第十章防火墙

第十章防火墙第一页，共七十三页，编辑于2023年，星期五••••目录一.防火墙的基本知识二.防火墙技术三.防火墙结构四.典型防火墙配置五.防火墙的发展方向•第二页，共七十三页，编辑于2023年，星期五防火墙的提出企业上网面临的安全问题之一:内部网与互联网的有效隔离解答:防火墙第三页，共七十三页，编辑于2023年，星期五防火墙示意图2.部门子网3.分公司网络Internet1.企业内联网第四页，共七十三页，编辑于2023年，星期五防火墙是什么•防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。•典型情况：安全网络为企业内部网络，不安全网络为因特网。•但防火墙不只用于因特网，也可用于 Intranet各部门网络之间（内部防火 墙）。例：财务部与市场部之间。第五页，共七十三页，编辑于2023年，星期五防火墙概念•最初含义：当房屋还处于木制结构的时侯，人们 将石块堆砌在房屋周围用来防止火灾的发生。这 种墙被称之为防火墙。•防火墙是位于两个信任程度不同的网络之间（如 企业内部网络和Internet之间）的软件或硬件设备 的组合，它对两个网络之间的通信进行控制，通 过强制实施统一的安全策略，防止对重要信息资 源的非法存取和访问以达到保护系统安全的目的。第六页，共七十三页，编辑于2023年，星期五防火墙实现层次第七页，共七十三页，编辑于2023年，星期五防火墙的基本功能模块

内容过滤IDS与报警

用户认证 应用程序代理包过滤&状态检测 NATVPN日志第八页，共七十三页，编辑于2023年，星期五防火墙的主要功能防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警第九页，共七十三页，编辑于2023年，星期五内容过滤•阻止Java,ActiveX,JavaScriptVBscript•URL记录和拦截•SMTP过滤丢弃假来源地址的信件可设定传送信件的大小可消除内部信件传递路径信息,避免内部主机暴露给外界提供E-mail地址转换功能•病毒?第十页，共七十三页，编辑于2023年，星期五日志功能•日志记录一般包括:系统日志、流量日志、告警日志等.•根据管理的需要，它可以对每一个进出网络 的数据包作简单或详细的纪录。包括数据的 来源，目的，使用的协议，时间甚至数据的 内容等等。第十一页，共七十三页，编辑于2023年，星期五防火墙的评价--防火墙不可以防范什么•防火墙不是解决所有网络安全问题的万能药方， 只是网络安全政策和策略中的一个组成部分。防火墙不能防范来自内部人员恶意的攻击。防火墙不能阻止被病毒感染的程序或文件的传递。防火墙无法检测加密的WEB流量和应用程序数据。防火墙不能防止旁路攻击。防火墙不能防止单点失效。第十二页，共七十三页，编辑于2023年，星期五••防火墙的评价--防火墙不可以防范什么内部提供拨号服务绕过防火墙第十三页，共七十三页，编辑于2023年，星期五防火墙分类•根据防火墙的存在形式分为：软件、硬件。•以色列CheckPoint公司Firewall-1系列（软件防火墙）•Cisco公司的PIX系列防火墙（硬件防火墙）•根据保护对象分为：网络防火墙、主机防火墙•根据防范技术分为：包过滤防火墙应用层代理全状态检测防火墙地址翻译防火墙第十四页，共七十三页，编辑于2023年，星期五••••目录一.防火墙的基本知识二.防火墙技术三.防火墙结构四.典型防火墙配置第十五页，共七十三页，编辑于2023年，星期五防火墙技术•防火墙的实现与防范技术包过滤地址翻译应用层代理电路层代理状态检查第十六页，共七十三页，编辑于2023年，星期五包过滤防火墙第十七页，共七十三页，编辑于2023年，星期五••••••包过滤防火墙包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协（TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。第十八页，共七十三页，编辑于2023年，星期五包过滤检查内容•数据包过滤一般要检查网络层的IP头和传输层的头：IP源地址IP目标地址协议类型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息类型TCP包头的ACK位TCP包的序列号、IP校验和等第十九页，共七十三页，编辑于2023年，星期五数据包数据包包过滤检查内容•Source•Destination•Permit•Protocol控制策略•HostA•HostB•HostC•HostC•Pass•Block•TCP•UDP查找对应的控制策略 安全网域 根据策略决定如何处理该数据包HostCHostD拆开数据包数据包数据包数据包数据包•IP报头•TCP报头•数据

分组过滤判断信息过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理第二十页，共七十三页，编辑于2023年，星期五包过滤防火墙优缺点

应用层表示层 会话层传输层

应用层表示层 会话层 传输层优点：•速度快，性能高•对用户透明缺点：网络层网络层网络层•维护比较困难(需要对TCP/IP了解）数据链路层 物理层数据链路层 物理层数据链路层 物理 层•安全性低（IP欺骗等）•不提供有用的日志，或根本就不提供•不防范数据驱动型攻击互连的物理介质•不能根据状态信息进行控制•不能处理网络层以上的信息•无法对网络上流动的信息提供全面的控制第二十一页，共七十三页，编辑于2023年，星期五

