网络安全原理与应用（第三版）课件 第6章 防火墙

1网络安全原理与应用(第三版)第七章防火墙技术防火墙及相关概念包过滤与代理下一代防火墙防火墙的体系结构分布式防火墙与嵌入式防火墙Windows防火墙的配置和使用7.1防火墙概述7.1.1相关概念和术语7.1.2防火墙的作用7.1.3防火墙的优、缺点7.1.1相关概念和术语1、防火墙的概念防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障内部网络的安全。7.1.1相关概念和术语1、防火墙的概念防火墙可以分为硬件防火墙和软件防火墙两类。硬件防火墙是通过硬件和软件的结合来达到隔离内、外部网络的目的；软件防火墙是通过纯软件的方式来实现。通过设定的规则来决定数据包是否可以通过防火墙。

数据包的来源或目的

方向：出/入

动作：接受或者拒绝7.1.1相关概念和术语2．防火墙安全策略防火墙安全策略是指要明确地定义允许使用或禁止使用的网络服务，以及这些服务的使用规定。两种基本策略（1）除非明确允许，否则就禁止。

逐个定义每一个允许的服务和应用程序，安全但不是很方便。通常采用的方法。（2）除非明确禁止，否则就允许。每一个不信任或有潜在危害的服务和应用程序都应该逐个拒绝。灵活和方便的方法，但它可能存在严重的安全隐患。7.1.1相关概念和术语3．其它术语(1)外部网络（外网）：是指防火墙之外的网络，一般为Internet，默认为风险区域。内部网络（内网）：是指防火墙之内的网络，一般为局域网，默认为安全区域。非军事化区（DMZ）：内网中需要向外网提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网段便是非军事化区。包过滤：是指在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许通过。7.1.1相关概念和术语3．其它术语(2)代理服务器：是指代表内部网络用户向外部网络中的服务器进行连接请求的程序。状态检测技术：状态检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层次实行检测，并作为安全决策的依据。虚拟专用网（VPN）：是一种在公用网络中配置的专用网络技术，它通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可以在Internet等公共网络上模拟专用网络，使得用户可以在任何地点、任何时间安全地访问公司内部网络资源。7.1.1相关概念和术语3．其它术语(3)漏洞：是系统中的安全缺陷，漏洞可以导致入侵者获取信息并导致非授权的访问。数据驱动攻击：入侵者把一些具有破坏性的数据藏匿在普通数据中传送到因特网主机上，当这些数据被激活时就会发生数据驱动攻击。IP地址欺骗：是指通过伪造、隐藏或篡改IP地址的行为，以达到欺骗、伪装身份、绕过访问限制或追踪等目的的网络行为。7.1.2防火墙的作用1．防火墙的基本功能（1）可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户。（2）防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警。（3）限制内部用户访问特殊站点。（4）记录通过防火墙的信息内容和活动，为监视Internet安全提供方便。7.1.2防火墙的作用2．防火墙的特性所有在内部网络和外部网络之间传输的数据都必须通过防火墙。只有被授权的合法数据，即防火墙安全策略允许的数据，才可以通过防火墙。防火墙本身具有预防入侵的功能，不受各种攻击的影响。用户配置使用方便，易于管理。7.1.3防火墙的优、缺点1．优点（1）防火墙能强化安全策略。防火墙充当了防止攻击现象发生的“警察”，它执行系统规定的安全策略，仅允许符合规则的信息通过。（2）防火墙能有效地记录Internet上的活动。因为所有进出内部网络的信息都必须通过防火墙，所以防火墙能记录被保护的内部网络和不安全的外部网络之间发生的各种事件。（3）防火墙是一个安全策略的检查站。所有进出内部网络的信息都必须通过防火墙，防火墙便成为一个安全检查站，把可疑的访问拒之门外。7.1.3防火墙的优、缺点1．缺点（1）不能防范恶意的内部用户。如果入侵者已经在防火墙内部，防火墙也是无能为力的（2）不能防范不通过防火墙的连接。如果允许内部系统进行拨号访问，防火墙无法阻止。（3）不能防范全部的威胁。没有一个防火墙能自动防御所有新的威胁。（4）防火墙不能防范病毒。7.2防火墙技术分类7.2.1包过滤技术7.2.2代理技术7.2.3状态检测技术7.2.4统一威胁管理（UTM）7.2.5下一代防火墙（NGFW）7.2.1包过滤技术1．包过滤技术简介包过滤（PacketFiltering）技术在网络层中对数据包实施有选择地通过，依据系统事先设定好的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过。使用包过滤技术的防火墙称为包过滤防火墙（PacketFilteringFirewall），因为它工作在网络层，又称为网络层防火墙（NetworkLevelFirewall）。静态包过滤防火墙对所接收的每个数据包审查包头信息以便确定其是否与某一条包过滤规则匹配，然后做出允许或者拒绝通过的决定。如果有一条规则不允许发送某个包，路由器就将它丢弃；如果有一条规则允许发送某个包，路由器就将它发送；如果没有任何一条规则能符合，路由器就会使用默认规则，一般情况下，默认规则就是禁止该包通过。默认规则：一切未被允许的都是禁止的

