防火墙原理与基础技术

防火墙原理与基础技术安全中心甘祥（xenosgan）ver.1.0访问控制技术系列一目录防火墙定义防火墙的分类防火墙的核心技术简单包过滤应用代理状态包过滤防火墙的工作模式网络设备的访问控制列表（ACL）Linux防火墙（netfilter/iptable）引言“防火墙”这个词实际上是从建筑上的一种技术派生而来的。当构筑房屋的时侯，为防止火灾的发生和蔓延，人们用一堵由防火材料建成的墙体放在房屋周围作为屏障，这种防护构筑物被称之为防火墙。它实质上是一种障碍物。在今日的电子信息世界里，人们借助了这个概念。信息安全中的防火墙被用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。这些防火墙尤如一道护栏隔在被保护的内部网与不安全的非信任网络之间。防火墙的定义防火墙是一种信息访问控制设备，通常放置在两个或多个安全区域之间的边界上，是两个或多个安全区域之间通信流的唯一通道，组织可以根据信息访问的控制要求制定相应的防火墙访问控制规则，防火墙依据该规则对使用该通道的通信流进行控制（允许、拒绝、记录、监视……）防火墙的特性所有跨安全区域的网络数据流必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应对渗透免疫两个或多个安全区域中的通信流的唯一通道安全区域之间通信的访问控制规则由安全区域之间通信的访问控制规则决定对该通信流所出相应的操作一般防火墙的作用/一般防火墙的弱点保护脆弱和有缺陷的网络服务集中化的安全管理加强对网络系统的访问控制加强隐私的保护对网络存取和访问进行监控审计防火墙不能防范经过授权的东西。防火墙只是按对其配置的规则进行有效的工作。防火墙对社交工程类的攻击或一个授权用户的利用合法访问进行的恶意攻击不起作用。防火墙不能修复脆弱的管理措施或设计有问题的安全策略。防火墙不能阻止那些不经过它的攻击。防火墙的分类按防火墙形态分软件防火墙硬件防火墙按防火墙保护对象分网络防火墙主机防火墙保护单机主机防火墙保护整个网络网络防火墙软件防火墙和硬件防火墙软件防火墙防火墙软件，没有带操作平台，如需使用必须与额外的操作系统结合。其自身的安全性和稳定性依赖于在底层额外的操作系统上。网络的适应性不强。软件升级，发布较容易。硬件防火墙防火墙软件（包括底层专用操作系统）和硬件。其自身的安全性和稳定性依赖于在其自身的底层专用操作系统上。网络的适应性较强。防火墙升级，更新不灵活。主机防火墙和网络防火墙单机防火墙软件安装在单机上分散在各个安全点单台电脑分散管理功能单一普通计算机用户单点安全策略设置简单灵活安全隐患大网络防火墙多为硬件也有软件各安全域连接处（网络边界）针对整个网络一个网络集中管理功能复杂多样专业网管人员全局安全策略设置复杂，不宜轻易改动安全隐患小产品形态安装点安全策略保护范围管理方式功能管理人员安全措施策略设置安全性产品形态安装点安全策略保护范围管理方式功能管理人员安全措施策略设置安全性防火墙技术简单包过滤技术应用代理技术状态检测(动态)包过滤技术深度数据包处理检测技术简单包过滤技术数据包过滤是指一个设备采取的有选择地控制来往于网络的数据的行动。当数据包从一个网络传输到另一个时（如从Internet到内部的网络，或反之），数据包过滤器允许或者阻止数据包的传输。为了完成数据包过滤，就必须设置一套规则规定什么类型的数据包（例如，那些来自特殊的IP地址或者端口的数据包）是允许的和什么类型是被阻止的。判断依据有：数据包协议类型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1包过滤操作流程大多数数据包过滤系统在数据本身上不做任何事情；它们不做基于内容的决定。几乎所有现有的包过滤设备（过滤路由器或包过滤网关）都依如下方式工作：1.包过滤标准必须为包过滤设备存储起来，这些包过滤标准叫包过滤规则。2.当包到达端口时，包报头被进行语法分析。大多包过滤设备只检查IP、TCP或UDP报头中的字段。3.包过滤器规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储的顺序相同。4.如果一条规则阻止包传输或接收，此包便不被允许。5.如果一条规则允许包传输或接收，该包可以被继续进行处理。6.如果一个包不满足任何一条规则，该包被阻塞。（其依据的原理是：未明确表示未允许的便被禁止。）简单包过滤技术应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层10101111010111TCP/UDPIP1010111TCP/UDP1010111TCP/UDPIPETH1010111TCP/UDPIP检测数据报头内容匹配访问控制规则表DENYPERMIT简单包过滤防火墙的优缺点优点简单包过滤防火墙开销小，相对较为便宜。数据包过滤对用户透明。简单包过滤防火墙速度快、效率高。缺点不能彻底防止地址欺骗，易于IP地址假冒。不能对数据内容进行检查，无法防止数据驱动式攻击记录日志信息不充分设计和配置一个真正安全的分组过滤规则比较困难分组过滤防火墙并不能过滤所有的协议易受极小分片数据包攻击不支持用户身份认证应用代理防火墙应用代理防火墙通常能够实现比分组过滤防火墙更严格的安全策略，通过在应用层网关上安装代理软件（Proxy）来实现。它的工作方式与简单包过滤防火墙的工作方式稍有不同，它不允许内外网络间的通信业务流直接流通。当某远程用户想和一个配置了应用代理防火墙的内部网络建立联系时，此防火墙会阻塞这个远程联接，对流经它的业务流进行审计并执行详细的日志功能。每个代理模块分别针对不同的应用。管理员可以根据自己的需要安装相应的代理。