Land攻击攻击者172.18.1.1Code

Internet

欺骗性的IP包

源地址204.241.161.12Port139目的地址204.241.161.12Port139 TCPOpen

目标204.241.161.12第二十二页，共七十三页，编辑于2023年，星期五

Land攻击攻击者172.18.1.1

目标Code

Internet

IP包欺骗

源地址204.241.161.12Port139目的地址204.241.161.12Port139

包被送回它自己204.241.161.12

崩溃第二十三页，共七十三页，编辑于2023年，星期五透明模式包过滤第二十四页，共七十三页，编辑于2023年，星期五防火墙技术•防火墙的实现与防范技术包过滤地址翻译应用层代理电路层代理状态检查第二十五页，共七十三页，编辑于2023年，星期五地址翻译(NAT)

目前合法的IP地址已经远远不够使用，许多公司内部使用的都是非法的IP地址，无法直接与外界相连。防火墙能够将内部使用的非法IP地址与对外真正的IP作转换。使现在使用的IP无需变动，也能够与外界相通。 防火墙提供一对一（NAT）及多对一（PAT）的地址转换，可保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的IP地址变动，方便网络管理，并可以解决IP地址不足的问题。第二十六页，共七十三页，编辑于2023年，星期五网络地址转换技术（NAT）•NAT（NetworkAddressTranslation）:就是将一个IP地址用另一个IP地址代替。•应用领域：

网络管理员希望隐藏内部网络的IP地址。 内部网络的IP地址是无效的IP地址。合法InternetIP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）第二十七页，共七十三页，编辑于2023年，星期五NAT示意图第二十八页，共七十三页，编辑于2023年，星期五网络地址转换技术（NAT）•解决方法：网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。•好处：缓解IP地址匮乏问题；对外隐藏了内部主机的IP地址，提高了安全性。第二十九页，共七十三页，编辑于2023年，星期五源IP10.0.0.108目的IP202.112.108.50源IP202.112.108.3目的IP202.112.108.50防火墙源IP目的IP网关源IP目的IP202.112.108.5010.0.0.108202.112.108.50202.112.108.3NAT技术中将不合法IP转换 为合法IP第三十页，共七十三页，编辑于2023年，星期五将内部网地址转换成网关地址200.0.0.210.0.0.1Internet

Intranet

路由器200.0.0.1200.0.0.1防火墙问题：所有返回数据包目的IP都是200.0.0.1，防火墙如何识别 并送回真正主机？方法：1、防火墙记住所有发送包的目的端口； 2、防火墙记住所有发送包的TCP序列号第三十一页，共七十三页，编辑于2023年，星期五NATSample(PAT)第三十二页，共七十三页，编辑于2023年，星期五NAT(MAPIP)第三十三页，共七十三页，编辑于2023年，星期五虚拟IP第三十四页，共七十三页，编辑于2023年，星期五路由模式第三十五页，共七十三页，编辑于2023年，星期五防火墙技术•防火墙的实现与防范技术包过滤地址翻译应用层代理电路层代理状态检查第三十六页，共七十三页，编辑于2023年，星期五••••代理服务器代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个代理服务器上的“链接”来实现外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。第三十七页，共七十三页，编辑于2023年，星期五代理服务器示意图第三十八页，共七十三页，编辑于2023年，星期五代理服务器第三十九页，共七十三页，编辑于2023年，星期五Telnet代理服务器第四十页，共七十三页，编辑于2023年，星期五数据包数据包数包代理服务器

控制策略查找对安全网域应的控制策略根据策略决定如何处理该数据包HostHost CD拆开数据包

据数据包数据包数据包•IP报头•TCP报头•数据

分组过滤判断 信息应用代理可以对数据包的数据区进行分析 ，并以此判断数据是否允许通过应用代理判断 信息第四十一页，共七十三页，编辑于2023年，星期五代理服务的分类•代理服务分类：代理服务可分为应用级代理与电路级代理：•应用级代理是已知代理服务向哪一种应用服务提 供的代理，它在应用协议中理解并解释命令。应 用级代理的优点为它能解释应用协议从而获得更 多的信息，缺点为只适用于单一协议。•电路级代理是在客户和服务器之间不解释应用协 议即建立回路。电路级代理的优点在于它能对各 种不同的协议提供服务，缺点在于它对因代理而 发生的情况几乎不加控制。第四十二页，共七十三页，编辑于2023年，星期五应用层代理的优点•应用层代理能够让网络管理员对服务进行全面的控制， 因为代理应用限制了命令集并决定哪些内部主机可以被 该服务访问。•网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。•防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。•应用层代理有能力支持可靠的用户认证并提供详细的注 册信息。另外，用于应用层的过滤规则相对于包过滤防 火墙来说更容易配置和测试。•代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。第四十三页，共七十三页，编辑于2023年，星期五应用层代理的缺点•应用层代理的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。•比如，透过应用层代理Telnet访问要求用户通过两步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。•每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。••应用层代理终究是一个应用程序，它的效率比NAT低第四十四页，共七十三页，编辑于2023年，星期五防火墙技术•防火墙的实现与防范技术包过滤地址翻译应用层代理电路层代理状态检查第四十五页，共七十三页，编辑于2023年，星期五••••全状态检查状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。监测引擎：一个在网关上执行网络安全策略的软件模块。监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。第四十六页，共七十三页，编辑于2023年，星期五状态检测示意图

