防火墻-防火墻技術(shù)備課講稿

防火墻-防火墻技術(shù)防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。防火墻防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。通過防火墻可以隔離風險區(qū)域（Internet或有一定風險的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙安全區(qū)域?qū)︼L險區(qū)域的訪問。防火墻的定義防火墻嵌入在局域網(wǎng)和Internet連接的網(wǎng)關(guān)上所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)都必須通過防火墻（物理上阻塞其它所有訪問）只有符合安全政策的數(shù)據(jù)流才能通過防火墻防火墻特征確保一個單位內(nèi)的網(wǎng)絡(luò)與因特網(wǎng)的通信符合該單位的安全方針，簡單地說，就是要為管理人員提供下列問題的答案：–誰在使用網(wǎng)絡(luò)？–他們在網(wǎng)絡(luò)上做什么？–他們什么時間使用了網(wǎng)絡(luò)？–他們上網(wǎng)去了何處？–誰試圖上網(wǎng)但沒有成功？防火墻的作用根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能?？梢韵拗莆词跈?quán)的用戶進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問特殊站點由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對獨立的網(wǎng)絡(luò)，例如Intranet等種類相對集中的網(wǎng)絡(luò)。Internet上的Web網(wǎng)站中，超過三分之一的站點都是有某種防火墻保護的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放在防火墻之后。防火墻的功能防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)了集中的安全管理，可以強化網(wǎng)絡(luò)安全策略，比分散的主機管理更經(jīng)濟易行防火墻能防止非授權(quán)用戶進入內(nèi)部網(wǎng)絡(luò)，有效地對抗外部網(wǎng)絡(luò)入侵由于所有的訪問都經(jīng)過防火墻，防火墻成為審計和記錄網(wǎng)絡(luò)的訪問和使用的最佳地點，可以方便地監(jiān)視網(wǎng)絡(luò)的安全性并報警?？梢宰鳛椴渴鹁W(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）的地點，利用NAT技術(shù)，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可以實現(xiàn)重點網(wǎng)段的分離，從而限制安全問題的擴散。防火墻可以作為IPSec的平臺，可以基于隧道模式實現(xiàn)VPN 。防火墻的優(yōu)點為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，給用戶帶來使用的不便。防火墻不能對繞過防火墻的攻擊提供保護，如撥號上網(wǎng)等。不能對內(nèi)部威脅提供防護支持。受性能限制，防火墻對病毒傳輸保護能力弱。防火墻對用戶不完全透明，可能帶來傳輸延遲、性能瓶頸及單點失效。防火墻不能有效地防范數(shù)據(jù)內(nèi)容驅(qū)動式攻擊。作為一種被動的防護手段，防火墻不能自動防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。防火墻的局限性在構(gòu)筑防火墻之前,需要制定一套完整有效的安全戰(zhàn)略網(wǎng)絡(luò)服務(wù)訪問策略

一種高層次的具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許或禁止的服務(wù)。

防火墻安全規(guī)則設(shè)計策略

一種是“一切未被允許的就是禁止的”，一種是“一切未被禁止的都是允許的”。第一種的特點是安全性好，但是用戶所能使用的服務(wù)范圍受到嚴格限制。第二種的特點是可以為用戶提供更多的服務(wù)，但是在日益增多的網(wǎng)絡(luò)服務(wù)面前，很難為用戶提供可靠的安全防護。防火墻策略常見的防火墻有三種類型：分組（包）過濾防火墻；應(yīng)用代理防火墻；狀態(tài)檢測防火墻。防火墻的分類分組過濾（PacketFiltering）：包過濾；作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層；根據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過；只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。防火墻的分類-分組過濾應(yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway）；它作用在應(yīng)用層，其特點是完全“阻隔”網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。防火墻的分類-應(yīng)用代理狀態(tài)檢測（StatusDetection）：直接對分組里的數(shù)據(jù)進行處理，并且結(jié)合前后分組的數(shù)據(jù)進行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過。防火墻的分類-狀態(tài)檢測數(shù)據(jù)包過濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來確定是否轉(zhuǎn)發(fā)或丟棄所各個數(shù)據(jù)包。通常情況下，如果規(guī)則中沒有明確允許指定數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄分組過濾防火墻分組過濾防火墻的工作機制對每個經(jīng)過的IP包應(yīng)用安全規(guī)則集合檢查，決定是轉(zhuǎn)發(fā)或者丟棄該包過濾包是雙向的過濾規(guī)則基于與IP或TCP包頭中字段的匹配（如四元組：源IP地址、目的IP地址、源端口、目的端口）兩種缺省策略（丟棄或允許）分組過濾防火墻優(yōu)點：簡單對用戶透明高速缺點：對于利用特定應(yīng)用的攻擊，防火墻無法防范配置安全規(guī)則比較困難缺少鑒別，不支持高級用戶認證日志功能有限分組過濾防火墻IP地址欺騙：丟棄那些從外部接口到達的，但卻具有內(nèi)部IP地址的包路由選路攻擊：丟棄所有設(shè)置該選項的包微小分片攻擊：丟棄協(xié)議類型是TCP并且IP分片標志為1的分片包可能的攻擊和相應(yīng)對策一個可靠的分組過濾防火墻依賴于規(guī)則集，表列出了幾條典型的規(guī)則集。第一條規(guī)則：主機任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。第二條規(guī)則：任何主機的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。第三條規(guī)則：任何主機的20端口訪問主機小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP分組過濾防火墻WinRoute目前應(yīng)用比較廣泛，既可以作為一個服務(wù)器的防火墻系統(tǒng)，也可以作為一個代理服務(wù)器軟件。案例：用WinRoute創(chuàng)建包過濾規(guī)則

