【网络通信安全管理员认证－中级】防火墙补充

第十六讲防火墙*防火墙系统的体系结构*防火墙的主要技术详解*防火墙的流行趋势*主流防火墙产品市场篇重提两个概念防火墙的体系结构双重宿主主机体系结构；屏蔽主机体系结构（单宿主堡垒主机）；屏蔽子网体系结构；其它的防火墙结构。双重宿主主机体系结构双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。实现双重宿主主机的防火墙体系结构禁止这种简单发送功能，完全阻止了内外网络之间的IP通信。两个网络之间的通信一般情况下采用代理服务的方法。也可以采用数据共享的方式。双重宿主主机体系结构图解Internet防火墙双重宿主主机内部网络……双重宿主主机体系结构双重宿主主机体系结构例子1应用层A应用层B共享数据接口接口网络1网络2主机A主机B双重宿主主机体系结构例子2网络接口SMTP邮件主机目录转发信息SMTP转发器网络接口Internet堡垒主机双宿主主机防火墙优缺点优点：安全至关重要（唯一通道）：把一个内部网络从一个不可信的外部网络中分离出来。因为双宿主主机不能直接转发任何TCP/IP流量，所以它可以彻底阻塞内部和外部不可信网络间的任何IP流量。缺点：性能非常重要（中转站）：必须支持很多用户的访问提一句：多宿主主机防火墙被屏蔽主机防火墙体系结构双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭)，而被屏蔽主机体系结构使用一个单独的路由器来提供与内部网络相连主机(堡垒)的服务。在这种体系结构中，主要的安全措施是数据包过滤被屏蔽主机防火墙体系结构典型构成：包过滤路由器＋堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。被屏蔽主机防火墙体系结构防火墙服务器工作站台式PC打印机堡垒主机数据包安全区域数据包不准访问除堡垒主机以外的主机只允许外部与堡垒主机通信查找对应的策略Internet网络被屏蔽主机防火墙优缺点：优点：屏蔽路由器可按如下规则之一进行配置：允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。不允许所有来自外部主机的直接连接并强迫内部主机经由堡垒主机使用代理服务。安全性更高，双重保护：该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。（提示：无双宿主安全）缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。屏蔽子网体系结构1屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。屏蔽子网体系结构示意图Internet周边网络内部网络……外部路由器堡垒主机内部路由器×网络流量不能穿越过滤子网流动过滤子网Internet内部网络屏蔽子网体系结构2周边网络是一个防护层，在其上可放置一些堡垒主机、信息服务器、Modem组，以及其它公用服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ中立区）。周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。最简单的屏蔽子网结构有两个屏蔽（包过滤）路由器，一个连接外网与边界网络，另一个连接边界网络与内网。和一个堡垒主机构成。为了攻进内网，入侵者必须通过两个屏蔽路由器。屏蔽子网体系结构3堡垒主机堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。屏蔽子网体系结构4外部路由器（访问路由器）作用：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。内部路由器（阻塞路由器）作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。其它的防火墙结构一个堡垒主机和一个非军事区示意图……DMZ堡垒主机内部网外部路由器Internet其它的防火墙结构两个堡垒主机和两个非军事区外部DMZ外部堡垒主机内部网外部路由器Internet……内部堡垒主机内部DMZ防火墙的关键技术包过滤---根据流经该设备的数据包包头信息，决定是否允许该数据包通过判断依据有：数据包协议类型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1包过滤示例堡垒主机内部网外部网络条件：在上图所示配置中，内部网地址为：192.168.0.0/24，堡垒主机内网卡eth1地址为：192.168.0.1，外网卡eth0地址为：10.11.12.13DNS地址为：10.11.15.4要求：允许内部网所有主机能访问外网、FTP服务，外部网不能访问内部主机包过滤示例Setinternal=192.168.0.0/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$internalacessany防火墙关键技术应用代理服务客户网关服务器1.