信息安全系統(tǒng)工程防火墻資料

1、一、防火墻概述(i sh)防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機制，它的作用是在保證網(wǎng)絡(luò)暢通的情況下，防止不希望的、未經(jīng)授權(quán)的通信進出被保護的內(nèi)部網(wǎng)絡(luò)，通過邊界控制(kngzh)強化內(nèi)部網(wǎng)絡(luò)的安全政策。共八十五頁防火墻概述(i sh)（續(xù)）如果(rgu)沒有防火墻，則整個內(nèi)部網(wǎng)絡(luò)的安全性完全依賴于每個主機也就是說，網(wǎng)絡(luò)的安全水平是由最低的那個安全水平的主機決定的，這就是所謂的“木桶原理”，木桶能裝多少水由最低的地方?jīng)Q定。網(wǎng)絡(luò)越大，對主機進行管理使它們達到統(tǒng)一的安全級別水平就越不容易。如果采用了防火墻，內(nèi)部網(wǎng)絡(luò)中的主機將不再直接暴露給來自Internet的攻擊因此，對整個內(nèi)部網(wǎng)絡(luò)的主機的安全管

2、理就變成了防火墻的安全管理，這樣就使安全管理變得更為方便，易于控制，也會使內(nèi)部網(wǎng)絡(luò)更加安全。共八十五頁防火墻的設(shè)計(shj)目標1、所有(suyu)進出被保護網(wǎng)絡(luò)的通信必須通過防火墻；2、所有通過防火墻的通信必須經(jīng)過安全策略的過濾或者防火墻的授權(quán)；3、防火墻本身應(yīng)該具有很強的抵抗攻擊能力。共八十五頁防火墻的功能(gngnng)主要功能：1、訪問控制功能；2、內(nèi)容控制(kngzh)功能；3、全面的日志功能；4、集中管理功能；5、自身的安全和可用性。附加功能：1、流量控制；2、網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address TranslationNAT）；3、虛擬專用網(wǎng)（Virtual Privat

3、e NetworkVPN）。共八十五頁防火墻的邊界(binji)保護機制防火墻的安放位置是可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的邊界，它所保護的對象是網(wǎng)絡(luò)中有明確閉合邊界的網(wǎng)段注意：“可信網(wǎng)絡(luò)”和“不可信網(wǎng)絡(luò)”是相對的；一般說來內(nèi)部網(wǎng)絡(luò)是可信的，Internet是不可信的；但在內(nèi)部網(wǎng)絡(luò)中，還可能劃分可信和不可信網(wǎng)絡(luò)，比如財務(wù)部網(wǎng)絡(luò)需要特殊保護，則財務(wù)部網(wǎng)絡(luò)是可信網(wǎng)絡(luò)，而其他內(nèi)部網(wǎng)絡(luò)就變成不可信網(wǎng)絡(luò)。防火墻是一種邊界保護，它對可信網(wǎng)絡(luò)內(nèi)部之間的訪問(fngwn)無法控制，僅對穿過邊界的訪問(fngwn)進行控制共八十五頁防火墻面臨(minlng)的潛在的攻擊防火墻放在可信網(wǎng)絡(luò)的邊界，直接面對的是不可信網(wǎng)絡(luò)可能的

4、攻擊，面臨Internet中的惡意訪問者的攻擊。惡意破壞者主要有以下幾種可能的攻擊：1） 入侵內(nèi)部網(wǎng)絡(luò)：包括(boku)沒有授權(quán)地訪問內(nèi)部網(wǎng)絡(luò)，盜取信息。比如進行地址欺騙，不可信網(wǎng)絡(luò)的用戶偽裝成可信網(wǎng)絡(luò)的地址，從而繞過系統(tǒng)的認證實現(xiàn)進入被攻擊系統(tǒng)；或者通過在內(nèi)部網(wǎng)絡(luò)中安裝木馬程序，實現(xiàn)對內(nèi)部機器的控制。2） 針對防火墻的攻擊，使其失去功能：包括各種協(xié)議漏洞攻擊和碎片攻擊，使防火墻死機或者失去本身應(yīng)有功能。3） 拒絕服務(wù)攻擊：此種攻擊現(xiàn)在非常普遍，對網(wǎng)絡(luò)的危害非常大，是防火墻較難阻擋的攻擊之一。共八十五頁拒絕服務(wù)攻擊(gngj)的方式1） Syn Flood： 該攻擊以多個隨機的源主機地址向目的

5、主機發(fā)送SYN包，而在收到目的主機的SYN ACK后并不回應(yīng)；這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于(yuy)沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。 2）Smurf： 該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求（如ICMP回應(yīng)請求）的包，并且將源地址偽裝成想要攻擊的主機地址；子網(wǎng)上所有主機都回應(yīng)廣播包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。3）Land based、Ping of Death、Teardrop、Ping Sweep、Ping Flood.共八十五頁防火墻的局限性1、防火墻不能防范不經(jīng)防火墻的攻擊；2、防火墻不能防

6、止感染了病毒的軟件或文件的傳輸；3、防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊；有些表面看起來無害(w hi)的數(shù)據(jù)通過電子郵件發(fā)送或者其他方式復(fù)制到內(nèi)部主機上，一旦被執(zhí)行就形成攻擊。一個數(shù)據(jù)型攻擊可能導(dǎo)致主機修改與安全相關(guān)的文件，使得入侵者很容易獲得對系統(tǒng)的訪問權(quán)。4、防火墻不能防范惡意的內(nèi)部人員侵入；5、防火墻不能防范不斷更新的攻擊方式防火墻制定的安全策略是在已知的攻擊模式下制定的，所以對全新的攻擊方式缺少阻止功能。共八十五頁防火墻的分類(fn li)從防火墻實現(xiàn)的技術(shù)方式分：包過濾防火墻；應(yīng)用層網(wǎng)關(guān)防火墻；電路層網(wǎng)關(guān)防火墻；狀態(tài)檢測(jin c)防火墻。從形態(tài)上分：軟件防火墻；硬件防火墻硬件防火墻是將

