信息安全 第11章防火墙

第11章防火墙主要内容11.1防火墙的原理11.2防火墙的分类11.3防火墙技术11.4防火墙的体系结构11.5防火墙的局限性Internet为什么需要防火墙Internet的开放性导致网络安全威胁无处不在拒绝服务攻击ARP攻击泛滥未授权资源访问非法资源访问各种协议漏洞攻击……没有防火墙的Internet千疮百孔11.1防火墙的原理WillamCheswick和stevenBeellovin：防火墙是位于两个（或多个）网络间，实施网间访问控制的一组组件的集合，它满足以下条件：内部和外部之间的所有网络数据流必须经过防火墙；有符合安全政策的数据流才能通过防火墙；防火墙自身能抗攻击。防火墙可以是在可信任网络和不可信任网络之间的一个缓冲系统，它可以是一台有访问控制策略的路由器，或者一台多个网络接口的计算机、也可以是安装在某台特定机器上的软件。它被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。防火墙内部网络外部网络防火墙的基本功能服务控制：确定哪些服务可以被访问；方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙；用户控制：根据用户来控制对服务的访问；行为控制：控制一个特定的服务的行为。防火墙在网络中的位置防火墙多应用于一个局域网的出口处（如图（a）所示）或置于两个网络中间（如图（b）所示）。防火墙在网络中的位置安全域—为什么需要安全域？传统防火墙通常都基于接口进行策略配置，网络管理员需要为每一个接口配置安全策略。防火墙的端口朝高密度方向发展，基于接口的策略配置方式给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率。教学楼#1教学楼#2教学楼#3服务器群办公楼#1办公楼#2实验楼#1实验楼#2宿舍楼Internet配置维护太复杂了！安全域—什么是安全域？将安全需求相同的接口划分到不同的域，实现策略的分层管理。防火墙TrustUntrustInternet教学楼办公楼实验楼宿舍楼DMZWeb服务器FTP服务器邮件服务器打印服务器配置维护简单多了！1．信赖域和非信赖域2．信赖主机和非信赖主机3、DMZDMZ（Demilitarizedzone）称为“隔离区”或“非军事化区”，它是介于信赖域和非信赖域之间的一个安全区域。Trust安全域—域间策略市场部门129.111.0.0/16防火墙研发部门129.112.0.0/16域间策略SourceZoneDestinationZoneSourceIP/MaskDestinationIP/MaskServiceTimeRangeActionTrustUntrust129.111.0.0/16anyany每周一到周五的8:30到18:00permitTrustUntrustanyanyanyanydenyUntrustDMZanymail.h3c.comMAILanydenyTrustDMZ129.112.0.0/16Trust区域的市场部门员工在上班时间可以访问InternetUntrust区域在任何时候都不允许访问DMZ区域的邮件服务器Trust区域的研发部门员工在任何时候都可以访问DMZ区域的Web服务器使用防火墙后的网络组成防火墙的实施策略一切未被禁止的就是允许的（Yes规则）确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。一切未被允许的就是禁止的（No规则）确定所有可以被提供的服务以及它们的安全性，然后开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。11.2防火墙的分类根据防火墙形式分类根据实现原理分类根据防火墙结构分类按照防火墙应用部署分类根据防火墙形式分类软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持硬件防火墙基于PC架构，运行一些经过裁剪和简化的操作系统，一般至少应具备三个端口芯片级防火墙专有的ASIC芯片，速度更快，处理能力更强，性能更高，专用操作系统，价格相对比较高昂根据实现原理分类包过滤(PacketFiltering)型工作在OSI网络参考模型的网络层和传输层，根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。应用代理(ApplicationProxy)型工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。根据防火墙结构分类单一主机防火墙最为传统的防火墙，独立于其它网络设备，位于网络边界。一般都集成了两个以上的以太网卡，连接一个以上的内、外部网络。路由器集成式防火墙在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙分布式防火墙由多个软、硬件组成的系统。渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡，一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。按照防火墙应用部署分类边界防火墙位于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。一般都是硬件类型个人防火墙安装于单台主机中。应用于广大的个人用户，通常为软件防火墙，价格最便宜，在功能上有很大的限制。混合式防火墙是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。11.3防火墙技术数据包过滤代理服务数据包过滤技术什么是包过滤？