网络安全课件第5章 防火墙工作原理及应用

1第五章防火墙工作原理及应用25.1防火墙概念与分类5.1.1防火墙简介5.1.2包过滤防火墙5.1.3代理服务防火墙5.1.4复合防火墙5.1.5个人防火墙第五章防火墙工作原理及应用35.2防火墙体系结构5.2.1.堡垒主机5.2.2.非军事区5.2.3.屏蔽路由器5.2.4双宿主主机体系结构5.2.5主机过滤体系结构5.2.6子网过滤体系结构5.2.7组合体系结构第五章防火墙工作原理及应用（续）45.3防火墙选型与产品简介5.3.1防火墙的局限性5.3.2开发防火墙安全策略5.3.3防火墙选型原则5.3.4典型防火墙简介第五章防火墙工作原理及应用（续）5第五章防火墙工作原理及应用当网络涉及不同的信任级别时（例如内部网、Internet或者网络划分），要保证安全必须安装控制设备。此类控制设备几乎总是某种形式的防火墙。防火墙允许授权的数据通过，而拒绝未经授权的数据通信，并记录访问报告等。由于使用防火墙能增强内部网络的安全性，因此防火墙技术的研究已经成为网络信息安全技术的主导研究方向。本章将介绍防火墙的基本功能、工作原理、分类、体系结构、局限性以及典型防火墙产品。65.1防火墙概念与分类网络防火墙是隔离内部网与Internet之间的一道防御系统，这里有一个门，允许人们在内部网和开放的Internet之间通信。访问者必须首先穿越防火墙的安全防线，才能接触目标计算机，网络防火墙如图8.1所示。7图5.1网络防火墙Internet内部网防火墙路由器85.1.1防火墙简介•在没有防火墙时，局域网内部的每个节点都暴露给Internet上的其它主机，此时内部网的安全性要由每个节点的坚固程度来决定，且安全性等同于其中最薄弱的节点。使用防火墙后，防火墙会将内部网的安全性统一到它自身，网络安全性在防火墙系统上得到加固，而不是分布在内部网的所有节点上。•防火墙把内部网与Internet隔离，仅让安全、核准了的信息进入，而阻止对内部网构成威胁的数据，它防止黑客更改、拷贝、毁坏重要信息；同时又不会妨碍人们对Internet的访问。9根据安全策略，从Intranet到Internet的流量以及响应的返回流量允许通过防火墙。根据安全策略，从Internet到Intranet的流量受到阻塞根据安全策略，从Internet来的特殊类型的流量可能被允许到达Intranet图5.2防火墙的工作原理服务器内部网Internet10防火墙的基本功能•作为一个中心“遏制点”，将内部网的安全管理集中起来，所有的通信都经过防火墙；•只放行经过授权的网络流量，屏蔽非法请求，防止越权访问,并产生安全报警；•能经受得起对其自身的攻击。11防火墙能为管理人员提供对下列问题的答案：•什么人在使用网络?•他们什么时间，使用了什么网络资源?•他们连接了什么站点?•他们在网上做什么?•谁要上网,但是没有成功?防火墙的基本功能（续）12防火墙工作在OSI参考模型上OSI参考模型防火墙技术应用层应用级网关表示层加密会话层电路级网关传输层包过滤网络层NAT数据链路层无物理层无13防火墙的发展史•第一代防火墙技术由附加在边界路由器上的访问控制表ACL(AccessControlTable)构成，采用了包过滤技术。•第二代代理防火墙即电路层网关和应用层网关。•1994年，以色列的CheckPoint公司开发出了第一个基于动态包过滤技术的防火墙产品。•1998年，美国的网络联盟公司NAI(NetworkAssociatesInc.)又推出了一种自适应代理技术。14防火墙的两大分类尽管防火墙的发展经过了将近20年，但是按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙。前者以Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以NAI公司的Gauntlet防火墙为代表，表5.2为防火墙两大体系性能的比较。