防火墙的设计和实现课件

防火防火墙的的设计和和实现关键词汇：防火墙（）、包过滤()、包状态监测()、应用代理()、应用网关()、自适应代理()、包过滤型防火墙（）、电路级网关（）、应用级网关（）、状态监测防火墙（）、会话（）、安全规则（）、网络地址转换（）、透明的代理服务（）、信息过滤（）、非军事化区（）、入侵检测功能（）5.1 防火墙概述防火墙概述 防火墙的英文名为“”，是目前一种最重要的网络安全防护设备。防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。这项技术作为一种网络安全的工具已发展若干年。古时候,人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，这种墙称作“防火墙”。在网络时代，当一个网络接入以后用户就可以及外部世界相互通信，出于安全目的，在该网络和之间插入一个中介系统，竖起一道安全屏障，这道屏障作为保证本网络的安全和审计的唯一关卡，可以阻断来自外部世界的威胁和入侵。这种中介系统被称为网络世界中的防火墙或防火墙系统。防火墙的主要作用是提供行之有效的网络安全机制，同时其本身也是网络安全策略的有机组成部分。它作为不同网络或网络安全域之间信息的出入口，能根据用户设定的安全策略控制和监测网络之间的信息流，且本身具有较强的抗攻击能力。目前，虽然还没有哪一种安全机制可以完全地确保网络的安全，但无疑防火墙系统将给自己的内部网络提供巨大的安全保障。使用防火墙可以有效地防止黑客入侵，抵御来自外部网络的攻击，保证内部系统的资料安全，一般可为电信、邮政、政府、教育、能源、金融、企业等各部门以及个人的现有网络提供有效、安全的保护措施。5.2 防火墙的设计和实现防火墙的设计和实现 防火墙通常在两个网络间实现访问控制：一个是用户信任的网络，需要受到保护被称为内部网络，另一个是内部网络之外的非安全网络，不被用户信任，被称为外部网络。防火墙就位于一个受信任的网络（内部网络）和一个不受信任的网络（外部网络）之间，通过一系列的规则来保护内部网络的信息，不被外部网络非授权访问。这些规则被称为安全策略。5.2.1 防火墙的主要设计思想防火墙的主要设计思想最初的防火墙设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信予以通过。在逻辑上，防火墙是一种分离器、分析器和限制器的结合，可以按照事先设定的安全策略规则监控内部网和之间的信息流活动，保证内部网络的安全。防火墙通常是放在外部因特网络和内部网络之间，以保证内部网络的安全。其逻辑示意图如下:图5.1防火墙逻辑位置示意图防火墙可以使企业内部网络（）网络及外部网络之间互相隔离、限制网络互访来实现保护内部网络的目的。防火墙一般具有以下三个方面的基本特性：1、网络间数据流通过唯一性这是由防火墙所处逻辑位置决定的，同时也是一个部署防火墙的前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护内部网络不会遭受攻击和入侵。一般而言防火墙非常适用于内部网络系统的边界，属于内部网络的安全保护设备，即防火墙的逻辑位置一直处于网络的边界上。网络边界是指采用不同安全策略的两个网络连接处，比如内部网络和互联网之间连接、和其它业务往来单位的网络连接、内部网络不同部门之间的连接等。建立防火墙的目的就是在网络边界之间建立一个安全控制点、中转站，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙部署位置如下图所示。在这里我们可以看出，防火墙的一端连接企事业单位内部网络，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。图5.2典型的防火墙部署位置图2、安全策略合法性防火墙最基本的功能是确保网络数据流通过时相对于事先设定的安全策略的合法性，并在此前提下将网络的数据流快速的从一条链路转发到另外的链路上去。最简单的防火墙模型，是一种被称为“双穴主机”的技术，实现起来非常简单，即使用一台具备两个网络接口的计算机，该台计算机同时拥有两个网络层地址，非常类似于现在的代理服务器。但“双穴主机”的主要作用是对从一个网络层地址流到另一个网络层地址的数据流进行过滤。实际上至今我们所使用的防火墙技术的工作原理仍然是将网络上的流量通过相应的网络接口接收上来，按照协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断、抛弃。从这个角度上来说，防火墙是一个多端口的（网络接口=2）数据转发设备，类似于桥接或路由器，它跨接于多个分离的物理网段之间，并在数据报文转发过程之中完成对报文的审查过滤工作。图5.3数据报文审查过滤逻辑图3、抗攻击入侵特性既然防火墙的逻辑位置位于网络边界又具有安全保卫的责任。