7、防火墻軟件安裝在專用的硬件平臺和專有操作系統(tǒng)（有些硬件防火墻甚至沒有操作系統(tǒng)）之上，以硬件形式出現(xiàn)，如Cisco的PIX防火墻。有的還使用一些專有的ASIC硬件芯片負責(zé)數(shù)據(jù)包的過濾，性能更好。共八十五頁防火墻的訪問效率(xio l)和安全需求防火墻是網(wǎng)絡(luò)的開放性和安全的控制性矛盾對立(dul)的產(chǎn)物。一方面網(wǎng)絡(luò)的優(yōu)勢是它的互聯(lián)互通性，用戶希望快捷順暢地訪問網(wǎng)站、收發(fā)電子郵件等；另一方面，網(wǎng)絡(luò)也是不安全的，所以需要使用防火墻對網(wǎng)絡(luò)進行控制，添加安全規(guī)則，讓用戶通過登錄來完成訪問授權(quán)，可這樣會使用戶感到繁瑣，而且需要檢查的安全規(guī)則越多，網(wǎng)絡(luò)性能就會越差。所以防火墻的訪問效率和安全需求是一對矛盾，應(yīng)

8、該努力尋找平衡。共八十五頁防火墻的主要(zhyo)性能指標1）吞吐量： 指防火墻在不丟失數(shù)據(jù)包的情況下能達到的最大的轉(zhuǎn)發(fā)數(shù)據(jù)包的速率。吞吐量是防火墻性能中的一項非常重要的指標。如果防火墻的吞吐量指標太低就會造成網(wǎng)絡(luò)瓶頸，影響網(wǎng)絡(luò)的性能。2）時延： 對存儲轉(zhuǎn)發(fā)設(shè)備，如路由器，是指從入口處進入的輸入幀的最后一個比特到達，到從出口發(fā)出的輸出幀的第一個比特輸出所用的時間間隔。這個指標能夠衡量出防火墻處理數(shù)據(jù)(shj)的快慢。 3）丟包率： 在特定負載下，指應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由資源耗盡而丟棄幀的百分比。丟包率是衡量防火墻設(shè)備穩(wěn)定性和可靠性的重要指標。共八十五頁防火墻的主要(zhyo)性能指標（續(xù)）4）

9、 背對背： 指從空閑狀態(tài)開始，以達到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當數(shù)量的固定長度(chngd)的幀，當出現(xiàn)第一個幀丟失時所發(fā)送的幀數(shù)。背對背的測試結(jié)果能夠反映出防火墻設(shè)備的緩存能力、對網(wǎng)絡(luò)突發(fā)數(shù)據(jù)流量的處理能力。5） 并發(fā)連接數(shù)： 指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)。并發(fā)連接數(shù)的測試主要用來測試被防火墻建立和維持TCP連接的性能。共八十五頁二、防火墻技術(shù)(jsh)1、包過濾（ Packet Filter ）2、代理服務(wù)器（Proxy Server）3、電路(dinl)級網(wǎng)關(guān)（Circuit Level Gateway）4、狀態(tài)檢測（State Inspe

10、ction）共八十五頁1、包過濾(gul)技術(shù)包過濾(Packet Filter)技術(shù)是在網(wǎng)絡(luò)層（或傳輸層）中根據(jù)數(shù)據(jù)包中的包頭信息對數(shù)據(jù)包實施有選擇的通過。包過濾依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾規(guī)則，檢查數(shù)據(jù)流中每個數(shù)據(jù)包的包頭后，根據(jù)包頭中的各個數(shù)據(jù)項來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾規(guī)則的設(shè)計。例如，利用特定的因特網(wǎng)服務(wù)的服務(wù)器駐留在特定的端口號的事實（如TCP端口23用于Telnet連接），使包過濾器可以通過規(guī)定適當(shdng)的端口號來達到阻止或允許一定類型的連接的目的，并可進一步組成一套數(shù)據(jù)包過濾規(guī)則。共八十五頁包過濾(gul)技術(shù)（續(xù)）包過濾技術(shù)在防火墻上的應(yīng)用非常廣泛，

11、其主要優(yōu)點是：1）系統(tǒng)（如CPU）用來處理包過濾的時間相對很小，效率高；2）這種防護措施對用戶透明，合法用戶在使用網(wǎng)絡(luò)通信時，感覺不到它的存在，使用起來很方便。包過濾的主要缺點是：包過濾技術(shù)是在IP/TCP層實現(xiàn)的，所以(suy)包過濾的一個很大的弱點是不能在應(yīng)用層級別上進行過濾，所以(suy)防衛(wèi)方式比較單一。共八十五頁包過濾(gul)技術(shù)示意圖應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機內(nèi)部網(wǎng)絡(luò)主機包過濾型防火墻傳輸層共八十五頁包過濾(gul)的依據(jù)一個包過濾型防火墻通常根據(jù)(gnj)IP/TCP分組的以下各

