电子商务安全技术 第08章 防火墙的构造与选择要点

第七章防火墙的构造与选择7.1防火墙概述7.2防火墙的基本体系结构7.3防火墙的选择与实施7.4主要的防火墙产品为什么需要防火墙保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略强化安全策略有效地记录Internet上的活动隔离不同网络限制安全问题扩散构建一个安全策略的检查站7.1防火墙概述防火墙（Firewall）的定义：——防火墙是用来限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。防火墙应具备的条件:内部和外部之间的所有网络数据流必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙——隔离内部网和Internet的有效安全机制外部网络防火墙内部网络防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。服务控制：确定哪些服务可以被访问方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制：根据用户来控制对服务的访问行为控制：控制一个特定的服务的行为防火墙的控制能力定义了一个必经之点挡住未经授权的访问流量实施保护，以避免各种IP欺骗和路由攻击防火墙提供了一个监视各种安全事件的位置，所以，可以在防火墙上实现审计和报警对于有些Internet功能来说，防火墙也可以是一个理想的平台，比如地址转换（NAT），Internet日志，甚至计费功能防火墙的作用互联网X构筑防火墙之前，需要制定一套有效的安全策略防火墙的策略网络服务访问策略一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。防火墙设计策略一切未被允许的就是禁止的——安全性好，但是用户所能使用的服务范围受到严格限制。一切未被禁止的都是允许的——可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。防火墙实施原则最少服务最小特权原则使用多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台内部路由器使用多台外部路由器使用多个周边网络使用双重宿主主机与屏蔽子网包过滤型（PacketFilter）代理服务器型（ProxyService）复合型防火墙（Hybrid）防火墙的基本类型基本思想对于每个进来的包适用一组规则，然后决定转发或丢弃该包包过滤型如何过滤过滤的规则以IP层和运输层的头中的字段为基础过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定：如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略网络层链路层外部网络内部网络包过滤路由器示意图包过滤型判断依据：数据包协议类型：TCP、UDP、ICMP等源IP、目的IP地址源端口、目的端口：FTP、TELNET、HTTP等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等数据包流向：in或out数据包流经网络接口：eth0、eth1包过滤路由器设置实例规则方向源地址目的地址动作A出内部网络202.110.8.0拒绝B入202.110.8.0内部网络拒绝按地址按服务规则方向源地址源端口目的地址目的端口动作注释A入外部*E-MAIL25拒绝不信任B出****允许允许C双向****拒绝默认状态clientserver外部内部往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议，目标端口23源端口1023往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议，源端口23目标端口1023包过滤路由器设置实例从内往外的telnet服务方向包方向源地址目的地址包类型源端口目的端口动作往外外内部外部TCP102323允许往外内外部内部TCP231023允许往内外外部内部TCP102323允许往内内内部外部TCP231023允许针对Telnet服务的防火墙规则包过滤型防火墙的特点优点：逻辑简单，对网络性能的影响较小；与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。缺点：配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解；允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。基本思想代理服务是运行在防火墙主机上的一些特定的应用程序或者服务器程序。这些程序将用户对互联网络的服务请求依据已制定的安全规则向外提交，代理服务替代了用户与互联网络的直接连接。代理服务器也称为应用层网关。代理服务器型应用层网关结构示意图应用层网关的协议栈结构应用层运输层外部网络内部网络链路层网络层HTTPFTPTelnetSmtp代理服务器的特点优点：易于配置，界面友好透明性——“直接”访问Internet的假象不允许内外网主机的直接连接可以实现基于用户的认证可以提供比包过滤更详细的日志记录可以隐藏内部IP地址可以与认证、授权等安全手段方便的集成代理服务器的特点缺点：代理速度比包过滤慢新的服务不能及时地被代理每个被代理的服务要求专门的代理软件有些服务要求建立直接连接，无法使用代理代理服务不能避免协议本身的缺陷7.2防火墙的基本体系结构三种体系结构：双宿主主机结构主机过滤结构子网过滤结构堡垒主机（BastionHost）：指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点。几个相关概念双宿主主机（Dual-homedHost）：至少有两个网络接口的通用计算机系统。DMZ(DemilitarizedZone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网，也称为参数网络。双宿主主机结构——拥有两个或多个连接到不同网络上的网络接口，通常用一台装有两块或多块网卡的堡垒主机做防火墙，分别与受保护网和外部网相连。双宿主主机结构优点：结构简单可以提供很高的网络控制缺点：需要用户认证，使用不方便主机过滤结构——主机过滤结构由包过滤路由器和堡垒主机组成，堡垒主机仅仅与内部网相连。任何外部网的主机都只能与内部网的堡垒主机建立连接，任何外部系统对内部网络的操作都必须经过堡垒主机。主机过滤结构优点：两层保护：包过滤+应用层网关；比单独的包过滤或应用网关代理更安全；可以进行灵活配置。缺点：一旦包过滤路由器被攻破，堡垒主机就可能被越过，使内部网络完全暴露。子网过滤结构——采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区”（DMZ），使得内部网与外部网之间有三层防护。外部接口内部接口DNS/邮件DMZTelnet主机A内防火墙互联网子网过滤结构优点：三层防护，安全性高外部路由器只向Internet暴露子网中的主机内部路由器只向内部网暴露子网中的主机即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护分布式防火墙传统防火墙技术的几个问题–依赖于防火墙一端可信另一端是潜在的敌人–Internet的发展使从外部穿过防火墙访问内部网的需求增加了–一些内部主机需要更多的权限–只依赖于端-端加密并不能完全解决问题–过于依赖物理拓扑结构考虑到下面几个事实–个人防火墙已得到了广泛的应用–操作系统大多已提供了许多在传统意义上还属于防火墙的手段–IPv6以及IPSec技术的发展–防火墙这一概念还不能抛弃分布式防火墙思路–主要防护工作在主机端–打破传统防火墙的物理拓扑结构不单纯依靠物理位置来划分内外–由安全策略来划分内外网具体方法依赖于下面三点–策略描述语言说明什么连接允许什么连接不允许–一系列系统管理工具用于将策略发布到每一主机处以保证机构的安全–IPSec技术及其他高层安全协议7.3防火墙的选择与实施防火墙不能防止内部的攻击；对于绕过防火墙的攻击，它无能为力；防火墙不能防止被病毒感染的程序或者邮件等；作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。防火墙的局限性–不能防范恶意的知情者–不能防范不通过它的连接–不能防范全新的威胁–不能有效地防范数据驱动式的攻击–当使用端-端加密时其作用会受到很大的限制确立网络安全保护策略要保护的内部网的规模内部网的主要用途，用户的结构和需求内部网有无安全级别的要求怎样选择合适的防火墙对防火墙进行评价、分析对防火墙的各种类型的优缺点要有所了解防火墙的稳定性和它所支持平台种类愿意为防火墙投资多少经费本单位的技术力量能否支持维护2006personalfirewallrating2006personalfirewallRating(Cont.)7.4主要的防火墙产品国外：CheckPoint公司防火墙NetScreen公司防火墙三星公司secuiWALL防火墙国内：北京天融信公司系列防火墙