第五章防火墙原理与设计

防火墙的分类静态包过滤防火墙动态包过滤防火墙电路级网关应用级网关状态检测防火墙切换代理空气隙防火墙所有软件都是有错的通常情况下99.99%无错的程序很少会出问题同安全相关的99.99%无错的程序可以确信会被人利用那0.01%的错误0.01%安全问题等于100%的失败组成结构复杂各节点通常自主管理信任边界复杂，缺乏有效管理有显著的内外区别机构有整体的安全需求最薄弱环节原则保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略防火墙是由软件和硬件组成的系统，它处于安全的网络（通常是内部局域网）和不安全的网络（通常是Internet，但不局限于Internet）之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。根据安全策略，防火墙对数据流的处理方式有三种：①允许数据流通过；②拒绝数据流通过；③将这些数据流丢弃。由于防火墙是放置在两个网络之间的网络安全设备，因此防火墙设计的基本目标：所有进出网络的数据流都必须经过防火墙；只允许经过授权的数据流通过防火墙；防火墙自身对入侵是免疫的。防火墙不是一台普通的主机，它自身的安全性要比普通主机更高。防火墙由几个部分构成。在图5.1中，“过滤器”用来阻断某些类型的数据传输。网关则由一台或几台机器构成，用来提供中继服务，以补偿过滤器带来的影响。外部过滤器用来保护网关免受侵害，而内部过滤器用来防备因网关被攻破而造成恶果。目前市场上常见的防火墙都有三个或三个以上的接口，同时发挥了两个过滤器和网关的功能，通过不同的接口实现DMZ区（网关所在的网络称为“非军事区”）和内部网络的划分。现在市场上销售的防火墙的质量都非常高。自Internet诞生以来，防火墙技术取得了长足的进步。用户可以购买防火墙，也可以采用免费软件自己动手构造一个软件防火墙。但是，购买专业防火墙会有很多好处：第一，防火墙厂商提供的接口会更多、更全；第二，过滤深度可以定制，甚至可以达到应用级的深度过滤；第三，可以获得厂商提供的技术支持服务。而用户自行构造的软件防火墙往往不具备以上优势。防火墙主要功能：1．防止易受攻击的服务。2．控制访问网点。3．集中安全性管理。4．对网络存取和访问进行监控审计。5．检测扫描计算机的企图。6．防范特洛伊木马。7．防病毒功能。8．支持VPN技术。9．提供网络地址翻译NAT功能防火墙的主要缺陷有：1．不能防范内部攻击。2．不能防范不通过防火墙的连接入侵。3．不能自动防御所有新的威胁。最初的防火墙依附于路由器，它只是路由器中的一个过滤模块。后来，随着过滤功能的完善和过滤深度的增加，防火墙逐步从路由器中分离出来，成为一个独立的设备。目前的防火墙甚至集成VPN及IDS等功能从概念上来讲，可以将防火墙分成两种基本类型的防火墙：1．网络层防火墙网络层防火墙是作用于网络层的，一般根据源、目的地址做出决策，输入单个的IP包，通常需要分配有效的IP地址块。网络层防火墙一般速度都很快，对用户很透明。2．应用层防火墙应用层防火墙作用于网络应用层，是通过软件来分析用户应用层的数据流量，能对通过它的数据流进行记录和审计，能提供更详尽的审计报告。记录和控制所有进出流量的能力是应用层网关的主要优点之一。同时，应用层防火墙还可以充当网络地址翻译器。在某些情况下，设置了应用层防火墙后，可能会对性能造成影响，会使防火墙不太透明。应用层防火墙比网络层防火墙实施更保守的安全模型。从技术上来讲，可以将防火墙分成传统防火墙，分布式防火墙，嵌入式防火墙和智能防火墙等。1．嵌入式防火墙嵌入式防火墙就是将防火墙功能嵌入到路由器或交换机中。嵌入式防火墙的主要优点和缺点见教材。2．智能防火墙智能防火墙就是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。第一代防火墙始于1985年前后，由CISCO的IOS软件公司研制。这一代防火墙称为包过滤防火墙。