信息与通信5防火墙技术应用课件

学习情境5

防火墙技术应用5.1Internet安全概述5.2防火墙概念5.3防火墙的位置5.4防火墙的基本特性5.5防火墙的功能（作用）5.6防火墙的类型5.7防火墙技术发展动态和趋势5.8防火墙系统的设计5.9选择防火墙的原则5.10主流防火墙产品介绍5.11防火墙应用举例OSI模型（OpenSystemInterconnectionReferenceMode）5.1.1OSI模型概述第七层应用层，为操作系统或网络应用程序提供访问网络服务的接口。相当于公司中的老板。

第六层表示层，协商数据交换格式；即对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。相当于公司中简报老板、替老板写信的助理。第五层会话层，允许用户使用简单易记的名称建立连接；即负责建立、管理、终止进程之间的会话，还利用在数据中插入校验点来实现数据的同步。相当于公司中收寄信、写信封与拆信封的秘书。第四层传输层，提供终端到终端的可靠连接；传输层是第一个端到端，即主机到主机的层次；负责将上层数据分段并提供端到端的、可靠的或不可靠的传输；此外，还处理端到端的差错控制和流量控制问题。相当于公司中跑邮局的送信职员。

第三层网络层，负责对子网间的数据包进行路由选择；还可以实现拥塞控制、网际互连等功能；相当于邮局中的排序工人。

第二层数据链路层，在不可靠的物理介质上提供可靠的传输。该层的作用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。相当于邮局中的装拆箱工人。第一层物理层，将数据转换为可通过物理介质传送的电子信号；为上层协议提供了一个传输数据的物理媒体。相当于邮局中的搬运工人。TCP/IP协议TCP/IP，是指传输控制协议/网际协议,定义了电子设备（如计算机）如何连入因特网，以及数据如何在它们之间传输的标准，是供已连接因特网的计算机进行通信的通信协议。TCP/IP整体构架TCP/IP协议是一组包括TCP协议和IP协议，UDP（UserDatagramProtocol）协议、ICMP（InternetControlMessageProtocol）协议和其他一些协议的协议族。TCP/IP的内部结构OSI参考模型VSTCP/IP参考模型应用层表示层会话层传输层网络层数据链路层物理层应用层数据流层应用层传输层网络层网络接口层协议网络TCP/IP模型OSI模型TCP/IP的内部结构应用层：一般是面向用户的服务，是应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。传输层：提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。应用层传输层网络层网络接口层协议网络TCP/IP模型TCP/IP的内部结构网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如IP协议、ICMP控制报文协议、ARP地址转换协议、RARP反向地址转换协议。网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、SerialLine等）来传送数据。是TCP/IP的最低层是接口层，常见的接口层协议有：Ethernet802.3、TokenRing802.5、X.25、HDLC、PPP等。应用层传输层网络层网络接口层协议网络TCP/IP模型计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2应用进程数据先传送到应用层加上应用层首部，成为应用层

PDU4321143211计算机

1AP2AP1计算机

2应用层PDU再传送到传输层加上传输层首部，成为传输层报文计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2传输层报文再传送到网络层加上网络层首部，成为IP数据报（或分组）计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2IP数据报再传送到网络接口层加上链路首部和尾部，成为数据链路帧计算机1向计算机2发送数据网络接口层把比特流传送到物理媒体应用层(applicationlayer)4321143211物理传输媒体计算机

1AP2AP1电信号（或光信号）在物理媒体中传播从发送端物理层传送到接收端物理层计算机

2计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2网络接口层接收到比特流，剥去帧首部和帧尾部取出数据部分，上交给网络层计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2网络层剥去首部，取出数据部分上交给传输层计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2传输层剥去首部，取出数据部分上交给应用层计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2应用层剥去首部，取出应用程序数据上交给应用进程计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2我收到了

AP1

发来的应用程序数据！计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2应用程序数据应用层首部H510100110100101比特流110101110101注意观察加入或剥去首部（尾部）的层次应用程序数据H5应用程序数据H4H5应用程序数据H3H4H5应用程序数据H4传输层首部H3网络层首部H2链路首部T2链路尾部计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

210100110100101比特流110101110101计算机2的网络接口层收到比特流后剥去帧首部和帧尾部后把帧的数据部分交给网络层H2T2H3H4H5应用程序数据计算机1向计算机2发送数据H4H5应用程序数据H3H4H5应用程序数据4321143211计算机

