第7章 防火墻技術(shù)

第7章防火墻技術(shù)

2

課程主要內(nèi)容防火墻概述防火墻體系結(jié)構(gòu)防火墻分類防火墻配置

2

3

防火墻的英文名稱為Firewall，該詞是早期建筑領(lǐng)域的專用術(shù)語(yǔ)，原指建筑物間的一堵隔離墻，用途是在建筑物失火時(shí)阻止火勢(shì)的蔓延。

在現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)中，防火墻通常位于一個(gè)可信任的內(nèi)部網(wǎng)絡(luò)與一個(gè)不可信任的外界網(wǎng)絡(luò)之間，用于保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。它在網(wǎng)絡(luò)環(huán)境下構(gòu)筑內(nèi)部網(wǎng)和外部網(wǎng)之間的保護(hù)層，并通過(guò)網(wǎng)絡(luò)路由和信息過(guò)濾的安全實(shí)現(xiàn)網(wǎng)絡(luò)的安全，其會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。

§7.1

防火墻概述

3

4防火墻系統(tǒng)的邏輯部署下圖所示。防火墻邏輯部署示意圖

4

通常防火墻建立在內(nèi)部網(wǎng)和Internet之間的一個(gè)路由器或計(jì)算機(jī)上，該計(jì)算機(jī)也叫堡壘主機(jī)。它就如同一堵帶有安全門的墻，可以阻止外界對(duì)內(nèi)部網(wǎng)資源的非法訪問(wèn)和通行合法訪問(wèn)，也可以防止內(nèi)部對(duì)外部網(wǎng)的不安全訪問(wèn)和通行安全訪問(wèn)。

5

防火墻一般具有三個(gè)顯著的特性：

（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻；只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。

（2）只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻

；

防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。

（3）防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。

這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。

6

7防火墻的功能：

防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中不同信任程度區(qū)域間傳送的數(shù)據(jù)流。

具體體現(xiàn)在以下四個(gè)方面：

（1）防火墻是網(wǎng)絡(luò)安全的屏障；

（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略；

（3）防火墻可以對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)；

（4）防火墻可以防范內(nèi)部信息的外泄。

除此上述的安全防護(hù)功能之外，防火墻上還可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），虛擬專用網(wǎng)（VPN）等其他功能?！?.1

防火墻概述

7

8防火墻的缺陷：

防火墻是網(wǎng)絡(luò)安全體系中的重要組成部分，但是僅通過(guò)防火墻技術(shù)是不能解決所有的安全問(wèn)題的，防火墻在安全防范中的主要缺陷包括：傳統(tǒng)的防火墻不能防范來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊；防火墻不能防范不通過(guò)防火墻的攻擊；防火墻不能防范惡意代碼的傳輸；防火墻不能防范利用標(biāo)準(zhǔn)協(xié)議缺陷進(jìn)行的攻擊；防火墻不能防范利用服務(wù)器系統(tǒng)漏洞進(jìn)行的攻擊；防火墻不能防范未知的網(wǎng)絡(luò)安全問(wèn)題；防火墻對(duì)已有的網(wǎng)絡(luò)服務(wù)有一定的限制?！?.1

防火墻概述

8

防火墻技術(shù)分代出現(xiàn)時(shí)間采用技術(shù)第一代防火墻1984年包過(guò)濾技術(shù)第二代防火墻1989年應(yīng)用網(wǎng)關(guān)技術(shù)第三代防火墻1992年?duì)顟B(tài)檢測(cè)技術(shù)第四代防火墻1998年自適應(yīng)代理技術(shù)基于防火墻技術(shù)原理分類：有包過(guò)濾防火墻、代理服務(wù)器防火墻、狀態(tài)檢測(cè)防火墻和自適應(yīng)代理防火墻§7.2

防火墻分類

9

101.包過(guò)濾技術(shù)

包過(guò)濾技術(shù)也稱為分組過(guò)濾技術(shù)。它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來(lái)檢測(cè)攻擊行為，在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。過(guò)濾規(guī)則以用于IP順行處理的包頭信息為基礎(chǔ)，不理會(huì)包內(nèi)的正文信息內(nèi)容。

