网络管理与安全技术课件

网络管理与安全技术

.

Nd|ir3,ioo

SwitchQiOD

本章学习要求

•理斛；防火焉基埼概念

I蒙握；防火播技术

IM4/防火磕体系修构及其应用

I蕤恚；防火磕的类型

第7章防火墙

防火墙作为网络安全的一种防护手段

得到了广泛的应用，已成为各企业网络中

实施安全保护的核心，安全管理员可以通

过其选择性地拒绝进出网络的数据流量，

增强了对网络的保护作用。

7.1防火墙基本概念

•防火墙是位于两个信任程度不同的网络之间的软件或

硬件设备的组合，它对两个网络之间的通信进行控制，

通过强制实施统一的安全策略，防止对重要信息资源的

非法存取和访问，以达到保护系统安全的目的。

•防火墙通常是运行在一台单独计算机之上的一个特别

的服务软件，用来保护由许多台计算机组成的内部网络,

可以识别并屏蔽非法请求，有效防止跨越权限的数据访

问。防火墙可以是非常简单的过滤器，也可能是精心配

置的网关。但都可用于监测并过滤所有内部网和外部网

之间的信息交换。

•防火墙保护着内部网络的敏感数据不被窃取和破坏，并

记录内外通信的有关状态信息日志，如通信发生的时间

和进行的操作等等。新一代的防火墙甚至可以阻止内部

人员将敏感数据向外传输，并对网络数据的流动实现有

效地管理。

防火墙你的电脑

防火墙示意图

UF3500/3100防火墙应用

三端口NAT模式

7.1.1防火墙技术发展状况

■自从1986年美国Digital公司在Internet上安装了全球

第一个商用防火墙系统后，防火墙技术得到了飞速的发

展。许多公司推出了功能不同的防火墙系统产品。

■第一代防火墙，又称为包过滤防火墙，其主要通过对数

据包源地址、目的地址、端口号等参数来决定是否允许

该数据包通过或进行转发，但这种防火墙很难抵御IP地

址欺骗等攻击，而且审计功能很差。

■第二代防火墙，也称代理服务器，它用来提供网络服务

级的控制，起到外部网络向被保护的内部网络申请服务

时中间转接作用，这种方法可以宥莪地防止对内等网络

的直接攻击，安全性较高。

■第三代防火墙有效地提高了防火墙的安全性，称为状态

监控功能防火墙，它可以对每一层的数据包进行检测和

监控。

7.1.1防火墙技术发展状况

■第四代防火墙：1992年，开发出了基于动

态包过滤技术的第四代防火墙。

■第五代防火墙：1998年，NAI公司推出了一

种自适应代理技术，可以称之为第五代防

火墙。

7.1.2防火墙的任务

防火墙应能够确保满足以下四个目标：

1.实现安全策略

防火墙的主要目的是强制执行人们所设计的

安全策略。比如，安全策略中只需对E-mail服务

器的SMTP流量作些限制，那么就要在防火墙中直

接设置并执行这一策略。

防火墙一般实施两个基本设计策略之一：

■n凡是没有明确表示允许的就要被禁止；

■n凡是没有明确表示禁止的就要被允许。

7.1.2防火墙的任务

2.创建检查点

■防火墙在内部网络和公网间建立一个检查

点。

■通过检查点防火墙设备可以监视、过滤和

检查所有进来和出去的流量。

■网络管理员可以在检查点上集中实现安全

目的。

Z1.2防火墙的任务

九运会信息网络系统已经受并成功地抵御了87万多次网络攻击

3.成己录Inteoet活动

防火墙可以进行日志记录，并且提供警报功能。通

过在防火墙上实现日志服务，安全管理员可以监视所有

从外部网或互联网的访问。好的日志策略是实现网络安

全的有效工具之一。防火墙对于管理员进行日志存档提

供了更多的信息。

不

芹

同

平

台

的

服

务

丁

器

日志

Z1.2防火墙的任务

4.保护内部网络

对于公网防火墙隐藏了

内部系统的一些信息以

增加其保密性。当远程

节点探测内部网络时，

其仅仅能看到防火墙。

远程节点不会知道内部

网络结构和资源。防火

墙以提高认证功能和对

网络加密来限制网络信

息的暴露，并通过对所

有输入的流量时行检查,

以限制从外部发动的攻

击。

7.2防火墙技术

目前大多数防火墙都采用几种技术相结合的形式

