第4章-防火墙技术

第4章防火墙技术主讲：×××4.1防火墙简介防火墙（Firewall）是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件。防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制，提供可控的过滤网络通信，只允许授权的通信，目的是保护网络不被他人侵扰。通常，防火墙就是位于内部网络或Web站点与因特网之间的一个路由器或一台计算机，又称堡垒主机,它是对所有网络通信流进行过滤的节点，如下页图所示。4.2防火墙的类型4.2.1包过滤防火墙4.2.2代理服务型防火墙4.2.3网络地址翻译4.2.4主动监测技术4.2.1包过滤防火墙数据包过滤（PacketFiltering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（AccessControlList，ACL）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙的优点：它对用户来说是透明的，处理速度快且易于维护。4.2.1包过滤防火墙1.包过滤防火墙的分类（1）静态包过滤（2）动态包过滤4.2.1包过滤防火墙2.包过滤防火墙的工作原理（1）数据包从外网传送到防火墙后，防火墙抢在IP层向TCP层传送前，将数据包转发给包检查模块进行处理。（2）包检查模块首先将包头信息与第一条规则进行比较，如果与第一条规则匹配则对它进行审核判断，看是否转发该数据包。如果转发，则将数据包转发给TCP层处理，否则就将该报丢弃。（3）如果包头信息与第一条规则不匹配，则与第二条规则比较。接下来的步骤同上，直到所有规则都比较完毕。要是都不匹配，则丢弃该数据包。4.2.2代理服务型防火墙代理服务器有两个主要的部件：代理服务器和代理客户。代理客户端的用户面对的是代理服务器而不是因特网上的真正的服务器。代理服务器评价来自客户的请求，决定认可哪一个或否认哪一个。如果一个请求被认可，代理服务器代表客户接触真正的服务器，并且转发从代理客户到真正的服务器的请求，将服务器的响应传送给代理客户。代理的实现过程如下页图所示。4.2.3网络地址翻译网络的爆炸式发展和网络用户的急剧增加造成了IP地址的紧张问题，而彻底的解决方案目前还没有得到正式推广，为了解决IP地址的不足问题，提出了网络地址翻译（NAT）的方法。网络地址翻译也是一种重要的防火墙技术，因为它对外隐藏了内部的网络结构，外部攻击者无法确定内部网络的连接状态。而且不同的时候，内部网络向外连接使用的地址都不同，给外部攻击者造成了困难。同样，NAT通过定义各种映射规则，屏蔽外部的连接请求，并可以将连接请求映射到不同的主机上。4.2.4主动监测技术无论是包过滤还是代理服务，都是根据管理员预定义好的规则提供服务或者限制某些访问的。然而在提供网络访问能力和确保网络安全方面，显然存在矛盾，但只要允许访问某些网络服务，就有可能造成某种相同漏洞。可是如果限制太过严格，合法的网络访问就受到不必要的限制。代理型的防火墙的限制就体现在这个方面，必须分别为一种网络服务提供一个代理程序，当网络上的新型服务出现时，就不可能立即提供这个服务的代理程序。4.3防火墙配置4.3.1Web服务器置于防火墙之内4.3.2Web服务器置于防火墙之外4.3.3Web服务器置于防火墙之上4.3.4屏蔽主机防火墙4.3.5屏蔽子网防火墙4.3.1Web服务器置于防火墙之内布置防火墙的主机安装两个网络接口卡，分别为eth0和eth1。其中，eth0连接在外网，其IP地址为10.10.35.56；eth1连接在内网，其IP地址为192.168.0.1。Web服务器主机位于内网，其IP地址为192.168.0.8，如下图所示。4.3.2Web服务器置于防火墙之外防火墙只能对内网的主机提供一定的保护功能。如果将Web服务器放置在防火墙之外，防火墙就不会对该服务器有任何的防护作用。因此，在防火墙主机上也不需要有任何的设置了。通常，将Web服务器放置在接入路由器和内部防火墙之间的非军事化区域，在接入路由器上需要配置NAT和端口映射功能，如下页图所示。4.3.2Web服务器置于防火墙之外4.3.3Web服务器置于防火墙之上布置防火墙的主机安装两个网络接口卡，分别为eth0和eth1。