计算机网络之防火墙全解课件

防火墙技术计算机网络安全防火墙技术计算机网络安全内容提要防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理内容提要防火墙的基本概念安全层次安全的密码算法安全协议网络安全系统安全应用安全安全层次安全的密码算法安全协议网络安全系统安全应用安全防火墙(Firewall)防火墙的基本设计目标对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙防火墙的基本目标是通过隔离达到访问控制的目的通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙(Firewall)防火墙的基本设计目标计算机网络之防火墙全解课件防火墙(Firewall)防火墙的定义是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域之间通信流的唯一通道，能根据有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为。防火墙(Firewall)防火墙的定义防火墙(Firewall)防火墙的控制能力服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问行为控制，控制一个特定的服务的行为防火墙(Firewall)防火墙的控制能力防火墙能做什么定义一个必经之点挡住未经授权的访问流量禁止具有脆弱性的服务带来危害实施保护，以避免各种IP欺骗和路由攻击防火墙能做什么定义一个必经之点防火墙能做什么防火墙提供了一个监视各种安全事件的位置，所以，可以在防火墙上实现审计和报警对于有些Internet功能来说，防火墙也可以是一个理想的平台，比如地址转换，Internet日志、审计，甚至计费功能防火墙可以作为IPSec的实现平台防火墙能做什么防火墙提供了一个监视各种安全事件的位置，所以，防火墙本身的局限性对于绕过防火墙的攻击，它无能为力，例如，在防火墙内部通过拨号出去防火墙不能防止内部的攻击，以及内部人员与外部人员的联合攻击(比如，通过tunnel进入)防火墙不能防止被病毒感染的程序或者文件、邮件等防火墙的性能要求防火墙本身的局限性对于绕过防火墙的攻击，它无能为力，例如，在计算机网络之防火墙全解课件计算机网络之防火墙全解课件串口：可对防火墙进行初始化的配置串口：可对内容提要防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理内容提要防火墙的基本概念防火墙的发展历程基于路由器的防火墙利用路由器本身对分组的解析，进行分组过滤过滤判断依据：地址、端口号以及其他网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全要求不高的网络环境防火墙工具组件将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可以通过网络发送，用户可根据需要构造防火墙与第一代相比，安全性提高了，价格降低了防火墙的发展历程基于路由器的防火墙防火墙的发展历程基于通用操作系统的防火墙是批量上市的专用防火墙。包括分组过滤或者借用路由器的分组过滤功能。装有专用的代理系统，监控所有协议的数据和指令。保护用户编程空间和用户可配置内核参数的设置。安全性和速度大为提高基于安全操作系统的防火墙防火墙厂商具有操作系统的源代码，并可实现安全内核。去掉不必要的系统特性，加固内核，强化安全保护。在功能上包括了分组过滤、应用网关、电路级网关。增加了许多附加功能：加密、鉴别、审计、NAT转换。透明性好，易于使用。防火墙的发展历程基于通用操作系统的防火墙计算机网络之防火墙全解课件内容提要防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理内容提要防火墙的基本概念防火墙的类型简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙包过滤与应用代理复合型防火墙核检测防火墙防火墙的类型简单包过滤防火墙计算机网络之防火墙全解课件计算机网络之防火墙全解课件计算机网络之防火墙全解课件简单包过滤防火墙包过滤防火墙是第一代和最基本形式的防火墙，防火墙检查每一个通过的数据包，并查看数据包的包头，然后依据一套规则决定或者丢弃，或者放行该数据包。这称为包过滤防火墙。包过滤防火墙检查每一个传入包，查看包中可用的基本信息（源地址和目的地址、端口号、协议等）。然后，将这些信息与设立的规则相比较。简单包过滤防火墙包过滤防火墙是第一代和最基本形式的防火墙，防简单包过滤防火墙包过滤器操作的基本过程包过滤规则必须被包过滤设备端口存储起来。当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。若一条规则阻止包传输或接收，则此包便不被允许。若一条规则允许包传输或接收，则此包便可以被继续处理。若包不满足任何一条规则，则此包便被阻塞。简单包过滤防火墙包过滤器操作的基本过程简单包过滤防火墙不检查数据区。不建立连接状态表。前后报文无关。应用层控制很弱。效率高。简单包过滤防火墙不检查数据区。包过滤路由器基本的思想很简单对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包往往配置成双向的包过滤路由器基本的思想很简单包过滤路由器如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略包过滤路由器如何过滤安全缺省策略两种基本策略，或缺省策略没有被拒绝的流量都可以通过管理员必须针对每一种新出现的攻击，制定新的规则没有被允许的流量都要拒绝比较保守根据需要，逐渐开放安全缺省策略两种基本策略，或缺省策略包过滤防火墙在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制数据包过滤技术的发展：静态包过滤、动态包过滤包过滤防火墙在网络层上进行监测包过滤防火墙优点：不用改动应用程序一个过滤路由器能协助保护整个网络过滤路由器速度快数据包过滤对用户透明效率高包过滤防火墙优点：包过滤防火墙缺点：正确制定规则并不容易不可能引入认证机制不能彻底防止地址欺骗一些应用协议不适合于数据包过滤正常的数据包过滤路由器无法执行某些安全策略包过滤防火墙缺点：Ftp文件传输协议clientftpserver命令通道：21端口数据通道：20端口515151502120PORT5151OK建立数据通道OKFtp文件传输协议clientftpserver命令通道：Ftp文件传输协议(续)clientftpserver命令通道：21端口数据通道：大于1023515151502120PASVPORT3267建立数据通道OK3267Ftp文件传输协议(续)clientftpserver命令针对ftp的包过滤规则注意事项建立一组复杂的规则集是否允许正常模式的ftp数据通道？有些ftpclient不支持pasv模式动态监视ftp通道发出的port命令有一些动态包过滤防火墙可以做到启示包过滤防火墙比较适合于单连接的服务(比如smtp,pop3)，不适合于多连接的服务(比如ftp)针对ftp的包过滤规则注意事项建立一组复杂的规则集针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址。对策：在外部接口上禁止内部地址源路由攻击，即由源指定路由，绕开防火墙。对策：禁止这样的选项IP碎片攻击。对策：Windows系统请打上最新的Service

