第6章-：防火墙技术

第6章防火墙技术本章主要内容：6.1防火墙简介6.2防火墙的类型6.3防火墙配置6.4防火墙系统6.5防火墙的选购和使用6.6防火墙产品介绍2019年11月23日星期六7时59分32秒1知识点防火墙的概念\功能特点和安全性防火墙的分类防火墙的配置和防火墙系统防火墙的选购、安装和维护2019年11月23日星期六7时59分32秒2难点防火墙系统2019年11月23日星期六7时59分32秒3要求熟练掌握以下内容：●防火墙的概念、功能特点和安全性●防火墙分类、配置●防火墙的选购、安装和维护了解以下内容：●防火墙系统和防火墙产品2019年11月23日星期六7时59分32秒4提起防火墙，大家比较熟悉，大凡有计算机的人都用过。所以对这个名字并不陌生，“防火墙”这个术语来自建筑结构中的安全术语，过去人们常在寓所之间建起一道砖墙，一旦某个单元起火，它就能够防止火势蔓延到其他单元起到防火的作用。现在的防火墙和古代寓意已不同。本章将从防火墙的主要功能、基本类型及其体系结构等方面介绍防火墙的有关知识。2019年11月23日星期六7时59分32秒56.1防火墙简介防火墙的概念防火墙的功能特点防火墙的安全性设计2019年11月23日星期六7时59分32秒66.1.1防火墙的概念防火墙原意是古典建筑在房屋之间的一道墙。当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。RichKosinski(InternetSecurity公司总裁）指出防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。防火墙是一种广泛应用的一种技术,是控制两个不同安全策略的网络之间互访，从而防止不同安全域之间的相互危害。防火墙定义为置于两个网络之间的保障网络安全的一组构件或一个系统。用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，安全、管理、速度是防火墙的三大要素。防火墙在系统中的位置如图6-1所示。2019年11月23日星期六7时59分32秒76.1.1防火墙的概念防火墙可以嵌入到某种硬件产品中，以硬件设备形式出现，即硬件防火墙。它也可以是一种软件产品，即软件防火墙。2019年11月23日星期六7时59分32秒8内部网络外部网络防火墙6.1.2防火墙的功能特点防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。防火墙主要功能有：1.防止易受攻击的服务防火墙能过滤不安全的服务。防火墙能防止非授权用户进入内部网络。大大提高了企业内部网的安全性。2019年11月23日星期六7时59分32秒96.1.2防火墙的功能特点2.防火墙对内部实现了集中的安全管理对一个企业而言，使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙可以对软件、附件统一到防火墙上集中管理。如果不使用防火墙，软件分散到个主机上单独管理。3.控制访问网点利用防火墙对内部网段的划分，可以实现重点网段分离，限制安全问题的扩散。4.对网络存取和访问进行监控审计可以方便监视网络的安全并及时报警.所有访问都经过防火墙，因此它是审计和记录网络的访问和使用的理想位置。2019年11月23日星期六7时59分32秒106.1.2防火墙的功能特点5.提供网络地址翻译NAT功能，可以实现网络地址转换利用NAT技术可以缓解地址资源短缺，隐藏内部网的结构。Internet防火墙可以作为部署NAT(NetworkAddressTranslator，网络地址变换）的逻辑地址。因此防火墙可以保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的IP地址变动，方便网络管理，缓解地址空间短缺的问题.2019年11月23日星期六7时59分32秒116.1.3防火墙的安全性设计1．防火墙经典安全模型防火墙技术的思想源于经典安全，经典模型策略是为了保护计算机安全。该安全模型是一个抽象，用来定义实体和实体之间是如何允许进行交互的。经典安全模型中包括识别和验证、访问控制、审计三大部件，通过参考监视器的参考和授权功能来控制主题针对对象的访问。参考监视器提供两个功能：第一功能是参考功能，用于评价由主体发出的访问请求，而参考监视器使用一个授权数据库来决定是否接受或拒绝收到的请求；而第二个功能就是控制对授权数据库改变的授权功能，通过改变授权数据库的配置来改变主体的访问权限。识别和验证部件的作用就是确定主体的身份。访问控制部件的作用就是控制主体的访问对象，由参考监视器、授权数据库构成；而审计部件的功能就是监测访问控制的具体执行情况，由审计子系统构成。2019年11月23日星期六7时59分32秒126.1.3防火墙的安全性设计2.用户认证对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员的认证。3.域名服务防火墙可以对内部网内外用户提供修改名字的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自Internet主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机的名字；而对于来自内部网内的主机的请求，防火墙提供寻址名字，以分辨Internet上的主机。2019年11月23日星期六7时59分32秒136.1.3防火墙的安全性设计4.IP层的安全IP层的安全包括两个功能：认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发送的。此外，认证机构还要保证该书剧组在传送中未被篡改。保密性保证通信节点对所传消息进行加密，防止第三者窃听。5.邮件处理电子邮件是内部网络与Internet连通的一项主要业务。