07第七章 防火墙技术与应用

第七章防火墙技术与应用7.1防火墙概述防火墙如果从实现方式上来分，又分为硬件防火墙和软件防火墙两类，我们通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙是通过纯软件的方式来实现，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。防火墙是加强Internet和Intranet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。防火墙可以确定哪些内部服务允许外部访问，哪些外部服务可以由内部人员访问，可以用来控制网络内外的信息交流，提供接入控制和审查跟踪。为了发挥防火墙的作用，来自和发往Internet的所有信息必须经由防火墙出入，防火墙禁止Internet中未经授权的用户入侵，由它保护的计算机系统，它只允许授权信息通过，自身则不能被渗透。7.1防火墙概述7.1.1防火墙概念设计防火墙的目的就是不要让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络，如LAN或WAN，而仍能允许本地网络上的你以及其他用户访问因特网服务。7.1防火墙概述大多数防火墙就是一些路由器，它们根据数据报的源地址、目的地址、更高级的协议，或根据由专用网络安全管理员制定的标准，或安全策略，过滤进入网络的数据报。7.1防火墙概述许多复杂的防火墙使用了代理服务器，也称作堡垒主机，可以防止内部用户直接访问因特网服务，其作用就像一个代理，过滤掉未授权的要进入因特网的流量。7.1防火墙概述7.1.2防火墙的功能特点防火墙的发展简史•第一代防火墙：第一代防火墙技术几乎与路由器同时出现，采用了包过滤(PacketFilter)技术。•第二、三代防火墙：1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。•第四代防火墙：1992年，USC信息科学院的BobBraden开发出了基于动态包过滤(DynamicPacketFilter)技术的第四代防火墙，后来演变为目前所说的状态监视(StateFulinspection)技术。•第五代防火墙：t998年，NAI公司推出了—种自适应代理(AdaptiveProxy)技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。7.1防火墙概述7.1防火墙概述防火墙的功能通常应用防火墙的目的有以下几个方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近用户的防御设施；限定人们访问特殊站点；为监视局域网安全提供方便。•防火墙是网络安全的屏障•防火墙可以强化网络安全策略•对网络存取和访问进行监控审计•防止内部信息的外泄7.1防火墙概述防火墙的必要性•随着世界各国信息基础设施的逐渐形成，Internet已经成为信息化社会发展的重要保证。许多重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。•难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。•网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化。7.1防火墙概述防火墙的未来发展趋势•优良的性能•可扩展的结构和功能•简化的安装与管理•主动过滤•防病毒与防黑客未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全这五者综合应用。此外，网络的防火墙产品还将把网络前沿技术，如Web页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。7.1防火墙概述7.1.3防火墙的安全性设计防火墙的基本准则•一切未被允许的就是禁止的•一切未被禁止的就是允许的防火墙的缺陷•防火墙不能防范不经由防火墙的攻击•防火墙不能防止感染了病毒的软件或文件的传输，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。这只能在每台主机上装反病毒软件。•防火墙不能防止数据驱动式攻击。7.2防火墙的体系结构7.2.1防火墙系统的基本组件屏蔽路由器（ScreeningRouter）7.2防火墙的体系结构这种配置的缺点在于：•没有或有很少的日志记录能力，因此网络管理员很难确定系统是否正在被入侵或已经被入侵了，一旦被攻陷后很难发现，而且不能识别不同的用户。•规则表随着应用的深化会很快变得很大而且复杂。•这种防火培的最大弱点是依靠一个单一的部件来保护系统，一旦部件出现问题，会使网络的大门敞开，而用户可能还不知道。7.2防火墙的体系结构双目主机网关（DualHomedGateway）7.2防火墙的体系结构•双目主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。•双目主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。7.2防火墙的体系结构应用网关（ApplicationGateway）应用网关是在一台双目主机上的运行应用网关代理服务器程序。7.2防火墙的体系结构应用网关的体系结构，它是建立在应用层上的具有协议过滤和转发功能的一种防火墙。7.2防火墙的体系结构7.2.2防火墙系统结构双目主机结构7.2防火墙的体系结构屏蔽主机结构7.2防火墙的体系结构屏蔽主机结构防火墙系统7.2防火墙的体系结构屏蔽主机防火墙体系结构7.2防火墙的体系结构屏蔽子网结构7.2防火墙的体系结构被屏蔽子网图7-14屏蔽子网模式7.3防火墙的类型7.3.1概述数据包过滤防火墙应用级网关状态监视器7.3防火墙的类型7.3.2包过滤防火墙数据包过滤(PacketFiltering)技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择地控制与操作。