Pack，目前的Linux内核已经不受影响。

如果可能，在网络边界上禁止碎片包通过，或者用iptables限制每秒通过碎片包的数目。

如果防火墙有重组碎片的功能，请确保自身的算法没有问题，否则被DoS就会影响整个网络。

Win2K系统中，自定义IP安全策略，设置“碎片检查”。

利用复杂协议和管理员的配置失误进入防火墙。例如，利用ftp协议对内部进行探查针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址IP碎片攻击1.

为什么存在IP碎片

链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值。以太网的MTU是1500，你可以用

netstat

-i

命令查看这个值。如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片（fragmentation）操作，使每一片的长度都小于或等于MTU。我们假设要传输一个UDP数据包，以太网的MTU为1500字节，一般IP首部为20字节，UDP首部为8字节，数据的净荷（payload）部分预留是1500-20-8=1472字节。如果数据部分大于1472字节，就会出现分片现象。

IP首部包含了分片和重组所需的信息：

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

|

Identification

|R|DF|MF|

Fragment

Offset

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|<-------------16----------->|<---3---->|<----------13----------->|

IP碎片攻击1.

为什么存在IP碎片

链路层具有最大传输单IP碎片攻击Identification：发送端发送的IP数据包标识字段都是一个唯一值，该值在分片时被复制到每个片中。

R：保留未用。

DF：Don‘t

Fragment，“不分片”位，如果将这一比特置1

，IP层将不对数据报进行分片。

MF：More

Fragment，“更多的片”，除了最后一片外，其他每个组成数据报的片都要把比特置1。

Fragment

Offset：该片偏移原始数据包开始处的位置。偏移的字节数是该值乘以8。

另外，当数据报被分片后，每个片的总长度值要改为该片的长度值。每一IP分片都各自路由，到达目的主机后在IP层重组，请放心，首部中的数据能够正确完成分片的重组。既然分片可以被重组，那么所谓的碎片攻击是如何产生的呢？

IP碎片攻击Identification：发送端发送的IP数IP碎片攻击2.

