防火墻技術及應用

防火墻技術及應用防火墻技術概述防火墻的概念防火墻是指設置在不同網(wǎng)絡（如可信賴的企業(yè)內部局域網(wǎng)和不可信賴的公共網(wǎng)絡）之間或網(wǎng)絡安全域之間的一系列部件的組合，通過監(jiān)測、限制、更改進入不同網(wǎng)絡或不同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內部的信息、結構和運行狀況，以防止發(fā)生不可預測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡的安全保護。

防火墻=硬件+軟件+控制策略第2頁,共45頁，2024年2月25日，星期天防火墻是實現(xiàn)網(wǎng)絡和信息安全的基礎設施，一個高效可靠的防火墻應用具備以下的基本特性：防火墻是不同網(wǎng)絡之間，或網(wǎng)絡的不同安全域之間的唯一出入口，從里到外(inbound)和從外到里(outbound)的所有信息都必須通過防火墻；通過安全策略來控制不同網(wǎng)絡或網(wǎng)絡不同安全域之間的通信，只有本地安全策略授權的通信才允許通過；防火墻本身是免疫的，即防火墻本身具有較強的抗攻擊能力。

Internet外部(不可信)的網(wǎng)絡Intranet內部(受保護)網(wǎng)絡不能隨便進來，當然也不能隨便出去第3頁,共45頁，2024年2月25日，星期天防火墻的基本功能監(jiān)控并限制訪問控制協(xié)議和服務保護內部網(wǎng)絡網(wǎng)絡地址轉換（NAT）虛擬專用網(wǎng)（VPN）日志記錄與審計第4頁,共45頁，2024年2月25日，星期天防火墻的基本原理所有的防火墻功能的實現(xiàn)都依賴于對通過防火墻的數(shù)據(jù)包的相關信息進行檢查，而且檢查的項目越多、層次越深，則防火墻越安全。由于現(xiàn)在計算機網(wǎng)絡結構采用自頂向下的分層模型，而分層的主要依據(jù)是各層的功能劃分，不同層次功能的實現(xiàn)又是通過相關的協(xié)議來實現(xiàn)的。所以，防火墻檢查的重點是網(wǎng)絡協(xié)議及采用相關協(xié)議封裝的數(shù)據(jù)。第5頁,共45頁，2024年2月25日，星期天防火墻提供的機制

-服務控制(servicecontrol)確定可以訪問的Internet服務類型(雙向的)。防火墻可以基于IP地址、協(xié)議和TCP端口號對流量進行過濾；或者提供代理軟件，對收到的每個服務請求進行解釋，然后才允許通過防火墻用來控制訪問和執(zhí)行站點安全策略的四種通用技術。第6頁,共45頁，2024年2月25日，星期天防火墻提供的機制

-方向控制(directioncontrol)確定特點服務請求發(fā)起和允許通過防火墻的方向。第7頁,共45頁，2024年2月25日，星期天防火墻提供的機制

-用戶控制(usercontrol)根據(jù)試圖訪問服務器的用戶來控制服務器的訪問權限。通常這個功能應用于在防火墻周界以內的用戶(即本地用戶)。也可以用于來自外部用戶的流量。第8頁,共45頁，2024年2月25日，星期天防火墻提供的機制

-行為控制(behaviorcontrol)控制特點服務的使用方法。過濾垃圾郵件；控制外部用戶只能對本地Web服務器上的部分信息進行訪問。第9頁,共45頁，2024年2月25日，星期天防火墻的基本準則默認丟棄-所有未被允許的就是禁止的

所有未被允許的就是禁止的，這一準則是指根據(jù)用戶的安全管理策略，所有未被允許的通信禁止通過防火墻。默認轉發(fā)-所有未被禁止的就是允許的

所有未被禁止的就是允許的，這一準則是指根據(jù)用戶的安全管理策略，防火墻轉發(fā)所有信息流，允許所有的用戶和站點對內部網(wǎng)絡的訪問，然后網(wǎng)絡管理員按照IP地址等參數(shù)對未授權的用戶或不信任的站點進行逐項屏蔽。先否定一切先肯定一切第10頁,共45頁，2024年2月25日，星期天防火墻的應用防火墻在網(wǎng)絡中的位置-多應用于一個局域網(wǎng)的出口處或置于兩個網(wǎng)絡中間。財務處實驗室第11頁,共45頁，2024年2月25日，星期天使用了防火墻后的網(wǎng)絡組成-三部分

防火墻是構建可信賴網(wǎng)絡域的安全產(chǎn)品。當一個網(wǎng)絡在加入了防火墻后，防火墻將成為不同安全域之間的一個屏障，原來具有相同安全等級的主機或區(qū)域將會因為防火墻的介入而發(fā)生變化.信賴域和非信賴域信賴主機和非信賴主機DMZ(Demilitarizedzone)稱為“隔離區(qū)”或“非軍事化區(qū)”，它是介于信賴域和非信賴域之間的一個安全區(qū)域。