12、項過濾：源IP地址；目標IP地址；IP中的協(xié)議類型字段；TCP/UDP源端口；TCP/UDP目標端口；TCP報頭中的各種標志。共八十五頁IP數(shù)據(jù)包格式(g shi)共八十五頁基于(jy)IP的數(shù)據(jù)包過濾可以(ky)根據(jù)IP協(xié)議中的IP源地址和IP目的地址來制定安全規(guī)則如允許訪問內(nèi)部的IP地址為*.*.*.*的服務(wù)器。也可以根據(jù)IP協(xié)議中的協(xié)議類型字段來制定安全規(guī)則：如允許 TCP 協(xié)議通過防火墻。基于IP的數(shù)據(jù)包過濾容易遭到“源地址路由”和“極小數(shù)據(jù)分段”攻擊。共八十五頁基于(jy)IP的數(shù)據(jù)包過濾（續(xù)）源地址路由攻擊：源地址路由是IP的選項，指由數(shù)據(jù)包的源地址來指定到達目的地的路由，而不是讓

13、路由器根據(jù)其路由表來決定向何處發(fā)送數(shù)據(jù)包。這種功能有的時候是有用的，比如在路由器的路由表發(fā)生了損壞時；但是有的時候也會被黑客所利用，用于繞過安全檢測，而不走預(yù)先設(shè)計好的路由路徑。防火墻解決這個問題的辦法很簡單，只要檢查IP選項，簡單地丟棄(diq)所有包含源路由選項的數(shù)據(jù)包即可。共八十五頁基于(jy)IP的數(shù)據(jù)包過濾（續(xù)）IP協(xié)議的數(shù)據(jù)分片IP協(xié)議的特點之一就是將一個大的數(shù)據(jù)包劃分成若干個適合大小的、能通過網(wǎng)絡(luò)傳送的IP片，稱為IP分片，IP分片到達目標機器后，再重新組裝成完整的IP數(shù)據(jù)包。對于IP數(shù)據(jù)包過濾，只有在第一個分片中才包含來自于高層協(xié)議的報頭信息，數(shù)據(jù)包過濾可以檢查這個段，根據(jù)報頭

14、來決定是否允許整個數(shù)據(jù)包通過。如果禁止該數(shù)據(jù)包，數(shù)據(jù)包過濾只是丟棄了IP分片的第一個分片，其他的分片還是能夠通過；但是不管有多少(dusho)個分片通過，目標機器都不能將這些段裝配成原來的數(shù)據(jù)包（因為第一個分片已經(jīng)沒有了）。共八十五頁基于(jy)IP的數(shù)據(jù)包過濾（續(xù)）“極小數(shù)據(jù)(shj)分段”攻擊極小數(shù)據(jù)分段式攻擊（Tiny Fragment Attacks）的特點是入侵者使用了IP分片的特性，創(chuàng)建極小的分片并強行將TCP頭信息分成多個數(shù)據(jù)包段。這種攻擊是為了繞過用戶定義的過濾規(guī)則黑客通常寄希望于過濾器只檢查第一個分片而允許其余的分片通過。防火墻解決這個問題的方法是在防火墻處進行IP報文重組共

15、八十五頁TCP數(shù)據(jù)包格式(g shi)20共八十五頁基于(jy)TCP的數(shù)據(jù)包過濾可以根據(jù)TCP協(xié)議中的源端口和目的端口來制定安全規(guī)則注意：由于TCP的源端口通常是隨機的，所以通常不使用源端口進行控制。通過檢查TCP標志字段，可以辨認這個TCP數(shù)據(jù)包是SYN包，還是非SYN包檢查單獨的SYN標志，就可以知道(zh do)它是TCP連接中3次握手中的第一個請求，如果要禁止該連接，只要禁止這個包就可以了。共八十五頁TCP連接(linji)的3次握手過程共八十五頁基于(jy)UDP的數(shù)據(jù)包過濾可以根據(jù)UDP中的源端口和目的端口來制定安全規(guī)則由于UDP的源端口通常是隨機的，所以(suy)通常不使用源端

16、口進行控制。共八十五頁基于(jy)ICMP的數(shù)據(jù)包過濾ICMP（Internet控制與報文協(xié)議）是無連接的，非常靈活，但源地址容易被偽造目前有很多基于ICMP的攻擊軟件，如制造ICMP風(fēng)暴、利用ICMP消耗服務(wù)器CPU資源；此外(cwi)ICMP本身也可以用于探測網(wǎng)絡(luò)拓撲結(jié)構(gòu)。因此，包過濾器一般禁止從外部網(wǎng)絡(luò)來的到內(nèi)部網(wǎng)絡(luò)和包過濾器本身的ICMP包，以避免危險。共八十五頁包過濾規(guī)則的制定(zhdng)策略總的來說，包過濾規(guī)則的制定策略包括(boku)兩類：1、按IP地址過濾；2、按服務(wù)（即端口號）過濾。共八十五頁按IP地址(dzh)過濾按地址過濾是最簡單的過濾方式，它只限制數(shù)據(jù)包的源地址和目的

17、地址，而不必考慮協(xié)議。需要注意的是，由于IP源地址是可以偽造的，因此如果在過濾規(guī)則中限制源地址，就會面臨風(fēng)險例如(lr)，在過濾規(guī)則中，如果允許一個特定的外部主機（IP地址固定）訪問內(nèi)部網(wǎng)絡(luò)，此時如果另一個主機偽裝成該外部主機，過濾規(guī)則就會被欺騙。共八十五頁按服務(wù)(fw)過濾按服務(wù)過濾，就是根據(jù)相應(yīng)的TCP/UDP端口進行過濾比如要禁止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的Telnet的訪問，就需要檢查數(shù)據(jù)包的目的端口和TCP標志位，如果端口是23，并且是SYN包，則拒絕這個包。在實際應(yīng)用中，一般是按照內(nèi)部服務(wù)端口進行過濾，對于外部服務(wù)端口過濾也是有風(fēng)險的因為外部服務(wù)端口是可以偽裝(wizhung)的。此外，按