15防火墙两大体系性能的比较包过滤防火墙代理防火墙优点1、工作在IP和TCP层，所以处理包的速度快，效率高；2、提供透明的服务，用户不用改变客户端程序1、不允许数据包直接通过防火墙，避免了数据驱动式攻击的发生，安全性好;2、能生成各项记录。能灵活、完全地控制进出的流量和内容；3、能过滤数据内容。16防火墙两大体系性能的比较（续）包过滤防火墙代理防火墙缺点1、定义复杂，容易出现因配置不当带来的问题；2、允许数据包直接通过，容易造成数据驱动式攻击的潜在危险;3、不能彻底防止地址欺骗；4、包中只有来自哪台机器的信息不包含来自哪个用户的信息；不支持用户认证；不提供日志功能。1、对于每项服务代理可能要求不同的服务器；2、速度较慢；3、对用户不透明，用户需要改变客户端程序；4、不能保证免受所有协议弱点的限制；5、不能改进底层协议的安全性。17防火墙的组成防火墙既可以是一台路由器、一台PC或者一台主机，也可以是由多台主机构成的体系。应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界，本地网络通过输入点和输出点与其它网络相连，这些连接点都应该装有防火墙。在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护。18Internet内部网分支机构或合作伙伴的网络VPN连接图5.3防火墙放置的位置19防火墙放置的位置（续）图5.3续20防火墙的分类防火墙有很多种分类方法：•根据采用的技术不同，可分为包过滤防火墙和代理服务防火墙；•按照应用对象的不同，可分为企业级防火墙与个人防火墙；•依据实现的方法不同，又可分为软件防火墙、硬件防火墙和专用防火墙。21软件防火墙防火墙运行于特定的计算机上，一般来说这台计算机就是整个网络的网关。软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网络管理人员对所工作的操作系统平台比较熟悉。22硬件防火墙由PC硬件、通用操作系统和防火墙软件组成。在定制的PC硬件上，采用通用PC系统、Flash盘、网卡组成的硬件平台上运行Linux、FreeBSD、Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。特点是开发成本低、性能实用、稳定性和扩展性较好，价格也低廉。由于此类防火墙依赖操作系统内核，因此会受到操作系统本身安全性影响，处理速度也慢。23专用防火墙采用特别优化设计的硬件体系结构，使用专用的操作系统，此类防火墙在稳定性和传输性能方面有着得天独厚的优势，速度快，处理能力强，性能高。由于使用专用操作系统，容易配置和管理，本身漏洞也比较少，但是扩展能力有限，价格也较高。由于专用防火墙系列化程度好，用户可根据应用环境选择合适的产品。245.1.2包过滤防火墙•包过滤(PacketFilter)是所有防火墙中最核心的功能，进行包过滤的标准是根据安全策略制定的。通常情况下靠网络管理员在防火墙设备的ACL中设定。与代理服务器相比，它的优势是不占用网络带宽来传输信息。•包过滤规则一般存放于路由器的ACL中。在ACL中定义了各种规则来表明是否同意或拒绝数据包的通过。•如果没有一条规则能匹配，防火墙就会使用默认规则，一般情况下，默认规则要求防火墙丢弃该包。包过滤的核心是安全策略即包过滤算法的设计。25帧头（例如HDLC)数据包（IP头部）段（例如TCP头部）数据帧尾目的端口号源端口号目的IP地址源IP地址封装协议用ACL规则测试数据包拒绝，丢弃允许通过图5.4ACL对数据包的过滤26NoYesNo数据包到达防火墙接口与第一条匹配吗？接口上有ACL吗？Yes列表中的下一条目还有更多的条目吗？Yes应用条件拒绝允许转发给接口NoICMP消息图5.5ACL处理入数据包的过程27无状态包过滤防火墙无状态包过滤也叫静态包过滤或者无检查包过滤。防火墙在检查数据包报头时，不关心服务器和客户机之间的连接状态，只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信息来允许或者拒绝数据包。