网络信息安全技术课件 第8章 防火墙技术

第8章防火墙技术防火墙基本概念防火墙的核心技术防火墙的分类防火墙的体系结构智能防火墙8.1防火墙基本概念8.1防火墙基本概念防火墙主要由硬件设备与软件系统共同组成,在内部网与外部网之间所构造起来的保护屏障,从而保护内部网络免受非法用户的入侵。在互联网中,防火墙主要是指一种隔离技术,在两个网络进行通讯时对访问尺度进行控制,最大限度的阻止网络黑客对网络进行访问。1.防火墙的定义防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件。它隔离了内部、外部网络，是内、外部网络通信的唯一途径，能够根据制定的访问规则对流经它的信息进行监控和审查，从而保护内部网络不受外界的非法访问和攻击。8.1防火墙基本概念防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，控制并检查站点的访问者。防火墙由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。8.1防火墙基本概念2.防火墙的主要功能实际上，防火墙其实是一个分离器、限制器或分析器，它能够有效监控内部网络和外部网络之间的所有活动，主要功能如下：（1）过滤进出网络的数据包；（2）管理进出网络的访问行为；（3）封堵某些禁止的访问行为；（4）记录通过防火墙的信息内容和活动；（5）对网络攻击进行检测和告警。除此以外，防火墙还应具备的一些附加功能：（1）NAT（NetworkAddressTranslation）网络地址转换（2）VPN（VirtualPersonalNetwork）虚拟专用网（3）RM（RouteManagement）路由管理8.1防火墙基本概念3.防火墙的特性（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进出内部网络的服务和访问的审计和控制。典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。8.1防火墙基本概念3.防火墙的特性（2）只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。8.1防火墙基本概念3.防火墙的特性（3）防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。8.1防火墙基本概念3.防火墙的特性（4）应用层防火墙具备更细致的防护能力自从Gartner提出下一代防火墙概念以来，信息安全行业越来越认识到应用层攻击成为当下取代传统攻击，最大程度危害用户的信息安全，而传统防火墙由于不具备区分端口和应用的能力，以至于传统防火墙仅仅只能防御传统的攻击，基于应用层的攻击则毫无办法。从2011年开始，国内厂家通过多年的技术积累，开始推出下一代防火墙，在国内从第一家推出真正意义的下一代防火墙的网康科技开始，至今包扩东软，天融信等在内的传统防火墙厂商也开始相互效仿，陆续推出了下一代防火墙，下一代防火墙具备应用层分析的能力，能够基于不同的应用特征，实现应用层的攻击过滤，在具备传统防火墙、IPS、防毒等功能的同时，还能够对用户和内容进行识别管理，兼具了应用层的高性能和智能联动两大特性，能够更好的针对应用层攻击进行防护。8.1防火墙基本概念3.防火墙的特性（5）数据库防火墙针对数据库恶意攻击的阻断能力虚拟补丁技术：针对CVE公布的数据库漏洞，提供漏洞特征检测技术。高危访问控制技术：提供对数据库用户的登录、操作行为，提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。SQL注入禁止技术：提供SQL注入特征库。返回行超标禁止技术：提供对敏感表的返回行数控制。SQL黑名单技术：提供对非法SQL的语法抽象描述。8.1防火墙基本概念4.防火墙的优缺点防火墙的主要优点：（1）防火墙能强化安全策略。（2）防火墙能有效地记录Internet上的活动。（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。8.1防火墙基本概念4.防火墙的优缺点防火墙的主要缺陷：（1）不能防范不经由防火墙的攻击。（2）防火墙是一种被动安全策略执行设备。（3）防火墙不能防止利用标准网络协议中的缺陷进行的攻击。（4）防火墙不能防止利用服务器系统漏洞进行的攻击。（5）防火墙不能防止数据驱动式的攻击。（6）防火墙无法保证准许服务的安全性。（7）防火墙不能防止本身的安全漏洞威胁。（8）防火墙不能防止感染了病毒的软件或文件的传输。此外，防火墙在性能上不具备实时监控入侵的能力，其功能与速度成反比。防火墙的功能越多，对CPU和内存的消耗越大，速度越慢。管理上，人为因素对防火墙安全的影响也很大。因此，仅仅依靠现有的防火墙技术，是远远不够的。8.2防火墙的核心技术8.2防火墙的核心技术无论防火墙的性能如何差异巨大，也无论防火墙如何部署，其核心技术发展都包含了包过滤、代理服务及状态监视三个阶段。不同厂商的防火墙都是在这三种核心技术的基础上进行改革，从而也导致了防火墙在可靠性、性能以及价格等方面有较大差异，下面就来介绍这三种核心技术。8.2.1包过滤技术1.