第9章 防火墙

1第9章防火墙29.1防火墙概述什么是防火墙(Firewall)？防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。3一、防火墙的用途9.1防火墙概述1）作为“扼制点”，限制信息的进入或离开；2）防止侵入者接近并破坏你的内部设施；3）监视、记录、审查重要的业务流；4）实施网络地址转换，缓解地址短缺矛盾。防火墙只允许已授权的业务流通过，而且本身也应抵抗渗透攻击。建立防火墙必须全面考虑安全策略，否则形同虚设。4二、好的防火墙系统9.1防火墙概述1）内部网络和外部网络之间传输的数据必须通过防火墙；2）只有防火墙系统中安全策略允许的数据可以通过防火墙；3）防火墙本身不受各种攻击的影响。5三、防火墙的优点9.1防火墙概述1.防止易受攻击的服务通过过滤不安全的服务来降低子网上主系统的风险。可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。69.1、防火墙概述2.控制访问网点系统可以提供对系统的访问控制。如允许从外部访问某些主机(MailServer和WebServer)，同时禁止访问另外的主机。3.集中安全性防火墙定义的安全规则可用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户只需要经过一次认证即可访问内部网。例如对于密码口令系统或其他的身份认证软件等，放在防火墙系统中更是优于放在每个Internet能访问的机器上。79.1、防火墙概述4.增强的保密、强化私有权使用防火墙系统，站点可以防止finger以及DNS域名服务。Finger能列出当前用户，上次登录时间，以及是否读过邮件等。5.有关网络使用、滥用的记录和统计防火墙可以记录各次访问，并提供有关网络使用率等有价值的统计数字。网络使用率统计数字可作为网络需求研究和风险分析的依据；收集有关网络试探的证据，可确定防火墙上的控制措施是否得当，能否抵御试探和攻击。8四、防火墙的局限性9.1、防火墙概述1）防火墙防外不防内如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。99.1、防火墙概述2）不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3）防火墙配置复杂，容易出现安全漏洞4）防火墙往往只认机器（IP地址）不认人（用户身份），并且控制粒度较粗。109.1、防火墙概述5）防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。6）防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。111、服务访问政策9.2、网络政策服务访问政策是整个机构信息安全政策的延伸。一个好的策略：平衡，即能防范已知的风险，又能保证用户使用网络资源。典型的政策1：可以不允许从Internet访问网点，但要允许从网点访问Internet。典型政策2：是允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web服务器和电子邮件服务器。12允许拒绝2、防火墙设计政策防火墙一般实施两个基本设计方针之一:1.“没有明确允许的都是被禁止的”，即拒绝一切未予特许的东西。2.“没有明确禁止的都是被允许的”；也即是允许一切未被特别拒绝的东西允许拒绝9.2、网络政策13防火墙的体系结构1）屏蔽路由器（ScreenedRouter）2）双宿主机网关；DualHomedHostGateway3）屏蔽主机防火墙；ScreenedGateway4）屏蔽子网防火墙。ScreenedSubnet9.3防火墙体系结构141.屏蔽路由器（ScreenedRouter）包过滤路由器：路由+过滤这是最简单的防火墙。缺点：日志没有或很少，难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护，脆弱9.3防火墙体系结构152.双宿主机网关9.3防火墙体系结构内部网服务器工作站工作站工作站Internet......双重宿主主机16用一台装有两块网卡的计算机作为堡垒主机（Bastionhost），两块网卡分别与内部网和外部网（或屏蔽路由器）相连，每块网卡有各自的IP地址。堡垒主机上运行防火墙软件——代理服务（应用层网关）。在建立双宿主机时，应关闭操作系统的路由功能（IP转发），否则两块网卡间的通信会绕过代理服务器软件。优点：与屏蔽路由器相比，提供日志以备检查缺点：双宿主机易受攻击9.3防火墙体系结构173.屏蔽主机防火墙9.3防火墙体系结构18屏蔽主机体系结构9.3防火墙体系结构19由屏蔽路由器和应用网关组成。两道屏障：网络层的包过滤；应用层代理服务注：与双宿主机网关不同，这里的应用网关只有一块网卡。优点：双重保护，安全性更高。实施策略：针对不同的服务，选择其中的一种或两种保护措施。9.3防火墙体系结构20内部网堡垒主机工作站工作站工作站Internet......路由器防火墙214.屏蔽子网体系结构防火墙体系结构组成：一个包含堡垒主机的周边子网、两台屏蔽路由器。22屏蔽子网体系结构9.3防火墙体系结构23内部网服务器工作站工作站工作站Internet......内部路由器防火墙外部路由器堡垒主机周边网24防火墙体系结构屏蔽子网防火墙中，添加周边网络进一步地把内部网络与Internet隔离开。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。