第4章防火墙工作原理及应用.ppt

1、第4章防火墙工作原理及应用，4.1防火墙概念及分类4.1.1防火墙简介4.1.2包过滤防火墙4.1.3代理服务防火墙4.1.4复合防火墙4.1.5个人防火墙，第4章防火墙工作原理及应用，4.2防火墙架构4.2.1。堡垒主机4.2.2。非军事区4.2.3。屏蔽路由器4.2.4双主机主机体系结构4.2.5主机过滤体系结构4.2.6子网过滤体系结构4.2.7组合体系结构，第4章防火墙工作原理和应用(续)，4.3防火墙选择和产品介绍4.3.1防火墙限制4.3.2制定防火墙安全策略4.3.3防火墙选择原则4.3.4典型防火墙介绍，第4章防火墙工作原理和应用(续)，第4章防火墙工作原理和应用，当网络涉及不

2、同的信任级别(如内部网、互联网或网络分区)时，控制设备必须这种控制设备几乎总是某种形式的防火墙。防火墙允许授权数据通过，但拒绝未经授权的数据通信，并记录访问报告。由于防火墙的使用可以增强内部网络的安全性，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。本章将介绍防火墙的基本功能、工作原理、分类、体系结构、局限性以及典型的防火墙产品。4.1防火墙的概念和分类，网络防火墙是一种将内部网与互联网隔离开来的防御系统，并且有一扇门允许人们在内部网和开放的互联网之间进行通信。访客必须先越过防火墙的安全线，然后才能联系目标计算机。网络防火墙如图4.1所示。图4.1，网络防火墙和4.1.1防火墙简介，

3、当没有防火墙时，局域网内的每个节点都暴露给互联网上的其他主机，内部网的安全性由每个节点的坚固性决定，安全性等于其中最弱的节点。使用防火墙后，防火墙将内联网的安全性统一到自身，网络安全性将在防火墙系统上得到加强，而不是分布在内联网的所有节点上。防火墙将内部网与互联网分开，只允许安全和经过批准的信息进入，并防止对内部网构成威胁的数据。它防止黑客改变、复制和破坏重要信息；同时不妨碍人们上网。根据安全策略，允许从内部网到互联网的流量和响应返回流量通过防火墙。根据安全策略，从互联网到内部网的流量被阻止。根据安全策略，来自互联网的特殊流量可能被允许到达内部网。图4.2，防火墙、服务器、内网、互联网的工作原

4、理和防火墙的基本功能，作为一个中心“遏制点”，内网的安全管理是集中的，所有通信都通过防火墙。仅释放授权的网络流量，屏蔽非法请求，防止未经授权的访问，并生成安全警报；可以抵御对自身的攻击。防火墙可以为管理者提供以下问题的答案：谁在使用网络？他们什么时候使用了什么网络资源？他们连接到什么网站？他们在网上做什么？谁想上网，但是失败了？防火墙的基本功能(续)，防火墙工作在开放系统互连参考模型上，防火墙的发展历史，第一代防火墙技术是由附在边界路由器上的访问控制表组成，并采用包过滤技术。第二代代理防火墙是电路层网关和应用层网关。1994年，以色列检查站公司开发了第一个基于动态包过滤技术的防火墙产品。199

5、8年，美国网络联盟公司NAI(网络联合公司)引入了自适应代理技术。虽然防火墙的发展已经走过了近20年的历程，但是按照内部和外部数据的处理方式，防火墙大致可以分为两大系统：包过滤防火墙和代理防火墙。前者以思科公司的检查点防火墙和PIX防火墙为代表，后者以NAI公司的排管防火墙为代表。表4.2显示了两个防火墙系统的性能比较。两个防火墙系统的性能比较，两个防火墙系统的性能比较(续)，防火墙的组成，防火墙可以是一个路由器、一台电脑或一台主机，或者是一个由多台主机组成的系统。防火墙应该放在网络的边界。网络边界是本地网络的整个边界。本地网络通过输入点和输出点与其他网络相连。这些连接点应该配备防火墙。但是，

6、防火墙也应该部署在网络边界内，为特定主机提供额外的特殊保护。图4.3，防火墙的位置，防火墙的分类，防火墙的分类方法有很多：根据采用的技术不同，可以分为包过滤防火墙和代理服务防火墙；根据应用对象的不同，可以分为企业防火墙和个人防火墙；根据实现方式的不同，可以分为软件防火墙、硬件防火墙和专用防火墙。软件防火墙，防火墙运行在一台特定的计算机上，一般来说，这台计算机是整个网络的网关。像其他软件产品一样，软件防火墙在使用前需要在计算机上安装和配置。使用这种防火墙需要网络管理员熟悉操作系统平台。硬件防火墙由PC机硬件、通用操作系统和防火墙软件组成。在定制的个人电脑硬件上，Linux、FreeBSD、Sol