包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤(通常是对从Internet进入到内部网络的包进行过滤)。选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)或规则表。包过滤操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。7.3防火墙的类型数据包过滤技术的发展•静态包过滤图7－16•动态包过滤图7－17包过滤的优点•不用改动应用程序•一个过滤路由器能协助保护整个网络•数据包过滤对用户透明•过滤路由器速度快、效率高图7-17动态包过滤防火墙图7-16静态包过滤防火墙7.3防火墙的类型包过滤的缺点•不能彻底防止地址欺骗•一些应用协议不适合于数据包过滤•正常的数据包过滤路由器无法执行某些安全策略•安全性较差•数据包工具存在很多局限性7.3防火墙的类型7.3.3代理防火墙代理防火墙(Proxy)是一种较新型的防火墙技术，它分为应用层网关和电路层网关。代理防火墙的原理所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。7.3防火墙的类型应用层网关型防火墙•原理应用层网关(ApplicationLevelGateways)防火墙是传统代理型防火墙，它的核心技术就是代理服务器技术，它是基于软件的，通常安装在专用工作站系统上。这种防火墙通过代理技术参与到一个TCP连接的全过程，并在网络应用层上建立协议过滤和转发功能，所以叫做应用层网关。当某用户(不管是远程的还是本地的)想和一个运行代理的网络建立联系时，此代理(应用层网关)会阻塞这个连接，然后在过滤的同时，对数据包进行必要的分析、登记和统计，形成检查报告。如果此连接请求符合预定的安全策略或规则，代理防火墙便会在用户和服务器之间建立一个“桥”，从而保证其通讯。对不符合预定的安全规则的，则阻塞或抛弃。换句J话说，“桥”上设置了很多控制。7.3防火墙的类型图7-18代理的工作方式图7-19应用层网关防火墙7.3防火墙的类型•优点：应用层网关防火墙最突出的优点就是安全，这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。•缺点代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，(比如要求达到75M~100Mbps时)代理防火墙就会成为内外网络之间的瓶颈，所幸的是，目前用户接入Internet的速度一般都远低于这个数字。7.3防火墙的类型电路层网关防火墙电路层网关是建立应用层网关的一个更加灵活方法。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，一般采用自适应代理技术，也称为自适应代理防火墙。组成要素有两个：自适应代理服务器(AdaptiveProxySever)与动态包过滤器(DynamicPacketFilter)。7.3防火墙的类型图7-21电路层网关防火墙7.3防火墙的类型代理技术的优点•代理易于配置•代理能生成各项记录•代理能灵活、完全地控制进出流星、内容•代理能过滤数据内容•代理能为用户提供透明的加密机制•代理可以方便地与其他安全手段集成7.3防火墙的类型代理技术的缺点•代理速度较路由器慢•代理对用户不透明•对于每项服务代理可能要求不同的服务器，可能需要为每项协议设置一个不同的代理服务器，因为代理服务器不得不理解协议以便判断什么是允许的和不允许的，并是还装扮一个对真实服务器来说是客户、对代理客户来说是服务器的角色•代理服务不能保证免受所有协议弱点的限制•代理不能改进底层协议的安全性7.3防火墙的类型7.3.4两种防火墙技术的对比包过滤防火墙代理防火墙优点价格较低内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理性能开销小，处理速度较快安全，不允许数据包通过防火墙，避免了数据驱动式攻击的发生缺点定义复杂，容易出现因配置不当带来的问题速度较慢，不太适用于高速网(ATM或千兆位Intranet等)之间的应用允许数据包直接通过，容易造成数据驱动式攻击的潜在危险不能理解特定服务的上下文环境，相应控制只能在高层由代理服务利应用层网关来完成7.4防火墙的配置7.4.1利用WinRoute配置防火墙WinRoute目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。目前比较常用的是WinRoute4.1。7.4防火墙的配置用WinRoute创建包过滤规则以管理员身份安装该软件，安装完毕后，启动“WinRouteAdministration”，WinRoute的管理界面7.4防火墙的配置默认情况下，该密码为空。点击按钮“OK”，进入系统管理。当系统安装完毕以后，该主机就将不能上网，需要修改默认设置，点击工具栏图标，出现本地网络设置对话框，然后查看“Ethernet”的属性，将两个复选框全部选中7.4防火墙的配置利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。选择菜单项“PacketFilter”7.4防火墙的配置在包过滤对话框中可以看出目前主机还没有任何的包规则7.4防火墙的配置选中图中网卡图标，单击按钮“添加”。出现过滤规则添加对话框，所有的过滤规则都在此处添加7.4防火墙的配置在协议下拉列表中选择“ICMP”7.4防火墙的配置在“ICMPType”栏目中，将复选框全部选中。在“Action”栏目中，选择单选框“Drop”。在“LogPacket”栏目中选中“LogintoWindow”，创建完毕后点击按钮“OK”，一条规则就创建完毕”7.4防火墙的配置为了使设置的规则生效，点击按钮“应用”。7.4防火墙的配置设