基本概念包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。我们在这儿首先简单介绍一些高层IP（因特网协议）网络的概念。一个文件要穿过网络，必须将文件分成小块，每小块文件单独传输。把文件分成小块的做法主要是为了让多个系统共享网络，每个系统可以依次发送文件块。在IP网络中，这些小块被称为包。所有的信息传输都是以包的方式来实施的。8.2.1包过滤技术1.基本概念每个数据包都包含有特定信息的一组报头，其主要信息是：IP协议类型（TCP、UDP，ICMP等）；IP源地址；IP目标地址；IP选择域的内容；TCP或UDP源端口号；TCP或UDP目标端口号；ICMP消息类型。包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据：（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。8.2.1包过滤技术2.包过滤工作原理包过滤系统的规则只能让我们进行类似以下情况的操作：（1）不让任何用户从外部网用Telnet登录；（2）允许任何用户使用SMTP往内部网发电子邮件；（3）只允许某台机器通过NNTP往内部网发新闻包过滤不能允许我们进行如下的操作：（1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。（2）允许用户传送一些文件而不允许用户传送其它文件。8.2.1包过滤技术8.2.1包过滤技术3.包过滤路由器的配置在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。协议的双向性。协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时，要注意包是从两个方向来到路由器的。“往内”与“往外”的含义。在我们制定包过滤规则时，必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义。“默认允许”与“默认拒绝”。网络的安全策略中的有两种方法：默认拒绝（没有明确地被允许就应被拒绝）与默认允许（没有明确地被拒绝就应被允许）。从安全角度来看，用默认拒绝应该更合适。8.2.1包过滤技术3.包过滤路由器的配置（1）包的基本构造包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后依本层的协议再加上包头。这种对包的层次性操作（每一层均加装一个包头）一般称为封装。（2）包过滤规则制定包过滤规则时应注意的事项：联机编辑过滤规则；要用IP地址值，而不用主机名。在包过滤系统中，最简单的方法是依据地址进行过滤。用地址进行过滤可以不管使用什么协议，仅根据源地址/目的地址对流动的包进行过滤。我们可用这种方法只让某些被指定的外部主机与某些被指定的内部主机进行交互。还可以防止黑客用伪包装成来自某台主机，而其实并非来自于那台主机的包对网络进行的侵扰。8.2.1包过滤技术4.包过滤技术的优缺点（1）包过滤技术的优点包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。（2）包过滤技术的缺点在机器中配置包过滤规则比较困难；对系统中的包过滤规则的配置进行测试也较麻烦；许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。8.2.2代理服务代理服务的条件是具有访问因特网能力的主机才可以作为那些无权访问因特网的主机的代理，这样使得一些不能访问因特网的主机通过代理服务也可以完成访问因特网的工作。代理服务是在双重宿主主机或堡垒主机上运行一个具有特殊协议或一组协议。使一些仅能与内部用户交谈的主机同样也可以与外界交谈，这些用户的客户程序通过与该代理服务器交谈来代替直接与外部因特网中的服务器的“真正的”交谈。代理服务器判断从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝。当某个请求被允许时，代理服务器就代表客户与真正的服务器进行交谈，并将从客户端来的请求传送给真实服务器，将真实服务器的回答传送给客户。8.2.2代理服务8.2.2代理服务2.代理服务的工作方法代理工作的细节对每一种服务是不同的，代理服务在服务器上要求运行合适的代理服务器软件。在客户端可以有以下不同的方法。（1）定制客户软件。（2）定制客户过程。8.2.2代理服务3.用于因特网服务的代理特性因特网上的主要服务功能有电子邮件E-mail．简单邮件传输协议SMTP、邮局协议POP、文件传输FTP、远程登录Telnet、存储转发协议NNTP、万维网WWW、域名服务DNS等。（1）电子邮件（E-mail）（2）简单邮件传输协议（SMTP）的代理特点（3）邮局协议（POP）的代理特点（4）文件传输FTP（5）远程登录（Telnet）（6）存储转发协议（NNTP）（7）万维网（WWW）（8）域名服务（DNS）8.2.2代理服务4.代理服务的优缺点代理服务允许用户“直接”访问因特网，适合于做日志。但是，代理服务落后于非代理服务，每个代理服务要求不同的服务器，代理服务一般要求对客户或程序进行修改，对某些服务来说是不合适的。而且，代理服务不能保护你不受协议本身缺点的限制。8.2.3状态检测技术1.