第7章防火墙技术.

第7章防火墙技术22课程主要内容防火墙概述防火墙体系结构防火墙分类防火墙配置33防火墙的英文名称为Firewall，该词是早期建筑领域的专用术语，原指建筑物间的一堵隔离墙，用途是在建筑物失火时阻止火势的蔓延。在现代计算机网络中，防火墙通常位于一个可信任的内部网络与一个不可信任的外界网络之间，用于保护内部网络免受非法用户的入侵。它在网络环境下构筑内部网和外部网之间的保护层，并通过网络路由和信息过滤的安全实现网络的安全，其会依照特定的规则，允许或是限制传输的数据通过。§7.1防火墙概述44防火墙系统的逻辑部署下图所示。工作站内部网络Internet防火墙个人电脑服务器防火墙逻辑部署示意图5通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。它就如同一堵带有安全门的墙，可以阻止外界对内部网资源的非法访问和通行合法访问，也可以防止内部对外部网的不安全访问和通行安全访问。应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层允许外部报文报文允许通过6防火墙一般具有三个显著的特性：（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙；只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。（2）只有符合安全策略的数据流才能通过防火墙；防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。（3）防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。77防火墙的功能：防火墙最基本的功能就是控制在计算机网络中不同信任程度区域间传送的数据流。具体体现在以下四个方面：（1）防火墙是网络安全的屏障；（2）防火墙可以强化网络安全策略；（3）防火墙可以对网络存取和访问进行监控审计；（4）防火墙可以防范内部信息的外泄。除此上述的安全防护功能之外，防火墙上还可以提供网络地址转换（NAT），虚拟专用网（VPN）等其他功能。§7.1防火墙概述88防火墙的缺陷：防火墙是网络安全体系中的重要组成部分，但是仅通过防火墙技术是不能解决所有的安全问题的，防火墙在安全防范中的主要缺陷包括：传统的防火墙不能防范来自内部网络的攻击；防火墙不能防范不通过防火墙的攻击；防火墙不能防范恶意代码的传输；防火墙不能防范利用标准协议缺陷进行的攻击；防火墙不能防范利用服务器系统漏洞进行的攻击；防火墙不能防范未知的网络安全问题；防火墙对已有的网络服务有一定的限制。§7.1防火墙概述9防火墙技术分代出现时间采用技术第一代防火墙1984年包过滤技术第二代防火墙1989年应用网关技术第三代防火墙1992年状态检测技术第四代防火墙1998年自适应代理技术基于防火墙技术原理分类：有包过滤防火墙、代理服务器防火墙、状态检测防火墙和自适应代理防火墙§7.2防火墙分类10101.包过滤技术包过滤技术也称为分组过滤技术。它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为，在网络层提供较低级别的安全防护和控制。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。终端个人电脑服务器服务器数据包数据包Internet过滤规则内部网络过滤判断IP头TCP头数据防火墙包过滤工作原理示意图§7.2防火墙分类1111分组过滤防火墙的过滤规则示例上例中，规则库中仅有4条规则。规则1允许内网的机器（10.1.1.*网段）访问外网服务；规则2允许外界通过端口80访问内网的服务器10.1.1.2，即打开的web服务器10.1.1.2对外的HTTP服务；规则3允许外界通过端口53访问内网的服务器10.1.1.3，53号端口是DNS服务；规则4禁止了所有其它类型的数据包。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.****TCP2允许*10.1.1.2102380TCP3允许*10.1.1.3102353UDP4禁止任意任意任意任意任意§7.2防火墙分类12包过滤防火墙是最简单的防火墙，通常它只包括对源IP地址和目的IP地址及端口的检查。包过滤防火墙通常是一个具有包过滤功能的路由器。因为路由器工作在网络层，因此包过滤防火墙又叫网络层防火墙。包过滤是在网络的出口(如路由器上)对通过的数据包进行检测，只有满足条件的数据包才允许通过，否则被抛弃。这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击。1313包过滤技术的优势包过滤技术的优势在于其容易实现，费用少，对性能的影响不大，对流量的管理较出色；使用一个过滤路由器就能协助保护整个网络，目前多数Internet防火墙系统只用一个包过滤路由器；包过滤速度快、效率高。执行包过滤，由于只检查报头相应的字段，不查看数据报的内容；包过滤对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有认识到它的存在，因此不需要专门的用户培训或在每个主机上设置特别的软件。1414包过滤技术的局限性定义包过滤器可能是一项复杂的工作。网络管理人员需要详细地了解Internet各种服务、包头格式和希望每个域查找的特定的值。路由器数据包的吞吐量随过滤器数量的增加而减少。不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的，而IP地址的伪造是很容易、很普遍的。一些包过滤路由器不提供或只提供有限的日志能力，有可能直到入侵发生后，危险的包才可能检测出来。