第二代防火墙结构基于电路中继的，此类防火墙被称为电路级网关防火墙。没有发布基于这一结构的任何产品。第三代防火墙称为应用级网关防火墙。此类防火墙采用了在堡垒主机运行代理服务的结构。第四代防火墙(目前）状态检测防火墙。第五代防火墙，日前尚未有统一的说法。一种观点认为，在1996年由GlobalInternetSoftwareGroup公司的首席科学家ScottWiegel开始启动的内核代理结构研究计划属于第五代防火墙；还在种观。点认为，在1998年由NAI公司推出的自适应代理技术给代理类型的防火墙赋予了全新的意义，可以称为第五代防火墙。防火墙发展历程防火墙分为三种：包过滤防火墙、电路级网关防火墙和应用级网关防火墙。每种防火墙的特性均由它所控制的协议层决定。这种分类其实非常模糊。例如，包过滤防火墙运行于IP层，但是它可以窥视TCP信息，而这一操作又发生在电路层；对于某些应用级网关，由于设计原理自与就存在局限性，因此它们必须使用包过滤防火墙的某些功能。大多数市面上销售的防火墙产品包含以下一种或多种防火墙结构：静态包过滤；动态包过滤；电路级网关；应用级网关；状态检查包过滤：切换代理：空气隙（物理隔离）。要了解防火墙是哪种类型的结构，关键是要知道防火墙工作于OSI模型的哪一层上。图5.2给出了OSI模型与防火墙类型的关系。防火墙工作于OSI模型的层次越高，其检查数据包中的信息就越多，因此防火墙所消耗的处理器工作周期就越长；该防火墙结构所提供的安全保护等级就越高。OSI模型与TCP／IP模型之间并不存在对应的关系。防火墙通常建立在TCP／IP模型基础上。筛选路由器是防火墙最基本的构件。它一般作用在网络层（IP层），按照一定的安全策略，对进出内部网络的信息进行分析和限制，实现报文过滤功能。该防火墙优点在于速度快等，但安全性能差。双宿主主机结构双宿主主机结构是用一台装有两块网卡的堡垒机构成防火墙。堡垒机上运行着防火墙软件，可以转发应用程序，提供服务等。内外网络之间的IP数据流被双宿主主机完全切断。用堡垒机（典型的防火墙建立在一个服务器或主机的机器上，也称为“堡垒主机”，它是一个多边协议路由器。这个堡垒主机连接两个网络，一边与内部网相连，另一边与因特网相连）取代路由器执行安全控制功能。屏蔽主机网关结构屏蔽主机网关结构中堡垒机与内部网相连，用筛选路由器连接到外部网上，筛选路由器作为第一道防线，堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。屏蔽子网结构屏蔽子网结构，就是在内部网络和外部网络之间建立一个被隔离的子网，这个子网可有堡垒主机等公用服务器组成，用两台筛选路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。1、包的概念一个文件要穿过网络，必须将文件分成小块，每小块文件单独传输，这些小块被称为包。2、包过滤的工作过程包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据：（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。3、包过滤器操作几乎所有的包过滤设备（过滤路由器或包过滤网关）都按照如下方式工作：（1）包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。（2）当包到达端口时，对包的报头进行语法分析，大多数包过滤设备只检查IP、TCP或UDP报头中的字段，不检查包体的内容。（3）包过滤器规则以特殊的方式存储。（4）如果一条规则阻止包传输或接收，此包便不被允许通过。（5）如果一条规则允许包传输或接收，该包可以继续处理。（6）如果一个包不满足任何一条规则，该包被阻塞。包过滤有两条十分重要的基本准则：第一个原则是一切未被允许的就是被禁止的。第二个原则是一切未被禁止的就是被允许的。OSI参考模型中包过滤控制点根据Internet的特性，防火墙在以下三层中设置控制点是科学的。