以管理員身份安裝該軟件，安裝完畢后，啟動“WinRouteAdministration”，WinRoute的管理界面如圖所示。默認情況下，該密碼為空。點擊按鈕“OK”，進入系統(tǒng)管理。當系統(tǒng)安裝完畢以后，該主機就將不能上網(wǎng)，需要修改默認設(shè)置，點擊工具欄圖標，出現(xiàn)本地網(wǎng)絡(luò)設(shè)置對話框，然后查看“Ethernet”的屬性，將兩個復選框全部選中，如圖所示。利用WinRoute創(chuàng)建包過濾規(guī)則，創(chuàng)建的規(guī)則內(nèi)容是：防止主機被別的計算機使用“Ping”指令探測。選擇菜單項“PacketFilter”。在包過濾對話框中可以看出目前主機還沒有任何的包規(guī)則。選中圖中網(wǎng)卡圖標，單擊按鈕“添加”。出現(xiàn)過濾規(guī)則添加對話框，所有的過濾規(guī)則都在此處添加，如圖9-9所示。因為“Ping”指令用的協(xié)議是ICMP，所以這里要對ICMP協(xié)議設(shè)置過濾規(guī)則。在協(xié)議下拉列表中選擇“ICMP”，如圖所示。在“ICMPType”欄目中，將復選框全部選中。在“Action”欄目中，選擇單選框“Drop”。在“LogPacket”欄目中選中“LogintoWindow”，創(chuàng)建完畢后點擊按鈕“OK”，一條規(guī)則就創(chuàng)建完畢，如圖所示。為了使設(shè)置的規(guī)則生效，點擊按鈕“應(yīng)用”，如圖所示。設(shè)置完畢，該主機就不再響應(yīng)外界的“Ping”指令了，使用指令“Ping”來探測主機，將收不到回應(yīng)，如圖所示。雖然主機沒有響應(yīng)，但是已經(jīng)將事件記錄到安全日志了。選擇菜單欄“View”下的菜單項“Logs>SecurityLogs”，察看日志紀錄如圖所示。FTP服務(wù)用TCP協(xié)議，F(xiàn)TP占用TCP的21端口，主機的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。組序號動作源IP目的IP源端口目的端口協(xié)議類型1禁止*09*21TCP案例：用WinRoute禁用FTP訪問

利用WinRoute建立訪問規(guī)則，如圖所示。設(shè)置訪問規(guī)則以后，再訪問主機“09”的FTP服務(wù)，將遭到拒絕，如圖所示。訪問違反了訪問規(guī)則，會在主機的安全日志中記錄下來，如圖所示。HTTP服務(wù)用TCP協(xié)議，占用TCP協(xié)議的80端口，主機的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。組序號動作源IP目的IP源端口目的端口協(xié)議類型1禁止*09*80TCP案例：用WinRoute禁用HTTP訪問