IP碎片攻击

IP首部有两个字节表示整个IP数据包的长度，所以IP数据包最长只能为0xFFFF，就是65535字节。如果有意发送总长度超过65535的IP碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。另外，如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。所以说，漏洞的起因是出在重组算法上。IP碎片攻击2.

IP碎片攻击

IP首部有两个字节表示整个计算机网络之防火墙全解课件状态检测包过滤防火墙不检查数据区。建立连接状态表。前后报文相关。应用层控制很弱。检测性能提高了。状态检测包过滤防火墙不检查数据区。计算机网络之防火墙全解课件不检查IP、TCP包头。不建立连接状态表。网络层保护比较弱。安全性提高了，性能降低了。应用代理防火墙不检查IP、TCP包头。应用代理防火墙计算机网络之防火墙全解课件复合型防火墙可以检查整个数据包内容。根据需要建立连接状态表。网络层保护强。应用层控制细。会话控制弱。复合型防火墙可以检查整个数据包内容。计算机网络之防火墙全解课件核检测防火墙网络层保护强。应用层保护强。会话保护很强。上下文相关。前后报文有联系。核检测防火墙网络层保护强。计算机网络之防火墙全解课件内容提要防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理内容提要防火墙的基本概念计算机网络之防火墙全解课件核检测技术就是基于操作系统内核的会话检测技术。核检测技计算机网络之防火墙全解课件计算机网络之防火墙全解课件计算机网络之防火墙全解课件基于内核的会话检测技术就是在操作系统内核模拟出典型的应用层协议，在内核实现应用层协议的过滤，从而得到极高的性能。基于内核的会话检测技术就是在操作系统内核模拟出典型的应用层协并发连接数：20万vs120万并发连接数：内容提要防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理内容提要防火墙的基本概念防火墙构造体系筛选路由器。多宿主主机。被屏蔽主机。被屏蔽子网。防火墙构造体系筛选路由器。计算机网络之防火墙全解课件优点：结构简单部署容易、灵活缺点：安全防护能力弱筛选路由器优点：筛选路由器多宿主主机：即带有多个网卡的主机，也就是一个代理服务器。多宿主主机：缺点：安全防护能力只有一层，一旦多宿主主机受到攻击，内网就可能完全暴露于外网之下。多宿主主机缺点：多宿主主机堡垒主机：对外部网络暴露，同时也是内部网络用户的主要连接点堡垒主机：

堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击屏蔽主机

堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使优点：只要包过滤防火墙安全，即使堡垒主机被攻破，其他主机仍然是安全的。缺点：堡垒主机与其他主机处于同一个子网。一旦包过滤防火墙被攻破，堡垒主机和其他主机都暴露在外网之下，是不安全的。被屏蔽主机优点：被屏蔽主机堡垒主机的实现（1）堡垒主机操作系统的选择；（2）堡垒主机速度的选择；（3）堡垒主机的硬件；（4）堡垒主机的物理位置。堡垒主机的实现（1）堡垒主机操作系统的选择应该选较为熟悉的、流行的系统作为堡垒主机的操作系统。选择主机时，应该选择一个可支持有若干个接口同时处于活跃状态并且能可靠地提供一系列内部网用户所需要的因特网服务的机器。（1）堡垒主机操作系统的选择应该选较为熟悉的、流行的系统作为（2）堡垒主机速度的选择实际上，选用功能并不十分强大的机器作为堡垒主机反而更好。不使用功能过高的机器充当堡垒主机的理由如下：①低档的机器对入侵者的吸引力要小一些；②如若堡垒主机被破坏，低档的堡垒主机对于入侵者进一步侵入内部网提供的帮助要小些；