（1）网络层控制点应该设在源和目的IP地址，以及IPOptions上。（2）传输层控制点应该设在TCP头中的源和目的端口号以及TCP标志位上。（3）应用层控制点应该基于特定协议分别设定。在路由器上实现包过滤，则费用非常小。在流量适中并定义较少过滤器时，对路由器的性能几乎没有影响包过滤路由器对用户和应用来讲是透明的，易于维护。定义数据包过滤器会比较复杂。任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险。随着过滤器数目的增加，路由器的吞吐量会下降。包过滤器可能无法对网络上流动的信息提供全面的控制。对于采用动态分配端口的服务。通常包过滤器只按规则丢弃数据包，而不使用记录和用户报告，不具备审计功能，使得管理员不能从访问记录中发现黑客的攻击记录。代理服务是运行在防火墙主机上的专门的应用程序，它位于内部网络上的用户和外部网上的服务之间，内部用户和外部网服务彼此不能直接通信，只能分别与代理打交道。代理负责接收外部网服务请求，再把它们转发到具体的服务中。代理服务防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接，为安全性提供了额外的保证，使得从内部发动攻击的可能性大大减少。例如，一个公司决定将一个Telnet服务器作为主机，以使得远程的管理员能够对其执行某些特定的操作。它代理一个连接过程如下：1．有一个用户通过23端口Telnet到这个代理服务器上。屏蔽设备检测这个连接的源IP地址是否在允许的源地址列表中。如果在的话，就对该连接进行下一步的处理；如果不在的话，则拒绝该次连接。2．提示用户进行身份验证。3．在通过了身份验证后，系统就会提示用户给用户一个系统菜单来允许用户连接到目的主机。4．用户选择要连接的系统。5．如果有要求，系统会提示用户再输入另外的身份验证信息。在硬件结构上，代理服务器可采用双宿堡垒主机、屏蔽主机、屏蔽子网三种体系结构，运行防火墙软件的主机称为堡垒主机，它的作用是转发应用、提供服务、监督通信。1、双宿主机2、屏蔽主机3、屏蔽子网结构在软件结构上，代理服务器工作在应用层上，应用网关系统对网络用户运行的各个应用都使用特殊目的代码，需要特殊的应用软件。因特网上的主要服务功能有以下几种：1、电子邮件电子邮件系统由三个部分组成：一个服务器，用来向外部主机发送邮件或从外部主机接收邮件。发信代理，用于将邮件正确地放入本地主机邮箱中。用户代理，用于让收信人阅读邮件并编排出站邮件。电子邮件由于各种不同原因，每一部分都是脆弱的、易于被侵入的。2、简单邮件传输协议（SMTP）代理因为SMTP是一个存储转发协议，所以它特别适合于进行代理。3、邮局协议（POP）的代理邮局协议（POP）对于代理系统来说是非常简单的，因为它采用单个连接。4、文件传输FTPFTP用来从一台机器传送文件到另一台机器上。使用FTP可以传送任何类型的文件，有两种类型的FTP访问，即有名FTP和匿名FTP。FTP使用两个独立的FTP连接，一个在服务器和客户程序之间传递命令和结果（通常称为命令通道）；另一个用来传送真实的文件和目录列表（通常称为数据通道）。5、远程登录（Telnet）代理系统能够很好地支持Telnet。6、存储转发协议（NNTP）NNTP是一个存储转发的协议，有能力进行自己的代理。它作为一个简单的单个连接协议很容易实现代理。7、万维网（）各种HTTP客户程序（如NetscapeNavigator或因特网Explorer等）都支持代理方案。8、域名服务（DNS）DNS具有这样的结构：可以使服务器充当客户程序的代理。利用DNS能够转发自身的特点，可以使一个DNS服务器成为另一个DNS服务器的代理。电路层网关的运行方式与代理服务器相似，它把数据包提交给应用层过滤，并只依赖于TCP的连接。它遵循SOCKS协议，即电路层网关的标准。它是在网络的传输层实施访问策略，是在内部网和外部网之间建立一个虚拟电路进行