应用层 表示层 会话层 传输层 网络层数据链路层 物理层

应用层 表示层 会话层 传输层 网络层数据链路层 物理层 监测引擎

应用层 表示层 会话层 传输层 网络层数据链路层 物理 层第四十七页，共七十三页，编辑于2023年，星期五数据包数据包数据包控制策略查找对应的控制策略根据策略决定如何处理该数据包

安全网域HostCHostD拆开数据包

数据包数据包数据包•IP报头•IP报头•IP报头•TCP报头•TCP报头•TCP报头•数据1•数据2•数据3

状态检测状态检测可以结合前后数据包里的数据信息 进行综合分析决定是否允许该包通过第四十八页，共七十三页，编辑于2023年，星期五状态检测的优缺点•优点：一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。•缺点：降低网络速度配置比较复杂第四十九页，共七十三页，编辑于2023年，星期五••••目录一.防火墙的基本知识二.防火墙工作原理三.防火墙结构四.典型防火墙配置第五十页，共七十三页，编辑于2023年，星期五防火墙的体系结构•防火墙的主要体系结构：双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构第五十一页，共七十三页，编辑于2023年，星期五双重宿主主机体系结构（1）•双重宿主主机体系结构是围绕双重宿主主机构筑的。•双重宿主主机至少有两个网络接口，它位于内部网络和外 部网络之间，这样的主机可以充当与这些接口相连的网络 之间的路由器，它能从一个网络接收IP数据包并将之发往 另一网络。然而实现双重宿主主机的防火墙体系结构禁止 这种发送功能，完全阻止了内外网络之间的IP通信。•两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。第五十二页，共七十三页，编辑于2023年，星期五Internet防火墙双重宿主主机内部网络……双重宿主主机体系结构第五十三页，共七十三页，编辑于2023年，星期五双重宿主主机体系结构（2）•双重宿主主机的特性：安全至关重要（唯一通道），其用户口令控制安全是关键。必须支持很多用户的访问（中转站），其性能非常重要。•缺点：双重宿主主机是隔开内外网络的唯 一屏障，一旦它被入侵，内部网络便向入 侵者敞开大门。第五十四页，共七十三页，编辑于2023年，星期五防火墙的体系结构•防火墙的主要体系结构：双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构第五十五页，共七十三页，编辑于2023年，星期五屏蔽主机体系结构（1）•屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。•典型构成：包过滤路由器＋堡垒主机。

包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。

堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。第五十六页，共七十三页，编辑于2023年，星期五屏蔽主机体系结构（2）•屏蔽路由器可按如下规则之一进行配置：允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。不允许所有来自外部主机的直接连接。•安全性更高，双重保护：实现了网络层安全（包 过滤）和应用层安全（代理服务）(可防止某些木 马外联)。•缺点：过滤路由器能否正确配置是安全与否的关 键。如果路由器被损害，堡垒主机将被穿过，整 个网络对侵袭者是开放的。第五十七页，共七十三页，编辑于2023年，星期五屏蔽主机体系结构

因特网

防火墙堡垒主机……第五十八页，共七十三页，编辑于2023年，星期五防火墙的体系结构•防火墙的主要体系结构：双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构其它的防火墙结构第五十九页，共七十三页，编辑于2023年，星期五屏蔽子网体系结构（1）•屏蔽子网体系结构在本质上与屏蔽主机体 系结构一样，但添加了额外的一层保护体 系——周边网络。堡垒主机位于周边网络 上，周边网络和内部网络被内部路由器分 开。•原因：堡垒主机是用户网络上最容易受侵 袭的机器。通过在周边网络上隔离堡垒主 机，能减少在堡垒主机被侵入的影响。第六十页，共七十三页，编辑于2023年，星期五Internet外部防火墙堡垒主机周边网络内部防火墙内部网络……屏蔽子网体系结构第六十一页，共七十三页，编辑于2023年，星期五屏蔽子网体系结构（2）•周边网络是一个防护层，在其上可放置一 些信息服务器，它们是牺牲主机，可能会 受到攻击，因此又被称为非军事区 （DMZ）。•周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。第六十二页，共七十三页，编辑于2023年，星期五屏蔽子网体系结构（3）•堡垒主机堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务和入站服务应要求所有服务都通过堡垒主机。第六十三页，共七十三页，编辑于2023年，星期五屏蔽子网体系结构（4）•外部路由