大家试想一下我们为保障我们的自身安全，高价聘用一位保安，如果这个保安十分脆弱不堪一击，连自己都保护不了，那他对我们而言就没有任何存在的价值。因此防火墙必须具有非常强的抗攻击能力，也是担当内部网络安全防护重任的先决条件。防火墙处于网络边界，就像一个边界卫士，每时每刻都要面对黑客的入侵。这一特性的前提实现的关键是防火墙操作系统本身，只有自身具有完整信任关系的搞稳定性操作系统才可以保证整个网络系统的安全性。另外防火墙一般自身只提供具有非常低的服务功能，除了专门的防火墙嵌入系统外，不提供任何其它应用程序在防火墙上的运行环境，即不允许任何其它应用程序在防火墙系统上运行。当然由于防火墙操作系统本身也是属于操作系统的一种，因此其必然具有操作系统的特性，也就是说防火墙操作系统安全也是相对的，而不是绝对安全。图54防火墙逻辑示意图防火墙的重要的作用：1、在不危及内部网络数据及其它资源的前提下允许本地用户使用外部网络的资源，并且防火墙针对内部用户具有透明性。内部用户一般很难察觉到防火墙的存在，但对于外部用户却像是一个不可逾越的坚强堡垒。2、将外部未被授权的用户屏蔽在内部网络之外而无法使用内部的资源通过利用防火墙对内部网络的划分，实现内部网重点网段的隔离，限制局部重点或敏感网络安全问题对整个内部网络造成的影响。隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节很可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的服务如，等服务。显示了主机的所有用户的注册名、姓名，最后登录时间和使用类型等。但是显示的信息非常容易被攻击者所获悉。通过服务得到的信息攻击者可以知道一个系统使用的频繁程度，以及这个系统是否有用户正在连线上网等等。防火墙同样可以阻塞有关内部网络中的信息，保证内部主机的域名和地址就不会被外界所了解，避免了针对内部网络具体某台主机的攻击。3、对网络存取和访问等信息数据进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也可以为用户提供网络使用情况的统计数据。当发生可疑情况时，防火墙将进行适当的报警，通过某些手段通知网络管理员，并向管理员提供网络受到监测和攻击的详细信息。使我们可以清楚的指导防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足的重要信息。另外网络使用统计对网络需求分析和威胁分析等而言也是非常重要的，并可以帮助我们了解内部用户对外网访问的情况，根据有关资料对某些不安全、问题站点进行屏蔽，总而避免内部用户对不安全站点的误访问。5.2.2 防火墙技术的具体实现防火墙技术的具体实现 首先让我们对目前主流防火墙进行一下分类：一、从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及工业芯片级防火墙。1、软件防火墙软件防火墙运行于特定的计算机上，需要客户预先安装好的计算机硬件设备以及安装的操作系统的支持，这某种意义上这台计算机就是整个网络同时也充当着网关的角色，也被称为“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于，在后面我们还要就软件防火墙进一步分析。目前国内比较出名，并被广泛使用的软件防火墙主要是天网软件防火墙。软件防火墙不需要专门的硬件支持，可以大量节省费用，但使用这类防火墙，往往需要网络管理员对所网络安全知识有很深入的了解。另外由于该类防火墙没有专用硬件的支持，并且依靠计算机自身的操作系统，所以存在运行当中都存在的稳定性欠缺，以及整体系统安全结构的当面对入侵攻击时具有脆弱性的一面。2、硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”，在本书中如未明确指出的防火墙都是这一类防火墙。实际上这种防火墙是专用硬件和专用操作系统的结合。目前市场上大多数防火墙都是这种硬件防火墙，一般都是基于架构，在某种程度上可以将这些架构的防火墙看作一种特殊用途的计算机，并且在这种特殊计算机上运行的是一些经过裁剪和简化的专用操作系统，最常用的经过特殊改编的、和系统。另外，由于此类防火墙采用的依然是架构的硬件作为的内核，因此依然会受到（操作系统）本身的安全性的影响。3、芯片级防火墙芯片级防火墙是完全基于专门的硬件平台，没有操作系统（由硬件完成操作系统的功能）。专有的芯片使这种防火墙比其他种类的防火墙速度更快，处理能力更强，性能更高。但同时价格相对比较高昂。二、从传统观念上分，防火墙总体来讲可分为“包过滤方式”和“应用代理方式”两大类。“包过滤方式”以以色列的防火墙和美国公司的防火墙为代表，“应用代理方式”以美国公司的防火墙为代表。1、包过滤()包过滤方式防火墙工作在网络参考模型的网络层和传输层，工作原理是根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。