③也可降低内部网用户破坏的兴趣。

（2）堡垒主机速度的选择实际上，选用功能并不十分强大的机器作（3）堡垒主机的硬件因为我们总是希望堡垒主机上有高可靠性，所以，应慎选产品。还希望堡垒主机具有高兼容性，所以不可选太旧的产品。在不追求纯粹的高CPU性能的同时，我们要求它至少能支持同时处理两个网际连接的能力。这个要求使得堡垒主机的内存要大，并配置有足够的交换空间。另外，如果在堡垒主机上要运行代理服务还需要有较大的磁盘空间作为存储缓冲。（3）堡垒主机的硬件因为我们总是希望堡垒主机上有高可靠性，所（4）堡垒主机的物理位置①位置要安全：如若入侵者与堡垒主机有物理接触，他就有很多我们无法控制的方法来攻破堡垒主机。对堡垒主机提供了许多内部网与因特网的功能性连接，如果它被损或被盗，那整个站点与外部网就地脱离或完全中断。对堡垒主机要细心保护，以免发生不测。应把它放在通风良好、温湿度较为恒定的房间，并最好配备有空调和不间断电源。（4）堡垒主机的物理位置①位置要安全：②堡垒主机在网络上的位置：堡垒主机应被放置在没有机密信息流的网络上，最好放置一个单独的网络上。将堡垒主机放置在参数网络上而不放在内部网上。即使我们无法将堡垒主机放置在参数网络上，也应该将它放置在信息流不太敏感的网络上。（4）堡垒主机的物理位置②堡垒主机在网络上的位置：（4）堡垒主机的物理位置DMZ区：非军事化区，在内部网络和外部网络之间增加的一个子网。DMZ区：DMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。被屏蔽子网DMZ是英文“demilitarizedzone”的缩写，被屏蔽子网包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有外部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须穿过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。

被屏蔽子网被屏蔽子网包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管优点：提供多重保护措施，提高安全保护的强度。被屏蔽子网优点：被屏蔽子网计算机网络之防火墙全解课件串口：可对防火墙进行初始化的配置串口：可对内容提要防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理内容提要防火墙的基本概念计算机网络之防火墙全解课件计算机网络之防火墙全解课件计算机网络之防火墙全解课件计算机网络之防火墙全解课件计算机网络之防火墙全解课件计算机网络之防火墙全解课件计算机网络之防火墙全解课件RADIUS服务器（远程用户拨号认证系统

）RemoteAuthenticationDial-InUserService服务器（RADIUS），以执行对用户的验证（Authentication

）、授权（Authorization

）和记帐（Accounting

）（AAA）功能。它允许网络访问服务器（NAS）执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS服务器通常是在UNIX、LINUX或Windows服务器上运行的一个监护程序。如果NAS收到用户连接请求，它会将它们传递到指定的RADIUS服务器，后者对用户进行验证，并将用户的配置信息返回给NAS。然后，NAS接受或拒绝连接请求。认证服务RADIUS服务器（远程用户拨号认证系统）认证服务虽然大部分用户还在使用可重用口令技术来保护他们的系统，但随着网络应用的大规模普及，可重用口令技术的缺陷日渐暴露无遗。

在我们能够使用信息系统之前，通常需要经过以下两个步骤：鉴别和授权。鉴别是授权的基础，因为如果不能正确的识别用户的身份，正确的授权就无从谈起。利用口令认证用户是最常用的一种鉴别技术，而口令鉴别技术通常又分为两种：历史悠久的可重用口令鉴别技术和后起之秀一次性口令鉴别技术。可重用口令虽然大部分用户还在使用可重用口令技术来保护他们的系统，但随着可重用口令鉴别技术的历史很悠久，其缺陷也非常明显：

·网络窃听：有时候口令需要通过网络传输，很多鉴别系统的口令是未经加密的明文，攻击者只要通过窃听网络数据，就很容易获取鉴别所需的用户名和口令。

·重放攻击：有的系统会将鉴别信息进行简单加密后进行传输，这时攻击者虽然无法窃听密码，但他们却可以首先截取加密后的口令然后将其重放，从而利用这种方式进行有效的攻击。