18、服務(wù)過濾需要保證內(nèi)部的服務(wù)確實工作在相應(yīng)的端口上。共八十五頁按服務(wù)(fw)過濾（續(xù)）按外部端口過濾的風(fēng)險由于無法保證外部服務(wù)確實是在規(guī)定的端口上，如果防火墻的限制完全基于外部服務(wù)端口號就會有危險。例如，如果允許內(nèi)部主機到外部服務(wù)器的郵件發(fā)送服務(wù)（正常(zhngchng)運行于端口25），當TCP端口25確是一個常規(guī)郵件端口時，這個配置就沒有危險。但是防火墻沒有辦法控制一個外部主機上的端口號，黑客可能會用其他程序控制外部主機上 25 號端口，模擬郵件服務(wù)和內(nèi)部主機建立連接，進行非授權(quán)的訪問。共八十五頁網(wǎng)絡(luò)協(xié)議的雙向性對包過濾規(guī)則制定(zhdng)的影響需要注意的是，網(wǎng)絡(luò)協(xié)議一般都是雙向的，如果發(fā)

19、送了一個請求或者一條命令，另一邊的主機就會發(fā)出某種響應(yīng)。所以在制定數(shù)據(jù)包過濾規(guī)則時，一定(ydng)要注意數(shù)據(jù)包是雙向的例如想允許某個主機訪問Telnet服務(wù)器，但是設(shè)置規(guī)則時只允許Telnet的命令的方向能通過，沒有允許返回的數(shù)據(jù)包通過，這樣還是不能訪問的。在從內(nèi)部到外部的TCP（或UDP）連接中，為了允許返回數(shù)據(jù)通過，會給過濾規(guī)則的制定增加困難（見后）：共八十五頁在內(nèi)部到外部的TCP和UDP連接中，內(nèi)部主機采用的源端口一般是大于1024的隨機端口（如下圖）為了支持雙向通信，需要允許返回到內(nèi)部主機的所有大于1024端口的數(shù)據(jù)包，這是非常危險的。對于TCP連接：可以通過TCP協(xié)議的flag位來

20、辨認從外部到內(nèi)部的數(shù)據(jù)包是連接請求還是響應(yīng)(xingyng)報文如果是連接請求則拒絕，響應(yīng)報文（flag中的Ack置位）則放行，從而可以阻止對高于1024端口的非法連接。而UDP是無連接的協(xié)議，沒有標準可以區(qū)分，只能通過端口號，但是端口號是可以偽造的如果返回的數(shù)據(jù)包不是到內(nèi)部主機隨機產(chǎn)生的端口，而是到另一個端口，可能就是一次破壞服務(wù)器的嘗試。有些UDP協(xié)議的請求端口和目的端口都是固定的，這樣防火墻只需簡單地允許相應(yīng)的端口的進出就可以保證安全了。共八十五頁內(nèi)網(wǎng)主機(zhj)防火墻內(nèi)部(nib)網(wǎng)絡(luò)外網(wǎng)服務(wù)如WWW（80端口）1、請求報文（源端口一般隨機生成）源端口1024，目標端口80外部網(wǎng)絡(luò)（

21、如因特網(wǎng)）2、防火墻根據(jù)80端口放行請求報文3、響應(yīng)報文源端口80，目標端口1024（=請求中的源端口）4、防火墻根據(jù)什么放行響應(yīng)報文？內(nèi)網(wǎng)到外網(wǎng)的TCP或UDP訪問共八十五頁數(shù)據(jù)包過濾(gul)的默認安全策略包過濾規(guī)則中有兩種基本的默認安全策略：默認接受(jishu)和默認拒絕。默認接受：指除非明確地指定禁止某個數(shù)據(jù)包，否則數(shù)據(jù)包是可以通過的。默認拒絕：指除非明確的指定允許某個數(shù)據(jù)包通過，否則數(shù)據(jù)包是不可以通過的。顯然，默認接受的易用性更好，而默認拒絕的安全性更好。一般都采用默認拒絕策略。共八十五頁建立數(shù)據(jù)包過濾(gul)規(guī)則的步驟1、建立安全策略要針對網(wǎng)絡(luò)的具體情況制定需要保護(boh)什

22、么、需要對外提供什么樣的服務(wù)的安全策略。主要考慮兩個方面：1）內(nèi)部網(wǎng)絡(luò)需要訪問外部網(wǎng)絡(luò)的什么服務(wù)，如WWW、FTP、電子郵件等；2）內(nèi)部需要給外部網(wǎng)絡(luò)提供什么服務(wù)，因為外部網(wǎng)絡(luò)是不安全的，這個口子開得越小越好。2、 將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達式。3、用防火墻提供的過濾規(guī)則句法重寫邏輯表達式，然后設(shè)置防火墻。共八十五頁防火墻對過濾(gul)規(guī)則的使用在制定了數(shù)據(jù)包過濾規(guī)則并設(shè)置進防火墻后，對于網(wǎng)絡(luò)上每一個數(shù)據(jù)包，防火墻會從第一條規(guī)則開始依次進行檢查，直到找到一個可以(ky)匹配該數(shù)據(jù)包的規(guī)則防火墻根據(jù)匹配規(guī)則中的“動作”來決定是接受還是拒絕該數(shù)據(jù)包；如果規(guī)則表中沒有匹配的規(guī)則，則根

