计算机网络安全-第九章-防火墙技术

*第9章防火墙技术

防火墙是建立在现代通信网络技术和信息安全技术之上并是一种应用最为广泛的安全技术。在构建网络安全环境的过程中，防火墙能够有效地限制了数据在网络内外的自由流动，它的网络安全保障作用已受到人们的广泛关注。本章主要介绍防火墙的基本概念、防火墙原理、技术和防火墙体系结构等技术。

*本章内容提要:防火墙的概念

防火墙的原理及分类

防火墙技术

防火墙体系结构

防火墙的构成

第9章防火墙技术*9.1防火墙的概念

基于Internet体系结构的网络应用有两大部分：Intranet和Extranet。Intranet是借助Internet的技术和设备在Intranet上构造出企业WWW网，可放入企业全部信息，实现企业信息资源的共享；而Extranet是在电子商务、协同合作的需求下，用Extranet间的通道，获得其他网络中允许共享的、有用的信息。*防火墙的概念因此按照企业内部的安全体系结构，防火墙应当满足如下要求。1）保证对主机和应用的安全访问。2）保证多种客户机和服务器的安全性。3）保护关键部门不受到来自内部和外部的攻击，为通过Internet与远程访问的雇员、客户、供应商提供安全通道。*防火墙的概念因此，防火墙是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是保护网络不被可疑目标入侵。

防火墙的作用防火墙能够做什么？控制和管理网络访问保护网络和系统资源数据流量的深度检测身份验证扮演中间人角色记录和报告事件*9.2防火墙的原理及分类

防火墙的原理

防火墙的分类

*防火墙的原理

1．基于网络体系结构的防火墙原理

2.基于双网络堆栈DualNetworkStack的防火墙原理

*防火墙的原理

1．基于网络体系结构的防火墙原理防火墙是建立在不同分层结构上的、具有一定安全级别和执行效率的通信交换技术。无论是OSI/RM还是TCP/IPRM，都具有相同的实现原理，如下图所示。基于网络体系结构的防火墙实现原理防火墙与OSI基本防火墙NetworkTransport高级防火墙DataLinkSessionApplication*防火墙的原理

按照网络的分层体系结构，在不同的分层结构上实现的防火墙不同，通常有如下几种。1）基于网络层实现的防火墙，通常称为包过滤防火墙。2）基于传输层实现的防火墙，通常称为传输级网关。3）基于应用层实现的防火墙，通常称为应用级网关。4）整合上述所有技术，形成混合型防火墙，根据安全性能进行弹性管理。层次越高，能检测的资源越多，越安全，但执行效率变差*防火墙的原理

2.基于双网络堆栈DualNetworkStack的防火墙原理

为了进一步提高防火墙的安全性，该防火墙采用了连线隔离和通信协议栈的堆叠技术，其实现原理如下图所示。基于双网络堆栈（DualNetworkStack）防火墙实现原理*9.2防火墙的原理及分类

防火墙的原理

防火墙的分类

*防火墙的分类

从实现技术方式来分类包过滤防火墙、应用网关防火墙、代理防火墙状态检测防火墙从形态上来分类软件防火墙硬件防火墙*9.3防火墙技术

隔离的技术

管理的技术

通信堆叠的技术

网络地址转换技术

主机防火墙与网络防火墙*隔离的技术1．隔离的定义最安全且简单的做法是将网络的物理线路切断，但完全的中断却失去了网络本身的优势及方便性。因此，解决的方法是设计防火墙系统在不同区域间执行连接的管理，如图所示。防火墙隔离技术*隔离的技术2．隔离技术的分类防火墙隔离技术根据其所能支持区域隔离网络的数量分为三种。1）Dual-Home2）Tri-Home3）Multi-Home将网络区隔为两段，如图9.5（a）所示。

在防火墙上增加第三块网卡的网络，称安全服务网络或非军事隔离区如图9.5（b）所示。支持区域隔离多端网络的防火墙防火墙隔离技术类型*9.3防火墙技术

隔离的技术

管理的技术

通信堆叠的技术

网络地址转换技术

主机防火墙与网络防火墙*管理的技术

从管理网络互连的角度讲，主要管理下述内容。1）连接来源地址（IP地址、主机名称、网络名称、子网络区段）。2）连接目的地址（IP地址、主机名称、网络名称、子网络区段）。3）网络服务的类别（HTTP、Telnet、FTP、SMTP等）。4）连接的时间。5）连接的方向（Ext→Int、Int→Ext等）。6）连接的身份（Username/Password）。*9.3防火墙技术

隔离的技术

管理的技术

主机防火墙与网络防火墙

通信堆叠的技术

网络地址转换技术

主机防火墙与网络防火墙主机防火墙位置优势低成本难于部署、维护缺乏透明度功能局限性示例MicrosoftICFNortonPersonalFirewall网络防火墙功能强大性能高透明度强成本高内部攻击保护性差示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinet

