计算机系统安全防火墙

计算机系统平安第九章防火墙1.一、防火墙概述

什么是防火墙(Firewall)？防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。2.一、防火墙的用途一、防火墙概述1〕作为“扼制点〞，限制信息的进入或离开；2〕防止侵入者接近并破坏你的内部设施；3〕监视、记录、审查重要的业务流；4〕实施网络地址转换，缓解地址短缺矛盾。防火墙只允许已授权的业务流通过，而且本身也应抵抗渗透攻击。建立防火墙必须全面考虑平安策略，否那么形同虚设。3.二、好的防火墙系统一、防火墙概述1〕内部网络和外部网络之间传输的数据必须通过防火墙；2〕只有防火墙系统中平安策略允许的数据可以通过防火墙；3〕防火墙本身不受各种攻击的影响。4.三、防火墙的优点一、防火墙概述

1.防止易受攻击的效劳通过过滤不平安的效劳来降低子网上主系统的风险。可以禁止某些易受攻击的效劳(如NFS)进入或离开受保护的子网。可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。5.一、防火墙概述2.控制访问网点系统可以提供对系统的访问控制。如允许从外部访问某些主机(MailServer和WebServer)，同时禁止访问另外的主机。3.集中平安性防火墙定义的平安规那么可用于整个内部网络系统，而无须在内部网每台机器上分别设立平安策略。可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户只需要经过一次认证即可访问内部网。例如对于密码口令系统或其他的身份认证软件等，放在防火墙系统中更是优于放在每个Internet能访问的机器上。6.一、防火墙概述4.增强的保密、强化私有权使用防火墙系统，站点可以防止finger以及DNS域名效劳。Finger能列出当前用户，上次登录时间，以及是否读过邮件等。5.有关网络使用、滥用的记录和统计防火墙可以记录各次访问，并提供有关网络使用率等有价值的统计数字。网络使用率统计数字可作为网络需求研究和风险分析的依据；收集有关网络试探的证据，可确定防火墙上的控制措施是否得当，能否抵御试探和攻击。7.四、防火墙的局限性一、防火墙概述1〕防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机平安和用户教育、管理、制度等。8.一、防火墙概述2〕不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有方法阻止入侵者进行拨号入侵。3〕防火墙配置复杂，容易出现平安漏洞4〕防火墙往往只认机器〔IP地址〕不认人〔用户身份〕，并且控制粒度较粗。9.一、防火墙概述5〕防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。6〕防火墙不能防止数据驱动式攻击。当有些外表看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。10.五、防火墙的特点一、防火墙概述1、广泛的效劳支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP效劳器、FTP等；2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动的平安；3、客户端认证：只允许指定的用户访问内部网络或选择效劳：企业本地网与分支机构、商业伙伴和移动用户间平安通信的附加局部；11.五、防火墙的特点一、防火墙概述4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们；5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。

12.1、效劳访问政策二、网络政策

效劳访问政策是整个机构信息平安政策的延伸，既要可靠又要切合实际。一个典型的政策可以不允许从Internet访问网点，但要允许从网点访问Internet。另一个典型政策是允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web效劳器和电子邮件效劳器。13.允许拒绝2、防火墙设计政策

防火墙一般实施两个根本设计方针之一:1.“没有明确允许的都是被禁止的〞，即拒绝一切未予特许的东西。2.“没有明确禁止的都是被允许的〞；也即是允许一切未被特别拒绝的东西允许拒绝14.六、防火墙的体系结构1〕屏蔽路由器〔ScreenedRouter〕2〕双宿主机网关；DualHomedHostGateway3〕屏蔽主机防火墙；ScreenedGateway4〕屏蔽子网防火墙。ScreenedSubnet15.1.屏蔽路由器〔ScreenedRouter〕包过滤路由器：路由+过滤这是最简单的防火墙。缺点：日志没有或很少，难以判断是否被入侵规那么表会随着应用变得很复杂单一的部件保护，脆弱16.2.双宿主机网关防火墙体系结构

17.防火墙体系结构

用一台装有两块网卡的计算机作为堡垒主机〔Bastionhost〕，两块网卡分别与内部网和外部网〔或屏蔽路由器〕相连，每块网卡有各自的IP地址。堡垒主机上运行防火墙软件——代理效劳〔应用层网关〕。在建立双宿主机时，应关闭操作系统的路由功能〔IP转发〕，否那么两块网卡间的通信会绕过代理效劳器软件。优点：与屏蔽路由器相比，提供日志以备检查缺点：双宿主机易受攻击18.3.屏蔽主机防火墙防火墙体系结构19.屏蔽主机体系结构

20.防火墙体系结构由屏蔽路由器和应用网关组成。两道屏障：网络层的包过滤；应用层代理效劳注：与双宿主机网关不同，这里的应用网关只有一块网卡。优点：双重保护，平安性更高。实施策略：针对不同的效劳，选择其中的一种或两种保护措施。21.4.屏蔽子网体系结构防火墙体系结构组成：一个包含堡垒主机的周边子网、两台屏蔽路由器。22.屏蔽子网体系结构