28网络层链路层物理层传输层Internet内部网图5.6无状态包过滤防火墙的执行29无状态包过滤防火墙的优缺点•无状态包过滤防火墙最大的好处是速度快、效率高，对流量的管理较出色；由于所有的通信必须通过防火墙，所以绕过是困难的；同时对用户和应用是透明的。•无状态包过滤防火墙的缺点也很明显：它允许外部网络直接连接到内部网络主机；只要数据包符合ACL规则都可以通过，因此它不能区分包的“好”与“坏”；它不能识别IP欺诈。它也不支持用户身份认证，不提供日志功能；虽然可以过滤端口，但是不能过滤服务。30IP欺骗•当外部主机伪装内部主机的IP地址时，防火墙能够阻止这种类型的IP欺骗。•但是当外部主机伪装成可信任的外部主机的IP地址时，防火墙却不能阻止它们。•由于无状态包过滤防火墙不能为挂起的通信维持一个记录，所以它就必须根据数据包的格式来判断该数据包是否属于先前所允许的对话。这就使其有受到IP欺诈的可能性，并且无法识别UDP数据包和ICMP包的状态。31无法过滤服务•对于一些比较新的多媒体应用在会话开始之前端口号是未知的。•例如，Web服务器默认端口为80，而计算机上又安装了RealPlayer，那么它会搜寻可以允许连接到RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口而搜寻的。就这样无意中，RealPlayer就利用了Web服务器的端口。32有状态包过滤防火墙有状态包过滤也叫状态包检查SPI（State-fulPacketInspection）或者动态包过滤（Dynamicpacketfilter），后来发展成为包状态监测技术，它是包过滤器和应用级网关的一种折衷方案。具有包过滤机制的速度和灵活，也有应用级网关的应用层安全的优点。33SPI防火墙采用SPI技术的防火墙除了有一个过滤规则集外，还要对通过它的每一个连接都进行跟踪，汲取相关的通信和应用程序的状态信息，形成一个当前连接的状态列表。列表中至少包括源和目的IP地址、源和目的端口号、TCP序列号信息，以及与那个特定会话相关的每条TCP/UDP连接的附加标记。当一个会话经过防火墙时，SPI防火墙把数据包与状态表、规则集进行对比，只允许与状态表和规则集匹配的项通过。34SPI防火墙（续）•在维护了一张状态表后，防火墙就可以利用更多的信息来决定是否允许数据包通过，大大降低了把数据包伪装成一个正在使用的连接的一部分的可能性。•SPI防火墙能够对特定类型数据包的数据进行检测。如运行FTP协议的服务器和客户端程序有许多漏洞，其中一部分漏洞来源于不正确的请求或者不正确的命令。•SPI防火墙不行使代理功能，即不在源主机和目的之间建立中转连接；也不提供与应用层网关相同程度的保护，而是仅在数据包的数据部分查找特定的字符串。35规则集是否允许数据包的内容通过？数据包到达防火墙接口YesNo丢弃数据包更新对话表作日志记录给源主机发送ICMP消息NoNo数据包是否属于一个已存在的连接？建立连接项数据包的内容是否符合规则集？Yes将数据包转发给接口更新对话表作日志记录Yes图5.7SPI防火墙的处理过程36举例例1：主机A试图访问，它必须通过路由器，而该路由器被配置成SPI防火墙，下面是主机A发出连接请求的工作过程，见图5.8。1）A发出连接请求到；2）请求到达路由器，路由器检查状态表；3）如果有连接存在，且状态表正常，允许数据包通过；4）如果无连接存在，创建状态项,将请求与防火墙规则集进行比较；5）如果规则允许内部主机可以访问TCP/80。则允许数据包通过；6）数据包被Web服务器接收；7）SYN/ACK信息回到路由器，路由器检查状态表；8）状态表正确，允许数据包通过，数据包到达最先发出请求的计算机；9）如果规则不允许内部主机访问TCP/80。则禁止数据包通过，路由器发送ICMP消息。37以太网步骤(1)步骤(8)步骤（3）步骤（2）步骤（4）步骤（6）步骤（5）步骤（7）步骤（9）Internet图5.8主机A发出连接请求通过