7、aris和其他具有最小化安全处理和集成防火墙软件的操作系统运行在由通用个人电脑系统、闪存盘和网卡组成的硬件平台上。它具有开发成本低、性能实用、稳定性和扩展性好、价格低廉的特点。因为这种防火墙依赖于操作系统内核，它会受到操作系统本身安全性的影响，而且其处理速度也很慢。专用防火墙采用专门优化的硬件架构和专门的操作系统，在稳定性和传输性能、速度快、处理能力强、性能高方面具有独特的优势；由于其特殊的操作系统，易于配置和管理，漏洞少，但扩展能力有限，价格昂贵。由于专用防火墙具有良好的序列化程度，用户可以根据应用环境选择合适的产品。4.1.2包过滤防火墙，包过滤是所有防火墙的核心功能，包过滤标准是根据安全

8、策略制定的。它通常由网络管理员设置在防火墙设备的ACL中。与代理服务器相比，它的优点是不占用网络带宽来传输信息。包过滤规则通常存储在路由器的ACL中。ACL中定义了各种规则来指示是批准还是拒绝数据包的通过。如果所有规则都不匹配，防火墙将使用默认规则。通常，默认规则要求防火墙丢弃数据包。包过滤的核心是安全策略的设计，即包过滤算法。图4.4，数据包的ACL过滤，否、是、否、当数据包到达防火墙接口时，它是否与第一个匹配？接口上有ACL吗？还有其他条目吗？是，应用条件，拒绝，允许，转发到接口，否，ICMP消息，图4.5，ACL处理成数据包，无状态包过滤防火墙，无状态包过滤也称为静态包过滤或未检查包过滤

9、。当防火墙检查数据包报头时，它不关心服务器和客户端之间的连接状态，而只根据定义的允许或拒绝数据包的过滤规则集检查进出防火墙的所有数据包报头。图4.6，实现无状态包过滤防火墙，无状态包过滤防火墙的优点和缺点，无状态包过滤防火墙的最大优点是它的速度快、效率高和优秀的流量管理；因为所有的通信都必须通过防火墙，所以很难绕过它。同时对用户和应用程序透明。无状态包过滤防火墙的缺点也很明显：它允许外部网络直接连接到内部网络主机；只要数据包符合ACL规则，就无法区分“好”和“坏”数据包；它无法识别知识产权欺诈。它也不支持用户身份验证，也不提供日志功能。虽然可以过滤端口，但不能过滤服务。，IP欺骗，当外部主机伪

10、装内部主机的IP地址时，防火墙可以防止这种类型的IP欺骗。但是，当外部主机冒充可信外部主机的IP地址时，防火墙无法阻止它们。由于无状态包过滤防火墙不能保留暂停通信的记录，它必须根据数据包的格式判断数据包是否属于先前允许的会话。这使得它有可能被IP欺骗，并且无法识别UDP数据包和ICMP数据包的状态。无法过滤服务。对于一些较新的多媒体应用程序，在会话开始之前，端口号是未知的。例如，如果网络服务器的默认端口是80，并且计算机上安装了RealPlayer，它将搜索可以连接到RealAudio服务器的端口，而不管该端口是否被其他协议使用，RealPlayer只使用端口80进行搜索。这样，RealPla

11、yer无意中利用了网络服务器的端口。有状态包过滤防火墙，有状态包过滤也被称为SPI(状态-完成包检)或动态包过滤，后来发展成包状态监控技术，这是包过滤和应用层网关之间的一种折衷。它具有包过滤机制的速度和灵活性，同时也具有应用层网关的应用层安全优势。SPI防火墙，使用SPI技术的防火墙不仅有一个过滤规则集，而且跟踪通过它的每个连接，并绘制相关的通信和应用程序状态信息，以形成当前的连接状态列表。该列表至少包括源和目标IP地址、源和目标端口号、TCP序列号信息以及与该特定会话相关的每个TCP/UDP连接的附加标签。当会话通过防火墙时，SPI防火墙将数据包与状态表和规则集进行比较，只允许与状态表和规则