一切未被禁止的都是允许的7.2.1包过滤技术7.2.1包过滤技术—2．防火墙规则防火墙规则：（FirewallRules）是配置在防火墙上的规则集，用于确定哪些网络流量允许通过防火墙，哪些应被阻止或拒绝。这些规则定义了网络安全策略，以确保网络的安全性和合规性。防火墙规则通常包括以下要素：（1）来源（Source）（2）目的（Destination）（3）协议（Protocol）（4）端口（Port）（5）动作（Action）（6）状态（State）（7）规则顺序（RuleOrder）（8）描述（Description）例1：允许特定IP地址的远程访问：源：任何目的：00协议：TCP端口：22(SSH)动作：允许这个规则允许任何源的流量连接到目标IP地址（00）的SSH服务（端口22）。例2：拒绝特定应用程序的访问：源：任何目的：任何协议：TCP端口：80(HTTP)动作：拒绝这个规则禁止任何流量尝试连接到HTTP服务（端口80），从而拒绝访问Web应用程序。例3：允许内部网络到外部网络的互联网访问：源：内部网络子网目的：任何协议：TCP,UDP端口：80(HTTP),443(HTTPS),53(DNS)动作：允许这个规则允许内部网络中的计算机访问互联网上的HTTP、HTTPS和DNS服务。例4：阻止Ping请求：源：任何目的：任何协议：ICMP动作：拒绝这个规则拒绝了所有的ICMP请求，包括Ping请求，以增加网络的安全性。3．包过滤防火墙的优点和缺点优点：（1）一个屏蔽路由器能保护整个网络。（2）包过滤对用户透明。（3）屏蔽路由器速度快、效率高。缺点：（1）通常它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。（2）配置烦琐。（3）包过滤的另一个关键的弱点就是不能在用户级别上进行过滤，只能认为内部用户是可信任的、外部的是可疑的。（4）单纯由屏蔽路由器构成的防火墙并不十分安全7.2.2代理技术1．代理服务器（ProxyServer）简介代理服务器，是指代表内网用户向外网服务器进行连接请求的服务程序。代理服务器运行在两个网络之间，它对于客户机来说像是一台真的服务器，而对于外网的服务器来说，它又是一台客户机。代理服务器的基本工作过程：当客户机需要使用外网服务器上的数据时，首先将请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。同样的道理，代理服务器在外部网络向内部网络申请服务时也发挥了中间转接的作用。中介7.2.2代理技术2．代理的优点（1）代理易于配置。比过滤路由器容易配置，配置界面十分友好，对配置协议要求较低，避免配置错误。（2）代理能生成各项记录。在应用层检查各项数据，生成各项日志、记录，用于流量分析、安全检验。（3）代理能灵活、完全地控制进出信息。借助代理可以实现一整套的安全策略，控制进出的信息。（4）代理能过滤数据内容。可以把一些过滤规则应用于代理，让它在应用层实现过滤功能。7.2.2代理技术3．代理的缺点代理速度比路由器慢：代理工作于应用层，要检查数据包的内容。不允许用户直接访问网络：由于代理服务器需要处理所有网络请求，所以用户不能直接访问网络，需要通过代理服务器进行访问。对于不同协议设置要有不同的客户端软件来支持。不能保证免受所有协议弱点的限制：代理服务器不能保证完全免受所有协议弱点的限制。不能改进底层协议的安全性：代理服务器只能处理应用层的数据，不能处理底层协议的数据，所以不能改进底层协议的安全性。7.2.2代理技术4．代理防火墙的发展阶段（1）应用层代理（ApplicationLevelProxy）。应用层代理也称为应用层网关（ApplicationLevelGateway。代理服务是运行在防火墙主机上专门的应用程序或者服务器程序。应用层代理为某个特定应用服务提供代理，它对应用协议进行解析并解释应用协议的命令。根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙等。7.2.2代理技术4．代理防火墙的发展阶段（2）电路层代理（CircuitLevelProxy）。这种类型的代理技术称为电路层网关（CircuitLevelGateway），也称为电路级代理服务器。电路层网关工作在会话层，包被提交到用户应用层处理。

