防火墙技术与应用

防火墙技术与应用2024/5/3网络安全技术28.1网络防火墙概述防火墙：防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。

第2页,共51页，2024年2月25日，星期天2024/5/3网络安全技术38.1网络防火墙概述网络防火墙：在可信和不可信网络间设置的保护装置，用于保护内部资源免遭非法入侵。服务器内部网可信网络Internet不可信网络第3页,共51页，2024年2月25日，星期天2024/5/3网络安全技术4第4页,共51页，2024年2月25日，星期天2024/5/3网络安全技术58.1.1网络防火墙基本概念堡垒主机：指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点。双宿主主机：又称双宿主机或双穴主机，是具有两个网络接口的计算机系统。第5页,共51页，2024年2月25日，星期天2024/5/3网络安全技术6包过滤：设备对进出网络的数据流（包）进行有选择的控制与操作。通常是对从外部网络到内部网络的包进行过滤。参数网络：为了增加一层安全控制，在内部网与外部网之间增加的一个网络，中立区，有时也称非军事区，即DMZ（DemilitarizedZone）。

代理服务器：代表内部网络用户与外部服务器进行信息交换的计算机（软件）系统。

第6页,共51页，2024年2月25日，星期天2024/5/3网络安全技术7对于防火墙的发展历史，基于功能划分可分为五个阶段第一代防火墙

几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。

第二、三代防火墙

1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

第四代防火墙

1992年，USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙，后来演变为目前所说的状态监视技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代防火墙

1998年，NAI公司推出了一种自适应代理技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

。

防火墙技术的发展简史第7页,共51页，2024年2月25日，星期天防火墙技术的简单发展历史返回本节防火墙技术的发展简史第8页,共51页，2024年2月25日，星期天2024/5/3网络安全技术98.1.2网络防火墙的目的与作用

1. 构建网络防火墙的主要目的限制某些访问者进入一个被严格控制的点。防止进攻者接近防御设备。限制某些访问者离开一个被严格控制的点。检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏。

第9页,共51页，2024年2月25日，星期天2024/5/3网络安全技术10过滤进出网络的数据包管理进出网络的访问行为封堵某些禁止的访问行为记录通过防火墙的信息内容和活动对网络攻击进行检测和告警2.网络防火墙的作用第10页,共51页，2024年2月25日，星期天2024/5/3网络安全技术118.1.3防火墙的局限性防火墙不能防范未通过自身的网络连接防火墙不能防范未知的威胁防火墙不能防范内部用户的恶意破坏防火墙不能防止感染病毒的软件或文件传输防火墙本身也存在安全问题第11页,共51页，2024年2月25日，星期天2024/5/3网络安全技术12按对数据包处理方式不同包过滤式防火墙应用代理式防火墙状态检测防火墙

按体系结构硬件防火墙(基于PC架构,在PC架构计算机上运行一些经过裁剪和简化的操作系统)软件防火墙：Checkpoint,ISAServer芯片级防火墙(基于专门的硬件平台)8.2防火墙的基本类型按操作模式网桥模式路由模式NAT按性能百兆千兆按部署方式边界(企业)防火墙个人（主机）防火墙第12页,共51页，2024年2月25日，星期天13包过滤路由器模式

往往用一台路由器来实现网络层安全基本的思想很简单工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息。往往配置成双向的该防火墙不能够隐藏内部网络的信息、不具备监视和日志记录功能。优点：

实现简单、费用低、对用户透明、效率高

缺点：

维护困难、不支持用户鉴别8.2.1包过滤型防火墙

第13页,共51页，2024年2月25日，星期天2024/5/3网络安全技术14感觉的连接实际的连接代理服务器内部网络Internet真正的服务器客户机8.2.2代理服务器型防火墙1.工作原理第14页,共51页，2024年2月25日，星期天代理的工作方式第15页,共51页，2024年2月25日，星期天2024/5/3网络安全技术16代理服务器有两个部件：一个代理服务器和一个代理客户。

代理服务器HTTPFTPTelnet…代理客户外部网络服务器发送请求转发请求响应请求转发响应源IP为代理客户源IP为代理服务器源IP为代外部服务器源IP为代外部服务器第16页,共51页，2024年2月25日，星期天2024/5/3网络安全技术172. 优缺点

优点：能完全控制网络信息的交换，控制会话过程，具有灵活性和安全性。

缺点：可能影响网络的性能，对用户不透明，且对每一种服务器都要设计一个代理模块，建立对应的网关层，实现起来比较复杂。

第17页,共51页，2024年2月25日，星期天2024/5/3网络安全技术188.2.3状态检测防火墙

1.概述

状态检测防火墙又称为动态包过滤防火墙，它工作在传输层，检查的不仅仅是数据包中的头部信息，而且会跟踪数据包的状态，即不同数据包之间的共性。 规则定义在转发控制表中，因产品不同控制表格式不同，这里讨论抽象的过滤规则。 第18页,共51页，2024年2月25日，星期天2024/5/3网络安全技术19防火墙制订规则集原则：先特殊，后一般。操作方式有：转发、丢弃、报错、备忘等。关键技术：实现连接的跟踪功能。2.状态检测防火墙的特点第19页,共51页，2024年2月25日，星期天2024/5/3网络安全技术203.状态检测防火墙的工作过程