包过滤技术不能进行应用层的深度检查，因此不能发现传输的恶意代码及攻击数据包。§7.2防火墙分类15152.应用网关技术应用网关（ApplicationGateway）技术又被称为代理技术。它的逻辑位置在OSI7层协议的应用层上。应用代理防火墙比分组过滤防火墙提供更高层次的安全性，但这是以丧失对应用程序的透明性为代价的。应用代理防火墙工作流程图终端个人电脑服务器服务器Internet控制策略内部网络过滤判断IP头TCP头数据外部主机应用代理判断实际的连接感觉的连接应用代理§7.2防火墙分类16代理服务是运行在防火墙主机上的特定的应用程序或服务程序。防火墙主机可以是具有一个内部网接口和一个外部网接口的双穴(DuelHomed)主机，也可以是一些可以访问Internet并可被内部主机访问的堡垒主机。代理服务位于内部用户和外部服务之间。代理程序在幕后处理所有用户和Internet服务之间的通信以代替相互间的直接交谈。感觉的连接实际的连接代理服务器内部网络Internet真正的服务器客户机1717应用代理防火墙能够提供更高层次的安全性：首先应用代理防火墙将保护网络与外界完全隔离，并提供更细致的日志。这有助于发现入侵行为；应用代理防火墙本身是一台主机，可以执行诸如身份验证等功能；应用代理防火墙检测的深度更深，能够进行应用级的过滤。例如，有的应用代理防火墙可以过滤FTP连接并禁止FTP的“put”命令，从而保证用户不能往匿名FTP服务器上写入数据；由于域名系统（DNS）的信息不会从受保护的内部网络传到外界，所以站点系统的名字和IP地址对Internet是隐蔽的。§7.2防火墙分类18对于用户，代理服务器给用户一种直接使用“真正”服务器的感觉；对于真正的服务器，代理服务器给真正服务器一种在代理主机上直接处理用户的假象。用户将对“真正”服务器的请求交给代理服务器，代理服务器评价来自客户的请求，并作出认可或否认的决定。如果一个请求被认可，代理服务器就代表客户将请求转发给“真正”的服务器，并将服务器的响应返回给代理客户。19193.状态检测技术状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。与传统包过滤防火墙的静态过滤规则表相比，状态检测技术具有更好的灵活性和安全性。状态检测防火墙是包过滤技术及应用代理技术的一个折衷。。§7.2防火墙分类20状态检测防火墙监视每一个有效连接的状态，并根据这些信息决定网络数据包是否能通过防火墙。它在协议底层截取数据包，然后分析这些数据包，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，能够根据协议、端口及源地址、目的地址的具体情况决定数据包是否可以通过。对于每个安全策略允许的请求，状态检测防火墙启动相应的进程，可以快速地确认符合授权标准的数据包，这使得本身的运行速度很快。§7.2防火墙分类21状态检测防火墙试图跟踪通过防火墙的网络连接和包，这样它就可以使用一组附加的标准，以确定是否允许和拒绝通信。状态检测防火墙是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。由状态检测防火墙跟踪的不仅是包中包含的信息，为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。状态检测技术还能监视RPC(远程调用请求)和UDP的端口信息。包过滤防火墙和代理服务防火墙都不支持此类端口的检测。§7.2防火墙分类224.自适应代理技术新型的自适应代理(Adaptiveproxy)防火墙，本质上也属于代理服务技术，但它也结合了动态包过滤(状态检测)技术。自适应代理技术是在商业应用防火墙中实现的一种革命性的技术。组成这类防火墙的基本要素有两个：自适应代理服务器与动态包过滤器。它结合了代理服务防火墙安全性和包过滤防火墙的高速度等优点，在保证安全性的基础上将代理服务器防火墙的性能提高10倍以上。§7.2防火墙分类23在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务器从应用层代理请求，还是使用动态包过滤器从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。§7.2防火墙分类24常见的免费个人防火墙有：天网防火墙个人版、瑞星个人防火墙、360木马防火墙、江民黑客防火墙和金山网标等。著名的个人防火墙产品如著名Symantec公司的诺顿、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的FreeZoneAlarm等。§7.2防火墙分类25瑞星个人防火墙的设置与使用26瑞星个人防火墙的设置与使用27瑞星个人防火墙的设置与使用28瑞星个人防火墙的设置与使用2929防火墙的体系结构防火墙在网络中的部署位置也称为防火墙的体系结构，常见防火墙系统的体系结构有4种：筛选路由器体系结构单宿主堡垒主机体系结构双宿主堡垒主机体系结构屏蔽子网体系结构§7.3防火墙的体系结构30安装防火墙以前的网络POWERFAULTDATAALARMPOWERFAULTDATAALARM交换机交换机服务器用户用户内网Internet路由器§7.3防火墙的体系结构31安装防火墙后的网络POWERFAULTDATAALARMPOWERFAULTDATAALARM交换机交换机服务器用户用户Internet路由器防火墙服务器内网DMZ区§7.3防火墙的体系结构32DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。这样，不管是外部还是内部与对外服务器交换信息数据也要通过防火墙，实现了真正意义上的保护。DMZ区(demilitarizedzo