优点：对网络性能有低度到适中程度的影响；工作的层次比包过滤防火墙高，因此过滤性能稍差，但比应用代理防火墙性能好。切断了外部网络到防火墙后面的服务器的直接连接。比包过滤防火墙具有更高的安全性。

缺点：具有一些包过滤防火墙固有的缺陷：例如无法对数据内容进行检测，以抵御应用层的攻击等。仅具有低度到中等程度的安全性。7.2.2代理技术4．代理防火墙的发展阶段（3）自适应代理（AdaptiveProxy）。应用层代理的主要问题是速度慢，支持的并发连接数有限。因此，NAI公司在1998年又推出具有“自适应代理”特性的防火墙。自适应代理不仅能维护系统安全，还能够动态“适应”传送中的分组流量。

自适应代理防火墙允许用户根据具体需求，定义防火墙策略，而不会牺牲速度或安全性。如果对安全要求较高，那么最初的安全检查仍在应用层进行，保证实现传统代理防火墙的最大安全性。而一旦代理明确了会话的所有细节，其后的数据包就可以直接经过速度更快的网络层。状态检测（StatefulInspection）防火墙评估网络流量的状态或上下文。通过检查源和目的地址、应用程序使用情况、来源以及当前数据包与同一会话的先前数据包之间的关系，状态检测防火墙能为授权用户和活动授予更广泛的访问权限，并主动监视和阻止未经授权的用户和活动，被称为第三代防火墙。在基于状态检测防火墙中有两张表：规则表和状态表（即会话表）。规则表包括源地址、目的地址、源端口、目的端口、协议类型、数据流向等信息。状态表包括源地址、目的地址、源端口、目的端口、协议类型、本次连接状态、TCP包序列号、该次连接超时值、连接以通过数据包个数等信息。7.2.3状态检测技术7.2.3状态检测技术状态检测防火墙的工作过程：是否匹配状态表的会话规则表是否允许通过数据包解析数据包转发数据包丢弃建立新的状态表项是是否否7.2.3状态检测技术状态检测防火墙在包过滤的同时，检查数据包之间的关联性，检查数据包中动态变化的状态码。状态检测防火墙利用状态表跟踪每一个会话状态，对每一个包的检查不仅根据规则表，更要考虑数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。7.2.4统一威胁管理（UTM）统一威胁管理(UTM)是指将多种安全功能或服务整合到网络上的单一设备中。包括反病毒、内容过滤、电子邮件过滤、网页过滤、反垃圾邮件等。UTM使组织可以将其IT安全服务整合到一台设备中，通过单一管理平台监控所有威胁和安全相关活动，可以更全面了解安全所有要素，简化网络保护。7.2.4统一威胁管理（UTM）反病毒：监控网络，检测并阻止病毒损害系统或与系统连接的设备。反恶意软件：UTM可以预先配置为检测已知恶意软件，UTM还可以使用启发式分析来检测新型恶意软件威胁防火墙：同时检查进出网络的数据，确定是否存网络安全威胁，并限制威胁的传播。入侵防御：分析数据包，查找已知的威胁模式，阻止攻击；记录恶意事件。虚拟专用网络：在公用网络上建立加密的通道，虚拟专用网络，避免自己的数据被别人看到。