第1讲防火墙基础及防火墙技术

防火墙与入侵检测技术主讲老师：钱朝阳防火墙及防火墙技术第1讲安全的概述•常用的安全技术有静态有：物理隔离、防病毒软件、加密技术、用户认证、访问控制、防火墙。动态的有：入侵检测系统等.•防火墙和入侵检测是两种重要的、可以互为补充的安全技术.两者从不同的角度、不同的层次实现了被保护的网络系统的安全.•入侵检测（核心内容）被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护.1.1节防火墙基础•什么是防火墙•防火墙基本功能•防火墙的发展历程•防火墙的关键技术1、防火墙的概念传统的防火墙2、防火墙的概念信任网络非信任网络网络的唯一通路3、防火墙的定义防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全策略控制（允许、拒绝、监视、记录）进出网络的行为。其作用就是防止不希望的、未授权的信息进入被保护的网络。安全、管理、速度是防火墙三大要素。4、防火墙的优缺点（1）•管理进出网络的访问行为•封堵某些禁止的访问行为•记录通过防火墙的信息和活动•对网络攻击进行检测和告警•可以通过NAT转换节省IP地址，隐藏内部网络结构。优点：4、防火墙的优缺点（2）•防火墙不能防范来自内部网络的攻击对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。•防火墙不能防范不经由防火墙的攻击如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。•防火墙不能防范感染了病毒的软件或文件的传输•防火墙不能防范数据驱动式攻击当有些表面看来无害的数据邮寄或复制到内部主机上并被执行时，可能会发生数据驱动式的攻击。缺点：4、防火墙的优缺点（3）•防火墙不能防范利用标准网络协议中的缺陷进行攻击一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击•防火墙不能防范利用服务器系统漏洞进行的攻击黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止•防火墙不能防范新的网络安全问题防火墙是一种被动式的防护手段，它只能对现在已知的网络威胁起作用。不可能依靠一次性的防火墙设置来解决永远的网络安全问题•防火墙限制了有用的网络服务防火墙为了提高保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。缺点：1.2节防火墙的基本结构防火墙的基本结构缺点是路由器一旦被控制后很难发现，而且不能识别不同的用户…..PCPCInternet屏蔽路由器内部网络策略来决定转发或阻止数据包1屏蔽路由器型…..PCPC防火墙的基本结构Internet双宿主机外网网卡内网网卡内部网络双宿主机是一台装有两块网卡的堡垒主机做防火墙。两块网卡分别与受保护网和外部网相连。2、双宿主机防火墙防火墙的基本结构Internet路由器充当包过滤防火墙内部网络通常路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机堡垒主机3、屏蔽主机防火墙防火墙的基本结构Internet外部路由器周边网络堡垒主机内部路由器内部网络在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开4、屏蔽子网防火墙防火墙的基本结构Internet堡垒主机外部路由器内部网络一个堡垒主机和一个非军事区DMZ堡垒主机的一个网络接口接到非军事区，另一个网络接口接到内部网络，过滤路由器的一端接到因特网，另一端接到非军事区5、其他的防火墙结构防火墙的基本结构Internet外部堡垒主机内部堡垒主机外部路由器外部DMZ内部DMZ内部网络两台双宿堡垒主机，有两个非军事区，并将网络分成了4个部分：内部网络、外部网络、内部非军事区和外部非军事区。6、两个堡垒主机和两个非军事区防火墙的基本结构Internet外部路由器外部堡垒主机DMZ内部路由器内部堡垒主机内部网络用两个具有单一网络接口的堡垒主机，加上一个内部过滤路由器作为阻塞器，内部过滤路由器位于DMZ和内部网络之间。这种结构比屏蔽路由器型更安全7、两个堡垒主机和一个非军事区典型的防火墙结构Internet路由器防火墙数据库服务器应用服务器工作站工作站Web服务器多媒体服务器FTP服务器192.168.X.X192.169.X.X202.100.X.X内部网络DMZ区1.3节防火墙的发展历程•防火墙的优缺点•什么是防火墙•防火墙基本功能•防火墙的发展历程•防火墙的技术防火墙技术的发展历程•第一阶段:基于路由器的防火墙•第二阶段:用户化的防火墙工具套•第三阶段:建立在通用操作系统上的防火墙•第四阶段:具有安全操作系统的防火墙防火墙技术的发展第一代防火墙的特点：•利用路由器的访问控制列表(ACL)来实现对分组的过滤。•过滤和判定的依据可以是：地址、端口号、ＩＰ标记及其它网络特征。•只能提供分组过滤的功能。1、基于路由器的防火墙（1）防火墙技术的发展第一代防火墙的不足：•由于路由协议十分灵活，本身存在安全漏洞，从外部网络探寻内部网络十分容易。•对过滤规则的设置可能存在安全隐患。•路由器防火墙的最大隐患是：可以假冒地址欺骗路由器。•路由器防火墙的本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙规则设置会大大降低路由器的性能。1、基于路由器的防火墙（2）防火墙技术的发展它是纯软件产品又称为代理服务器，它用来提供应用级的控制，起到外部网络向被保护的内部网申请服务时中间转接作用。第二代防火墙的特点：•将过滤功能从路由器中独立出来，并加上审计和告警功能；•提供有针对性需求的模块化的软件包；•用户可根据自己的需求自己动手构造一个防火墙；2、用户化的防火墙工具套（1）防火墙技术的发展第二代防火墙的不足：•配置和维护起来比较复杂；•对使用者的技术要求较高；•由于是纯软件实现，安全性和性能均有一定的局限性；2、用户化的防火墙工具套（2）防火墙技术的发展如一个PC上装有2块网卡，并安装Linux操作系统，就可构成简单的第三代防火墙。