第12頁,共45頁，2024年2月25日，星期天防火墻應用的局限性防火墻不能防范未通過自身的網(wǎng)絡連接對于有線網(wǎng)絡來說，防火墻是進出網(wǎng)絡的唯一節(jié)點。但是如果使用無線網(wǎng)絡（如無線局域網(wǎng)），內部用戶與外部網(wǎng)絡之間以及外部用戶與內部網(wǎng)絡之間的通信就會繞過防火墻，這時防火墻就沒有任何用處。第13頁,共45頁，2024年2月25日，星期天防火墻不能防范全部的威脅防火墻安全策略的制定建立在已知的安全威脅上，所以防火墻能夠防范已知的安全威脅。防火墻不能防止感染了病毒的軟件或文件的傳輸

即使是最先進的數(shù)據(jù)包過濾技術在病毒防范上也是不適用的，因為病毒的種類太多，操作系統(tǒng)多種多樣，而且目前的病毒編寫技術很容易將病毒隱藏在數(shù)據(jù)中。第14頁,共45頁，2024年2月25日，星期天防火墻不能防范內部用戶的惡意破壞據(jù)相關資料統(tǒng)計，目前局域網(wǎng)中有80%以上的網(wǎng)絡破壞行為是由內部用戶所為(80/20規(guī)則)，如在局域網(wǎng)中竊取其他主機上的數(shù)據(jù)、對其他主機進行網(wǎng)絡攻擊、散布計算機病毒等。這些行為都不通過位于局域網(wǎng)出口處的防火墻，防火墻對其無能為力。第15頁,共45頁，2024年2月25日，星期天防火墻本身也存在安全問題防火墻的工作過程要依賴于防火墻操作系統(tǒng)，與我們平常所使用的Windows、Linux等操作系統(tǒng)一樣，防火墻操作系統(tǒng)也存在安全漏洞，而且防火墻的功能越強、越復雜，其漏洞就會越多。加密筆記本第16頁,共45頁，2024年2月25日，星期天防火墻的基本類型包過濾防火墻-CHeckpoint代理防火墻-Cauntlet狀態(tài)檢測防火墻-CiscoPIX分布式防火墻第17頁,共45頁，2024年2月25日，星期天防火墻的基本類型包過濾(packetfiltering)防火墻包過濾防火墻是最早使用的一種防火墻技術，它在網(wǎng)絡的進出口處對通過的數(shù)據(jù)包進行檢查，并根據(jù)已設置的安全策略決定數(shù)據(jù)包是否允許通過。IP分組第18頁,共45頁，2024年2月25日，星期天IP分組組成=IP頭部+高層數(shù)據(jù)里面有TCP或UDP端口號第19頁,共45頁，2024年2月25日，星期天包過濾防火墻的工作原理包過濾是在網(wǎng)絡層中根據(jù)事先設置的安全訪問策略（過濾規(guī)則），檢查每一個數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標志信息（如協(xié)議、服務類型等）源、目的端口，確定是否允許該數(shù)據(jù)包通過防火墻。第20頁,共45頁，2024年2月25日，星期天當網(wǎng)絡管理員在防火墻上設置了過濾規(guī)則(訪問控制列表AccessControlList,ACL)后，在防火墻中會形成一個過濾規(guī)則表。當數(shù)據(jù)包進入防火墻時，防火墻會將IP分組的頭部信息與過濾規(guī)則表進行逐條比對，根據(jù)比對結果決定是否允許數(shù)據(jù)包通過。

denyiphost00any第21頁,共45頁，2024年2月25日，星期天過濾規(guī)則舉例第一條規(guī)則：內部主機任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。第二條規(guī)則：任何主機的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。第三條規(guī)則：任何主機的20端口訪問主機小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過（與1、2作為系列規(guī)則時該規(guī)則無效）。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP包過濾防火墻的應用特點過濾規(guī)則表事先人工設置-根據(jù)用戶的安全要求來定。進行檢查時，首先從第1個條目開始逐條進行，所以條目先后順序非常重要。由于包過濾防火墻工作在OSI參考模型的網(wǎng)絡層和傳輸層，所以包過濾防火墻對通過的數(shù)據(jù)包的速度影響不大，實現(xiàn)成本較低。第22頁,共45頁，2024年2月25日，星期天包過濾防火墻在網(wǎng)絡層上進行監(jiān)測-并沒有考慮連接狀態(tài)信息，僅考慮單個IP數(shù)據(jù)報通常在路由器上實現(xiàn)-實際上是一種網(wǎng)絡層的訪問控制（ACL）優(yōu)點：實現(xiàn)簡單對用戶透明效率高缺點：正確制定規(guī)則并不容易不可能引入認證機制舉例：ipchainsandiptables基本思想對于每個進來的包，適用一組規(guī)則，然后決定轉發(fā)或者丟棄該包往往配置成雙向的(出站和入站)如何過濾如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉發(fā)或者丟棄,如果所有規(guī)則都不匹配，則根據(jù)缺省策略第23頁,共45頁，2024年2月25日，星期天包過濾原理安全網(wǎng)域HostC