来保护网络不受恶意的攻击，其基本技术通常分

为两类：

•网络数据单元过滤

•网络服务代理

7.2.1数据包过滤

•数据包过滤(Packet

Filtering)技术是在网

络层对数据包进行分析、

选择，选择的依据是系统

内设置的过滤逻辑，称为

访问控制表(Access

ControlTable)。

•通过检查数据流中每一个

数据包的源地址、目的地

址、所用端口号、协议状

态等因素，或它们的组合

来确定是否允许该数据包

通过。

7.2.1数据包过滤

■包过滤技术工作在OIS七层模型的网络层上

并有两个功能:即允许和阻止；

■如果检查数据包所有的条件都符合规则，

则允许进行路由；如果检查到数据包的条

件不符合规则，则阻止通过并将其丢弃。

■包检查是对IP头和传输层的头进行过滤,

一般要检查下面几项：

7.2.1数据包过滤

•源IP地址

•目的IP地址

•TCP/UDP源端口

•TCP/UDP目的端口

•协议类型（TCP包、UDP包、ICMP包）

•TCP报头中的ACK位

•ICMP消息类型

7.2.1数据包过滤

例如：若想禁止从Internet的远程登录到内部网

设备中，则需要建立一条包过滤规则。因为

Telnet服务是使用TCP协议的23端口，则禁止

Telnet的包过滤规则为：

规则号功能源IP地址目标IP地址源端口目标端口协议

1Discard**23*TCP

2Discard***23TCP

上表列出的信息是路由器丢弃所有从TCP23端口出去和进来

的数据包。其它所有的数据包都允许通过。

例如：FTP使用TCP的20和21端口。如果包过滤要禁止所有的数

据包只允许特殊的数据包通过。

规则号功能源IP地址目标IP地址源端口目标端口协议

1AHow***TCP

2AUow*20*TCP

•第一条是允许地址为192.168.1.0的网段内而其源端口和目的端

口为任意的主机进行TCP的会话。

•第二条是允许端口为20的任何远程IP地址都可以连接到

192.168.10.0的任意端口上。

•第二条规则不能限制目标端口是因为主动的FTP客户端是不使用

20端口的。当一个主动的FTP客户端发起一个FTP会话时，客户端

是使用动态分配的端口号。而远程的FTP服务器只检查

192.168.1.0这个网络内端口为20的设备。有经验的黑客可以利

用这些规则非法访问内部网络中的任何资源。所以要对FTP包过

滤的规则加以相应修改

7.2.1数据包过滤

规则号功能源IP地址目标IP地址源端口目标端口协议

1Allow192.168.1.0**21TCP

2Block*192.168.1.020<1024TCP

3Allow*192.168.1.020*TCP

ACK=1

■第一条是允许网络地址为192.168.1.0内的任何主机与目标地址为

任意且端口为21建立TCP的会话连接。

•第二条是阻止任何源端口为20的远程IP地址访问内部网络地址为

192.168.1.0且端口小于1024的任意主机。

•第三条规则是允许源端口为20的任意远程主机可以访问

192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执

行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则，

它会被立刻丢弃掉，第三条规则不会执行。但第三条规则仍然需要

是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允

许规贝I。

7.2.1数据包过滤

■包过滤防火墙的优点

速度快、逻辑简单、成本低、易于安装和使用，

网络性能和透明度好。它通常安装在路由器上，

因内部网络与Internet连接必须通过路由器，所

以在原有网络上增加这类防火墙，几乎不需要任

何额外M费用。

■包过滤防火墙的缺点

不能对数据内容进行控制，缺乏用户级的授权；

非法访问一旦突破防火墙，即可对主机上的系统

和配置进行攻击。数据包的源地址、目的地址以