FortiGate天融信NetGuard*9.3防火墙技术

隔离的技术

管理的技术

防火墙操作系统的技术

通信堆叠的技术

网络地址转换技术

*通信堆叠的技术

若按所采用的通信堆叠来区分，目前在市场上可以看到的防火墙技术有下列类型。1）包过滤技术（PacketFiltering）。2）状态检查技术（StatefulInspection）。3）传输级网关技术（Circuit-LevelGateway）。4）应用级网关技术（Application-LevelGateway）。*通信堆叠的技术

1．包过滤技术（1）包过滤技术原理通过检测IP包头的相关信息来决定数据流的通过还是拒绝（2）运作方式包过滤技术（PacketFiltering）如下图所示。图

包过滤技术原理

*通信堆叠的技术

1）在TCP/IP网络层（NetworkLayer）可以检查的通信资料有源IP地址（SourceIPAddress）、目的IP地址（DestinationIPAddress）、封装包的类型（TCP/UDP）、源地址通信端口号、目的地址通过端口号。2）内部网络与外部网络间是直接通信（DirectConnection）。3）防火墙根据进出防火墙IP封包进行比较、检查、校验。*通信堆叠的技术

2．状态检查技术（1）运作方式状态检查（StatefulInspection）技术如下图所示。

状态检测技术*通信堆叠的技术

1）在数据链路层及网络层之间插入一个状态检查模块。2）由状态检查模块动态检查各层的网络连接状态和通信信息（包括历史数据）存入表格。3）防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。状态防火墙有状态包过滤防火墙技术与无状态包过滤防火墙执行相似的操作保持对连接状态的跟踪，状态表无需开放高端口访问权限不属于现有会话的访问将被拒绝检查更高级的信息TCPFlag、TCPSeq.更多的DoS防护特定应用层协议检测不能阻止应用层攻击状态表导致的系统开销部署方式作为主要的防御措施需要更加严格的控制状态防火墙（续）比如你允许了ip为的数据包通过防火墙，但是恶意的人伪造ip的话，没有通过tcp的三次握手也可以闯过包过滤防火墙。

按照TCP基于状态的特点，在防火墙上记录各个连接的状态，弥补包过滤防火墙的缺点但是状态防火墙会根据TCP的状态，阻止伪造IP的数据包进入内网*通信堆叠的技术

3．传输级网关技术（称电路网关技术较普遍）（1）运作方式传输级网关（Circuit-LevelGateway）技术如下图所示。传输级网关技术原理*通信堆叠的技术

1）在传输层（TransportLayer）检查的信息有：源IP地址（SourceIPAddress）、目的IP地址（DestinationIPAddress）、封装包的类型（TCP/UDP）、源地址通信端口号、目的地址通信端口号、可掌握网络连接状态信息。2）内部网络与外部网络间是透过防火墙转发的。3）监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,决定该会话是否合法4）将所有公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的*通信堆叠的技术

4．应用级网关技术（1）运作方式应用级网关技术如下图所示。应用级网关技术*通信堆叠的技术

1）内部使用者无法直接连接到外部主机，应用网关（ApplicationGateway）起到外部主机的传递作用，是对所有内部主机的代理。2）内部网络的设定被保护且隐藏起来。3）应用代理（ApplicationProxy）是安全强化过的程序。4）在应用层（ApplicationLayer）直接解释及响应应用程序，不必知道通信口或者协议。*9.3防火墙技术

隔离的技术

管理的技术

防火墙操作系统的技术

通信堆叠的技术

网络地址转换技术

*网络地址转换技术

每当在内部网络的计算机要与外部的网络互联时，防火墙会隐藏其IP地址并以防火墙的外部IP地址来取代。外部用户无法得知内部用户的内部网络的地址信息，因为它被防火墙的外部IP地址所隐藏。这个转换内部网络IP地址的操作就叫做网络地址转换（NetworkAddressTranslation，NAT）技术。地址转换防火墙NAT防火墙技术解决了公有IP地址匮乏的问题在L3/L4操作隐藏了内部网络结构引入了延时破坏了IP的端到端模型对应用的支持限制一些应用将连接信息嵌入到应用层报文中NATALG（ApplicationLayerGateway）地址转换防火墙（续）NATALG（SQLNET）*9.3防火墙技术

多重地址转换技术

代理服务器技术

*多重地址转换技术

当SSN/DMZ或内部网络提供多个相同的网络服务时，必须通过多重地址转换技术，利用不同的外部IP地址将网络服务传递到内部的服务器上。通过MAT可以保护内部网络服务器的安全，也可以分散外部网络服务到不同的IP地址，如下图所示。多重地址转换技术*9.3防火墙技术

多重地址转换技术

代理服务器技术

*代理服务器技术

代理服务器（ProxyServer）作用在应用层，它用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其他结点的直接请求。代理技术则能进行安全控制和加速访问，有效地实现防火墙内外计算机系统的隔离，安全性较好，并具有较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难，因此实现也比较困难。*9.5防火墙的构成

防火墙的配置

防火墙区域防火墙拓扑位置专用（内部）和公共（外部）网络之间网络的出口和入口处专用网络内部：关键的网段，如数据中心防火墙区域Trust（内部）Untrust（外部，Inte