HostD

數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應的規(guī)則拆開數(shù)據(jù)包根據(jù)規(guī)則決定如何處理該數(shù)據(jù)包防火墻規(guī)則數(shù)據(jù)包過濾依據(jù)主要是單個數(shù)據(jù)包TCP/IP報頭里面的信息，不能對應用層數(shù)據(jù)進行處理數(shù)據(jù)TCP頭IP頭分組過濾判斷信息HostA第24頁,共45頁，2024年2月25日，星期天包過濾防火墻的設置(1)

從內往外的telnet服務往外包的特性(用戶操作信息)IP源是內部地址目標地址為serverTCP協(xié)議，目標端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1往內包的特性(顯示信息)IP源是server目標地址為內部地址TCP協(xié)議，源端口23目標端口>1023所有往內的包都是ACK=1第25頁,共45頁，2024年2月25日，星期天包過濾防火墻的設置(2)

從外往內的telnet服務往內包的特性(用戶操作信息)IP源是外部地址目標地址為本地serverTCP協(xié)議，目標端口23源端口>1023連接的第一個包ACK=0，其他包ACK=1往外包的特性(顯示信息)IP源是本地server目標地址為外部地址TCP協(xié)議，源端口23目標端口>1023所有往的包都是ACK=1第26頁,共45頁，2024年2月25日，星期天包過濾防火墻的設置規(guī)則服務方向包的方向源地址目的地址協(xié)議源端口目的端口是否通過A出出內部外部TCP>102323允許B出入外部內部TCP23>1023允許C入入外部內部TCP>102323允許D入出內部外部TCP23>1023允許雙向允許規(guī)則包的方向源地址目的地址協(xié)議源端口目的端口是否通過A出內部外部TCP>102323允許B入外部內部TCP23>1023允許C雙向任意任意任意任意任意拒絕只允許出站第27頁,共45頁，2024年2月25日，星期天針對包過濾防火墻的攻擊IP地址欺騙，例如，假冒內部的IP地址對策：在外部接口上禁止內部地址源路由攻擊，即由源指定路由（通常針對路由器的攻擊）對策：禁止這樣的選項小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中,繞過基于TCP頭信息的過濾規(guī)則對策：丟棄分片太小的分片第28頁,共45頁，2024年2月25日，星期天Linux中IP包處理的體系結構IP包接收器IP轉發(fā)器IP本地分發(fā)器第29頁,共45頁，2024年2月25日，星期天Linux中IP包處理的體系結構NetFilter網(wǎng)絡過濾器鉤子數(shù)據(jù)報經(jīng)過協(xié)議棧的幾個關鍵點第30頁,共45頁，2024年2月25日，星期天Linux中IP包處理的體系結構檢測IP數(shù)據(jù)報頭處理包選項決定包的路由選擇網(wǎng)絡設備組裝以太幀做準備以太幀協(xié)議類型字段為0X0800第31頁,共45頁，2024年2月25日，星期天Linux內核2.4中網(wǎng)絡層的處理流程Prerouting的作用是數(shù)據(jù)包剛剛到達防火墻時，改變其目的地址，可以在這里定義進行目的NAT的規(guī)則，因為路由器進行路由時只檢查數(shù)據(jù)包的目的ip地址，所以為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進行目的NAT。Postrouting的作用是數(shù)據(jù)包就要離開防火前之前改變其源地址；可以在這里定義進行源NAT的規(guī)則，系統(tǒng)在決定了數(shù)據(jù)包的路由以后在執(zhí)行該鏈中的規(guī)則。第32頁,共45頁，2024年2月25日，星期天Linux中的包過濾防火墻-NetFilter(iptables)

iptables實現(xiàn)的功能

-通過三種表來體現(xiàn)包過濾（packetfilter）-對數(shù)據(jù)報進行過濾-連接跟蹤（新增功能）網(wǎng)絡地址轉換（NAT）-對需要轉發(fā)的數(shù)據(jù)包的目的地址進行地址轉換-源NAT（SNAT）、目的NAT（DNAT）、偽裝IP透明代理數(shù)據(jù)報更改處理(Mangle)--可以實現(xiàn)對數(shù)據(jù)報的修改：服務類型字段、生存時間等。第33頁,共45頁，2024年2月25日，星期天iptables結構圖