每个代理相互无关，即使某个代理工作发生问题，只需将它简单地卸出，不会影响其它的代理模块，同时也保证了在防火墙失效时内部网络的安全。应用代理防火墙应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层10101111010111TCP/UDPIP1010111TCP/UDP1010111TCP/UDPIPETH1010111TCP/UDPIP监测数据内容匹配访问控制规则表DENYPERMIT101011110101111010111TCP/UDPIP1010111TCP/UDP1010111TCP/UDPIPETH应用代理防火墙的优缺点优点在网络连接建立之前可以对用户身份进行认证所有通过防火墙的信息流可以被记录下来易于配置支持内部网络的信息隐藏与分组过滤规则相比简单易于控制和管理缺点对每种类型的服务都需要一个代理网络性能不高防火墙对用户不透明客户应用可能需要修改有些服务要求建立直接连接，无法使用代理代理服务不能避免协议本身的缺陷或者限制易受拒绝服务攻击状态检测(动态)包过滤技术（SPI）Checkpoint一项称为“StatefulInspection”的技术。“状态检测技术”是数据包过滤技术的延伸，经常被称为“动态包过滤”。所谓“状态检测包过滤”的主要设计思想是在检查一个数据包的合法性时，要考虑这个包所在的连接的状态，这样做最基本的好处是对TCP连接或UDP会话的授权做得很彻底，而不象一般的包过滤仅通过状态位来判断而不管是否存在对应的连接。具备状态检测技术的防火墙使用各种状态表（statetables）来追踪活跃的tcp会话（一般还包括udp的伪会话）。由用户定义的访问控制列表决定允许建立哪些会话（session），只有与活跃会话相关的数据包才能通过防火墙。状态检测(动态)包过滤技术（SPI）外部网络主机内部网络主机动态包过滤防火墙应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层10101111010111TCP/UDPIP1010111TCP/UDP1010111TCP/UDPIPETH1010111TCP/UDPIP检查包头建立状态列表DENYPERMIT1010111匹配访问控制规则表10101111010111TCP/UDPIP1010111TCP/UDP1010111TCP/UDPIPETH状态检测(动态)包过滤技术流程图是是否是否数据包是否属于一个已经存在的连接拒绝/丢弃包，进行日志记录允许传输包，进行日志记录是否通过简单包过滤建立连接状态记录是否是连接请求包是否协议内容检查是否通过否状态检测(动态)包过滤技术优缺点优点状态检测(动态)包过滤对用户透明。前后数据报文相关联。状态检测(动态)包过滤技术防火墙速度快、效率高。缺点不能对数据内容进行检查，无法防止数据驱动式攻击记录日志信息不充分易受极小IP碎片包攻击不支持用户身份认证深度数据包处理检测技术深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。采用了IDS中的对完整会话内容检测技术对网络层、传输层、会话层、应用层都提供了相应的检测对应用和会话保护强，能重组会话检测其完整内容。上下文相关，前后报文联系。内核模式的会话内容检查。深度数据包处理检测技术应用层TCP层IP层网络接口层应用层TCP层IP层网络接口层秘密添加TCP/UDPIPTCP/UDPTCP/UDPIPETH管理员账户秘密添加在某主机秘密添加秘密添加数据包头数据包头数据包头管理员账户秘密添加在某主机针对一个完整会话的检查深度数据包处理检测技术下面每一种技术代表深度数据包处理的不同级别。用户会话跟踪（会话重组）SSL终止（密文还原）请求分析（规范请求）响应模式匹配（双向检测）行为建模（IDS异常检测技术）防火墙的工作模式路由模式透明模式透明代理NAT模式混合模式透明模式透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置（包括IP地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。透明代理防火墙使用透明代理技术，这些代理服务对用户也是透明的，用户意识不到防火墙的存在，便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理服务器会建立透明的通道，让用户直接与外界通信，这样极大地方便了用户的使用。透明代理的原理透明代理的原理如下：假设A为内部网络客户机，B为外部网络服务器，C为防火墙。当A对B有连接请求时，TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时，A和C之间首先建立连接，然后防火墙建立相应的代理服务通道与目标B建立连接，由此通过代理服务器建立A和目标地址B的数据传输途径。从用户的角度看，A和B的连接是直接的，而实际上A是通过代理服务器C和B建立连接的。反之，当B对A有连接请求时原理相同。由于这些连接过程是自动的，不需要客户端手工配置代理服务器，甚至用户根本不知道代理服务器的存在，因而对用户来说是透明的。iptables也支持透明代理，把应用数据转发给squid做代理。网络地址转换（NAT）IPv4使用了2的32次方个（四百万）地址空间，但不够用。RFC1918规定了保留地址10.0.0.0/8172.16.0.0/12192.168.0.0/16这些地址不可用于互联网络，所以可以将这些地址用于连接互联网的私有网络中。但是这些私有网络的源地址不能直接在互联网络中路由，此时只有将保留地址是源地址的数据报中的源地址替换成能用于互联网的地址才能访问互联网，这种转换即网络地址转换（NetworkAddresstransition）网络地址转