图5.5包过滤示意图包过滤方式是一种通用、廉价和有效的安全手段。包过滤不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务。另外大多数路由器本身就提供数据包过滤功能，所以这类防火墙多数是集成在路由器上。包过滤技术包括了两种不同版本。静态包过滤方式是及路由器同时产生的，并且同路由器密不可分。其工作原理是根据定义好的过滤规则检查每个数据包，确定是否与某一条包过滤规则匹配。过滤规则的工作原理是基于数据包的报头信息制订。报头信息中包括源地址、目标地址、传输协议(、等等)、目标端口、消息类型等。但扩展性差，一般难以胜任复杂的应用程序要求，工作具有一定的局限性。图5.6包过滤在七层次中的实现位置示意图一动态包过滤方式采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。动态包过滤为后来的包状态监测()技术打下的基础。采用这种技术的工作原理是对通过防火墙建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。包过滤方式可以在不用改动客户机和主机上的应用程序的情况下，更新过滤规则。这是因为它工作在网络层和传输层，及应用层无关。但同时也由于过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足。，不能对用户身份进行验证，对“地址欺骗型”攻击无能为力。目前由于许多硬件原因在过滤器中，过滤规则的数目并不是可以无限增加的，而是有限制的。并且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如、这一类的协议。另外，大多数这类防火墙的过滤器中都缺少审计和报警机制，只能依据包头信息进行审查图5.7包过滤在七层次中的实现位置示意图二2、应用代理()应用代理方式防火墙是工作在的最高层，即应用层。其特点是完全分隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用代理也包括了两种不同版本。其典型网络结构如图所示:图5.8应用代理方式防火墙的逻辑位置示意图应用网关()方式是通过一种代理()技术参及到一个连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网络的作用。它的实质就是代理服务器技术。图5.9应用网关在中的实现示意图自适应代理()方式是结合代理类型方式的安全性和包过滤方式的高速度特点，保证安全为前提的基础之上提高工作性能的方法。自适应代理方式必须采用两个相对独立的组件：自适应代理服务器()组件及动态包过滤器()组件，并通过通道方法连接着两个相对独立的工作单元。图5.10自适应代理方式防火墙在中的实现示意图“自适应代理服务器”及“动态包过滤器”之间存在一个控制通道，在对防火墙进行配置时，用户首先需要的设置防火墙的服务类型、安全级别等参数，然后自适应代理根据用户的配置信息即安全策略，自动对数据流进行判断是否使用代理服务直接从应用层代理请求，或者从网络层转发数据包。另外如果需要使用动态包过滤器，防火墙还要动态地通知包过滤器增减过滤规则。通过这一方式可以基本满足用户对防火墙速度和安全性的双重要求。总以上分析，可以看出代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。代理防火墙的主要缺点集中在速度相对比较慢上，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。其主要原因是因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间和消耗相当大的资源，但这些资源的消耗在技术高速发展的今天，已经变得不很明显了。三、从防火墙结构上分为：单一主机防火墙、路由器集成式防火墙。1、单一主机防火墙是最为传统的防火墙，独立于其它网络设备，位于网络边界。这种防火墙的物理结构和逻辑结构都及一台计算机极为接近，即也是由、主板、内存、硬盘等基本组件组成，并且主板上也有南、北桥芯片之分。另外这类防火墙一般集成两个以上的以太网卡，使用双网卡区分内部网络和外部网络，并将内部网络和外部网络联系起来。同计算机结构相同单一主机防火墙的硬盘用来存储防火墙所用的基本程序，例如，包过滤程序、代理服务器程序以及日志记录。从理论上讲单一主机防火墙和“双穴主机”极为相近，但由于单一主机防火墙的工作性质的需要，决定了它同普通的双网卡计算机相比必须要具备更高的稳定性、实用性，具备极高的数据吞吐性能。另外在价格上单一主机防火墙也远远超过了普通计算机。图511单一主机防火墙内部结构2、今天随着防火墙技术的不断发展，单一主机防火墙已经渐渐退出市场。