状态检测技术的定义状态检测技术是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，与传统包过滤防火墙的静态过滤规则表相比，状态检测技术具有更好的灵活性和安全性。8.2.3状态检测技术2.几个概念通信信息：即所有7层协议的当前信息。防火墙的检测模块位于操作系统的内核，在网络层之下，能在数据包到达网关操作系统之前对它们进行分析。防火墙先在低协议层上检查数据包是否满足企业的安全策略，对于满足的数据包，再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志，因此具有更全面的安全性。通信状态：即以前的通信信息。应用状态：即其他相关应用的信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用，它比代理服务器支持的协议和应用要多得多；并且，它能从应用程序中收集状态信息存入状态表中，以供其他应用或协议做检测策略。例如，已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。8.2.3状态检测技术3.状态检测原理工作在TCP/IP各层，检查由防火墙转发的包，并创建相应的结构记录连接的状态。它的检查项包括链路层、网络层、传输层、应用层的各种信息，并根据规则表或状态表来决定是否允许转发包通过。8.2.3状态检测技术3.状态检测原理（1）数据链路层：在数据包到达IP层以前进行检测，如果不满足安全策略，数据包被抛弃。（2）IP层：在此层对地址、端口（如TCP协议，UDP协议等）、IP分片、ICMP协议等进行检测。（3）TCP数据包的状态：在此层对6个标志位进行检测：SYN、ACK、RST、FIN、STN、URG。（4）UDP协议：在此层检测数据包是否超时以及是否有以前的UDP数据包。（5）应用层：在此层主要对FTP、HTTP、用户认证等内容进行检测。4.状态检测技术的优缺点使用状态检测技术的安全性强度更高，配置更灵活。但是使用状态检测技术后的允许速度更慢，管理也更复杂。8.3防火墙的分类8.3防火墙的分类按照防火墙的技术分类，分为包过滤型和应用代理型。（1）包过滤(Packetfiltering)型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。8.3防火墙的分类按照防火墙的技术分类，分为包过滤型和应用代理型。（2）应用代理(ApplicationProxy)型应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。8.3防火墙的分类以防火墙体系结构分类主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。（1）单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。（2）路由器集成式防火墙是将防火墙功能集成在中、高档路由器中，大大降低了网络设备购买成本。（3）分布式防火墙不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。因为防火墙通常位于网络边界，所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth)，或者说是吞吐率。当然通道带宽越宽，性能越高，这样的防火墙因包过滤或应用代理所产生的延时也越小，对整个网络通信性能的影响也就越小。8.4防火墙的体系结构8.4防火墙的体系结构防火墙体系结构主要分为三种：双宿主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。1.双宿主机体系结构双宿主机（DualHomed）体系结构是用一台装有两块网卡的堡垒主机所做的防火墙来实现的。两块网卡各自与受保护网和外部网相连。8.4防火墙的体系结构2.屏蔽主机体系结构屏蔽主机（ScreenedHomed）体系结构由同时部署的包过滤路由器和堡垒主机组成。其中，包过滤路由器作为第一道防线，可以实现网络层安全。堡垒主机作为第二道防线，可以实现应用层安全，并通过代理服务，将内网中的主机都屏蔽了。在这种体系结构中，包过滤路由器被配置在外网和堡垒主机之间，堡垒主机被配置在内网（被保护的网）中。8.4防火墙的体系结构2.屏蔽主机体系结构（1）双连点的堡垒主机有两个网络接口，一个连接包过滤路由器的内网侧，一个连接内网。迫使外部与内部主机之间必须经过代理服务器转发才能实现通信。（2）单连点的堡垒主机只有一个网络接口，使得堡垒主机与内部主机一样地处在同一网络上。8.4防火墙的体系结构3.屏蔽子网体系结构屏蔽子网（ScreenedSubnet）体系结构使用两个包过滤路由器和一个堡垒主机在内部网络和外部网络之间建立一个“非军事区”（DemilitarizedZone，DMZ）。DMZ又称为屏蔽子网，它将内部网络和外部网络分开，内部网络和外部网络均可访问DMZ，但禁止它们穿过DMZ通信。从而迫使源于内网主机的业务流和源于外网主机的业务流都必须经过堡垒主机。8.5智能防火墙8.5智能防火墙1.基本概念智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此，又