1AP2AP1计算机

2网络层剥去分组首部后把分组的数据部分交给传输层计算机1向计算机2发送数据H5应用程序数据H4H5应用程序数据4321143211计算机

1AP2AP1计算机

2传输层剥去报文首部后把报文的数据部分交给应用层计算机1向计算机2发送数据应用程序数据H5应用程序数据4321143211计算机

1AP2AP1计算机

2应用层剥去应用层PDU首部后把应用程序数据交给应用进程计算机1向计算机2发送数据4321143211计算机

1AP2AP1计算机

2我收到了

AP1

发来的应用程序数据！计算机1向计算机2发送数据应用层传输层网络层表示层会话层数据链路层物理层7654321OSI的体系结构应用层网络接口层网络层IP

(各种应用层协议如TELNET,FTP,SMTP等)传输层(TCP

或

UDP)TCP/IP的体系结构无连接分组交付服务传输服务(连接或无连接)各种应用服务TCP/IP

的三个服务层次应用层传输层网络层网络接口层主机A主机B路由器网络

2网络

1应用层传输层网络层网络接口层网络层网络接口层4321TCP/IP中的协议FTPHTTPSMTPDNSSNMPTelnetTCPUDPIPEthernet802.3TokenRing802.5X.25应用层协议传输层协议网络层协议网络接口层协议ICMPARPRARPHDLCPPPIP协议

IP协议（网际协议）IP是TCP/IP的心脏，也是网络层中最重要的协议。规定了数据传输时的基本单元和格式，定义了数据包的递交办法和路由选择。IP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层---TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）。高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。

FTPHTTPSMTPDNSSNMPTelnetTCPUDPIPEthernet802.3TokenRing802.5X.25应用层协议传输层协议网络层协议网络接口层协议ICMPARPRARPHDLCPPPTCP协议

如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向‘上’传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。TCP将它的信息送到更高层的应用程序，例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层，设备驱动程序和物理介质，最后到接收方。面向连接的服务（例如FTP）需要高度的可靠性，所以它们使用了TCP。FTPHTTPSMTPDNSSNMPTelnetTCPUDPIPEthernet802.3TokenRing802.5X.25应用层协议传输层协议网络层协议网络接口层协议ICMPARPRARPHDLCPPPUDP协议UDP与TCP位于同一层，但它不管数据包的顺序、错误或重发。因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询---应答的服务。相对于FTP或Telnet，这些服务需要交换的信息量较小。使用UDP的服务包括NTP（网络时间协议）和DNS。欺骗UDP包比欺骗TCP包更容易，因为UDP没有建立初始化连接（也可以称为握手）（因为在两个系统间没有虚电路），也就是说，与UDP相关的服务面临着更大的危险。FTPHTTPSMTPDNSSNMPTelnetTCPUDPIPEthernet802.3TokenRing802.5X.25应用层协议传输层协议网络层协议网络接口层协议ICMPARPRARPHDLCPPPICMP协议（控制报文协议）ICMP与IP位于同一层，它被用来传送IP的控制信息。它主要是用来提供有关通向目的地址的路径信息，检测网络是否通畅。ICMP的‘Redirect’信息通知主机通向其他系统的更准确的路径，而‘Unreachable’信息则指出路径有问题。另外，如果路径不可用了，ICMP可以使TCP连接‘体面地’终止。FTPHTTPSMTPDNSSNMPTelnetTCPUDPIPEthernet802.3TokenRing802.5X.25应用层协议传输层协议网络层协议网络接口层协议ICMPARPRARPHDLCPPPTCP/IP中的协议FTPHTTPSMTPDNS图1.2TCP/IP协议图SNMPTelnetTCPUDPIPEthernet802.3TokenRing802.5X.25应用层协议传输层协议网络层协议网络接口层协议ICMPARPRARPHDLCPPP5.1.2网络层安全（一）网络攻击窃听。一般情况下，绝大多数网络通信都以一种不安全的“明文”形式进行，这就给攻击者很大的机会，只要获取数据通信路径，就可轻易“侦听”或者“解读”明文数据流。数据篡改。网络攻击者在非法读取数据后，下一步通常就会想去篡改它，而且这种篡改一般可以做得让数据包的发送方和接收方无知无觉。身份欺骗（IP地址欺骗）。大多数网络操作系统使用IP地址来标识网络主机。然而，在一些情况下，貌似合法的IP地址很有可能是经过伪装的。另外网络攻击者还可以使用一些特殊的程序，对某个从合法地址传来的数据包做些手脚，借此合法地址来非法侵入某个目标网络。5.1.2网络层安全——网络攻击盗用口令攻击。基于口令的访问控制是一种最常见的安全措施。这意味着我们对某台主机或网络资源的访问权限决定于我们是谁，也就是说，这种访问权是基于我们的用户名和帐号密码的。攻击者可以通过多种途径获取用户合法帐号，一旦他们拥有了合法帐号，也就拥有了与合法用户同等的网络访问权限。因此，假设帐号被盗的用户具有网管权限的话，攻击者甚至可以借机给自己再创建一个合法帐号以备后用。在有了合法帐号进入目标网络后，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置；篡改、重定向、删除数据等等。拒绝服务攻击。目的是要使某个设备或网络无法正常运作。在非法侵入目标网络后，这类攻击者惯用的攻击手法有：首先设法转移网管员注意力，使之无法立刻察觉有人入侵，从而给攻击者自己争取时间；向某个应用系统或网络服务系统发送非法指令，至使系统出现异常行为或异常终止；