网关理解应用协议，可以实施更细粒度的访问控制2.对每一类应用，都需要一个专门的代理3.灵活性不够发送请求转发请求请求响应转发响应防火墙关键技术网络地址转换技术（NAT）解决方法：网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。好处：缓解IP地址匮乏问题；对外隐藏了内部主机的IP地址，提高了安全性。网络地址转换技术（NAT）源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.3202.112.108.50源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墙网关NAT技术中将不合法IP转换为合法IP网络地址转换技术（NAT）例子InternetIntranet防火墙路由器10.0.0.1200.0.0.1200.0.0.2200.0.0.1将内部网地址转换成网关地址问题：所有返回数据包目的IP都是200.0.0.1，防火墙如何识别并送回真正主机？方法：1、防火墙记住所有发送包的目的端口；2、防火墙记住所有发送包的TCP序列号防火墙关键技术电路级网关状态包检测技术自适应技术…………关于防火墙技术的一些观点防火墙技术是一项已成熟的技术目前更需要的是提高性能，尤其是将它集成到更大的安全环境中去时当然其他方面的改进也是存在的防火墙新技术问题的提出：传统防火墙结构在其技术原理上对来自内部的安全威胁不具备防范能力，且具有以下不足三高一低）1、高成本2、高管理负担3、高盲点4、低性能自适应的代理服务防火墙它将前几代防火墙的优点合成到一个单一的完整系统中并使它们的弱点缩减到最小。基本的安全检测仍在应用层进行，但一旦安全检测代理明确了会话的所有细节，那么其后的数据包就可以直接经过速度更快的网络层。因此，自适应防火墙基本上和标准代理服务防火墙一样安全，并且比状态包检测有更快的性能。从而使“速度和安全”的折衷处于最佳状态重要提示：防火墙技术领域中，速度与安全是永恒的主题。自适应的代理服务防火墙以安全守卫为例，我们假设张师傅是一个有着十年工作经验的邮递员，每天要送大量的信件给某大厦住户。原来的应用级代理保安每一次都打开邮件检查其是不是本大厦住户的邮件。接着他检查投递名单，并由大厦内可信的邮件分捡员安排投递之前检查张师傅的ID(虽然他认识张师傅多年)。这种方法十分牢靠。但在特定情况下，增加额外时延是不值得的。自适应的代理服务防火墙采用新的自适应代理机制，速度和安全的“粒度”可以由防火墙管理员设置。一旦这样的决定作出后，自适应防火墙管理所有处于这一规则下的连接企图，自动的“适应”传输流以获得与所选择的安全级别相适应的尽可能高的性能。例如，在上述情况下，“自适应代理”守卫也许被告知检查张师傅的ID，检查邮件投递单，检查邮件收件人，接着处理包。但当下一次投递到来时，守卫在整个安全模式下按照策略会简化处理过程，以提高守卫的处理能力。分布式防火墙问题的提出：通常，高安全性的传统防火墙是整个企业网的瓶颈所在。其原因是安全计算过度集中，大量的应用级检测、过滤计算使防火墙的吞吐能力大幅下降，降低了传统防火墙在大型网络中的应用效能。分布式防火墙分布式计算思想分布式概念的引入有效地降低了中心防火墙模块的计算负载，大大缓解了对中心防火墙模块吞吐能力的要求。同时布置在用户端的个人防火墙模块处理原来在传统防火墙中进行的应用级安全处理，提高了新型防火墙的安全处理能力。分布式防火墙示意图其它新技术深度包检测人工智能、模糊—聪明的保镖集成多种功能、各措施联动---IPS（入侵防御系统）(a)在防火墙内部各主机是可信的；(b)防火墙外部每一个访问都是攻击性的，至少是有潜在攻击性的访问网络处理器（NetworkProcessor）和专用集成电路（ASIC）—千兆创建防火墙的步骤成功的创建一个防火墙系统一般需要六步：1、制定安全策略2、搭建安全体系结构3、制定规则次序4、落实规则集5、注意更换控制6、做好审计工作防火墙产品选购一般防火墙产品的选购策略1．防火墙的安全性2．防火墙的高效性3．防火墙的适用性4．防火墙的可管理性5、可升级性如何？6．完善及时的售后服务体系防火墙选购必读第一要素：防火墙的基本功能第二要素：企业的特殊要求网络地址转换功能、虚拟专用网络(VPN)、扫毒功能第三要素：与用户网络结合管理的难易度、自身的安全性、完整的安全检查、结合用户情况……防火墙市场的价格分析问题的引入：清华得实：全民普及-5999暴利？价格战？价格四大阵营：1、国外防火墙厂家：Cisco2、国内的一线厂家：天融信、安氏、联想、东软3、国内二线厂家：方正、亿阳、东方龙马、中网、天网、网威、得实、华依4、国内三线厂家：拥有公安部销售许可证的厂家还有不少防火墙市场的价格分析硬件成本、软件成本、产品化成本、渠道销售成本、售后支持成本、厂家利润、渠道代理利润等只买对的，不买贵的！（按需购买）提示：防火墙：胖瘦总相宜（功能、性能(胖子能跑快吗？）、应用性、稳定性（胖子能跑长吗？）的平衡）下节预告网闸