-五種內置鏈(規(guī)則)組合成三個表Filter-默認的表包含真正的防火墻過濾規(guī)則NAT包含源和目的地址和端口轉換的規(guī)則mangle包含用于設置特殊的數(shù)據(jù)包路由標志的規(guī)則服務類型字段/TTL等第34頁,共45頁，2024年2月25日，星期天包進入規(guī)則表及規(guī)則鏈圖05454第35頁,共45頁，2024年2月25日，星期天iptables的命令格式一個iptables命令基本上包含如下五部分：希望工作在哪個表上、希望使用該表的哪個鏈、進行的操作(插入，添加，刪除，修改)、對特定規(guī)則的目標動作、匹配數(shù)據(jù)報條件。-基本的語法為：iptables-ttable-Operationchain-jtargetmatch例如：希望添加一個規(guī)則，允許所有從任何地方到本地smtp端口的連接：iptables-tfilter-AINPUT-jACCEPT-ptcp--dportsmtp第36頁,共45頁，2024年2月25日，星期天iptables-ttable-Operationchain-jtargetmatch

iptables-tfilter-AINPUT-jACCEPT-ptcp--dportsmtp基本的Operation-A在鏈尾添加一條規(guī)則-I插入規(guī)則；-D刪除規(guī)則-R替代一條規(guī)則；-L列出規(guī)則。表tableFilterNATmangle-j基本的target處理動作?適用于所有的鏈：ACCEPT接收該數(shù)據(jù)報；DROP丟棄該數(shù)據(jù)報；QUEUE排隊該數(shù)據(jù)報到用戶空間；RETURN返回到前面調用的鏈所有的規(guī)則鏈chainINPUTOUTPUTFORWARDPREROUTINGPOSTROUTING基本的match?

適用于所有的鏈：-p指定協(xié)議(tcp/icmp/udp/...)；-s源地址(ipaddress/masklen)；-d目的地址(ipaddress/masklen)；-i數(shù)據(jù)報輸入接口；-o數(shù)據(jù)報輸出接口；規(guī)則：允許所有從任何地方到本地smtp端口的連接第37頁,共45頁，2024年2月25日，星期天命令和應用舉例將分配給A、B單位的真實IP綁定到防火墻的外網(wǎng)接口，以root權限執(zhí)行以下命令：ifconfigeth0add00netmaskifconfigeth0add00netmaskInternetWWW服務器A私有IP：00真實IP：00WWW服務器B偽IP：00真實IP：00linux防火墻的ip地址分別為：內網(wǎng)接口eth1：外網(wǎng)接口eth0：第38頁,共45頁，2024年2月25日，星期天命令和應用舉例對防火墻接收到的源ip地址為00和00的數(shù)據(jù)包進行源NAT(SNAT):iptables-tnat-APOSTROUTING-oeth0-s00-jSNAT--to00iptables-tnat-APOSTROUTING-oeth0-s00-jSNAT--to00InternetWWW服務器A偽IP：00真實IP：00WWW服務器B偽IP：00真實IP：00linux防火墻的ip地址分別為：內網(wǎng)接口eth1：外網(wǎng)接口eth0：第39頁,共45頁，2024年2月25日，星期天命令和應用舉例對防火墻接收到的目的ip為00和00的所有數(shù)據(jù)包進行目的NAT(DNAT):iptables-tnat-APREROUTING-ieth0-d00-jDNAT--to00iptables-tnat-APREROUTING-ieth0-d00-jDNAT--to00InternetWWW服務器A偽IP：00真實IP：00WWW服務器B偽IP：00真實IP：00linux防火墻的ip地址分別為：內網(wǎng)接口eth1：外網(wǎng)接口eth0：第40頁,共45頁，2024年2月25日，星期天注意事項-在使用iptables防火墻之前，必須先打開IP轉發(fā)功能。

#echo1>/proc/sys/net/ipv4/ip_forward-保存到/etc/sysconfig/iptables文件中。-每修改一次iptables文件后，都要重啟iptalbes#serviceiptablesrestart第41頁,共45頁，2024年2月25日，星期天包過濾防火墻規(guī)則集的例子SMTP(簡單郵件傳遞協(xié)議)-通過TCP協(xié)議在主機之間傳遞郵件的標準協(xié)議。在用戶代理端和服務器程序間建立一個TCP連接。服務器監(jiān)視TCP端口25來查看是否有連接請求。假設你要做一個包過濾策略來允許進出的SMTP通信量，并且生成以下規(guī)則集。規(guī)則包的方向源地址目的地址