向某台主机或整个网络发送大量数据洪流，导致网络因不堪过载而瘫痪；

拦截数据流，使授权用户无法取得网络资源。5.1.2网络层安全——网络攻击5.1.2网络层安全——网络攻击中间人攻击中间人攻击发生在我们与通信对象之间，即通信过程以及通信数据遭到第三方的监视、截取和控制，例如攻击者可以对数据交换进行重定向等等。如果通信中使用网络低层协议，通信两端的主机是很难区分出不同的对象的，因此也不大容易察觉这类攻击。中间人攻击有点类似于身份欺骗。

盗取密钥攻击虽然一般说来，盗取密钥是很困难的，但并非不可能。通常我们把被攻击者盗取的密钥称为"已泄密的密钥"。攻击者可以利用这个已泄密的密钥对数据进行解密和修改，甚至还能试图利用该密钥计算其他密钥，以获取更多加密信息。5.1.2网络层安全——网络攻击Sniffer

攻击Sniffer，是指能解读、监视、拦截网络数据交换以及可以阅读数据包的程序或设备。如果数据包没有经过加密，Sniffer可以将该数据包中的所有数据信息一览无余，即使经过封装的隧道数据包，Sniffer也可以在对其进行解封装后再进行读取，除非该隧道数据经过加密而攻击者没有得到解密所需要的密钥。利用Sniffer，攻击者除了可以读取通信数据外，还可以对目标网络进行分析，进一步获取所需资源，甚至可以导致目标网络的崩溃或瘫痪。5.1.2网络层安全——纵深防御策略网络攻击常常可能导致系统崩溃以及敏感数据的外泄，因此数据资源必须受到足够的保护，以防被侦听，篡改，或非法访问。常规网络保护策略有使用防火墙、安全路由器（安全网关）以及对拨号用户进行身份认证等。这些措施通常被称为"边界保护"，往往只着重于抵御来自网络外部的攻击，但不能阻止网络内部的攻击行为。5.1.2网络层安全——纵深防御策略智能卡、用户认证等的访问控制法，单纯依赖用户名和口令，也不足以抵御大多数网络攻击。例如，一台主机由多个用户共享，往往会发生人不在了，而机器却仍处于登录状态的情况，从而导致系统出现不安全因素。访问控制法最大的缺陷是一旦用户帐号被窃，根本无法阻止攻击者盗取网络资源。

还有一种保护策略是物理级保护，就是保护实际的网络线路和网络访问节点，禁止任何未经授权的使用。这种保护方式，当数据需要从数据源通过网络传输到目的地时，无法做到保证数据的全程安全。5.1.3应用层攻击应用层攻击直接将目标对准应用系统服务器，应用层攻击的攻击者往往就是设计该应用系统的程序员。应用层攻击，是指攻击者故意在服务器操作系统或应用系统中制造一个后门，以便可以绕过正常的访问控制。特洛依木马就是一个非常典型的应用层攻击程序。5.1.3应用层攻击攻击者利用后门，可以控制整个用户应用系统，还可以：a.阅读、添加、删除、修改用户数据或操作系统。b.在用户应用系统中引入病毒程序。c.引入Sniffer，对用户网络进行分析，以获取所需信息，并导致用户网络的崩溃或瘫痪。d.引起用户应用系统的异常终止。e.解除用户系统中的其他安全控制，为其新一轮攻击打开方便之门。5.2防火墙概念防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网（LAN）网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。5.2防火墙的概念防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是“单向导通性”。“单向导通性”目前的防火墙在过滤机制上，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，所以说具有“单向导通”性。5.3防火墙的位置