23.防火墙体系结构屏蔽子网防火墙中，添加周边网络进一步地把内部网络与Internet隔离开。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。要想侵入用这种类型的体系结构构筑的内部网络，侵袭者必须通过外部路由器，堡垒主机，内部路由器三道关口。1〕周边网络：非军事化区、停火区〔DMZ〕周边网络是另一个平安层,是在外部网络与内部网络之间的附加的网络。24.防火墙体系结构周边网络的作用对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是平安的。25.防火墙体系结构2〕堡垒主机接受来自外界连接的主要入口：1对于进来的电子邮件〔SMTP〕会话，传送电子邮件到站点；2对于进来的FTP连接，转接到站点的匿名FTP效劳器；3对于进来的域名效劳〔DNS〕站点查询等。26.防火墙体系结构出站效劳按如下任一方法处理：1.在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的效劳器。2.设置代理效劳器在堡垒主机上运行〔如果用户的防火墙使用代理软件〕来允许内部的客户端间接地访问外部的效劳器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理效劳器交谈。但是禁止内部的客户端与外部世界之间直接通信(如拨号上网)。27.防火墙体系结构3〕内部路由器内部路由器〔阻塞路由器〕：保护内部的网络使之免受Internet和周边子网的侵犯。内部路由器为用户的防火墙执行大局部的数据包过滤工作。它允许从内部网到Internet的有选择的出站效劳。这些效劳是用户使用数据包过滤而不是通过代理效劳提供。内部路由器所允许的在周边网和内部网之间效劳可不同于内部路由器所允许的在外部和内部网之间的效劳。限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。28.防火墙体系结构4〕外部路由器在理论上，外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。外部路由器平安任务之一是：阻止从Internet上伪造源地址进来的任何数据包。29.内部防火墙问题

防火墙体系结构在大局部讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的局部站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个局部之间，或者在同一内部网的两个不同组织结构之间再建立防火墙〔也被称为内部防火墙〕。30.复合型防火墙

复合型防火墙

采用哪种形式的防火墙取决于经费、技术、时间等。应用层表示层会话层传输层网络层链路层物理层包过滤应用网关电路网关31.包过滤技术

包过滤技术32.包过滤技术的原理包过滤技术在路由器上参加IPFiltering功能，这样的路由器就成为ScreeningRouter。Router逐一审查每个数据包以判定它是否与其它包过滤规那么相匹配(只检查包头，不理会包内的正文信息)。如果找到一个匹配，且规那么允许这包，这个包那么根据路由表中的信息前行；如果找到一个匹配，且规那么允许拒绝此包，这一包那么被舍弃；如果无匹配规那么，一个用户配置的缺省参数将决定此包是前行还是被舍弃。33.IPv4包过滤技术版本号Version(4bit)报头长IHL(4bit)

效劳类型

ServiceType(8bit)分组总长度TotalLength(16bit)标识Identification(16bit)标志Flags(3bit)片偏移FragmentOffset(13bit)生存时间TimetoLive(8bit)传输层协议Protocol(8bit)头部校验和

HeaderChecksum(16bit)源IP地址SourceAddress(32bit)宿IP地址DestinationAddress(32bit)可选项Option有效负载Payload〔0或多个字节〕20bytes048161931填充域padding34.ICMP报文包过滤技术ICMP报文的一般格式Data过失信息出错IP数据报的头+64个字节数据类型Type(8bit)代码Code(8bit)

检验和Checksum(16bit)不同类型和代码有不同的内容Data081631ICMPheaderICMPdataIPheaderIPdata封装35.TCP头部包过滤技术源端口SourcePort(16bit)宿端口DestinationPort(16bit)序列号SequenceNumber(32bit)确认号AcknowledgmentNumber(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小Window

