565-第7章 防火墙及其应用

2/28/20201第7章防火墙及其应用本章学习重点掌握内容：防火墙功能防火墙核心技术防火墙体系结构之国颗秽再这刻休妻和劣邻铰鞍寨慕碴诧叔打炔刹周肿阻颁邢股疼桑凯顽565-第7章防火墙及其应用565-第7章防火墙及其应用2/28/20202第7章防火墙及其应用7.1防火墙概述7.2防火墙技术与分类7.3防火墙体系结构7.4防火墙安全规则7.5防火墙应用耻少例纂排夜臃赦咳董惦米袍丹敞梦刘忱懊贰巡飞牲磐佐甥仲冉单碴淫吞565-第7章防火墙及其应用565-第7章防火墙及其应用2/28/202037.1防火墙概述7.1.1防火墙概念与发展历程1.防火墙概念防火墙是指设置在不同网络之间，例如可信任的内部网和不可信的公共网，或者不同网络安全域之间的软硬件系统组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来保护企业内部网络的安全。外部网络防火墙受保护网络阅玄毒刷拱贱圈罩侈舶裂硼浑符计遏铃墓对歼管屉晦泰次顺幼迸邀堂靛损565-第7章防火墙及其应用565-第7章防火墙及其应用2.防火墙的发展第一代防火墙：第一代防火墙技术几乎与路由器同时出现，主要基于包过滤技术（PacketFilter），是依附于路由器的包过滤功能实现的防火墙。第二代防火墙：1989年，贝尔实验室的DavePresotto和HowardTrickey最早推出了第二代防火墙，即电路层防火墙。第三代防火墙：到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）。第四代防火墙：到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（DynamicPacketFilter）技术的的第四代防火墙。第五代防火墙：到了1998年，NAI公司推出了一种自适应代理（AdaptiveProxy）技术，可以称之为第五代防火墙。旷旋郭硕寺神柱笼撞赴愧晴雨砒欧谱出旗堪哆奠卜搪负涕晚鼎耗讥乘黎耸565-第7章防火墙及其应用565-第7章防火墙及其应用3.防火墙的发展趋势高安全性和高效率对数据包的全方位检查分布式防火墙技术建立与部署适用于IPV6协议下的防火墙体系架构膝膝据蕊痹辟至币聘歌逆愧沙目蹭好篡赁潜鸳遏馅斑龙罢影砒咋设啦祷尉565-第7章防火墙及其应用565-第7章防火墙及其应用2/28/202067.1.2防火墙的功能对防火墙有两个基本需求：一是保证内部网的安全性；二是保证内部网与外部网之间的连通性。（1）过滤不安全数据和非法用户。（2）报警与审计。（3）透明代理。（4）抗攻击能力。（5）VPN功能。（6）路由管理。叭捏培烙狡噪绣欺畅扬铁膀谁莱漾乓镇向殿剖帛椅识谦扩护域郸垒放捍膛565-第7章防火墙及其应用565-第7章防火墙及其应用2/28/202077.1.3防火墙局限性7.1.3防火墙局限性1.对某些正常服务的限制2.无法抵御来自内网的威胁3.无法阻挡旁路攻击及潜在后门4.无法控制对病毒文件的传输5.内网瓶颈问题遗银肘霉那握骋柑萍襄诵扫弯孪杀厄撂珊哭躲娶耐簇煮零邀例塘完付过嚷565-第7章防火墙及其应用565-第7章防火墙及其应用2/28/202087.2防火墙技术与分类7.2.1包过滤防火墙技术1.简单包过滤技术2.状态检测包过滤技术7.2.2代理服务防火墙技术1.电路级网关2.应用级网关3.自适应代理辊篡峪初胆催装篆沃缠酱了渭咆馒论刊钩吕淄腮牙谣阶笑逻葬埃罗亿老脸565-第7章防火墙及其应用565-第7章防火墙及其应用7.2.1包过滤防火墙技术包过滤(PacketFilter)是所有防火墙中最核心的功能，与代理服务器技术相比，其优势是传输信息时不占用网络带宽。包过滤路由器在网络上的物理位置和逻辑位置如图7-2和图7-3所示。包过滤型防火墙根据一组过滤规则集合，逐个检查IP数据包，确定是否允许该数据包通过。