及IP端口号都在数据包的头部，很有可能被冒充

或窃取。

7.2.2应用级网关

■应用层网关技术是

在网络的应用层上

实现协议过滤和转

发功能。它针对特

定的网络应用服务

协议使用指定的数

据过滤逻辑，并在

过滤的同时，对数

据包进行必要的分

析、记录和统计，

形成报告。实际的

应用网关通常安装

在专用工作站系统

上

7.2.2应用级网关

■应用级网关能够理解应用层上的协议，进

行复杂一些的访问控制。但每一种协议需

要相应的代理软件，使用时工作量大，效

率不如网络级防火墙。

■常用的应用级防火墙有相应的代理服务器，

应用级网关有较好的访问控制，但实现困

难，而且有的应用级网关缺乏“透明度”

7.2.2应用级网关

■应用层网关防火墙和

数据包过滤有一个共

同的特点，就是它们

仅仅依靠特定的逻辑

来判断是否允许数据

包通过。一旦符合条

件，防火墙内外的计

算机系统便可以建立

直接联系，外部的用

户便有可能直接了解

到防火墙内部的网络

结构和运行状态，这

大大增加了非法访问

和攻击的机会。

7.2.3代理服务

■应用代理服务技术能够将所有跨越防火墙的网络通

信链路分为两段。

■防火墙内外计算机系统间应用层的连接是由两个代

理服务器之间的连接来实现，外部计算机的网络链

路只能到达代理服务器，从而起到隔离防火墙内外

计算机系统的作用。

■另外，代理服务器也对过往的数据包进行分析、记

录、形成报告，当发现攻击迹象时会向网络管理员

发出警告，并保留攻击痕迹。

请求

转发

服务器

应答

7.2.3代理服务

应用代理服务器对客户

端的请求行使“代理”

职责。客户端连接到防次13端口幽用

火墙并发出请求，然后

防火墙连接到服务器，

并代表这个客户端重复

这个请求。返回时数据

发送到代理服务器，然

后再传送给用户，从而

确保内部IP地址和口令Adnnnistrotor

不在Internet上出现。

7.2.3代理服务

■代理技术与包过滤技术完全不同，包过滤技术是

在网络层拦截所有的信息流，代理技术是针对每

-一个特定应用都有一个程序。

■根据其处理协议的不同，可分为FTP网关型、WWW

网关型、Telnet网关型等防火墙，其优点在于既

能进行安全控制，又可加速访问，但实现起来比

较困难，对于每一种服务协议必须设计一个代理

软件模式，以进行安全控制。

7.2.3代理服务

应用层代理主要的优点：

■支持用户认证并提供详细的注册信息；

■过滤规则相对于包过滤路由器更容易配置和测试;

■可提供详细的日志和安全审计功能；

■可以隐藏内部网的IP地址以保护内部主机不受外

部主机的进攻；

■内部网中的所有主机通过代理可以访问Internet。

应用层代理也有明显的缺点：

■应用层实现的防火墙会造成执行速度慢，其性能

明显下降；

■每个应用程序都必须有一个代理服务程序来进行

安全控制,并随应用并级面升级。其适应性和连

接性都是有限的。

7.2.4状态检测

■状态检测是对包过滤功能的扩展。

■传统的包过滤在用动态端口的协议时，事先

无法知道哪些端口需要打开，就会将所宥可

能用到的端口打开，而这会给安全带来不必

要的隐患。

■状态检测将通过检查应用程序信息来判断此

端口是否需要临时打开，并当传输结束时，

端口马上恢复为关闭状态。

7.2.4状态检测

■状态检测防火墙克服了包过滤防火墙和应用代理

服务器的局限性，不要求每个被访问的应用都有

代理。

■状态检测模块能够理解并学习各种协议和应用，

以支持各种最新的应用服务。

■状态检测模块截获、分析并处理所有试图通过防

火墙的数据包，保证网络的高度安全和数据完整。

■网络和各种应用的通信状态动态存储、更新到动

态状态表中，结合预定义好的规则，实现安全策

略。

■状态检测是检查OSI七层模型的所有层，以决定是

否过滤，而不仅仅是对网络层检测。

7.3防火墙体系结构及其应用

防火墙体系结构通常分为四类：

•屏蔽路由器(ScreeningRouter)

