第二十章 防火墙

陈天洲信息安全原理xxaqyl@31-320703037第二十章防火墙防火墙防火墙基础防火墙概念防火墙功能防火墙附加功能外部攻击与防火墙对抗防火墙防火墙体系结构屏蔽路由器双穴主机网关被屏蔽主机网关被屏蔽子网多重防火墙组合技术防火墙防火墙的基本类型网络级防火墙应用级网关电路级网关规则检查防火墙防火墙防火墙技术包过滤技术应用网关技术状态监测防火墙应用层防火墙防火墙透明防火墙防火墙的透明模式透明代理防火墙设计软硬件设计依据Linux包过滤防火墙实例接口隔离防火墙实例防火墙展望防火墙概念防火墙是指一种保护措施，它可按照用户事先规定的方案控制信息的流入和流出，监督和控制使用者的操作。使用户可以安全使用网络，并避免受到Hacker的袭击。防火墙通常由过滤器和网关等组成。过滤器封锁某些类型的通信量，网关提供中继服务，补偿过滤影响的一个或一组机器。网关留驻的网络经常称为隔离地带（DMZ）。防火墙功能

包过滤是防火墙所要实现的最根本功能防火墙可以对网络存取和访问进行监控审计防火墙可以强化网络安全策略防火墙可以防止内部信息的外泄网络地址转换已经成了防火墙的功能之一防火墙可以提供代理功能1、透明代理(Transparentproxy）2、传统代理防火墙附加功能

NATNAT的工作过程如图所示：防火墙附加功能虚拟专用网（VPN）虚拟专用网（VPN）是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过对IP包的封装及加密，认证等手段，从而达到保证安全的目的。它往往是在防火墙上附加一个加密模块实现。外部攻击与防火墙对抗

外部攻击主要有：DOS（DDOS）攻击IP假冒(IPspoofing）口令字攻击邮件诈骗对抗防火墙（anti-firewall）防火墙防火墙体系结构屏蔽路由器双穴主机网关被屏蔽主机网关被屏蔽子网多重防火墙组合技术屏蔽路由器

屏蔽路由器ScreeningRouter这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。双穴主机网关

双穴主机网关DualHomedGateway方式最简单。Dual-homedGateway放置在两个网络之间，这个Dual-homedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。双穴主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双穴主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。被屏蔽主机网关

屏蔽主机网关（ScreenedHostGateway）易于实现也很安全，因此应用广泛。如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。被屏蔽子网被屏蔽子网（ScreenedSubnet）方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为"停火区"（DMZ，即DemilitarizedZone），Bastionhost放置在"停火区"内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。多重防火墙组合技术

多重防火墙的组合方式主要有两种：叠加式和并行式。叠加式将多台防火墙串联在一条链路之上（如企业网络的出口位置），所有访问流量都要先后通过多台不同厂家的防火墙的审计保护，每种防火墙都将按照自己特定的体系结构和安全策略对过往流量进行核查。与叠加方式恰恰相反，并行式组合方式首先强调的是提供整套系统的健壮性。防火墙防火墙的基本类型网络级防火墙应用级网关电路级网关规则检查防火墙防火墙的基本类型

防火墙有许许多多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。总的来说业界的分类有三种：包过滤防火墙，应用级网关和状态监视器。实现防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。网络级防火墙

一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来，作出通过与否的判断。网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。应用级网关

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏"透明度"。电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话(Session)是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高二层。规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机的模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。防火墙防火墙技术包过滤技术应用网关技术状态监测防火墙应用层防火墙包过滤技术

包过滤技术（IPfilteringorpacketfiltering）的原理在于监视并过滤网络上流入和流出的IP包，拒绝发送可疑的包，用户可在路由表中设定需要屏蔽或需要保护的源／目的主机的IP地址或端口号，在外来数据包进入企业的内部网络之前，路由器先检测源／远宿主机地址，如地址不符，则将该包滤除。包过滤防火墙的优点是它对于用户来说是透明的，处理速度快而且易于维护，通常做为第一道防线应用网关技术

应用网关技术（Applicationgateway）该技术又称为双主机技术（DualHomedHost），采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁，是内外联系的唯一途径，起着网关的作用，也被成为BastionHost（堡垒主机）。在应用网关上运行应用代理程序（ApplicationProxy），一方面代替原服务器程序，与客户程序建立连接，另一方面代替客户程序，与原服务器建立连接，使合法用户可以通过应用网关安全地使用Internet，而对非法用户不予理睬。应用网关技术与包过滤技术相比，应用网关技术更加灵活；由于作用在用户层，因此能执行更细致的检查工作。但软件开销大，管理和维护比较复杂。状态监测防火墙

这种防火墙具有非常好的安全特性，它使用了一个在网关上执行网络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。状态监测防火墙

与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用（RPC）和用户数据报(UDP)之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。应用层防火墙

1、应用代理服务器（ApplicationGatewayProxy）在网络应用层提供授权检查及代理服务。应用网关代理的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。但是这种认证使得应用网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。应用层防火墙

2、回路级代理服务器即通常意义的代理服务器，它适用于多个协议，但不能解释应用协议，需要通过其他方式来获得信息，所以，回路级代理服务器通常要求修改过的用户程序。套接字服务器（SocketsServer）就是回路级代理服务器。应用层防火墙

3、代管服务器代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上，使它同时充当服务器，对外部的请求作出回答。4、IP通道（IPTunnels）应用层防火墙

5、隔离域名服务器（SplitDomainNameServer）这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。6、邮件转发技术（MailForwarding）防火墙透明防火墙防火墙的透明模式透明代理防火墙设计软硬件设计依据Linux包过滤防火墙实例接口隔离防火墙实例防火墙展望防火墙的透明模式

透明模式，顾名思义，首要的特点就是对用户是透明的（Transparent），即用户意识不到防火墙的存在。透明模式最大的好处在于现有网络无需做任何改动，这就方便了很多客户，再者，从透明模式转换到非透明模式又很容易，适用性显然较广。防火墙的透明模式

透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置（包括IP地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。而与透明模式在称呼上相似的透明代理，和传统代理一样，可以比包过滤更深层次地检查数目前透明模式的实现上可采用ARP代理和路由技术实现。透明代理

一般使用代理服务器时，每个用户需要在客户端程序中指明要使用代理，自行设置Proxy参数（如在浏览器中有专门的设置来指明HTTP或FTP等的代理）。而透明代理服务，用户不需要任何设置就可以使用代理服务器，简化了网络的设置过程。透明代理

透明代理的原理如下：假设A为内部网络客户机，B为外部网络服务器，C为防火墙。当A对B有连接请求时，TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时，A和C之间首先建立连接