第5章防火墙技术

防火墙技术1防火墙的定义防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。图1为防火墙示意图。图1防火墙示意图防火墙的发展简史第一代防火墙：采用了包过滤（PacketFilter）技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。图2防火墙技术的简单发展历史设置防火墙的目的和功能（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄防火墙的局限性限制有用的网络服务。无法防护内部网用户的攻击。防火墙无法防范通过防火墙以外的其他途径的攻击。防火墙也不能完全防止传送已感染病毒的软件或文件。防火墙无法防范数据驱动型的攻击。不能防备新的网络安全问题。2防火墙技术发展动态和趋势（1）优良的性能（2）可扩展的结构和功能（3）简化的安装与管理（4）主动过滤（5）防病毒与防黑客3防火墙的体系结构防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。3.1包过滤型防火墙包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。图5包过滤型防火墙包过滤型防火墙具有以下优点。（1）处理包的速度比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为。（2）实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。（3）包过滤路由器对用户和应用来讲是透明的。包过滤型防火墙存在以下的缺点。（1）防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。（2）只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可阻止。（3）任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。（4）一些包过滤网关不支持有效的用户认证。（5）不可能提供有用的日志，或根本就不提供，这使用户发觉网络受攻击的难度加大，也就谈不上根据日志来进行网络的优化、完善以及追查责任。（6）随着过滤器数目的增加，路由器的吞吐量会下降。（7）IP包过滤器无法对网络上流动的信息提供全面的控制。（8）允许外部网络直接连接到内部网络的主机上，易造成敏感数据的泄漏。包过滤路由器常见的攻击有以下几种。（1）源IP地址欺骗式攻击。（2）源路由攻击。（3）极小数据段式攻击。3.2多宿主主机（多宿主网关）防火墙多宿主主机拥有多个网络接口，每一个接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同的子网，不同子网之间的相互访问实施不同的访问控制策略。图6双宿主机防火墙双宿主主机防火墙采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间进行寻径。双宿主主机防火墙的最大特点是IP层的通信被阻止，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成，而不能直接通信。图8运行代理服务器的双宿主机使用双宿主主机作为防火墙，防火墙本身的安全性至关重要。3.3屏蔽主机型防火墙屏蔽主机型防火墙由堡垒主机和包过滤路由器组成，所有的外部主机与一个堡垒主机相连接而不让它们与内部主机直接相连。图10被屏蔽主机结构图11堡垒主机转发数据包3.4屏蔽子网型防火墙图12被屏蔽子网防火墙系统（DMZ）3.5堡垒主机堡垒主机是一种被强化的可以防御进攻的计算机，是高度暴露于Internet中的，也是网络中最容易受到侵害的主机。构筑堡垒主机的基本原则有以下两条。（1）使堡垒主机尽可能简单（2）做好备份工作以防堡垒主机受损1．堡垒主机的主要结构当前堡垒主机主要采用以下3种结构。（1）无路由双宿主主机（2）牺牲主机（3）内部堡垒主机4防火墙的主要技术4.1数据包过滤技术数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。图18包过滤模型包过滤一般要检查下面几项：（1）IP源地址；（2）IP目的地址；（3）协议类型（TCP包、UDP包和ICMP包）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP消息类型；（7）TCP报头中的ACK位。另外，TCP的序列号、确认号，IP校验以及分段偏移也往往是要检查的选项。包过滤技术的优点①帮助保护整个网络，减少暴露的风险；②对用户完全透明，不需要对客户端做任何改动，也不需要对用户做任何培训；③很多路由器可以作数据包过滤，因此不需要专门添加设备。包过滤最明显的缺陷是即使是最基本的网络服务和协议，它也不能提供足够的安全保护，包过滤是不够安全的。①包过滤规则难于配置。一旦配置，数据包过滤规则也难于检验。②包过滤仅可以访问包头信息中的有限信息。③包过滤是无状态的，因为包过滤不能保持与传输相关的状态信息或与应用相关的状态信息。④包过滤对信息的处理能力非常有限。⑤一些协议不适合用数据包过滤，如基于RPC的应用的“r”命令等。4.2代理技术代理技术也称为应用层网关技术，代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有的一个程序。1．应用级代理应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是，外部网通过代理访问内部网。代理使得网络管理员能够实现比包过滤路由器更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受。提供代理应用层网关主要有以下优点。（1）应用层网关有能力支持可靠的用户认证并提供详细的注册信息。（2）应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。（3）代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。（4）提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这样可以隐藏内部网的IP地址，可以保护内部主机免受外部网的进攻。（5）通过代理访问Internet，可以解决合法的IP地址不够用的问题。然而，应用层代理也有明显的缺点，主要包括以下几点。（1）有限的连接性。（2）有限的技术。应用层网关不能为RPC、Talk和其他一些基于通用协议簇的服务提供代理。（3）性能。应用层实现的防火墙会造成明显的性能下降。（4）每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用程序升级时，一般代理服务程序也要升级。（5）应用层网关要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。（6）对用户不透明。在一个要求用户接口和用户体系结构友好易操作的今天，这种“不友好”性显得不合时宜。2．电路级网关代理技术应用层代理为一种特定的服务（如FTP和Telnet等）提供代理服务。这种代理的优点是它可以对各种不同的协议提供服务，但这种代理需要改进客户程序。Socks是一种非常强大的电路级网关防火墙，它只中继基于TCP的数据包图28电路级网关图29Socks服务器4.3状态检查技术状态检查技术能在网络层实现所有需要的防火墙能力，它既有包过滤机制的速度和灵活，也有应用级网关安全的优点，它是包过滤器和应用级网关功能的折衷。表3防火墙技术比较表防火墙的能力包过滤器代理状态检查传输的信息部分部分能传输状态不能部分能应用的状态不能能能信息处理部分能能状态检查防火墙有如下的优点。1．高安全性2．高效性3．伸缩性和易扩展性4．针对性5．应用范围广4.4地址翻译技术地址翻译（NetworkAddressTranslation，NAT）就是将一个IP地址用另一个IP地址代替。地址翻译主要用在以下两个方面。（1）网络管理员希望隐藏内部网络的IP地址。（2）内部网络的IP地址是无效的IP地址。应用层网关有如下的缺陷。（1）要为每一种应用定制代理（2）代理是不透明的（3）应用层网关不能为基于TCP以外的应用提供很好的提供代理。地址翻译可以提供一种透明而完善的解决方案。网络管理员可以决定那些内部的IP地址需要隐藏，哪些地址需要映射成为一个对Internet可见的IP地址。图31地址翻译图32将内部地址翻译成网关地址地址翻译可以有多种模式，主要有如下几种。（1）静态翻译（2）动态翻译（3）端口转换（4）负载平衡翻译（5）网络冗余翻译