•屏蔽主机网关(ScreenedHostGateway)

•双穴主机网关(Dual-HomedGateway)

•屏蔽子网(ScreenedSubnet)

731屏蔽路由器

■屏蔽路由器就是实施过滤的路由器

■包过滤路由器在网络之间完成数据包

转发的普通路由功能，并利用包过滤

规则来允许或拒绝数据包。

■通常过滤规则定义为：内部网络上的

主机可以直接访问Internet)

Internet上的主机对内部网络上的主

机进行访问是有限制的，即没有特别

允许的数据包都拒绝。

731屏蔽路由器

INTERNET

包过滤路由器

内部网络

屏蔽路由器

731屏蔽路由器

■优点是价格低且易于使用，

■缺点

1.需要掌握TCP/IP知识才能创建相应的过滤规则,

若有配置错误将会导致不期望的流量通过或拒

绝一些应接受的流量。

2.包过滤路由器不隐藏内部网络的配置，任何允

许访问屏蔽路由器的用户都可看到网络的布局

和结构。

3.其监视和日志功能较弱，通常也没有警报的功

能。这就意味着网络管理员要不断地检查网络

以确定其是否受到攻击。防火墙一旦被攻陷后

很难发现攻击者。

7.3.2屏蔽主机网关

■防火墙系统采用了包过滤路由器和堡垒主机组成的防火墙。

■提供的安全等级比包过滤防火墙要高，其实现了网络层安全

（包过滤）和应用层安全（代理服务）。

■堡垒主机可以通过网络地址解析来隐藏内部网络的配置信息。

信息服务器

INTERNET

包过滤路由器

h1

堡垒主机

内部网络

屏蔽主机防火墙

7.3.2屏蔽主机网关

■屏蔽主机防火墙是针对所有进出的信息都要经过堡

垒主机而设计的。

■堡垒主枷配置在内部网络上，而包过滤路由器则放

置在内部网络和Internet之间。

■在路由器上进行过滤规则配置，使得外部系统只能

访问堡垒主机，内部系统的其他主机的信息全部被

阻塞。确保了内部网络不受外部攻击。

■由于内部主机与堡垒主机处于同一网络，安全策略

之一就是决定是否允许内部系统直接访问Internet

或使用堡垒主机上的代理服务来访问Interneto

■若要强制内部用户使用代理服务，则可在路由器配

置过滤规则时，让Internet只接受来自堡垒主机的

内部数据包。

7.3.2屏蔽主机网关

■该防火墙系统的优点

i.内网的变化不影响堡垒主机和屏蔽路由器的配置。

2.可将提供公开的信息服务的服务器放置在由包过滤

路由器和堡垒主机共用的网段上。

3.如果要求有特别高的安全特性，可让堡垒主机运行

代理服务，使得内部和外部用户在与信息服务器通

信之前，必须先通过堡垒主机。

4.如果安全等级较低，则可将路由器配置成让外部用

户直接访问公共的信息服务器。

7.3.2屏蔽主机网关

■与包过滤比较，这种方法的缺点是：

1,增加了成本并降低了性能。因为堡垒主机处理

信息时，网络经常需要更多的时间来对用户的

请求做出响应。使用户访问Internet变得较慢

2.如果堡垒主机服务器作为应用级网关，内部客

户端必须被配置成使用应用网关服务。

7.3.3双宿主机网关

用一台装有两块网卡的堡垒主机做防火墙，一块与内网相连，

一块与外部网相连。堡垒主机上运行着防火墙软件，可以转发

应用程序，提供服务等。这种防火墙由于在内部网络和外部网

络之间创建了完全的物理隔断，增加了更有效的安全性。

■信息服务器

BP

INTERNET

包过滤路由器

堡垒主机

内部网络

双宿堡垒主机防火墙

7.3.3双宿主机网关

■在单宿主堡垒主机结构上,所有外部的流量

直接转发到堡垒主机上执行。黑客可修改路

由器而不把数据包转发给堡垒主机，这样将

会绕过堡垒主机且直接进入到内部网络中。

■双宿堡垒主机有两个网络接口，但主机不能