其中，eth0连接在外网，其IP地址为10.10.35.56；eth1连接在内网，其IP地址为192.168.0.1。将Web服务器绑定在内网的接口卡上，如下图所示。4.3.4屏蔽主机防火墙在实际的网络管理中，有时某些主机提供特别的服务，比如银行的服务器，需要进行特别的安全保护，使外网的主机无法知道它的存在。这时，就可以使用防火墙来屏蔽该主机（假设IP地址为192.168.0.9）。具体的办法就是，将网络数据包中凡是源地址为192.168.0.9的进入防火墙的数据包和目的地址为192.168.0.9的从防火墙外出的数据包都丢弃。可以在WinRoute防火墙中添加如下的规则实现对内部主机192.168.0.9的屏蔽。4.3.5屏蔽子网防火墙有时为了某种原因需要屏蔽某个网络，例如192.168.1.0/24，使得该网络上的所有主机都不能访问Internet。设置的步骤如下：（1）设置屏蔽TCP进入数据包的规则。（2）设置屏蔽UDP进入数据包的规则参数。（3）设置屏蔽TCP外出数据包的规则。（4）设置屏蔽UDP外出数据包的规则。4.4防火墙的选购防火墙可以是硬件防火墙，也可以是软件防火墙。目前硬件防火墙产品比较有影响力的品牌是思科和华为。思科的防火墙以功能强著称，华为的防火墙以性价比高而出名。而软件防火墙在UNIX/Linux平台下，iptables最有影响力；在Windows平台下，CheckPoint、WinRoute等很有影响力。软、硬件防火墙特性的对照见下表。一个好的防火墙应该具备以下特点：（1）自身的安全性。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。（2）系统的稳定性。由于种种原因，有些系统尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。可以通过权威的测评认证机构、实际调查、试用、厂商实力等多个方面加以判断。（3）是否高效。一般来说，防火墙加载上百条规则，其性能下降不应超过5%～10%(指包过滤防火墙)。（4）是否可靠。有较高的生产标准和设计冗余度能提高系统可靠性。（5）功能是否灵活、强大。例如对于普通用户，只要对IP地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。（6）配置是否方便。（7）是否可以抵抗拒绝服务攻击。在当前的网络攻击中，拒绝服务攻击是使用频率最高的方法。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。（8）是否可扩展、可升级。4.5防火墙产品介绍4.5.1硬件防火墙4.3.2软件防火墙4.5.1硬件防火墙1.CiscoPIX-515E-R-BUN防火墙2.Quidway®Eudemon(守护神)300防火墙4.5.2软件防火墙1.CheckPoint软件防火墙美国CheckPoint公司开发的软件防火墙CheckPointFirewall-1在全球软件防火墙产品中排名第一，它是一个综合的、模化的安全产品，基于策略的解决方案能够让管理员指定网络访问按部署的时间段进行控制，它能够将处理任务分散到一组工作站上，从而减轻相应防火墙服务器、工作站的负担。4.5.2软件防火墙2.MicrosoftISAServer软件防火墙MicrosoftISAServer企业级防火墙是全球最大的软件公司微软公司发布的防火墙产品。最新的产品是2004年推出的ISAServer2004。作为MicrosoftWindowsServerSystem的成员之一的ISAServer2004企业级防火墙是一个安全、易于使用且经济高效的解决方案，可帮助IT专业人员抵御不断涌现的新安全威胁。MicrosoftISAServer2004是一个应用层防火墙、VPN和Web高速缓冲产品，旨在改善用户的网络安全，实现了对应用层的攻击的防护。本章小结防火墙是在两个网络之间执行访问控制策略的一个或一组系统，它只能对外部用户试图对内部网络的破坏提供一定的防御措施，而不能防御来自内部用户对网络的破坏。本章主要学习了防火墙的概念和功能、分类和基本工作原理及防火墙的配置，并且详细介绍了WinRoute防火墙的应用。