互联网服务器内部网络包过滤路由器图7-2包过滤路由器的物理位置秽美云峙警芹猪坐卧佳雪胁似邦武蒸低祭订操刃衅骄愁紊镭指么揖尚凯溶565-第7章防火墙及其应用565-第7章防火墙及其应用图7-3包过滤路由器的逻辑位置过滤规则处理内部网络应用层会话层表示层传输层网络层链路层物理层外部网络搞孟棉朽娩钥蝗衙汲怖剂蒸转埋猎肝颖钝奄吉孺撤蒋帐禄覆不襟腺呐氟国565-第7章防火墙及其应用565-第7章防火墙及其应用两类包过滤防火墙技术包过滤防火墙技术根据所使用的过滤方法又具体可分为：简单包过滤技术和状态检测包过滤技术。1.简单包过滤技术也称作称静态包过滤。简单包过滤防火墙在检查数据包报头时，只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信息，并根据检查结果允许或者拒绝数据包，并不关心服务器和客户机之间的连接状态。蒙联沟赔愈陶贯棚筏刊饯镭鸭训厨赃漠亡填贩托极崎嫂侧腐屁人梆胡揪鳃565-第7章防火墙及其应用565-第7章防火墙及其应用2.状态检测包过滤技术也称动态包过滤，是包过滤器和应用级网关的一种折衷方案。该技术具有包过滤机制的高速和灵活性，也有应用级网关的应用层安全的优点。状态检测包过滤防火墙除了有一个过滤规则集外，还要跟踪通过自身的每一个连接，提取有关的通信和应用程序的状态信息，构成当前连接的状态列表。饱勃哲戳旬里图报疏渡涕瓷偶玉品疑月逞桃瞪乞既赎啼斜悔侗购舟妻凸钨565-第7章防火墙及其应用565-第7章防火墙及其应用7.2.2代理服务防火墙技术代理服务（ProxyService）是指运行于内部网络与外网之间的主机(堡垒主机)上的一种应用。当用户需要访问代理服务器另一侧主机时，代理服务器对于符合安全规则的连接，会代替主机响应访问请求，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序的相应连接映射来实现。代理既是客户端（Client），也是服务器端（Server）。代理服务防火墙的工作原理如图7-4。糊阅秆经儒玉箩午票逼崭诲淀譬窒碳炽滇衣慕携吧荒泻翌吃改盛滩骨趾帆565-第7章防火墙及其应用565-第7章防火墙及其应用图7-4应用代理防火墙的原理图服务器外部网络应用代理防火墙客户机内部网络设置规则代理服务器端代理客户端请求转发请求转发响应响应柏午浓哟隋请桂羚凹宫蜡层爆总穿驹瞩冷圈烷阵蚁序橡蜗擂宝舔磨糖吹醋565-第7章防火墙及其应用565-第7章防火墙及其应用代理服务防火墙主要包含以下三类：1.电路级网关也称线路级网关，工作在会话层，在两主机首次建立TCP连接时建立通信屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则扮演客户机角色、起到代理服务的作用。它监视两主机建立连接时的握手信息，如SYN，ACK和序列数据等是否合乎逻辑，然后由网关复制、传递数据，而不进行数据包过滤。电路级网关中特殊的客户程序只在初次连接时进行安全协商控制，此后则不再参与内外网之间的通信控制。浚辛龄爹铺费恢员江在蒜啮酚氛揪叔霞撮采坤咎持映曲狄阐枷余孽饿胖歉565-第7章防火墙及其应用565-第7章防火墙及其应用2.应用级网关应用级网关使用软件来转发和过滤特定的应用服务，如TELNET，FTP服务等。这也是一种代理服务，只允许被认为是可信的服务通过防火墙。此外，代理服务也可以过滤协议，如过滤FTP连接、拒绝使用FTP命令等。纤威颅戴腕苟鳃炳址李广阑渴函合碾茵稳磷芒喇谷惯舱冶栈惰砖碧娶尹识565-第7章防火墙及其应用565-第7章防火墙及其应用3.自适应代理自适应代理(AdaptiveProxy)技术结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点。组成自适应代理防火墙的基本要素有两个：自适应代理服务器(AdaptiveProxyServer)与动态包过滤器。在自适应代理防火墙中，初始的安全检查仍在应用层中进行，保证实现传统防火墙的最大安全性。而一旦可信任身份得到认证，建立了安全通道，随后的数据包就可以重新定向到网络层。这种技术能够在确保安全性的基础上提高代理服务器防火墙的性能。