在两个端口之间直接转发信息。这种物理结

构强行让所有去往内部网络的信息经过堡垒

主机。

7.3.3双宿主机网关

■双宿主机网关优于屏蔽路由器的地方是：

1.堡垒主机的系统软件可用于维护系统日志、

破件拷贝日志或远程日志。便于日后的检查

之用。

2,由于堡垒主机是唯一能从Internet上直接访

问的内部系统，所以有可能受到攻击的主机

就只有堡垒主机本身。

3.对于入侵者来说，允许其注册到堡垒主机，

就可容易的破坏堡垒主机而整个内部网络受

到攻击居威胁。因此）避免被渗透和不允许

非法用户注册对堡垒主机来说是至关重要的。

7.3.4屏蔽子网

实施防火墙最常见的方法就是屏蔽子网。在内部网络和外部

网络之间建立一个被隔离的子网，称之为非军事区DMZ。

其是用两台分组过滤路由器圈这一子网分别与内部网络和外

部网络分开，网络管理员将堡垒主机、信息服务器以及其他

公用服务器放在DMZ网络中。

内部网络和外部网络均可访问被屏蔽子网，但禁止其穿过被

屏蔽子网直接通信。屏蔽子网中的堡垒主机作为唯一可访问

点，并作为应用网关代理。

一^.s信息服务器

包过滤路由器*包过滤路由器

堡垒主机

内部网络

屏蔽子网防火墙

7.3.4屏蔽子网

•对于进来的信息，外面的路由器用于防范通常的外

部攻击，并管理Internet到DMZ网络的访问。它只允

许外部系统访问堡垒主机和信息服务器。

•里面的路由器提供第二层防御，只接受源于堡垒主

机的数据包，负责的是管理DMZ到内部网络的访问。

•对于出来的信息，里面的路由器管理内部网络到

DMZ的访问。它允许内部系统只访问堡垒主机和信息

服务器。

•外面的路由器上的过滤规则要求使用代理服务，即

只接受来自堡垒主机的去往Internet的数据包。

7.3.4屏蔽子网

屏蔽子网防火墙系统有以下几个优点：

1.入侵者必须攻克三个不同的设备且不被发现才

能侵袭内部网络。

2.内部网络对Internet来说是不可见的，因为所有

进出的数据包都会直接送到DMZ。并且只有在DMZ

网络上选定的系统才对Internet开放。这使黑客

想得到内部系统的信息几乎不太可能的。

3.由于内部路由器只向内部网络通告DMZ的存在，内

部网络上的系统不能直接通往Internet,这样就

保证了内部网络上的用户必须通过驻留在堡垒主

机上的代理服务才能访问Internet。这种配置避

免了内部用户绕过内网的安全机制。

7.3.4屏蔽子网

4.外部路由器直接将数据引向DMZ网络上所指定的

系统，无必要设置双宿堡垒主机。

5.内部路由器作为内部网络与公网之间的防火墙系

统并支持比双宿堡垒主机更大的数据包吞吐量。

6.在DMZ网络上可以安装NAT于堡垒主机上，从而避

免在内部网络上重新编址或重新划分子网。

•在实际应用中，具体采用哪一种防火墙主要取决于

网络向用户提供什么样的服务及网络所接受的风险

等级。还要取决于经费和技术人员的技术及时间等

因素。

7.4防火墙的类型

■大多数防火墙都可以实现上述所讨论的功能,

在实际使用中的防火墙以其实现形式可以分

为以下四种类型：

1嵌入式防火墙

1软件防火墙

1硬件防火墙

1应用程序防火墙

7.4.1嵌入式防火墙

■当防火墙功能被集成到路由器或者交换机上

时，这种防火墙称为嵌入式(embedded)防

火墙。

■其通常只对分组信息进行IP级的检查，可获

得较高的性能，易于实现并有较好的性价比。

7.4.2软件防火墙

■软件防火墙又分有两种类型：

1.一是企业级软件防火墙，其用于大型网络上

并执行路由选择功能。

2.另一^种是SOHO(SmallOfficeHomeOffice)

级。软件防火墙通常会提供全面的防火墙功

能.