利用WinRoute建立訪問規(guī)則，如圖所示。打開本地的IE連接遠程主機的HTTP服務(wù)，將遭到拒絕，如圖所示。訪問違反了訪問規(guī)則，所以在主機的安全日志中記錄下來，如圖所示。應(yīng)用代理（ApplicationProxy）是運行在防火墻上的一種服務(wù)器程序，防火墻主機可以是一個具有兩個網(wǎng)絡(luò)接口的雙重宿主主機，也可以是一個堡壘主機。代理服務(wù)器被放置在內(nèi)部服務(wù)器和外部服務(wù)器之間，用于轉(zhuǎn)接內(nèi)外主機之間的通信，它可以根據(jù)安全策略來決定是否為用戶進行代理服務(wù)。代理服務(wù)器運行在應(yīng)用層，因此又被稱為“應(yīng)用網(wǎng)關(guān)”。應(yīng)用代理防火墻應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)的工作機制優(yōu)點：網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實施更細粒度的訪問控制，因此比包過濾更安全易于配置，界面友好不允許內(nèi)外網(wǎng)主機的直接連接只需要詳細檢查幾個允許的應(yīng)用程序?qū)M出數(shù)據(jù)進行日志和審計比較容易缺點：額外的處理負載，處理速度比包過濾慢對每一類應(yīng)用，都需要一個專門的代理靈活性不夠應(yīng)用級網(wǎng)關(guān)常見防火墻系統(tǒng)模型

常見防火墻系統(tǒng)一般按照四種模型構(gòu)建：篩選路由器模型；單宿主堡壘主機（屏蔽主機防火墻）模型；雙宿主堡壘主機（屏蔽防火墻系統(tǒng)）模型；屏蔽子網(wǎng)模型。堡壘主機:BastionHost堡壘主機是一種配置了安全防范措施的網(wǎng)絡(luò)上的計算機，堡壘主機為網(wǎng)絡(luò)之間的通信提供了一個阻塞點，也就是說如果沒有堡壘主機，網(wǎng)絡(luò)之間將不能相互訪問。雙宿主機:Dual-homedHost有兩個網(wǎng)絡(luò)接口的計算機系統(tǒng),一個接口接內(nèi)部網(wǎng),一個接口接外部網(wǎng)。一些概念安裝安全操作系統(tǒng)只安裝重要服務(wù)，如Telnet、DNS、FTP、SMTP等需要進行鑒別每個代理配置成只支持標準命令集的一個子集每個代理配置成只允許訪問指定的主機所有連接、通信都執(zhí)行日志審計各代理間相互獨立每個代理都運行在專用和安全的目錄中堡壘主機特征篩選路由器模型

篩選路由器模型是網(wǎng)絡(luò)的第一道防線，功能是實施包過濾。如果篩選路由器被黑客攻破那么內(nèi)部網(wǎng)絡(luò)將變的十分的危險。該防火墻不能夠隱藏你的內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。單宿主堡壘主機模型單宿主堡壘主機（屏蔽主機防火墻）模型由包過濾路由器和堡壘主機組成。該防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高，因為它實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。雙宿主堡壘主機模型

雙宿主堡壘主機模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機有兩種網(wǎng)絡(luò)接口但是主機在兩個端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機。屏蔽子網(wǎng)模型屏蔽子網(wǎng)模型用了兩個包過濾路由器和一個堡壘主機。它是最安全的防火墻系統(tǒng)之一，因為在定義了“中立區(qū)”(DMZ，DemilitarizedZone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設(shè)備。防火墻配置之一

（單地址堡壘主機）典型的路由器安全規(guī)則配置：對于來自Internet的數(shù)據(jù)包，只有目標指定為堡壘主機的IP包才允許進入對于來自內(nèi)部網(wǎng)的數(shù)據(jù)包，只有來自堡壘主機的IP包才允許發(fā)出堡壘主機執(zhí)行鑒別和代理服務(wù)比簡單地配置單獨的包過濾路由器或應(yīng)用級網(wǎng)關(guān)具有更大的安全性：既實現(xiàn)了包一級又實現(xiàn)了應(yīng)用級的過濾一個入侵者必須同時滲透兩個單獨的系統(tǒng)同時也為支持直接的Internet訪問提供了靈活性（如配置Web服務(wù)器，可以將路由器配置成允許直接通信）單地址堡壘主機防火墻配置之二

（雙地址堡壘主機）設(shè)置成雙地址后，所有的專用網(wǎng)主機（如Web服務(wù)器）與Internet的通信都必須通過堡壘主機，比單地址方式對安全的要求更為嚴格雙地址堡壘主機防火墻配置之三

（屏蔽的子網(wǎng)防火墻）采用了兩個包過濾路由器和一個堡壘主機，在內(nèi)外網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng)，定義為“非軍事化區(qū)（de-militarizedzone；DMZ）”網(wǎng)絡(luò)管理員將堡壘主機，WEB服務(wù)器、Mail服務(wù)器等公用服務(wù)器放在DMZ中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問DMZ，但禁止它們穿過DMZ直接進行通信。這