包過(guò)濾工作原理示意圖§7.2

防火墻分類

10

11分組過(guò)濾防火墻的過(guò)濾規(guī)則示例

上例中，規(guī)則庫(kù)中僅有4條規(guī)則。規(guī)則1允許內(nèi)網(wǎng)的機(jī)器（10.1.1.*網(wǎng)段）訪問(wèn)外網(wǎng)服務(wù)；規(guī)則2允許外界通過(guò)端口80訪問(wèn)內(nèi)網(wǎng)的服務(wù)器，即打開(kāi)的web服務(wù)器對(duì)外的HTTP服務(wù)；規(guī)則3允許外界通過(guò)端口53訪問(wèn)內(nèi)網(wǎng)的服務(wù)器，53號(hào)端口是DNS服務(wù)；規(guī)則4禁止了所有其它類型的數(shù)據(jù)包。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許10.1.1.****TCP2允許*>102380TCP3允許*>102353UDP4禁止任意任意任意任意任意§7.2

防火墻分類

11

包過(guò)濾防火墻是最簡(jiǎn)單的防火墻，通常它只包括對(duì)源IP地址和目的IP地址及端口的檢查。包過(guò)濾防火墻通常是一個(gè)具有包過(guò)濾功能的路由器。因?yàn)槁酚善鞴ぷ髟诰W(wǎng)絡(luò)層，因此包過(guò)濾防火墻又叫網(wǎng)絡(luò)層防火墻。包過(guò)濾是在網(wǎng)絡(luò)的出口(如路由器上)對(duì)通過(guò)的數(shù)據(jù)包進(jìn)行檢測(cè)，只有滿足條件的數(shù)據(jù)包才允許通過(guò)，否則被拋棄。這樣可以有效地防止惡意用戶利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)進(jìn)行攻擊。

12

13包過(guò)濾技術(shù)的優(yōu)勢(shì)包過(guò)濾技術(shù)的優(yōu)勢(shì)在于其容易實(shí)現(xiàn)，費(fèi)用少，對(duì)性能的影響不大，對(duì)流量的管理較出色；使用一個(gè)過(guò)濾路由器就能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)，目前多數(shù)Internet防火墻系統(tǒng)只用一個(gè)包過(guò)濾路由器；包過(guò)濾速度快、效率高。執(zhí)行包過(guò)濾，由于只檢查報(bào)頭相應(yīng)的字段，不查看數(shù)據(jù)報(bào)的內(nèi)容；包過(guò)濾對(duì)終端用戶和應(yīng)用程序是透明的。當(dāng)數(shù)據(jù)包過(guò)濾路由器決定讓數(shù)據(jù)包通過(guò)時(shí)，它與普通路由器沒(méi)什么區(qū)別，甚至用戶沒(méi)有認(rèn)識(shí)到它的存在，因此不需要專門的用戶培訓(xùn)或在每個(gè)主機(jī)上設(shè)置特別的軟件。

13

14包過(guò)濾技術(shù)的局限性

定義包過(guò)濾器可能是一項(xiàng)復(fù)雜的工作。網(wǎng)絡(luò)管理人員需要詳細(xì)地了解Internet各種服務(wù)、包頭格式和希望每個(gè)域查找的特定的值。

路由器數(shù)據(jù)包的吞吐量隨過(guò)濾器數(shù)量的增加而減少。

不能徹底防止地址欺騙。大多數(shù)包過(guò)濾路由器都是基于源IP地址、目的IP地址而進(jìn)行過(guò)濾的，而IP地址的偽造是很容易、很普遍的。

一些包過(guò)濾路由器不提供或只提供有限的日志能力，有可能直到入侵發(fā)生后，危險(xiǎn)的包才可能檢測(cè)出來(lái)。

包過(guò)濾技術(shù)不能進(jìn)行應(yīng)用層的深度檢查，因此不能發(fā)現(xiàn)傳輸?shù)膼阂獯a及攻擊數(shù)據(jù)包?！?.2

防火墻分類

14

152.應(yīng)用網(wǎng)關(guān)技術(shù)