1）状态检测表：由规则表和连接状态表两部分组成。

2）工作过程首先利用规则表进行数据包的过滤，此过程与静态包过滤防火墙基本相同。如果某一个数据包(如“IP分组B1”)在进入防火墙时，规则表拒绝它通过，则防火墙直接丢弃该数据包，与该数据包相关的后续数据包(如“IP分组B2”、“IP分组B3”等)同样会被拒绝通过。第20页,共51页，2024年2月25日，星期天2024/5/3网络安全技术21图8-7状态检测防火墙的工作示意图第21页,共51页，2024年2月25日，星期天2024/5/3网络安全技术22

HTTP是一个基于TCP的服务，一般使用端口80，也可使用其他非标准端口，客户机使用任何大于1023的端口。如果防火墙允许WWW穿越网络边界，则可定义如下规则。

规则1、规则2允许外部主机访问本站点的WWW服务器，规则3、规则4允许内部主机访问外部的WWW服务器。防火墙规则制订实例1第22页,共51页，2024年2月25日，星期天2024/5/3网络安全技术23访问要求：

1）网络/16不愿其他Internet主机访问其站点；

2）但它的一个子网/24和某大学/16有合作项目，因此允许该大学访问该子网；

3）然而/24是黑客天堂，需要禁止。防火墙规则制订实例2第23页,共51页，2024年2月25日，星期天2024/5/3网络安全技术24注意这些规则之间并不是互斥的，因此要考虑顺序。123规则顺序安排原则：先特殊，后普遍内网大学进来出去内网黑客天堂进来出去第24页,共51页，2024年2月25日，星期天2024/5/3网络安全技术25

1）一切未被允许的访问就是禁止的 防火墙要封锁所有的信息流，然后对希望开放的服务逐步开放。具有较高安全性，但牺牲了用户使用方便性。

2）一切未被禁止的访问就是允许的

防火墙开放所有的信息流，然后逐项屏蔽有害的服务。具有灵活性，但难提供可靠安全保护。8.3防火墙设计的准则第25页,共51页，2024年2月25日，星期天2024/5/3网络安全技术268.4防火墙安全体系结构防火墙按体系结构可以分为：

（1）包过滤型防火墙结构（2）双宿主主机型结构（3）屏蔽主机型防火墙结构（4）屏蔽子网型防火墙结构

(5)通过混合组合而衍生的其他结构的防火墙第26页,共51页，2024年2月25日，星期天2024/5/3网络安全技术278.4.1包过滤防火墙结构在传统的路由器中增加分组过滤功能。包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。第27页,共51页，2024年2月25日，星期天2024/5/3网络安全技术28包过滤型防火墙具有以下优点。（1）处理包的速度比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为。（2）实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。（3）包过滤路由器对用户和应用来讲是透明的。第28页,共51页，2024年2月25日，星期天2024/5/3网络安全技术29包过滤型防火墙存在以下的缺点。（1）防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。（2）只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可阻止。（3）任何直接经路由器的数据包都有被用做数据驱动攻击的潜在危险。

第29页,共51页，2024年2月25日，星期天2024/5/3网络安全技术30（4）一些包过滤网关不支持有效的用户认证。（5）不可能提供有用的日志，或根本就不提供，这使用户发觉网络受攻击的难度加大，也就谈不上根据日志来进行网络的优化、完善以及追查责任。（6）随着过滤器数目的增加，路由器的吞吐量会下降。（7）IP包过滤器无法对网络上流动的信息提供全面的控制。（8）允许外部网络直接连接到内部网络的主机上，易造成敏感数据的泄漏。第30页,共51页，2024年2月25日，星期天2024/5/3网络安全技术318.4.2双宿主主机防火墙结构

双宿主主机防火墙采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间进行寻径。双宿主主机防火墙的最大特点是IP层的通信被阻止，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成，而不能直接通信。第31页,共51页，2024年2月25日，星期天2024/5/3网络安全技术32一般要求用户先注册，再通过双宿主主机访问另一边的网络，但由于代理服务器简化了用户的访问过程，可以做到对用户透明。第32页,共51页，2024年2月25日，星期天2024/5/3网络安全技术33双宿主主机防火墙优缺点双宿主主机体系结构优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程管理日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内部网中哪些主机可能已被黑客入侵。双宿主主机体系结构的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内部网。第33页,共51页，2024年2月25日，星期天2024/5/3网络安全技术348.4.3主机过滤型防火墙结构

1.组成结构 由过滤路由器和运行网关软件的堡垒主机构成。提供安全保护的堡垒主机仅与内部网络相连，而过滤路由器位于内部网络和外部网络之间。

内部网Internet路由器堡垒主机第34页,共51页，2024年2月25日，星期天2024/5/3网络安全技术352.特点可完成多种代理，还可以完成认证和交互作用，能提供完善的Internet访问控制。