■基于服务器的防火墙实际上是在操作系统之

上运行的应用程序。其系统平台有Unix、

Linux以及WindowsNT、2000、XP和.NET等。

7.4.3硬件防火墙

■因为硬件路由器也要使用软件，所以将硬件防火墙又

称为设备防火墙。其设计成一种总体系统，不需要复

杂的安装或配置就可以提供防火墙功能。硬件防火墙

与软件防火墙相似，可以针对企业应用市场来设计，

也可以针对SOHO环境。

■基于设备的防火墙也为集成解决方案，是指运行在专

用的硬件和软件上的防火墙产品。如CiscoPIX防火

墙就属于这种集成设备，其整个系统不能实现除防火

墙之外的其他任何功能，并且也没有硬盘或服务器的

其他常规组件。由于它的集成性和专用性，其速度、

稳定性和安全性方面都比基于服务器的防火墙更好。

但基于服务器的防火墙会提供一些额外的配置和支持

选项，并且价格比集成解决方案要便宜。

7.4.4应用程序防火墙

■应用程序防火墙经常是作为现有硬件或软件防

火墙的组件实现的。它们的主要目的是提供一

种复杂的内容过滤层次，用来对应用层传输的

数据进行过滤。

■随着防火墙功能的提高，对于数据的过滤已经

越来越多地集中到了应用层，应用程序防火墙

的针对性也越来越强。

•用专用芯片处理数据包，CPU•机箱+CPU+防火墙软件集成于一体•运行在通用操作系统上的能安

只作管理之用。(PCBOX结构)，市面上大部分声称全控制存取访问的软件，性能依

“硬件”防火墙的产品都采用这种结靠于计算机CPU,内存等。

•使用专用的操作系统平台，构。•基于通用操作系统(

避免了通用性操作系统的安全•采用专用或通用操作系统。WinNT,SUNSolaris,SCOUNIX等

性漏洞。),对底层操作系统的安全依赖

性很高。

•高带宽，高吞吐量，真正线

速防火墙。即实际带宽与理论•核心技术仍然为软件，容易造成网络•由于操作系统平台的限制，极易

值可以达到一致带宽瓶颈。造成网络带宽瓶颈。因此，实际

•安全与速度同时兼顾。没有所能达到的带宽通常只有理论值

用户限制。•只能满足中低带宽要求，吞吐量不高的20%—70沆可以满足低带宽低

o通常带宽只能达到理论值的20%-流量环境下的安全需要，高速环

70%。中低流量时可满足一定的安全要境下容易造成系统崩溃。

求，在高流量环境下会造成堵塞甚至

系统崩溃。

•性价比高。•有用户限制，一般需要按用户

•管理简单，快捷。•性价比不高。数购买，性价比极低。

•管理比较方便。•管理复杂，与系统有关，要求

维护人员必须熟悉各种工作站及

•识别方法.操作系统的安装及维护。

产品｝卜观为硬件机箱形，此类

.识别方法：•识别方法：

产品.卜观为硬件机箱形,此类防火墙一此类前火墙」般都有严格的系统

防火墙一般不会对外公布其

CPU或RAM等硬件水平,核心为般会对外强调其CPU与RAM等硬件水平硬件与操作系统要求.产品为软件

硬件芯片。

•典型产品：•典型产品：•典型产品：

NetScreen系列防火墙CiscoPIX防火墙CheckPoint

7.4.5选择防火墙需要综合考虑的问题

1.防火墙