23、據(jù)設(shè)置的默認安全策略對數(shù)據(jù)包進行處理如默認拒絕，則這個數(shù)據(jù)包將被拒絕。共八十五頁防火墻對過濾(gul)規(guī)則的使用（續(xù)）防火墻外網(wǎng)口（所有報文）防火墻內(nèi)網(wǎng)口（允許通過的報文）包過濾規(guī)則列表進行規(guī)則匹配動作動作動作動作規(guī)則表達式規(guī)則表達式規(guī)則表達式默認策略動作：允許或拒絕針對外網(wǎng)到內(nèi)網(wǎng)報文防火墻外網(wǎng)口（允許通過的報文）防火墻內(nèi)網(wǎng)口（所有報文）包過濾規(guī)則列表進行規(guī)則匹配動作動作動作動作規(guī)則表達式規(guī)則表達式規(guī)則表達式默認策略動作：允許或拒絕針對內(nèi)網(wǎng)到外網(wǎng)報文共八十五頁例子(l zi)假設(shè)一個公司的安全策略為：1、允許外部主機對內(nèi)部MailGate主機的郵件訪問；2、允許外部主機對內(nèi)部MailGate主

24、機的DNS訪問；3、允許外部主機對內(nèi)部MailGate主機的Telnet訪問；4、允許外部OutSide主機對內(nèi)部InSide主機的NTP協(xié)議對時；5、允許內(nèi)部主機對外部主機的一切Tcp協(xié)議的訪問。6、禁止其他(qt)類型的所有通信。根據(jù)該策略制定防火墻的過濾規(guī)則。共八十五頁MailGate郵件（25）DNS（53）Telnet（23）NTP內(nèi)部到外網(wǎng)基于TCP的訪問，如www訪問，收發(fā)電子郵件(din z yu jin)，都允許。對外網(wǎng)開放(kifng)的服務(wù)例子（續(xù)）共八十五頁例子：根據(jù)(gnj)安全策略制定的包過濾規(guī)則注意：1、 沒有明確協(xié)議標志(biozh)的規(guī)則用于TCP； 2、IN

25、SIDE-NET指所有內(nèi)部網(wǎng)絡(luò)的主機。規(guī)則匹配針對上條規(guī)則的返回報文共八十五頁包過濾(gul)技術(shù)的特點包過濾技術(shù)的優(yōu)點：效率高，速度快；對應(yīng)用透明，合法應(yīng)用在進出網(wǎng)絡(luò)時感覺不到它的存在。局限：正確的設(shè)置包過濾規(guī)則比較困難；由于包過濾技術(shù)是在IP/TCP層上實現(xiàn)的，所以包過濾不能在應(yīng)用層級別上進行過濾，防衛(wèi)方式(fngsh)比較單一；有些網(wǎng)絡(luò)協(xié)議不適合包過濾如FTP協(xié)議，在協(xié)議內(nèi)部會動態(tài)生成子連接。共八十五頁2、代理服務(wù)器代理服務(wù)器（Proxy Server）作用于應(yīng)用層，用來提供應(yīng)用層服務(wù)的控制，在內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時起到中間轉(zhuǎn)接作用在該框架中，內(nèi)部網(wǎng)絡(luò)服務(wù)只接受代理服務(wù)提出的服務(wù)請

26、求，拒絕外部網(wǎng)絡(luò)其他結(jié)點的直接請求。代理服務(wù)器是運行(ynxng)在防火墻主機上的專門的應(yīng)用程序或者服務(wù)程序這些程序接受用戶對Internet服務(wù)的請求（如FTP、Telnet），并按照一定的安全策略將它們轉(zhuǎn)發(fā)到實際的服務(wù)中。代理提供代替連接并且充當服務(wù)的網(wǎng)關(guān)。共八十五頁代理服務(wù)器技術(shù)(jsh)示意圖應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡(luò)主機內(nèi)部網(wǎng)絡(luò)主機防火墻應(yīng)用層表示層會話層傳輸層共八十五頁一個(y )Telnet代理服務(wù)器例子外部Telnet客戶內(nèi)部Telnet服務(wù)器日志系統(tǒng)Telnet代理認證系統(tǒng)Teln

27、et代理服務(wù)器FTP代理原來的直接連接端口23內(nèi)部連接端口23外部連接端口23共八十五頁一個(y )Telnet代理服務(wù)器例子（續(xù)）Telnet代理網(wǎng)關(guān)的執(zhí)行過程1、用戶首先Telnet到應(yīng)用網(wǎng)關(guān)主機，并輸入內(nèi)部目標主機的名字（域名、IP地址）；2、應(yīng)用網(wǎng)關(guān)檢查用戶的源IP地址等，并根據(jù)事先設(shè)定的訪問規(guī)則來決定是否轉(zhuǎn)發(fā)或拒絕；3、應(yīng)用網(wǎng)關(guān)對用戶信息進行驗證（應(yīng)用層過濾）；4、應(yīng)用網(wǎng)關(guān)中的代理服務(wù)器為用戶建立(jinl)在網(wǎng)關(guān)與內(nèi)部主機之間的Telnet連接；5、代理服務(wù)器在兩個連接（用戶/代理服務(wù)器，代理服務(wù)器/內(nèi)部主機）之間傳送數(shù)據(jù)；6、應(yīng)用網(wǎng)關(guān)對本次連接進行日志記錄。共八十五頁代理服務(wù)器特