size(16bit)校验和Checksum(16bit)紧急指针UrgentPointer(16bit)选项

Options(0或多个32bit字)数据Data(可选)36.UDP头部包过滤技术UDP源端口UDP宿端口UDP长度UDP校验和16bit16bit最小值为8全“0〞：不选；全“1〞：校验和为0。37.包过滤的依据包过滤技术IP源地址IP目的地址封装协议(TCP、UDP、或IPTunnel)TCP/UDP源端口TCP/UDP目的端口ICMP包类型TCP报头的ACK位包输入接口和包输出接口38.依赖于效劳的过滤包过滤技术多数效劳对应特定的端口，例：Telnet、SMTP、POP3分别为23、25、110。如要封锁输入Telnet、SMTP的连接，那么Router丢弃端口值为23和25的所有数据包。典型的过滤规那么有以下几种：.只允许进来的Telnet会话连接到指定的一些内部主机.只允许进来的FTP会话连接到指定的一些内部主机.允许所有出去的Telnet会话.允许所有出去的FTP会话.拒绝从某些指定的外部网络进来的所有信息39.独立于效劳的过滤有些类型的攻击很难用根本包头信息加以鉴别，因为独立于效劳。要防止这类攻击，需要在过滤规那么中考虑其它信息，如：路由表、特定的IP选项、特定的片段偏移等。不依赖于效劳的攻击有三类：1〕源IP地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，那么舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。40.包过滤技术2〕源路由攻击攻击者为信息包指定一个穿越Internet的路由，这类攻击企图绕过平安措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。3〕残片攻击入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个别离的信息包片断，使数据包绕过用户定义的过滤规那么。黑客希望过滤路由器只检查第一分段，而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中FragmentOffset=1的数据包，即可挫败残片的攻击。41.推荐的过滤规那么任何进入内网的数据包不能将内部地址作为源地址任何进入内网的数据包必须将内部地址作为目标地址任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包不能将内部地址作为目标地址任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址保存、DHCP自动配置和多播地址也要被阻塞：/8/16/24/4/442.包过滤路由器的优点包过滤技术1、实现包过滤几乎不再需要费用。这些特点都包含再标准的路由器软件中。绝大多数Internet防火墙系统只用一个包过滤路由器.2、执行PACKETFILTER所用的时间很少或几乎不需要什么时间。因为Internet访问一般被提供给一个WAN接口。如果通信负载适中且定义的过滤很少的话,那么对路由性能没有多大影响.3、包过滤路由器对终端用户和应用程序是透明的,因此不需要专门的用户培训或在每主机上设置特别的软件.43.包过滤路由器的局限性包过滤技术1、定义包过滤器的工作复杂,要了解Internet各种效劳、包头格式和每个域查找的特定值。管理困难。2、通过路由器的数据包有可能被用于数据驱动攻击3、过滤器数目增加，路由器吞吐量下降4、无法对流动的信息提供全面控制。不能理解上下文。5、一些应用协议不适合于包过滤，如：RPC、FTP等。6、日志能力较弱。不能报告谁企图入侵。7、难以针对用户实施平安策略。44.代理效劳技术代理效劳该技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理效劳器之间的连接来实现，外部计算机的网络链路只能到达代理效劳器，从而起到隔离防火墙内外计算机系统的作用。此外，代理效劳器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保存攻击痕迹。45.代理效劳技术代理效劳46.应用层网关

应用网关应用层网关〔ApplicationLevelGateways〕技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用效劳协议，如：超文本传输协议(HTTP)、远程文件传输协议(FTP)等，使用指定的数据过滤规那么。并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。记录和控制所有进出流量是应用层网关的一个主要优点。47.应用层上的过滤应用网关48.应用层网关49.电路层网关(CircuitGateway)电路网关工作在OSI的会话层。分组地址是一个应用层的用户进程。电路网关在两个通信端点之间复制字节。电路网关包含有支持某些TCP/IP应用的程序代码，但通常是有限的。电路网关适于限制内部网对外部的访问，但不能实施协议过滤。从电路网关出来的连接好象都是从防火墙产生的，故可以隐藏内部网络信息。电路网关与包过滤相似，但比包过滤高两层，平安性更好。50.电路层网关51.一个例子代理效劳用包过滤路由器封锁所有输入Telnet和Ftp连接的网点。路由器允许Telnet和Ftp包只通过一个主系统，即Telnet/Ftp应用网关，然后再连接到目的主系统：用户首先把Telnet连接到应用网关，并输入内部主系统名字；网关检验用户的源IP地址，并根据访问准那么接受或拒绝；用户可能需要证明自己的身份〔可使用一次性口令装置〕；代理效劳软件在网关和内部主系统之间建立Telnet连接；代理效劳软件在两个连接之间传送数据；应用网关记录连接情况。52.代理效劳的优点代理效劳1〕易于配置软件实现，界面友好2〕日志记录，便于分析3〕灵活控制进出流量、内容(who、what、where、when)例如，可以过滤协议。为防止用户向匿名FTP效劳器写数据，可拒绝使用FTP协议中的put命令；能过滤数据内容：文本过滤、图像过滤、病毒扫描等。4〕为用户提供透明的加密机制VPN5〕便于与其它平安手段集成认证授权加密TLS协议53.代理效劳的缺点速度慢：检查内容；转发/响应代理对用户不透明对客户端要定制软件或改动；如何跨平台；代理效劳难以让可户非常满意不能改进底层协议的平安IP欺骗SYN泛滥拒绝效劳攻击有可能受到协议漏洞的威胁54.包过滤与代理的结合代理效劳为提高平安性，将包过滤方法与应用代理的方法结合起来，形成复合型防火墙产品。有两种方案。1)屏蔽主机防火墙体系结构：在该结构中，包过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在包过滤路由器或防火墙上过滤规那么的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。55.代理效劳2)屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个包过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络别离。在屏蔽子网防火墙体系结构中，堡垒主机和包过滤路由器共同构成了整个防火墙的平安根底。代理效劳器及防火墙软件包：WingateMicrosoftProxyServer56.用户眼中的代理代理效劳免费代理出现原因：系统漏洞；管理员设置的