网页过滤：阻止用户的浏览器加载某此网站的页面预防数据丢失:检测并防御数据泄露和数据窃取攻击7.2.4统一威胁管理（UTM）UTM的优点灵活性和适应性：可以自由部署多种安全技术；自动更新可应对网络环境中的最新威胁集中式集成和管理：同一个管理控制台整合并控制一切，可以同时监控会影响多个网络组件的多种威胁性价比高：减少了组织保护网络所需的设备数量，减少人力成本和设备成本有利于提高对网络安全威胁的认识：可以更好地管理高级持续性威胁(APT)以及网络环境中的其他新型风险。7.2.5下一代防火墙（NGFW）涵盖了防火墙（FW）、入侵检测系统（IDS）、入侵防御系统（IPS）、杀毒软件（AV）、Web应用防火墙（WAF）的功能。与UTM相比，NGFW增加的web应用防护功能，功能更全；采用并行处理机制，效率更高NGFW的性能更强，管理更高效。NGFW包括传统的数据数据包过滤、状态检查、VPN流量识别，除此之外，NGFW还使用深度包检测(DPI)技术，能够进行应用程序识别和控制、入侵防护、威胁情报、信息反馈、应对不断变化的安全威胁等技术。NGFW既可以是硬件设备，也可以作为软件部署，还可以作为云服务来部署，称为云防火墙或防火墙即服务(FWaaS)。7.3防火墙体系结构双重宿主主机结构。屏蔽主机结构。屏蔽子网结构。7.3.1双重宿主主机结构双宿主机（Dual-HomedHost），又称堡垒主机（BastionHost），是一台至少配有两个网络接口的主机，它可以充当与这些接口相连的网络之间的路由器，在网络之间发送数据包。7.3.1双重宿主主机结构相比屏蔽路由器，堡垒主机的系统软件可用于维护系统日志，这对于日后的安全检查很有用。双宿主机防火墙的一个致命弱点是：一旦入侵者侵入堡垒主机并使其具有路由功能，则任何外网用户均可以随便访问内网。堡垒主机是用户的网络上最容易受侵袭的机器，要采取各种措施来保护它。堡垒主机要尽可能简单，保留最少的服务，关闭路由功能；7.3.2屏蔽主机结构屏蔽主机结构（ScreenedHostStructure），又称主机过滤结构。屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器，并使堡垒主机成为从外部网络唯一可直接到达的主机。7.3.3屏蔽子网结构屏蔽子网结构（ScreenedSubnetStructure）通过添加周边网络（即屏蔽子网）更进一步地把内部网络与外部网络隔离开。在子网内构成一个“非军事区”7.3.4防火墙的组合结构（1）使用多堡垒主机。（2）合并内部路由器与外部路由器。（3）合并堡垒主机与外部路由器。（4）合并堡垒主机与内部路由器。（5）使用多台内部路由器。（6）使用多台外部路由器。（7）使用多个周边网络。（8）使用双重宿主主机与屏蔽子网。7.4内部防火墙为什么需要内部防火墙？？传统的边界防火墙（PerimeterFirewall）并不能确保内部用户之间的安全访问内部网络中每一个用户要求较高的安全等级（如财务、人事档案等）80%的攻击来自内部。对于来自内部的攻击，边界防火墙是无能为力的。将内部网络的一部分与其余部分隔离，在内部网络的两个部分之间再建立防火墙，称之为内部防火墙分布式防火墙、嵌入式防火墙7.4.1分布式防火墙分布式防火墙的结构包括以下几个部分：（1）网络防火墙：它用于内部网与外部网之间，以及内部网络各子网之间。