第三代防火墙的特点：•包括分组过滤或者借用路由器的分组过滤功能；•装有专用代理系统，监控所有协议的数据和指令；•保护用户编程空间和用户可配置内核参数的设置；•安全性和速度大为提高。3、建立在通用操作系统上的防火墙（1）防火墙技术的发展第三代防火墙的不足：•作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原代码的保密，其安全性无从保证。•由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；•从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。•用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商。3、建立在通用操作系统上的防火墙（2）防火墙技术的发展第四代防火墙的特点：•防火墙厂商具有操作系统源代码，并可实现安全内核；•对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强化安全保护；•对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁；•在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能；•透明性好，易于使用。4、具有安全操作系统的防火墙1.4节防火墙技术•包过滤技术（ACL）•状态检测技术（SPI）•地址转换技术（NAT）•网络代理技术（PROXY）1、包过滤技术定义：防火墙通过对信息头的检测就可以决定是否将数据包发往目的地址，从而达到对进入和流出网络的数据进行监测和限制的目的。包过滤技术（访问控制列表）访问控制列表的配置有两种方式•限制策略。接受受信任的IP包，拒绝其他所有IP包•宽松策略。拒绝不受信任的IP包，接受其他所有IP包包过滤技术•IP源地址•IP目的地址•封装协议（IP/IPX）•TCP/UDP端口•ICMP包类型•包输入接口•包输出接口2、包过滤的检查项包过滤技术包规则是否允许传输？包规则是否阻塞传输？是否是最后一个规则？存储包过滤器分析包报头字段IP、TCP和UDP应用下一包规则阻塞包允许包转发YYY3、包过滤防火墙过滤过程N包过滤技术动态访问控制列表是对ACL的扩展，以实现对数据包的动态过滤，当配置了动态访问控制列表，可以实现指定用户的IP数据流临时通过防火墙，进行会话连接。当动态访问控制列表被触发后，动态访问控制列表重新配置接口上的已有访问控制列表，允许指定的用户访问指定的IP地址。在会话结束后，将接口配置恢复到原来的状态。4、动态访问控制列表原理包过滤技术Internet10.1.1.310.1.1.210.1.1.1协议源地址源端口目的地址目的端口行为方向TCP10.1.1.0any202.12.25.1anyacceptoutTCP202.12.25.1any10.1.1.0anyacceptin202.12.25.1内部网络动态访问控制列表工作原理图5、动态访问控制列表认证信息（1）DA10.1.1.3（4）身份认证（2）访问控制列表（3）1.4节防火墙的技术•包过滤技术•状态检测技术•网络地址转换•网络代理技术状态检测技术（SPI）状态包检查技术又称为反射访问控制列表技术。反射访问控制列表能够动态建立访问控制列表条目，在这些临时条目中不仅包含必要的包过滤信息，还包含了网络会话的状态信息来确定和充许或拒绝通信。这些临时条目在新会话开始时创建，并在会话结束时被删除。1、状态检测定义状态检测技术数据包到达防火墙接口数据包是否属于一个已经存在的连接策略集是否允数据包的内容将数据包转发到最终的目的地址并且更新对话表，进行日志记录数据包到达防火墙接口该数据包是否通过了规则集的检测拒绝该数据包，并进行日志记录YesYesYesNOYesNONO2、状态包检查技术原理对数据包是否含有特定的内容进行检查状态检测技术•所有静态包过滤的检查项•TCP通信的连接状态(顺序号SYN及确认号ACK)•UDP/ICMP通信的通信状态(协议及地址)3、状态检查的检查项状态检测技术Internet协议源地址目的地址SYNACKTCP10.1.1.1:3000202.106.185.236:8010002500202.106.185.236内部网络（4）匹配ACL和会话状态10.1.1.310.1.1.210.1.1.14、状态检查访问控制列表原理图10.1.1.1SA（1）会话状态（2）10.1.1.3DA（3）1.4节防火墙的技术•包过滤技术•状态检测技术•网络地址转换•网络代理技术网络地址转换简单地说，NAT就是通过某种方式将IP地址进行转换1、地址转换所谓的网络地址转换，就是指在一个网络内部，根据需要可以随意自定义IP地址（不需要经过申请）即私有IP地址。在网络内部，各计算机间通过私有IP地址进行通讯。而当计算机要与外部Internet网络进行通讯时，具有NAT功能的设备（如路由器或防火墙）负责将其私有IP地址转换为向ISP申请的即公网的IP地址进行通信。网络地址转换•内部局部地址：在内部网络中使用，标识内部网络的主机。在内部网络中分配给主机的私用IP地址(如：192.168.10.1)•内部全局地址：在外部网络中使用，标识内部网络的主机。一般是由互联网服务提供商提供的一个合法IP地址（如：200.200.200.1)•外部全局地址：在外部网络中使用，标识外部网络的主机。一般是由互联网服务提供商提供的一个合法IP地址，该地址是从全球统一可寻址的地址空间中分配的（202.102.192.68）。•外部局部地址：在内部网络中使用，标识外部网络的主机。外部网络的主机表现在内部网络的IP地址。这一地址是从内部可寻址的地址空间中分配的，很可能是从私有IP地址空间中分配(如：192.168.20.1)。2、NAT的几个概念网络地址转换•静态地址转换:通过手工指定内部局部地址和内部全局地址的映射，是一对一的关系，