堡垒主机是网络黑客集中攻击的目标，安全保障仍不理想。比双宿主主机结构能提供更好的安全保护区，同时也更具有可操作性。防火墙投资少，安全功能实现和扩充容易，因而目前应用比较广泛。

第35页,共51页，2024年2月25日，星期天2024/5/3网络安全技术368.4.4子网过滤型防火墙结构

1.组成结构子网过滤体系结构也称为被屏蔽子网体系结构或者筛选子网体系结构。它用两台包过滤路由器建立一个DMZ，用这一DMZ将内部网和外部网分开，简单的子网过滤体系结构如图所示在这种体系结构中两个包过滤路由器放在DMZ的两端，构成一个内部网和外部网均可访问的被屏蔽子网，但禁止信息直接穿过被屏蔽子网进行通信。在被屏蔽子网中堡垒主机作为唯一的可访问点，该点作为应用级网关代理。第36页,共51页，2024年2月25日，星期天2024/5/3网络安全技术37最简单的子网过滤体系结构DMZ外部路由器内部路由器

Internet

内部网堡垒主机第37页,共51页，2024年2月25日，星期天2024/5/3网络安全技术382. 特点为了侵入这种类型的网络，黑客必须先攻破外部路由器，即使他设法侵入堡垒主机，仍然必须通过内部路由器，才能进入内部网。在该体系结构中，因为堡垒主机不直接与内部网的主机交互使用，所以内部网中两个主机间的通信不会通过堡垒主机，即使黑客侵入堡垒主机，他也只能看到从Internet和一些内部主机到堡垒主机的通信以及返回的通信，而看不到内部网络主机之间的通信。所以DMZ为内部网增加了安全级别。第38页,共51页，2024年2月25日，星期天2024/5/3网络安全技术398.4.6典型防火墙结构

建造防火墙时，一般很少采用单一的技术，通常采用解决不同问题的多种技术的组合。

1）多堡垒主机

2）合并内部路由器与外部路由器

3）合并堡垒主机与外部路由器

4）合并堡垒主机与内部路由器

5）使用多台外部路由器

6）使用多个周边网络第39页,共51页，2024年2月25日，星期天2024/5/3网络安全技术40DMZ内路路由器外部路由器

Internet

内部网有两个堡垒主机的子网过滤体系结构第40页,共51页，2024年2月25日，星期天2024/5/3网络安全技术41DMZ外部路由器堡垒主机内部路由器

Internet

内部网堡垒主机充当内部路由器第41页,共51页，2024年2月25日，星期天2024/5/3网络安全技术42外部路由器外部路由器内部路由器DMZ

内部网Internet分支机构或合作伙伴多台外部路由器的子网过滤体系结构第42页,共51页，2024年2月25日，星期天2024/5/3网络安全技术438.5创建防火墙步骤成功创建一个防火墙系统一般需要6个步骤：制定安全策略搭建安全体系结构制定规则次序落实规则集注意更换控制：做好注释工作。做好审计工作：一个好的准则是最好不要超过30条。建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的！第43页,共51页，2024年2月25日，星期天2024/5/3网络安全技术448.6防火墙配置实验防火墙有两大类，分别为硬件防火墙与软件防火墙。实验主要是对这两类防火墙的典型产品进行相应的配置。硬件防火墙选用CiscoPIX防火墙，主要进行防火墙的配置方式、防火墙的升级、防火墙的基本操作、地址翻译（NAT）、对主机与资源的过滤等实验。软件防火墙选用费尔个人防火墙。主要对指定的IP地址、应用程序、端口、站点的禁用进行配置。

第44页,共51页，2024年2月25日，星期天2024/5/3网络安全技术458.6.2CiscoPIX防火墙网络地址翻译配置

1、网络地址翻译(NAT:NetworkAddressTranslation，NAT)

NAT就是在内部专用网络中使用内部地址，而当内部节点要与外界网络发生联系时，就在边缘路由器或者防火墙处，将内部地址替换成全局地址即可。第45页,共51页，2024年2月25日，星期天2024/5/3网络安全技术462、网络地址翻译(NAT)能解决什么问题？

1)局域网上已有许多现成的资源和应用程序，但其IP地址分配不符合Internet的国际标准。重新分配局域网的IP地址是个复杂的问题。

2)现行标准IPv4决定的IP地址越来越少，使得要想在ISP处申请一个新的IP地址已不是很容易的事了。第46页,共51页，2024年2月25日，星期天2024/5/3网络安全技术473、网络地址翻译(NAT)解决问题的办法在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用。其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上。第47页,共51页，2024年2月25日，星期天2024/5/3网络安全技术484、网络地址翻译(NAT)的类型NAT有静态转换NAT(StaticNAT)、动态转换(PooledNAT)和端口地址转换三种类型。(1)静态转换NAT是最简单的一种转换方式，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。(2)动态转换(亦称NAT池)增加了网络管理的复杂性，但也提供了很大的灵活性。它将可用的全