應(yīng)用網(wǎng)關(guān)（ApplicationGateway）技術(shù)又被稱為代理技術(shù)。它的邏輯位置在OSI7層協(xié)議的應(yīng)用層上。應(yīng)用代理防火墻比分組過(guò)濾防火墻提供更高層次的安全性，但這是以喪失對(duì)應(yīng)用程序的透明性為代價(jià)的。

應(yīng)用代理防火墻工作流程圖§7.2

防火墻分類

15

代理服務(wù)是運(yùn)行在防火墻主機(jī)上的特定的應(yīng)用程序或服務(wù)程序。防火墻主機(jī)可以是具有一個(gè)內(nèi)部網(wǎng)接口和一個(gè)外部網(wǎng)接口的雙穴(DuelHomed)主機(jī)，也可以是一些可以訪問(wèn)Internet并可被內(nèi)部主機(jī)訪問(wèn)的堡壘主機(jī)。代理服務(wù)位于內(nèi)部用戶和外部服務(wù)之間。代理程序在幕后處理所有用戶和Internet服務(wù)之間的通信以代替相互間的直接交談。感覺(jué)的連接實(shí)際的連接代理服務(wù)器內(nèi)部網(wǎng)絡(luò)Internet真正的服務(wù)器客戶機(jī)

16

17應(yīng)用代理防火墻能夠提供更高層次的安全性：首先應(yīng)用代理防火墻將保護(hù)網(wǎng)絡(luò)與外界完全隔離，并提供更細(xì)致的日志。這有助于發(fā)現(xiàn)入侵行為；應(yīng)用代理防火墻本身是一臺(tái)主機(jī)，可以執(zhí)行諸如身份驗(yàn)證等功能；應(yīng)用代理防火墻檢測(cè)的深度更深，能夠進(jìn)行應(yīng)用級(jí)的過(guò)濾。

例如，有的應(yīng)用代理防火墻可以過(guò)濾FTP連接并禁止FTP的“put”命令，從而保證用戶不能往匿名FTP服務(wù)器上寫(xiě)入數(shù)據(jù)；由于域名系統(tǒng)（DNS）的信息不會(huì)從受保護(hù)的內(nèi)部網(wǎng)絡(luò)傳到外界，所以站點(diǎn)系統(tǒng)的名字和IP地址對(duì)Internet是隱蔽的?！?.2

防火墻分類

17

對(duì)于用戶，代理服務(wù)器給用戶一種直接使用“真正”服務(wù)器的感覺(jué)；對(duì)于真正的服務(wù)器，代理服務(wù)器給真正服務(wù)器一種在代理主機(jī)上直接處理用戶的假象。用戶將對(duì)“真正”服務(wù)器的請(qǐng)求交給代理服務(wù)器，代理服務(wù)器評(píng)價(jià)來(lái)自客戶的請(qǐng)求，并作出認(rèn)可或否認(rèn)的決定。如果一個(gè)請(qǐng)求被認(rèn)可，代理服務(wù)器就代表客戶將請(qǐng)求轉(zhuǎn)發(fā)給“真正”的服務(wù)器，并將服務(wù)器的響應(yīng)返回給代理客戶。

18

193.狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。

與傳統(tǒng)包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，狀態(tài)檢測(cè)技術(shù)具有更好的靈活性和安全性。狀態(tài)檢測(cè)防火墻是包過(guò)濾技術(shù)及應(yīng)用代理技術(shù)的一個(gè)折衷。。

§7.2

防火墻分類

19

狀態(tài)檢測(cè)防火墻監(jiān)視每一個(gè)有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能通過(guò)防火墻。它在協(xié)議底層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一時(shí)刻的數(shù)據(jù)包和狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，來(lái)達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。狀態(tài)檢測(cè)防火墻克服了包過(guò)濾防火墻和應(yīng)用代理服務(wù)器的局限性，能夠根據(jù)協(xié)議、端口及源地址、目的地址的具體情況決定數(shù)據(jù)包是否可以通過(guò)。對(duì)于每個(gè)安全策略允許的請(qǐng)求，狀態(tài)檢測(cè)防火墻啟動(dòng)相應(yīng)的進(jìn)程，可以快速地確認(rèn)符合授權(quán)標(biāo)準(zhǔn)的數(shù)據(jù)包，這使得本身的運(yùn)行速度很快?！?.2