要想侵入用这种类型的体系结构构筑的内部网络，侵袭者必须通过外部路由器，堡垒主机，内部路由器三道关口。1）周边网络：非军事化区、停火区（DMZ）周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。25防火墙体系结构周边网络的作用对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。26防火墙体系结构2）堡垒主机接受来自外界连接的主要入口：1对于进来的电子邮件（SMTP）会话，传送电子邮件到站点；2对于进来的FTP连接，转接到站点的匿名FTP服务器；3对于进来的域名服务（DNS）站点查询等。27防火墙体系结构出站服务按如下任一方法处理：1.在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。2.设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。但是禁止内部的客户端与外部世界之间直接通信(如拨号上网)。28防火墙体系结构3）内部路由器内部路由器（阻塞路由器）：保护内部的网络使之免受Internet和周边子网的侵犯。内部路由器为用户执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。内部路由器所允许的在周边网和内部网之间服务可不同于内部路由器所允许的在外部和内部网之间的服务。限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。29防火墙体系结构4）外部路由器在理论上，外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。外部路由器安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。30内部防火墙问题在大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙）。9.3防火墙体系结构31复合型防火墙采用哪种形式的防火墙取决于经费、技术、时间等。应用层表示层会话层传输层网络层链路层物理层包过滤应用网关电路网关9.3防火墙体系结构32包过滤技术9.4包过滤技术33包过滤技术的原理包过滤技术在路由器上加入IPFiltering功能，这样的路由器就成为ScreeningRouter。Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行；且规则允许拒绝此包，这一包则被舍弃；如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。34组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.1201024TCP3禁止*10.1.1.120*TCP一个可靠的包过滤防火墙依赖于规则集的定义，下表列出了几条典型的规则集。第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的小于1024的端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10.1.1.1任何端口，如果基于TCP协议的数据包都禁止通过。35IPv4包过滤技术版本号Version(4bit)报头长IHL(4bit)服务类型ServiceType(8bit)分组总长度TotalLength(16bit)标识Identification(16bit)标志Flags(3bit)片偏移FragmentOffset(13bit)生存时间TimetoLive(8bit)传输层协议Protocol(8bit)头部校验和HeaderChecksum(16bit)源IP地址SourceAddress(32bit)宿IP地址DestinationAddress(32bit)可选项Option有效负载Payload（0或多个字节）20bytes048161931填充域padding36ICMP报文包过滤技术ICMP报文的一般格式Data差错信息出错IP数据报的头+64个字节数据类型Type(8bit)代码Code(8bit)检验和Checksum(16bit)不同类型和代码有不同的内容Data081631ICMPheaderICMPdataIPheaderIPdata封装37TCP头部包过滤技术源端口SourcePort(16bit)宿端口DestinationPort(16bit)序列号SequenceNumber(32bit)确认号AcknowledgmentNumber(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小Windowsize(16bit)校验和Checksum(16bit)紧急指针UrgentPointer(16bit)选项Options(0或多个32bit字)数据Data(可选)38UDP头部包过滤技术UDP源端口UDP宿端口UDP长度UDP校验和16bit16bit最小值为8全“0”：不选；全“1”：校验和为0。39包过滤的依据包过滤技术IP源地址IP目的地址封装协议(TCP、UDP、或IPTunnel)TCP/UDP源端口TCP/UDP目的端口ICMP包类型TCP报头的ACK位包输入接口和包输出接口40依赖于服务的过滤包过滤技术多数服务对应特定的端口，例：Telnet、SMTP、POP3