28、點(tdin)代理(dil)技術(shù)能進行安全控制和加速訪問，有效地實現(xiàn)防火墻內(nèi)外計算機系統(tǒng)的隔離，安全性好；能實施較強的數(shù)據(jù)流監(jiān)控、應(yīng)用層數(shù)據(jù)過濾、記錄和報告等功能。其缺點是1、對于每一種應(yīng)用服務(wù)都必須為其設(shè)計一個代理軟件模塊來進行安全控制，而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同，實現(xiàn)困難。2、效率低。共八十五頁3、電路(dinl)級網(wǎng)關(guān)電路級網(wǎng)關(guān)（Circuit Gateway）又稱為電路中繼（Circuit Relay），工作在傳輸層（TCP）。它在兩個(lin )主機首次建立TCP連接時創(chuàng)立一個“電子屏障”它作為服務(wù)器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護主機連接時則擔(dān)當客戶機角色，起到了代理服

29、務(wù)作用。電路網(wǎng)關(guān)一般只在TCP連接建立時進行控制和判斷，監(jiān)視兩主機建立連接時的握手信息，如SYN、ACK等標志和序列號等是否合乎邏輯一旦連接建立后僅復(fù)制、傳遞數(shù)據(jù)，而不再進行過濾。電路級網(wǎng)關(guān)的安全性比較高，但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。共八十五頁電路(dinl)級網(wǎng)關(guān)示意圖共八十五頁4、狀態(tài)(zhungti)檢測技術(shù)狀態(tài)檢測（Stateful Inspection）技術(shù)現(xiàn)在應(yīng)用非常廣泛，是一種相當于4.5層的過濾技術(shù)它不限于包過濾防火墻的 3/4 層（網(wǎng)絡(luò)/傳輸層）過濾，又不需要應(yīng)用層網(wǎng)關(guān)防火墻的 5 層（應(yīng)用層）過濾。狀態(tài)檢測既提供了比包過濾防火墻更高的安全性和更靈活的

30、處理，也避免了應(yīng)用層網(wǎng)關(guān)防火墻帶來的速度降低的問題。實現(xiàn)狀態(tài)檢測最重要的是實現(xiàn)連接跟蹤功能需要為不同的通信協(xié)議開發(fā)(kif)單獨的連接跟蹤模塊。共八十五頁狀態(tài)(zhungti)檢測中的“狀態(tài)(zhungti)”狀態(tài)檢測防火墻對每個合法的網(wǎng)絡(luò)連接保存如下信息：源地址、目的地址、協(xié)議類型、協(xié)議相關(guān)信息（如TCP/UDP的端口號）、連接狀態(tài)（如TCP的連接狀態(tài)）和超時時間(shjin)等；防火墻把這些信息叫做“狀態(tài)”（如后圖）。通過狀態(tài)檢測，可以實現(xiàn)比簡單包過濾防火墻具有更大的安全性。共八十五頁過濾規(guī)則表狀態(tài)監(jiān)測表狀態(tài)檢測防火墻源地址目的地址協(xié)議類型源端口目標端口網(wǎng)絡(luò)連接的唯一標識服務(wù)器1服務(wù)器2服

31、務(wù)器n客戶端1客戶端2客戶端3客戶端m服務(wù)端口TCP連接狀態(tài)、超時時間等+防火墻中的“狀態(tài)”共八十五頁對TCP協(xié)議(xiy)的狀態(tài)檢測狀態(tài)檢測最典型的是針對TCP協(xié)議當防火墻接收到 TCP 的 SYN 包（握手）時，要對這個帶有 SYN 的數(shù)據(jù)包進行安全檢查（如利用過濾規(guī)則）如果接受該連接，則本次會話的“連接”信息被添加進狀態(tài)監(jiān)測表中。對于隨后的數(shù)據(jù)包，就將包信息和狀態(tài)監(jiān)測表中所記錄的連接內(nèi)容進行比較如果該包是某會話的一部分，并且狀態(tài)正確，則接受該數(shù)據(jù)包。該方式提高了系統(tǒng)性能(xngnng)因為只有新的請求連接數(shù)據(jù)包（SYN包）到來時，才會和過濾規(guī)則進行比較。（TCP協(xié)議狀態(tài)圖如下圖）共八十五

32、頁TCP 狀態(tài)圖：1、粗實線表示客戶端的正常路徑(ljng)；2、粗虛線表示服務(wù)器端的正常路徑；3、細線表示不常見的事件。 共八十五頁對TCP協(xié)議的狀態(tài)(zhungti)檢測（續(xù)）對TCP協(xié)議，有如下結(jié)論：1、TCP連接是有狀態(tài)的，連接進入到不同的階段有不同的狀態(tài)2、TCP連接狀態(tài)的轉(zhuǎn)換是有一定順序的，不能任意改變3、TCP連接過程中客戶端和服務(wù)端的可能狀態(tài)是有區(qū)別的如客戶端不可能進入到Listen狀態(tài)4、對于TCP包中的標志，有些標志是不可能同時存在的如SYN不能和FIN、RST、PSH同時存在根據(jù)這些原則，防火墻就可以判斷出連接雙方目前處于(chy)何種狀態(tài)，一旦發(fā)現(xiàn)數(shù)據(jù)包和狀態(tài)不符，就可

33、以認為該數(shù)據(jù)包狀態(tài)異常，從而拒絕另外這種方式對于一些端口掃描工具，也能很好對抗。共八十五頁對某些(mu xi)應(yīng)用協(xié)議的狀態(tài)檢測“狀態(tài)檢測”對于單一連接的協(xié)議來說相對比較簡單，只需要數(shù)據(jù)包頭的信息就可以(ky)進行跟蹤。但一些應(yīng)用層協(xié)議，可能會有這種情況：協(xié)議除了使用一個公開端口的主連接進行通信外，在通信過程中還會動態(tài)建立子連接進行數(shù)據(jù)傳輸，而子連接的端口號是在主連接中通過協(xié)商得到的隨機值。對于此類協(xié)議，用包過濾防火墻就只能打開所有端口才能允許通信，但這會帶來很大的安全隱患。而對于狀態(tài)檢測防火墻，則能夠進一步分析主連接中的內(nèi)容信息，識別出所協(xié)商的子連接的端口而在防火墻上將其動態(tài)打開，連接結(jié)束時