防火墻分類

20

狀態(tài)檢測(cè)防火墻試圖跟蹤通過(guò)防火墻的網(wǎng)絡(luò)連接和包，這樣它就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。狀態(tài)檢測(cè)防火墻是在使用了基本包過(guò)濾防火墻的通信上應(yīng)用一些技術(shù)來(lái)做到這點(diǎn)的。由狀態(tài)檢測(cè)防火墻跟蹤的不僅是包中包含的信息，為了跟蹤包的狀態(tài)，防火墻還記錄有用的信息以幫助識(shí)別包，例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請(qǐng)求等。狀態(tài)檢測(cè)技術(shù)還能監(jiān)視RPC(遠(yuǎn)程調(diào)用請(qǐng)求)和UDP的端口信息。包過(guò)濾防火墻和代理服務(wù)防火墻都不支持此類端口的檢測(cè)?！?.2

防火墻分類

21

4.自適應(yīng)代理技術(shù)新型的自適應(yīng)代理(Adaptiveproxy)防火墻，本質(zhì)上也屬于代理服務(wù)技術(shù)，但它也結(jié)合了動(dòng)態(tài)包過(guò)濾(狀態(tài)檢測(cè))技術(shù)。自適應(yīng)代理技術(shù)是在商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性的技術(shù)。組成這類防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器與動(dòng)態(tài)包過(guò)濾器。它結(jié)合了代理服務(wù)防火墻安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在保證安全性的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上?！?.2

防火墻分類

22

在自適應(yīng)代理與動(dòng)態(tài)包過(guò)濾器之間存在一個(gè)控制通道。在對(duì)防火墻進(jìn)行配置時(shí)，用戶僅僅將所需要的服務(wù)類型、安全級(jí)別等信息通過(guò)相應(yīng)代理的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)器從應(yīng)用層代理請(qǐng)求，還是使用動(dòng)態(tài)包過(guò)濾器從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動(dòng)態(tài)地通知包過(guò)濾器增減過(guò)濾規(guī)則，滿足用戶對(duì)速度和安全性的雙重要求?！?.2

防火墻分類

23

常見(jiàn)的免費(fèi)個(gè)人防火墻有：天網(wǎng)防火墻個(gè)人版、瑞星個(gè)人防火墻、360木馬防火墻、江民黑客防火墻和金山網(wǎng)標(biāo)等。著名的個(gè)人防火墻產(chǎn)品如著名Symantec公司的諾頓、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的FreeZoneAlarm

等?！?.2

防火墻分類

24

瑞星個(gè)人防火墻的設(shè)置與使用

25

瑞星個(gè)人防火墻的設(shè)置與使用

26

瑞星個(gè)人防火墻的設(shè)置與使用

27

瑞星個(gè)人防火墻的設(shè)置與使用

28

29防火墻的體系結(jié)構(gòu)

防火墻在網(wǎng)絡(luò)中的部署位置也稱為防火墻的體系結(jié)構(gòu)，常見(jiàn)防火墻系統(tǒng)的體系結(jié)構(gòu)有4種：

篩選路由器體系結(jié)構(gòu)

單宿主堡壘主機(jī)體系結(jié)構(gòu)

雙宿主堡壘主機(jī)體系結(jié)構(gòu)

屏蔽子網(wǎng)體系結(jié)構(gòu)§7.3

防火墻的體系結(jié)構(gòu)

29

安裝防火墻以前的網(wǎng)絡(luò)

§7.3

防火墻的體系結(jié)構(gòu)

30

安裝防火墻后的網(wǎng)絡(luò)

§7.3

防火墻的體系結(jié)構(gòu)

31

DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。通過(guò)這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)攻擊者來(lái)說(shuō)又多了一道關(guān)卡。這樣，不管是外部還是內(nèi)部與對(duì)外服務(wù)器交換信息數(shù)據(jù)也要通過(guò)防火墻，實(shí)現(xiàn)了真正意義上的保護(hù)。

DMZ區(qū)(demilitarizedzone，也稱非軍事區(qū))§7.3

防火墻的體系結(jié)構(gòu)

32

1、雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口?？沙洚?dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。

實(shí)現(xiàn)雙重