5.3防火墙的位置一般讲，企业内部网常采用局域网技术，外部网常为广域网，用路由器来互连内部网和外部网，因此路由器所在的位置也应是防火墙的位置；有时，路由器中也集成了防火墙的功能。防火墙设施通常具有2个或者1个端口；

双端口时，分别接外部网和内部网。单端口时，则需交换设备的端口绑定。5.4防火墙的基本特性

（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。网络边界，是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。5.4防火墙的基本特性（二）只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。5.4防火墙的基本特性（三）防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。只有防火墙自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。5.5防火墙的功能（作用）

防火墙是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。防火墙内的网络称为“可信赖的网络”，而将外部的因特网称为“不可信赖的网络”。防火墙可用来解决内联网和外联网的安全问题。5.5防火墙的功能（作用）

防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。5.6防火墙的类型

根据防火墙工作所在的协议层次以及工作原理，主要分为以下几类：包过滤型防火墙分组过滤式防火墙代理服务型防火墙5.6.1包过滤型防火墙

包过滤是基于路由器的技术，通常由包过滤路由器对IP数据包进行选择，允许或拒绝特定的数据包通过。过滤一般是基于一个IP数据包的下列各域进行：IP源地址、IP目标地址、内装协议（ICP、UDP、ICMP或EPTunnel），TCP/UDP源端口（或服务类型）、TCP/UDP目的端口（或服务类型）、ICMP消息类型以及包的进入接口和出接口等。5.6.1包过滤型防火墙包过滤的优点：(1)因为包过滤防火墙工作在IP和TCP层，通常安装在路由器上（故又称屏蔽路由器），配置简便、经济，处理包的速度要比代理服务型防火墙快；(2)提供透明的服务，用户不用改变客户端程序。5.6.1包过滤型防火墙缺点：（1）因为只涉及到TCP层，无法识别基于应用层的恶意攻击，所以与代理服务型防火墙相比，它提供的安全级别很低；(2)不支持用户认证，包中只有来自哪台机器的信息却不包含来自哪个用户的信息，有经验的黑客很容易伪造IP地址，骗过包过滤防火墙进行攻击；

(3)不提供日志功能。5.6.2分组过滤式防火墙

分组过滤器是目前使用最为广泛的防火墙，其原理很简单：1、有选择地允许数据分组穿过防火墙，实现内部和外部主机之间的数据交换；2、作用在网络层和传输层；3、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。满足过滤逻辑的数据包才被转发，否则丢弃。5.6.2分组过滤式防火墙5.6.2分组过滤式防火墙优点：1、能有效地控制对站点的访问；2、能有效地保护易受攻击的服务；3、简单、价廉。缺点：1、不能防止假冒；2、只能在网络层和运输层实现；3、缺乏可审核性。5.6.3代理服务型防火墙

代理服型防火墙，通常是一个软件模块，运行在一台主机上。代理服务器与路由器的合作，路由器实现内部和外部网络交互时的信息流导向，将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。代理服务的实质是中介作用，它不允许内部网和外部网之间进行直接的通信。代理服务把网络IP地址替换成其它的暂时的地址。这种执行对于互联网来说有效地隐藏了真正的网络IP地址，因此保护了整个网络。5.6.3代理服务型防火墙代理工作方式示意图电路层代理

工作机制1、当外部网的用户希望访问内部网某个应用服务器时，实际上是向运行在防火墙上的代理服务软件提出请求，建立连接。2、由代理服务器代表它向要访问的应用系统提出请求，建立连接。3、应用系统给予代理服务器响应，4、代理服务器给予外部网用户以响应。5.6.3代理服务型防火墙通常代理服务是针对特定的应用服务而言的，不同的应用服务可以设置不同的代理服务器，如FTP代理服务器、TELNET代理服务器等。目前，很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性，并且取得了较好的效果。5.6.4状态检测防火墙技术状态检测防火墙，试图跟踪通过防火墙的网络连接和分组，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。

5.7防火墙技术发展动态和趋势（1）优良的性能（2