是互联网上用户之间交换信息时广泛采用的手段。一般采用简单邮件传输协议SMTP。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过他与防火墙连通，在与internet上用户连通。2019年11月23日星期六7时59分32秒146.2防火墙的类型防火墙的概念防火墙的功能特点防火墙的安全性设计2019年11月23日星期六7时59分32秒156.2防火墙的类型6.2.1包过滤防火墙2019年11月23日星期六7时59分32秒166.2.1包过滤防火墙1.包过滤防火墙的工作原理包过滤防火墙的信息过滤规则是以其所收到的数据包头信息为基础，包头信息中包括IP源地址，IP目标端地址、封装协议类型等。当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，起到了保护内部网络的作用。静态包过滤防火墙工作在TCP/IP协议的IP层，如图6-2所示。包过滤的内容有：2019年11月23日星期六7时59分32秒176.2.1包过滤防火墙数据包协议类型：TCP、UDP、ICMP、IGMP等；源、目的IP地址；源、目的端口：FTP、HTTP、DNS等；IP选项：源路由、记录路由等；TCP选项：SYN、ACK、FIN、RST等；其他协议选项：ICMP、ECHO等；数据包流向：in或out；数据包流经网络接口：eth0、eth1。1.物理层2.数据链路层5.应用层4.TCP层3.IP层IP过滤、Port过滤、NAT输入数据流输出数据流2019年11月23日星期六7时59分32秒186.2.1包过滤防火墙2.包过滤操作过程（1）包过滤规则必须被存储作为包过滤设备的端口上。（2）当数据包在端口到达时，包头被提取。同时包过滤设备检查IP，TCP，UDP等包头中的域。（3）包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包。（4）如果一条规则阻止传输，包就被弃掉。（5）如果一条规则允许传输，包就被通过。（6）如果一个包不满足任意规则，它就被弃掉。2019年11月23日星期六7时59分32秒196.2.1包过滤防火墙3.包过滤防火墙优缺点包过滤防火墙优点是包过滤防火墙逻辑简单，性能优越，计算量小，很容易用硬件实现。对网络性能影响小，它的工作与应用层无关，不需要对客户端计算机进行专门的配置，易于安装和使用。通过NAT，可以对外部用户屏蔽内部IP。包过滤防火墙缺点是安全要求不充分，无法识别应用层协议，不能防止地址欺骗；允许外部客户和和内部主机直接相连，不提供用户鉴别机制，无法约束入侵者由内部主机到防火墙服务带来安全隐患；处理包内信息能力有限，通常不能提供其他功能；由于支持众多网络，很难对规则的有效性进行测试。2019年11月23日星期六7时59分32秒206.2.1包过滤防火墙3.包过滤防火墙优缺点包过滤防火墙优点是包过滤防火墙逻辑简单，性能优越，计算量小，很容易用硬件实现。对网络性能影响小，它的工作与应用层无关，不需要对客户端计算机进行专门的配置，易于安装和使用。通过NAT，可以对外部用户屏蔽内部IP。包过滤防火墙缺点是安全要求不充分，无法识别应用层协议，不能防止地址欺骗；允许外部客户和和内部主机直接相连，不提供用户鉴别机制，无法约束入侵者由内部主机到防火墙服务带来安全隐患；处理包内信息能力有限，通常不能提供其他功能；由于支持众多网络，很难对规则的有效性进行测试。2019年11月23日星期六7时59分32秒216.2.2代理服务器防火墙2.代理型防火墙的优缺点代理防火墙的优点：代理服务可以识别并实施高层协议，如http,ftp；可提供部分传输层、全部应用层和部分会话层的信息；用于禁止访问特定的网络服务，并允许其他服务；能处理数据包；不允许外部和内部主机间直接通信，代理服务可转送和屏蔽内部服务；代理服务具有良好的日志纪录，可以有效的追踪。代理型防火墙的缺点：不可以在防火墙服务器上开设本级的网络服务；代理服务有延迟；需要为通过防火墙的每个协议添加一个新的代理；应用级防火墙不提供udp,rpc特殊协议的代理；代理防火墙培植起来比较麻烦；以来操作系统和应用协议；代理需要附加口令和验证，从而造成延迟；最大的缺点就是速度比较慢，会成为内外网络之间的瓶颈。2019年11月23日星期六7时59分32秒226.2.3状态检测防火墙1.状态检测防火墙工作原理状态检测防火墙是基于动态包过滤技术，又称动态包过滤技术，采用一个网关上执行网络安全引擎，即监测模块。监测模块工作在网络层和链路层之间，对网络通信各层实时监测分析，提取相关的通信和状态信息，并动态存储和更新连接表中的状态，为下一通信检查积累数据。状态检测技术是包过滤技术的延伸，使用各种状态表（statetables）来追踪活跃的TCP会话。由用户定义的访问控制列表（ACL）决定允许建立哪些会话（session），只有与活跃会话相关联的数据才能穿过防火墙。状态检测防火墙工作示意图如图6-4所示。2019年11月23日星期六7时59分32秒236.2.3状态检测防火墙状态检测技术防火墙是对包过滤技术、电路层网关和代理服务技术的折中，它的速度和灵活性没有包过滤机制好，但比代理服务技术好。它的应用级安全不如代理服务技术强，但又比包过滤的机制的高。这种结合是对包过滤技术和代理服务技术的折中。5.应用层1.物理层2.数据链路层4.TCP层3.IP层输入数据流输出数据流连接保持状态检查包过滤2019年11月23日星期六7时59分32秒246.2.3状态检测防火墙2.状态检测防火墙的优缺点状态检测防火墙优点：为基于无连接的协议和动态分配协议的应用提供安全支持，减少了端口的开放时间，能支持所有服务。状态检测防火墙缺点：允许外部客户和内部主机直接相连，不提供用户鉴别。2019年11月23日星期六7时59分32秒256.3防火墙配置WinRoutePro(版本WinRoutePro4.2.5)是一个集路