34、自動關(guān)閉，充分保證系統(tǒng)的安全。例子：FTP協(xié)議（見后）共八十五頁對FTP協(xié)議(xiy)的狀態(tài)檢測FTP標準模式例子FTP被動模式例子由客戶端指定共八十五頁對無連接協(xié)議的狀態(tài)(zhungti)檢測對于無連接協(xié)議（如UDP和ICMP協(xié)議），狀態(tài)檢測防火墻也可以建立起自己的“狀態(tài)”信息來進行跟蹤。如對于UDP協(xié)議，一方發(fā)出UDP包后（如DNS請求），防火墻會將從目的地址和目的端口返回的，到達(dod)源地址和源端口的包作為狀態(tài)相關(guān)的包而允許通過這樣同樣可以避免靜態(tài)的開放所有端口共八十五頁三、防火墻體系結(jié)構(gòu)1、雙重(shungchng)宿主主機（Dual-homed Host）體系結(jié)構(gòu)2、被屏蔽主機（

35、Screened Host）體系結(jié)構(gòu)3、被屏蔽子網(wǎng)（Screened Subnet）體系結(jié)構(gòu)共八十五頁1、雙重宿主(szh)主機體系結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)圍繞雙重宿主主機構(gòu)筑雙重宿主主機至少有兩個網(wǎng)絡(luò)接口，這樣的主機可以充當與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠使內(nèi)部網(wǎng)絡(luò)和外部(wib)網(wǎng)絡(luò)的數(shù)據(jù)包直接通過。然而雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種通信。在雙重宿主主機體系結(jié)構(gòu)中，外部網(wǎng)絡(luò)能與雙重宿主主機通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機通信，但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機的過濾和控制。可以在雙重宿主主機上安裝代理服務(wù)器軟件，為不同的服務(wù)提供轉(zhuǎn)發(fā)，并同時

36、根據(jù)策略進行過濾和控制。共八十五頁雙重(shungchng)宿主主機體系結(jié)構(gòu)示意圖共八十五頁2、被屏蔽(pngb)主機體系結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)防火墻沒有使用路由器，而被屏蔽主機體系結(jié)構(gòu)防火墻則使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連。此外，這種體系結(jié)構(gòu)包括堡壘主機堡壘主機是Internet上的主機能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)(xtng)，任何外部的系統(tǒng)(xtng)要訪問內(nèi)部的系統(tǒng)(xtng)或服務(wù)都必須先連接到這臺主機。在屏蔽路由器上設(shè)置數(shù)據(jù)包過濾策略，讓所有的外部連接只能到達內(nèi)部堡壘主機，

37、比如收發(fā)電子郵件。共八十五頁被屏蔽(pngb)主機體系結(jié)構(gòu)（續(xù)）在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案(fng n)之一設(shè)置：1、允許其它的內(nèi)部主機為了某些服務(wù)開放到Internet上的主機連接（允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù)）；2、不允許來自內(nèi)部主機的所有連接（強迫那些主機經(jīng)由堡壘主機使用代理服務(wù)）；3、對于內(nèi)部用戶對外部網(wǎng)絡(luò)的訪問，可以強制其經(jīng)過堡壘主機，也可以讓其直接經(jīng)過屏蔽路由器出去，針對不同的應(yīng)用采用不同的安全策略。共八十五頁被屏蔽(pngb)主機體系結(jié)構(gòu)示意圖共八十五頁3、被屏蔽(pngb)子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更

38、進一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開。周邊網(wǎng)絡(luò)是一個被隔離的獨立子網(wǎng)，充當(chngdng)了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的緩沖區(qū)，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”，即“非軍事區(qū)”（DeMilitarized Zone, DMZ）。共八十五頁被屏蔽(pngb)子網(wǎng)體系結(jié)構(gòu)（續(xù)）被屏蔽(pngb)子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為是兩個屏蔽(pngb)路由器，每一個都連接到周邊網(wǎng)一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間，這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，入侵者必須通過兩個路由

39、器即使入侵者侵入堡壘主機，它將仍然必須通過內(nèi)部路由器。共八十五頁被屏蔽(pngb)子網(wǎng)體系結(jié)構(gòu)（續(xù)）共八十五頁被屏蔽(pngb)子網(wǎng)結(jié)構(gòu)的優(yōu)點1、入侵者必須突破3個不同的設(shè)備才能入侵內(nèi)部網(wǎng)絡(luò)。2、 由于外部路由器只向Internet通告DMZ網(wǎng)絡(luò)的存在，Internet上的系統(tǒng)沒有路由器與內(nèi)部網(wǎng)絡(luò)相通，這樣網(wǎng)絡(luò)管理員就可以(ky)保證內(nèi)部網(wǎng)絡(luò)是“不可見”的。3、 由于內(nèi)部路由器只向內(nèi)部網(wǎng)絡(luò)通告DMZ網(wǎng)絡(luò)的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往Internet，這樣就保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過駐留在堡壘主機上的代理服務(wù)才能訪問Internet。4、 由于DMZ網(wǎng)絡(luò)是一個與內(nèi)部網(wǎng)絡(luò)不同的網(wǎng)絡(luò)，NA