·字典攻击：由于多数用户习惯使用有意义的单词或数字作为密码，某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符，以增加口令的安全性。可重用口令可重用口令鉴别技术的历史很悠久，其缺陷也非常明显：

·网可重用口令鉴别技术的历史很悠久，其缺陷也非常明显：

·强力攻击：这是一种特殊的字典攻击，它使用字符串的全集作为字典，即穷举所有可能的口令空间。这需要很大的耐心和巨大的工作量以及一点运气。然而，若用户的密码较短，那么它很快就会被穷举出来，因而很多系统都建议用户使用长口令。

·窥探：攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。对于后者，根本不需要特别的技术或设备，只要眼睛不是近视，需要的仅是静悄悄的站在您的身后，就可以轻松实施攻击。

·社交工程：攻击者冒充管理人员发送邮件或打电话给合法用户，比如“我是某某单位的系统管理员，现在需要更新所有用户的密码，请将您原来使用的口令告诉我。”这种情况下，许多经验不足的用户会毫不犹豫地将其口令奉上。

可重用口令可重用口令鉴别技术的历史很悠久，其缺陷也非常明显：

·强力可重用口令鉴别技术的历史很悠久，其缺陷也非常明显：

·垃圾搜索：攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如果用户将口令写在纸上又随便丢弃，则很容易成为垃圾搜索的攻击对象。有文章报道说，当今的商业间谍流行以清洁工人的身份来搜集情报，一方面清洁工人不太引起人们的注意，同时工作起来特顺手。

虽然可以通过强迫用户经常更换密码和增加密码长度来保证安全，但由于人类天性懒惰的缘故，经常更换难以记忆的密码会让他们感觉很不舒服，这时难保他们不会将口令写到小纸条上并置于键盘之下（若系统管理员看到了会气得在地上打滚）。所以说实施某项安全措施时，必须考虑到来自用户的阻力。可重用口令可重用口令鉴别技术的历史很悠久，其缺陷也非常明显：

·一次性口令的工作原理为了解决固定口令的诸多问题，安全专家提出了一次性口令（OTP：OneTimePassword）的密码体制，以保护关键的计算资源。OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。例如：登录密码=MD5(用户名＋密码＋时间），系统接收到登录口令后做一个验算即可验证用户的合法性。

OTP：OneTimePassword

一次性口令的工作原理OTP：OneTimePasswor不确定因子选择与口令生成口令序列(S/KEY)口令为一个单向的前后相关的序列，系统只用记录第N个口令。用户用第N－1个口令登录时，系统用单向算法算出第N个口令与自己保存的第N个口令匹配，以判断用户的合法性。由于N是有限的，用户登录N次后必须重新初始化口令序列。挑战/回答(CRYPTOCard)用户要求登录时，系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统，系统用同样的方法做验算即可验证用户身份。时间同步(SecureID)以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高，一般采取以分钟为时间单位的折中办法。在SecureID产品中，对时间误差的容忍可达±1分钟。事件同步(SafeWord)这种方法以挑战/回答方式为基础，将单向的前后相关序列作为系统的挑战信息，以节省用户每次输入挑战信息的麻烦。但当用户的挑战序列与服务器产生偏差后，需要重新同步。OTP：OneTimePassword

不确定因子选择与口令生成OTP：OneTimePass一次性口令的使用过程当一个用户在服务器上首次注册时，系统给用户分配一个种子值（seed）和一个迭代值（iteration），这两个值就构成了一个原始口令，同时在服务器端还保留有仅用户自己知道的通行短语。当用户每次向服务器发出连接请求时，服务器把用户的原始口令传给用户。用户接到原始口令以后，利用口令生成程序，采用MD4或MD5散列算法，结合通行短语计算出本次连接实际使用的口令，然后再把口令传回服务器；服务器先保存用户传来的口令，然后调用口令生成器，采用MD