（2）主机防火墙：用于对网络中的服务器和工作站进行防护（3）中心管理：是一种服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这样防火墙就可以进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性7.4.2嵌入式防火墙分布式防火墙技术集成在硬件上（一般可以兼有网卡的功能），通常称之为嵌入式防火墙嵌入式防火墙能将网络安全延伸到边界防火墙的范围之外，并分布到网络的每个结点。安全性措施在PC系统上执行，但是却由嵌入式防火墙的硬件系统来实施，整个过程独立于主机系统之外。这一策略使企业网络几乎不受任何恶意代码或黑客攻击的威胁。适用于安全性要求较高的单位7.4.3个人防火墙个人防火墙是安装在个人计算机里的一段程序，把个人计算机和Internet分隔开。它检查进出防火墙的所有数据包，决定该拦截某个包还是将其放行。在不妨碍正常上网浏览的同时，阻止Internet上的其他用户对个人计算机进行的非法访问。好处：例如，如果个人计算机被植入了黑客程序，一旦该程序启动，个人防火墙就会及时报警并禁止该程序与外界的数据传送7.5防火墙产品介绍包过滤防火墙的代表产品是以色列CheckPoint公司的FireWall-1防火墙和美国Cisco公司的PIX防火墙，应用层网关防火墙的代表产品是美国NAI公司的Gauntlet防火墙。国内的主要的防火墙产品包括：天融信防火墙、华为防火墙、绿盟防火墙、启明星辰防火墙等。另外，新华三、深信服、山石网科等品牌的防火墙产品7.5.1企业级防火墙华为第五代（Generation5）防火墙（1）高性能和可伸缩性：第五代华为防火墙具有卓越的性能和可伸缩性，可以应对大规模网络和高流量要求。（2）深度包检测：它支持深度包检测技术，以检测和防止复杂的威胁，包括零日漏洞攻击和高级持续性威胁（APT）。（3）应用程序识别和控制：能够对网络流量中的应用程序进行深入识别和控制，以便实施策略和确保网络合规性。（4）威胁情报共享：可以与威胁情报提供商集成，以及时获取最新的威胁情报并自动阻止恶意流量。7.5.1企业级防火墙华为第五代（Generation5）防火墙（5）虚拟私人网络（VPN）支持：提供强大的VPN功能，允许安全地连接分支机构、远程办公室和移动用户，以及实现安全的站点到站点通信。（6）入侵检测和防护：具备高级入侵检测和防护功能，用于检测并阻止入侵、恶意活动和攻击。（7）高可用性和冗余性：支持高可用性配置，以确保网络的连续性，即使在硬件或软件故障时也能提供无缝切换。（8）云集成：允许与云服务集成，以保护云基础设施和云应用程序。（9）集中管理：提供集中的管理界面，以便管理员轻松配置、监控和管理网络安全策略。7.5.1企业级防火墙防火墙技术的发展趋势（1）云原生防火墙：专为云环境设计和部署的防火墙解决方案；（2）零信任安全：这一模型的核心理念是：不论用户是否在组织内部，都应该经过身份验证和授权，且需要实时的访问控制。（3）SASE（安全接入服务边缘—SecureAccessServiceEdge）：SASE是一种融合了网络安全和网络服务的安全架构和服务模型。（4）AI和机器学习：更好地检测和应对复杂的威胁7.5.1企业级防火墙防火墙技术的发展趋势（5）IoT和工业物联网（IIoT）安全：适应IoT和工业物联网的安全需