40、T（網(wǎng)絡(luò)地址變換）可以安裝在堡壘主機上，從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng)。 共八十五頁堡壘(boli)主機（ Bastion Host）在防火墻體系中，堡壘主機位于內(nèi)部網(wǎng)絡(luò)的最外層，是網(wǎng)絡(luò)上最容易受到非法入侵的設(shè)備因此(ync)必須要致力于堡壘主機的安全，而且在運行期間對堡壘主機的安全給予特別的注意。構(gòu)建堡壘主機的要點如下：1、選擇合適的操作系統(tǒng)，關(guān)閉不需要的服務(wù)和功能；2、確定堡壘主機的安裝位置，最好處于一個獨立的網(wǎng)絡(luò)中，如DMZ；3、確定堡壘主機提供的服務(wù)；4、保護堡壘主機產(chǎn)生的系統(tǒng)日志；5、監(jiān)測和備份堡壘主機的數(shù)據(jù)。共八十五頁四、防火墻的發(fā)展趨勢1、目前防火墻在安全性、效率和功

41、能方面的矛盾還是比較突出，未來要求是高安全性和高效率，使用專門的芯片負責(zé)(fz)訪問控制功能、設(shè)計新的防火墻技術(shù)架構(gòu)；2、數(shù)據(jù)加密技術(shù)的使用，使合法訪問更安全；3、混合使用包過濾技術(shù)、代理服務(wù)器技術(shù)和其他一些新技術(shù)；4、分布式防火墻；5、對數(shù)據(jù)包的全方位的檢查。共八十五頁五、網(wǎng)絡(luò)安全的新技術(shù)(jsh)UTM隨著網(wǎng)絡(luò)的日益發(fā)展和繁多的應(yīng)用軟件的不斷更新，使得“復(fù)雜性”已成為企業(yè)IT管理部門(bmn)工作的代名詞。如今流行的傳統(tǒng)安全產(chǎn)品是狀態(tài)檢測防火墻、入侵檢測系統(tǒng)和基于主機的防病毒軟件，但它們面對新一代安全威脅時卻有些力不從心：1、從用戶角度來說，雖然安裝了防火墻，但是還避免不了蠕蟲泛濫、垃圾郵

42、件、病毒傳播以及拒絕服務(wù)的侵擾。 2、從入侵檢測單個產(chǎn)品來看，在提前預(yù)警方面存在著先天的不足，且精確定位和全局管理方面還有很大的空間。 3、雖然很多用戶在單機、終端都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補丁管理以及合規(guī)管理等方面。共八十五頁典型(dinxng)的網(wǎng)絡(luò)安全部署示意圖共八十五頁UTM定義(dngy)UTM：Unified Threat Management（統(tǒng)一威脅管理）IDC對UTM安全(nqun)設(shè)備的定義是：由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項或多項安全(nqun)功能。UTM 將多種安全特性集

43、成于一個硬設(shè)備里，構(gòu)成一個標準的統(tǒng)一管理平臺這和單純地在防火墻中整合其它安全功能不同，因為UTM更注重的是“對設(shè)備和對威脅的管理”，它致力于將各種各樣的網(wǎng)絡(luò)安全威脅消彌于無形之中，以達到防患于未然的終極目標。共八十五頁UTM的功能(gngnng)UTM設(shè)備應(yīng)該具備的基本功能包括：網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測和網(wǎng)關(guān)防病毒這幾項功能并不一定要同時都得到使用，但它們應(yīng)該是UTM設(shè)備自身固有的功能。UTM安全設(shè)備也可能包括其它功能特性例如安全管理、日志、策略管理、服務(wù)質(zhì)量（QoS）、負載均衡（LB）、高可用性（HA）和報告(bogo)帶寬管理等。共八十五頁UTM的功能(gngnng)（續(xù)）共八十五頁UTM

44、的典型(dinxng)技術(shù)1、完全性內(nèi)容保護（CCP） 完全性內(nèi)容保護(Complete Content Protection, 簡稱CCP)提供對OSI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實時保護。這種方法比防火墻狀態(tài)檢測（檢查數(shù)據(jù)包頭）和深度包檢測（在狀態(tài)檢測包過濾基礎(chǔ)上提供額外檢查）等技術(shù)先進，它具備在千兆網(wǎng)絡(luò)環(huán)境中，實時將網(wǎng)絡(luò)層數(shù)據(jù)負載重組為應(yīng)用層對象的能力，而且重組之后的應(yīng)用層對象可以通過動態(tài)更新病毒和蠕蟲特征(tzhng)來進行掃描和分析。CCP還可探測其它各種威脅，包括不良Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙。共八十五頁UTM的典型(dinxng)技術(shù)（續(xù)）2、ASIC 加速技術(shù)ASIC芯片是UTM產(chǎn)品的一個關(guān)鍵組成部分。它是為提供千兆級實時的應(yīng)用層安全服務(wù)的平臺，它是專門為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容(nirng)處理設(shè)計的體系結(jié)構(gòu)所必不可少的。ASIC芯片集成了硬件掃描引擎、硬件加密和實時內(nèi)容分析處理能力，提供防火墻、加密/解密，特征匹配和啟發(fā)式數(shù)據(jù)包掃描，以及流量整形的加速功能。共八十五頁UTM的典型(dinxng)技術(shù)（續(xù)）3、定制的操作系統(tǒng)（OS）專用的強化安全的OS提供精簡的、高性能防火墻和內(nèi)容安全檢測平臺?；趦?nèi)容處理加速模塊的硬件加速，加上智能排隊和管道管理，OS使各種類型流量的處理時間達到最小，從而(