咎捐汾拍推联漫卞俱哗频色燕傀滋渡芒碴季抗芍喷紧桑莉莎酥睡懈孕冈抗565-第7章防火墙及其应用565-第7章防火墙及其应用2/28/2020187.2.3防火墙常见分类7.2.3防火墙常见分类1.按照实现方法分类（1）软件防火墙运行于特定的计算机上，一般来说这台计算机就是整个网络的网关。（2）硬件防火墙由计算机硬件、通用操作系统和防火墙软件组成。（3）专用防火墙采用特别优化设计的硬件体系结构，使用专用的操作系统。认猴臻嗜钦寂精肉怔掀蚂蹄荡晚履船能搪闲桑骏趁拒柿脖仕胎挽险啼彬执565-第7章防火墙及其应用565-第7章防火墙及其应用2.按照体系结构分类（1）个人防火墙安装在计算机系统里的软件防火墙，该软件检查到达防火墙两端的所有数据包，无论是进入还是发出，从而决定该拦截数据包还是允许其通过。（2）分布式防火墙分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安全防护。分布式防火墙是一个完整的系统，而不是单一的产品。哈人展力剑曼唆晰裁偏瑶析锦芝矿报坊牧罕嘲霖修粹馒名琉坠栏广触荒侍565-第7章防火墙及其应用565-第7章防火墙及其应用2/28/2020207.3防火墙体系结构目前，防火墙的体系结构，一般主要有以下几种7.3.1双宿主主机结构7.3.2屏蔽主机结构7.3.3屏蔽子网结构鲁渔糠允奸叭屠叫破渭梯浪喻贫绪紫瞅园析猪憾爹笨乘赋盾脆撵仙烟蒜赡565-第7章防火墙及其应用565-第7章防火墙及其应用7.3.1双宿主主机结构双宿主主机防火墙体系结构是围绕着至少具有两个网络接口、带有两块网卡的堡垒主机构成，主机上的两块网卡分别与外部网以及内部受保护网相连。堡垒主机上运行防火墙软件，可以转发数据，提供服务等，这种主机可以充当与其接口相连的网络之间的路由器，它能够从一个网络到另一个网络发送IP数据包。茁掀咳梭磺矢珐宪粒粕脸出腋凑菠姚彰隋渊痞恢浦缺伯晕裙蟹标霍努棘懈565-第7章防火墙及其应用565-第7章防火墙及其应用图7-5双宿主主机结构Internet外部网络防火墙内部网络堡垒主机炮柬困土眯雕梢监符勺蕾光锦立湃桶慰炳腋宛魏辖潮佃球樟梅样拒醚茹啸565-第7章防火墙及其应用565-第7章防火墙及其应用7.3.2屏蔽主机结构双宿主主机防火墙是由一台同时连接在内外部网络的堡垒主机来提供安全保障，而屏蔽主机结构中提供安全保护的主机仅仅与内部网相连。此外还有一台单独的包过滤路由器，它的作用是避免用户直接与内部网络相连。屏蔽主机结构如图7-6所示。锡淳镁续轨挟轩券吾吝闷诵茅榷未工伶奴诧汉薄脆泪瓷笨硒化泼毁亚速叮565-第7章防火墙及其应用565-第7章防火墙及其应用图7-6屏蔽主机结构Internet外部网络路由器内部网络防火墙堡垒主机脐栓肯橱蜡任弧畴殖肥良渭恫刑榜撬穴窜抓庇桂默农郴模料垮腔捌源僳灾565-第7章防火墙及其应用565-第7章防火墙及其应用7.3.3屏蔽子网结构在屏蔽子网结构中，有二台与边界网络直接相连的过滤路由器，一台位于边界网络与外部网之间，我们称之为外部路由器；另一台位于边界网络与内部网络之间，我们称之为内部路由器；在这种结构下，黑客要攻击到内部网必须通过二台路由器的安全控制，即使入侵者通过了堡垒主机，他还必须通过内部路由器才能抵达内部网。瓢纱运绪哆纲陷桐从贮扩鲍妙蓉殿屹争颇硫喀挂芥凝呐薯串戍段匆台汛慰565-第7章防火墙及其应用565-第7章防火墙及其应用图7-7屏蔽子网结构Internet外部网络外部路由器内部网络外部防火墙堡垒主机内部路由器DMZ内部防火墙SMTP服务器Web服务器边界网络腺孙趁煞鄂王途茄级绽啼正惜忽导涪微睁歼换厄族饭晚沾污荷权殊雹村绸565-第7章防火墙及其应用565-第7章防火墙及其应用2/28/2020277.4防火墙安全规则通常情况下，网络管理员在防火墙设备的访问控制列表ACL（AccessControlList）中设定包过滤规则，以此来表明是否允许或者拒绝数据包通过。包过滤防火墙检查数据流中每个数据包的报头信息，例如源地址、目标地址、协议类型、协议标志