网络安全导论 课件 第十二章 防火墙

2024/5/31

第十二章

防火墙2024/5/31讨论议题1、防火墙的概念2、防火墙的分类3、防火墙系统模型4、防火墙的发展5、创建防火墙的步骤6、防火墙产品与使用方法简介2024/5/311、防火墙的概念2024/5/31防火墙定义防火墙是位于两个(或多个)网络间，实施网间访问控制策略的一组组件的集合，它满足以下条件：

内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙防火墙自身应对渗透(peneration)免疫2024/5/31ServicecontrolDeterminesthetypesofInternetservicesthatcanbeaccessed,inboundoroutboundDirectioncontrolDeterminesthedirectioninwhichparticularservicerequestsareallowedtoflowUsercontrolControlsaccesstoaserviceaccordingtowhichuserisattemptingtoaccessitBehaviorcontrolControlshowparticularservicesareused(e.g.filtere-mail)Fourgeneraltechniquesforfirewalls2024/5/31为什么需要防火墙保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略2024/5/31对防火墙的基本要求保障内部网安全保证内部网同外部网的连通2024/5/31内部网特点组成结构复杂各节点通常自主管理信任边界复杂，缺乏有效管理有显著的内外区别机构有整体的安全需求最薄弱环节原则2024/5/31防火墙技术带来的好处强化安全策略有效地记录Internet上的活动隔离不同网络，限制安全问题扩散是一个安全策略的检查站为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。不能对内部威胁提供防护支持。受性能限制，防火墙对病毒传输保护能力弱。防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。防火墙不能有效地防范数据内容驱动式攻击。作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。防火墙的局限性2024/5/312、防火墙分类2024/5/312、防火墙分类包过滤应用代理状态检测2024/5/31防火墙与OSI/RM模型应用层网关级表示层会话层传输层电路级网络层路由器级链路层网桥级物理层中继器级OSI/RM防火墙2024/5/31包过滤防火墙包过滤防火墙的工作原理采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。包过滤防火墙的工作机制2024/5/31静态包过滤根据流经该设备的数据包地址信息，决定是否允许该数据包通过判断依据有(只考虑IP包)：数据包协议类型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1对每个经过的IP包应用安全规则集合检查，决定是转发或者丢弃该包过滤包是双向的过滤规则基于与IP或TCP包头中字段的匹配（如四元组：源IP地址、目的IP地址、源端口、目的端口）两种缺省策略（丢弃或允许）包过滤防火墙工作流程2024/5/31包过滤示例堡垒主机内部网外部网络在上图所示配置中，内部网地址为：/24，堡垒主机内网卡eth1地址为：，外网卡eth0地址为：3DNS地址为：要求允许内部网所有主机能访问外网WWW、FTP服务，外部网不能访问内部主机2024/5/31包过滤示例(续)Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allowudpfrom$internaltoanydnsAllowudpfromanydnsto$internalAllowtcpfromanytoanyestablishedAllowtcpfrom$internaltoanywwwinviaeth1Allowtcpfrom$internaltoanyftpinviaeth1Allowtcpfromanyftp-datato$internalinviaeth0Denyipfromanytoany包过滤规则设置实例2024/5/31动态包过滤与状态检查技术动态包过滤：可以实现指定用户数据流临时通过防火墙，一般结合身份认证机制实现．可动态生成/删除规则Checkpoint一项称为“StatefulInspection”的技术根据维护的网络会话连接信息来实现．2024/5/31包过滤技术的一些实现商业版防火墙产品个人防火墙路由器OpenSourceSoftwareIpfilter(FreeBSD、OpenBSD、Solaris，…)Ipfw(FreeBSD)Ipchains(Linux2.0.x/2.2.x)Iptables(Linux2.4.x)针对包过滤防火墙的攻击IP欺骗：攻击者伪造内部网络主机或授信网络主机的IP地址，从而通过防火墙检查。可以通过数据包流向分析丢弃冒充内部主机的数据包，但包过滤防火墙无法对付冒充授信外部主机的攻击。源路由选择规范：知晓路由器网关设置的人员可以定义源主机到达网络目的地的路径使相关数据包绕过防火墙。应对这种攻击的办法是检查每个包，如果发现启用了源路由规范，则丢弃该包。微型碎片攻击：攻击者将IP数据包拆分成更小的包并推送其通过防火墙，寄希望于仅第一个拆分包会受到检查，而其它包不经检查而通过。对付办法是丢弃启用了IP分片的说有数据包。2024/5/31优点：简单对用户透明高速缺点：对于利用特定应用的攻击，防火墙无法防范配置安全规则比较困难缺少鉴别，不支持高级用户认证日志功能有限包过滤防火墙2024/5/31代理防火墙的原理：代理防火墙运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。代理防火墙2024/5/31应用程序网关(代理服务器)客

