一层屏蔽路由器屏蔽子网：两层屏蔽路由器41现在是41页\一共有67页\编辑于星期一防火墙体系结构的种种变化和组合

1）使用多堡垒主机

42现在是42页\一共有67页\编辑于星期一2）合并内外部由器

防火墙体系结构的种种变化和组合

43现在是43页\一共有67页\编辑于星期一3）合并堡垒主机和外部路由器

防火墙体系结构的种种变化和组合

44现在是44页\一共有67页\编辑于星期一4）将堡垒主机与内部路由器合并

防火墙体系结构的种种变化和组合

45现在是45页\一共有67页\编辑于星期一5）采用多内部路由器结构

防火墙体系结构的种种变化和组合

46现在是46页\一共有67页\编辑于星期一5）采用多内部路由器结构－多个内部网防火墙体系结构的种种变化和组合

47现在是47页\一共有67页\编辑于星期一6）使用多外部路由器

防火墙体系结构的种种变化和组合

48现在是48页\一共有67页\编辑于星期一内部防火墙

试验网络

49现在是49页\一共有67页\编辑于星期一防火墙核心技术－－网络地址转换（NAT）作用：按内部定义，将原包中的IP地址“翻译”成内部使用地址目的：解决IP地址空间不够问题；向外界隐藏内部网结构实现真正的动态均衡（通常会缓存IP）方式：静态NAT，简单的地址翻译（一一对应）端口NAT，多个内部网地址翻译到一个IP地址多对一翻译，不同的内部网地址在外部用“公用IP：端口”的形式表示NAT池，M个内部地址翻译到N个外部IP地址池50现在是50页\一共有67页\编辑于星期一网络地址转换原理51现在是51页\一共有67页\编辑于星期一利用NAT实现负载均衡（附加功能）52现在是52页\一共有67页\编辑于星期一实现NAT的地址映射有许多方法：使用静态地址分配(StaticTranslation，也称为端口转发，PortForwarding)，它们用NAT为内部网络的客户绑定一个固定IP地址。使用动态地址分配(DynamicTranslation，也称为自动模式，隐藏模式或IP伪装)的NAT为访问外部网络的客户分配一个IP地址。在客户会话结束，或者超过某一时限后，合法的外部网络地址会返回到地址池，等待下次分配，实现IP地址的复用。NAT可以工作在单向方式，当初始化外出的会话时，NAT为内部网络客户分配一个网络地址。它也可以工作在双向方式，以便进入的目的IP地址可以被修改，从而发送数据包到处于内部网络的服务器。利用NAT实现负载均衡（附加功能）现在是53页\一共有67页\编辑于星期一其他防火墙分布式防火墙打破物理拓扑结构集中定义策略（划分内外网），分布执行54现在是54页\一共有67页\编辑于星期一VPN概述VPNVirtualPrivateNetwork的缩写，是将物理分布在不同地点的网络通过公用骨干网，尤其是Internet连接而成的逻辑上的虚拟子网。为了保障信息的安全，VPN技术采用了鉴别、访问控制、保密性、完整性等措施，以防止信息被泄露、篡改和复制。“翻墙”是指通过建立VPN的隧道或者通过访问代理服务器的方法现在是55页\一共有67页\编辑于星期一VPN概述VPN具体实现是采用隧道技术,将企业网的数据封装在隧道中进行传输。隧道协议可分为第二层隧道协议：点对点隧道协议PPTP（Point-to-PointTunnelingProtocol）、第二层转发协议L2F(Layer2Forwarding)、第二层隧道协议L2TP(Layer2TunnelingProtocol)第三层隧道协议：通用路由封装GRE(GenericRoutingEncapsulation)、IPSec(IPSecurity)。它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。现在是56页\一共有67页\编辑于星期一PPTPvsL2TP联系：PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。区别：1）PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs），X.25虚拟电路（VCs）或ATMVCs网络上使用。2）PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。3）L2TP可以提供包头压缩。。4）L2TP可以提供隧道验证，而PPTP不支持隧道验证。。PPTP和L2TF端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。VPN概述将L2TP和IPSec结合起来:用L2TP作为隧道协议，用IPSec协议保护数据。目前，市场上大部分VPN采用这类技术。现在是57页\一共有67页\编辑于星期一IPSECvsMPLSVPN概述IPsecVPNMPLSVPN服务模式高速Internet服务、商业质量的IP服务、电子商务和应用主机托管服务高速Internet服务、商业质量的IP服务、电子商务和应用主机托管服务可伸缩性大规模部署需要制定相应计划并且协同解决关键分支机构、关键管理和对等配置各个方面出现的问题由于不需要站点对站点的对等性而具有高度的可伸缩性。典型的MPLS-VPN部署能够支持在同一网络上部署上万个VPN组网络位置本地环路、网络边缘或者远离存在加密数据较高曝光性的网络位置最佳，此类地点最适合采用隧道和加密等IPsec安全机制在服务供应商的核心网络最佳，此地QoS、流量工程和带宽利用可以得到完全地控制，如果服务供应商的VPN服务提供SLA或者服务级保证（SLG），那么这一情况下的VPN服务更应该配置在网络核心。特点只支持IP协议MPLSVPN并未提供加密、认证等安全机制现在是58页\一共有67页\编辑于星期一IPSECvsSSL1、IPsecVPN多用于“网—网”连接，SSLVPN用于“移动客户—网”连接。SSLVPN的移动用户使用标准的浏览器，无需安装客户端程序，即可通过SSLVPN隧道接入内部网络；而IPSecVPN的移动用户需要安装专门的IPSec客户端软件。2、IPsecVPN对所有的IP应用均透明；而SSLVPN保护基于Web的应用更有优势。3、SSLVPN用户不受上网方式限制，SSLVPN隧道可以穿透Firewall；而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。4、SSLVPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而IPSecVPN需要管理通讯的每个节点，网管专业性较强。5、SSLVPN更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统（如radius）结合更加便捷。而IPSecVPN主要基于IP五元组对用户进行访问控制。IT主管利用IPsecVPN实现网络层接入，进行网络管理。其他人员要访问的资源有限，一般也就是电子邮件、传真，以及接入公司内部网（Web浏览），因而采用SSL方案。

VPN概述现在是59页\一共有67页\编辑于星期一练习：Windows防火墙1、可以从安全中心中打开，安全中心位于控制面板。2、也可以直接从控制面板中打开Windows防火墙控制台3、可以从网络连接的高级选项卡中进入防火墙控制台。Windows防火墙安全策略：除非在例外中明确允许，否则默认全部禁止。现在是60页\一共有67页\编辑于星期一1.启用或禁用Internet连接防火墙打开“网络连接”，（桌面网络邻居的属性）单击要保护的拨号、LAN或高速Internet连接，然后在“网络任务”→“更改该连接的设置”→“高级”→“Internet连接防火墙”下，选择下面的一项：练习：Windows防火墙现在是61页\一共有67页\编辑于星期一若要启用Internet连接防火墙，选中“通过启用或关闭来自Internet的对此计算机的访问来保护我的计算机和