12、集匹配的项目通过。SPI防火墙(续)，在维护状态表后，防火墙可以使用更多信息来决定是否允许数据包通过，这大大降低了将数据包伪装成正在使用的连接的一部分的可能性。SPI防火墙可以检测特定类型数据包的数据。例如，运行FTP协议的服务器和客户端程序有许多漏洞，其中一些来自不正确的请求或不正确的命令。SPI防火墙不执行代理功能，即不在源主机和目的主机之间建立中转连接；它不提供与应用层网关相同的保护级别，只在数据包的数据部分查找特定的字符串。规则集是否允许数据包的内容通过？数据包到达防火墙接口，是，否，丢弃数据包，更新日志记录对话框表，向源主机发送ICMP消息，否，否，数据包是否属于现有连接？建立连接项

13、，数据包的内容是否符合规则集？是，将数据包转发到接口更新对话框表进行记录，是，图4.7，SPI防火墙的处理过程，例如，例1，当主机a试图访问时，必须通过路由器，路由器配置为SPI防火墙。以下是主机a发送连接请求的工作过程，如图4.8所示。1)向发送连接请求；2)当请求到达路由器时，路由器检查状态表；3)如果存在连接并且状态表正常，则允许数据包通过；4)如果不存在连接，创建一个状态项，并将请求与防火墙规则集进行比较；5)如果规则允许内部主机访问TCP/80。数据包被允许通过；6)网络服务器接收数据包；7)向路由器返回同步/确认信息，路由器检查状态表；8)状态表正确，数据包被允许通过，数据包到达发

14、送请求的第一台计算机；9)如果规则不允许内部主机访问TCP/80。然后数据包被禁止通过，路由器发送ICMP消息。、使用以太网，步骤(3)、步骤(2)、步骤(4)、步骤(6)、步骤(5)、步骤(7)、步骤(9)、互联网，图4.8，主机A通过SPI防火墙发送连接请求，SPI防火墙的优缺点检查级别可以从网络层到应用层；它能够详细记录每个数据包的信息，包括应用程序对数据包的请求、连接的持续时间、内部和外部系统发出的连接请求等。缺点：所有这些记录、测试和分析工作可能会导致网络连接的一些延迟，尤其是当许多连接同时被激活时，或者当有大量过滤网络通信的规则时。然而，硬件速度越快，问题就越不明显。4.1.3代理

15、服务防火墙，首先，代理服务器将常用页面存储在缓冲区中，以提高网络通信速度。后来，代理服务器逐渐发展成为一种能够提供强大安全功能的技术。代理可以在应用层实现防火墙功能。代理技术对每个特定的应用都有一个程序，可以实现比包过滤更严格的安全策略。代理服务器防火墙基于软件。它在内部用户和外部主机之间运行，并在它们之间转发数据，就像是内联网和互联网之间的一道真正的墙。外部访问者只能看到代理服务器，但看不到任何内部资源；然而，内部客户根本感觉不到代理服务器的存在，他们可以自由访问外部网站。代理可以提供出色的访问控制、登录能力和地址转换功能，并记录进出防火墙的信息，方便管理员对系统进行监控和管理。例如，示例2

16、主机A试图访问并通过代理服务器到达网关。以下是主机a发送的连接请求的工作过程，如图4.9所示。1)主机发送访问网站的请求；2)当请求到达代理服务器时，代理服务器检查防火墙规则集和数据包的报头信息和数据；3)如果请求不被允许，代理服务器拒绝该请求，并向源主机发送一个ICMP消息；4)如果请求被允许，代理服务器修改源IP地址并创建数据包；5)代理服务器向目的计算机发送数据包，数据包表明源IP地址来自代理服务器；例如(续)，6)返回的数据包再次发送到代理服务器。服务器根据防火墙规则集再次检查包头信息和数据；7)如果数据包不允许进入内部网，代理服务器丢弃数据包并发送ICMP消息；8)如果数据包被允许进入内联网，代理服务器将其发送到首先发送请求的计算机；9)当数据包到达首先发送请求的计算机时，数据包似乎来自外部主机，而不是代理服务器。如图4.9所示，主机A发出一个连接请求。通过代理防火墙、代理服务器和包过滤的比较，代理服务器扫描整个IP包的数据，因此它提供了比包过滤更详细的日志文件。如果数据包与包过滤规则匹配，则允许数据包通过防火墙，代理服务器需要用新的源IP地址重新构建数据包，从而隐藏内部用户。使用代理服务器意味着互联网上必须有一台服务器，并且内部主机不能与外部主机直接连接。带有恶意攻击的外部数据包无法到达内部主机。对于网络通信，如果包过滤由