户网

关服务器网关理解应用协议，可以实施更细粒度的访问控制对每一类应用，都需要一个专门的代理灵活性不够发送请求转发请求请求响应转发响应应用级网关（代理服务器）应用级网关的工作机制2024/5/31应用程序网关的一些实现商业版防火墙产品商业版代理(cache)服务器OpenSourceTISFWTK(Firewalltoolkit)ApacheSquid优点：网关理解应用协议，可以实施更细粒度的访问控制，因此比包过滤更安全易于配置，界面友好不允许内外网主机的直接连接只需要详细检查几个允许的应用程序对进出数据进行日志和审计比较容易缺点：额外的处理负载，处理速度比包过滤慢对每一类应用，都需要一个专门的代理灵活性不够应用级网关2024/5/31应用层网关实现编写代理软件代理软件一方面是服务器软件但是它所提供的服务可以是简单的转发功能另一方面也是客户软件对于外面真正的服务器来说，是客户软件针对每一个服务都需要编写模块或者单独的程序实现一个标准的框架，以容纳各种不同类型的服务软件实现的可扩展性和可重用性客户软件软件需要定制或者改写对于最终用户的透明性？协议对于应用层网关的处理协议设计时考虑到中间代理的存在，特别是在考虑安全性，比如数据完整性的时候2024/5/31两种防火墙技术

返回本节2024/5/31状态监视器防火墙（1）状态监视器防火墙的工作原理这种防火墙安全特性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。2024/5/31状态监视器防火墙的优缺点状态监视器的优点：检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。它会监测RPC和UDP之类的端口信息，而包过滤和代理网关都不支持此类端口。性能坚固状态监视器的缺点：配置非常复杂。会降低网络的速度。2024/5/31复合式防火墙常见是代理服务器和状态分析技术的组合具有对一切连接尝试进行过滤的功能；提取和管理多种状态信息的功能；智能化做出安全控制和流量控制的决策；提供高性能的服务和灵活的适应性；具有网络内外完全透明的特性。2024/5/31３、防火墙系统模型2024/5/31筛选路由器优点：简单缺点：不具备监视和日志功能，不隐藏内部网络信息。2024/5/31单宿主堡垒主机模型单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。2024/5/31双宿主堡垒主机模型双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。2024/5/31屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，DemilitarizedZone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。2024/5/31屏蔽子网模式内部路由器内部网外部网络堡垒主机外部路由器DMZ区周边网2024/5/31其他结构使用多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台内部路由器使用多台外部路由器使用多个周边网络使用双重宿主主机与屏蔽子网2024/5/314、防火墙的发展2024/5/31防火墙的发展简史 第一代防火墙：采用了包过滤（PacketFilter）技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。2024/5/31防火墙的发展应用层网关的进一步发展认证机制智能代理与其他技术的集成比如NAT、VPN(IPSec)、IDS，以及一些认证和访问控制技术防火墙自身的安全性和稳定性分布式防火墙2024/5/31第四代防火墙，具有安全操作系统的防火墙产品。1．双端口或三端口的结构

新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。

2．多级的过滤技术为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。第四代防火墙技术2024/5/313．Internet网关技术由于是直接串连在网络之中，第四代防火墙必须支持用户在Internet互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、Finger、mail、Ident、News、WWW等）来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用（chroot）”作物理上的隔离。2024/5/314.VPN技术

VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。5．网络地址转换技术（NAT）第四代防火墙利用NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。2024/5/316．审计和告警第四代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。2024/5/317．用户鉴别与加密为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少，第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。8．用户定制服务为满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP，出站UDP、FTP、SMTP等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。2024/5/31分布式防火墙传统防火墙技术的几个问题依赖于防火墙一端可信，另一端是潜在的敌人Internet的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限只依赖于端-端加密并不能完全解决问题过于依赖物理拓扑结构考虑到下面几个事实个人防火墙已得到了广泛的应用操作系统大多已提供了许多在传统意义上还属于防火墙的手段IPv6以及IPSec技术的发展防火墙这一概念还不能抛弃2024/5/31分布式防火墙(续一)思路主要工作防护工作在主机端打破传统防火墙的物理拓扑结构，不单纯依靠物理位置来划分内外由安全策略来划分内外网具体方法：依赖于下面三点策略描述语言：说明什么连接允许，什么连接不允许一系列系统管理工具：用于将策略发布到每一主机处，以保证机构的安全IPSec技术及其他高层安全协议2024/5/31分布式防火墙

2024/5/315、创建防火墙的步骤2024/5/31制定安全策略

搭建安全体系结构

制定规则顺序

落实规则集

更换控制

测试工作2024/5/31测试工作原因:安装之后应测试是否正常网络环境变化时应重新配置和测试周期性测试确保正常工作测试方法端口检查在线检测日志审核配置测试2024/5/316、防火墙产品与使用方法简介2024/5/31防火墙主流产品介绍CiscoSecurePIX防火墙华为3ComQuidway®SecPath系列防火墙天融信NGFW4000系列防火墙CheckpointFire-wall-1sonicWall的SonicWall2024/5/31默认情况下，所有的防火墙都是按以下两种情况配置的：拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。防火墙的配置过程中的三个基本原则：简单实用全面深入内外兼顾防火墙基本配置原则2024/5/31通过三种方式：本地控制台端口远程TelnetSSH（SecureShell）天融信NGFW4000的应用与配置2024/5/31新建连接的对话框

本地控制台端口用一根CONSOLE线缆连接防火墙的CONSOLE接口与PC（或笔记本）的串口。在Windows操作系统中，选择开始->程序->附件->通讯->