包过滤是访问控制技术的一种，对于需要转发的数据包，首先获取包头信息（包括源地址、目的地址、源端口和目的端口等），然后与设定的策略进行比较，根据比较的结果对数据包进行相应的处理（允许通过或直接丢弃）。数据包过滤原理在网络的适当位置，根据系统设置的过滤规则。对数据包实施过滤，只允许满足过滤规则的数据包通过并被转发到目的地，而其他不满足规则的数据包被丢弃。包过滤技术出现了两种不同版本，称为“静态包过滤”和“动态包过滤”。包过滤防火墙工作示意图静态包过滤类型防火墙采用数据包过滤技术根据定义好的过滤规则审查每个数据包，过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。5.应用层4.传输层3.网络层2.数据链路层1.物理层输入数据流输出数据流TCP/IP协议模型IP过滤、端口过滤包过滤防火墙规则示例组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.120*TCP3禁止*10.1.1.1201024TCP1：内部主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。2：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。3：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过（与1、2作为系列规则时该规则无效）。状态监测防火墙静态包过滤最明显的缺陷是，为了实现期望的通信，它必须保持一些端口永久开放，这就为潜在的攻击提供了机会。为了克服这个弱点，发展出了动态包过滤技术，它根据数据包的头信息打开或关闭端口。5.应用层4.传输层3.网络层2.数据链路层1.物理层输入数据流输出数据流TCP/IP协议模型IP过滤、端口过滤连接状态表状态检测防火墙的工作示意图包过滤防火墙的优缺点优点：性能优于其他防火墙，因为它执行的计算较少，并且容易用硬件方式实现；规则设置简单，通过禁止内部计算机和特定Internet资源连接，单一规则即可保护整个网络；不需要对客户端计算机进行专门配置；通过NAT（网络地址转换），可以对外部用户屏蔽内部IP缺点：无法识别协议层次，也无法对协议子集进行约束，甚至最基本的服务，如ftp中的put和get命令也无法识别；处理包内信息的能力有限，通常不能提供其他附加服务；一般无法约束由内部主机到防火墙服务器上的信息，只能控制哪些信息可以通过，从而入侵者可能访问到防火墙主机的服务，带来安全隐患；由于对众多网络服务的支持所造成的复杂性，很难对规则有效性进行测试。NAT—为什么需要NAT？NAT（NetworkAddressingTranslation：网络地址转换）问题如何应对IPv4地址日益短缺的问题？如何有效隐藏私网内部结构？解决之道NATNAT—基本原理和实现方式基本原理仅在私网主机需要访问Internet时才会分配到合法的公网地址，而在内部互联时则使用私网地址。当访问Internet的报文经过防火墙时，会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录；之后，当报文从Internet侧返回时，防火墙查询原有的记录，将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机。NAT—基本NAT方式10.1.1.200211.100.7.38NAT地址池162.15.18.65162.15.18.66162.15.18.67……NAT转换表项方向NAT转换前NAT转换后Outbound10.1.1.200162.15.18.65Inbound162.15.18.6510.1.1.200防火墙1、只转换IP地址，对TCP/UDP协议端口号不做处理。2、一个公网IP地址不能同时被多个用户使用。!源10.1.1.200目的10.1.1.200源162.15.18.65目的162.15.18.65内网主机外网服务器代理服务技术代理服务原理代理服务是在防火墙主机上运行的专门的应用程序或服务器程序，这些程序根据安全策略处理用户对网络服务的请求，代理服务位于内部网和外部网之间，处理其间的通信以代替互相的直接通信。服务器端代理服务器客户端代理客户机代理防火墙代理防火墙代理防火墙的工作原理代理防火墙具有传统的代理服务器和防火墙的双重功能。如图所示，代理服务器位于客户机与服务器代理防火墙的工作示意图之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器仅是一台客户机。应用网关(ApplicationGateway)型防火墙一般被配置为双宿主网关，具有两个网络接口卡，跨接内部网和外部网。缺点：速度相对比较慢优点：安全性高5.应用层4.TCP层3.IP层2.数据链路层1.物理层输入数据流输出数据流TCP/IP协议模型FTP代理Telnet代理Email代理电路级网关防火墙电路级网关是一个通用代理服务器，通常可以认为它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层电路级网关的实现典型是Socks5协议，支持多种认证方式。5.应用层4.TCP层3.IP层2.数据链路层1.物理层输入数据流输出数据流TCP/IP协议模型建立虚电路11.4防火墙的体系结构堡垒主机（BastionHost）物理内部网中唯一可供外界访问到的主机，它通常配置了严格的安全防范措施，堡垒主机为内部网和外部网之间的通信提供一个阻塞点。DMZ指供外部网访问的专门区域，用于发布信息、提供服务。通常情况下，外部网和内部网都可以访问这一区域。防火墙的体系结构一般有双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。双重宿主主机体系结构IP数据包从一个网络（例如Internet）并不是