主要原因是现在许多中、高档的路由器中本身就已经集成了单一主机防火墙的功能。例如，防火墙系列。这款防火墙就是采用较低级的包过滤方式，并将路由器和防火墙的功能合二为一，被人们称之为路由器集成式防火墙，采用路由器集成式防火墙可以大大降低网络设备购买成本。但由于技术的原因，路由器集成式防火墙只能是在路由器的基础上集成简单的包过滤方式。因此路由器集成式防火墙一般不具备专业防火墙强大功能和高性能。只适用于那些采用简单网络结构并且网络安全需求不高的网络系统.四、按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。1、边界防火墙是最为传统的那种，位于内、外部网络的边界，作用主要是实现对内、外部网络实施隔离，保护内部网络。边界防火墙一般都是硬件设备，价格高。2、个人防火墙安装于单台主机中，一般防护的也只是单台主机（代理服务器除外）。个人防火墙一般应用于广大的个人用户，大多数采用软件方式，价格便宜，但性能比较差。3、混合式防火墙是由一整套防火墙系统构成，需要若干个软、硬件组件组成，分布于内部网络、网络边界，既对内部网络和外部网络之间通信数据进行过滤，又对网络内部网络间的通信进行过滤。这种防火墙技术实现起来最为复杂，需要专业人员对整个网络进行安全规划，并在同一规划的基础上协调部署，混合式防火墙的特点是性能好，价格不菲，扩展性差。五、如果按防火墙的性能来分可以分为百兆级防火墙、千兆级、万兆级防火墙两类。因为防火墙通常位于网络边界，必须保证高数据吞吐量。这里主要是指防火的通道带宽()，或者说是吞吐率。当然吞吐率越宽，性能越高，因包过滤或应用代理等工作所产生的延时也越小，对整个网络通信的性能影响也就越小。六、防火墙从实现技术来讲，可以分为几种类型形式：包过滤型防火墙（）、电路级网关（）、应用级网关（）、状态监测防火墙（）1.包过滤防火墙采用路由器或者在计算机上运行的软件对进出的数据包作检测。例如，目前中所有传输的数据包，大多数使用的是协议；防火墙就是通过检查和的数据包头的信息来决定同意或拒绝该数据包，市场上的大多数防火墙都能按照源地址、目标地址、应用或协议、源端口号、目标端口号等数据作为判断标准，在规则表中定义规则以判断是否允许或拒绝数据包的通过。它的工作核心是安全策略即过滤算法的设计。包过滤防火墙主要工作在模型的第三层（网络层）。这种防火墙具有很好的传输性能、速度快、实现方便、易扩展，但审计功能较差、安全性也相对较低。应用层表示层会话层传输层网络层数据链路层物理层包过滤检测包过滤检测 图5.12包过滤检测在结构中实现的示意图2.电路级防火墙采用监控内部网络客户机或服务器及外部网络主机间的握手信息，来决定该会话（）是否合法，是否允许建立通讯。众所周知，使用协议，首先必须通过三次握手建立起连接，然后才开始发送数据。电路级防火墙通过在三次握手过程中，检查双方的、和序列数据是否符合逻辑，来判断该请求的会话是否合法。一旦防火墙认为会话是合法的，就会为双方建立连接，以后防火墙仅对数据进行复制传递，不再进行过滤判断。由于电路级防火墙需要依靠特殊的应用程序来完成复制传递数据的工作，所以这种防火墙一般与其他的应用级防火墙结合在一起。电路级防火墙是在模型中会话层来过滤数据包。这种防火墙无法检查应用层级的数据包。应用层表示层会话层传输层网络层数据链路层物理层电路级检测电路级检测 图5.13电路级检测在结构中实现的示意图3、应用级防火墙采用检查进出的数据包，运行代理服务机制复制传递数据，阻止内部网络服务器和客户机及外部网络的主机间直接建立联系。应用级防火墙作用在应用层，提供应用层服务的控制，当内部网络向外部网络申请服务时起中转作用，内部网络只接受代理服务提出的服务请求，拒绝外部网络的直接请求，并针对特别的网络应用服务协议，对数据包分析并形成相关的报告，对那些易于登录和控制所有输出输入的通信的环境给予严格的控制,确保程序和数据的信息安全。应用级防火墙是及特定应用有关的，主要适用于某些特定的服务，例如、等。应用级防火墙是在模型中应用层进行包过滤。应用层上，应用级防火墙检查经过网关的每个数据包的内容，能够过滤一些特定的应用协议的命令。工作原理是检查所有应用层的信息包，并将检查的内容信息放入决策过程，能进行安全控制又可以加速访问，可以有效地实现防火墙内外计算机系统的隔离。该种防火墙本身是通过打破客户机/服务器模式实现的，每一个客户机/服务器通信需要两个连接，一个是从客户端到防火墙，另一个是从防火墙到服务器。应用级防火墙是目前比较安全并且使用最多的防火墙技术。内容检测应用层表示层会话层传输层网络层数据链路层物理层图5.14内容检测在结构中实现的示意图4、状态监测防火墙采用一个在网关上执行网络安全策略的软件模块，在不影响网络正常运行的前提下，监测数据包状态并对网络通信的各层实施检测，通过检查连接状态信息，并动态地保存作为以后执行安全策略的参考。状态监测防火墙本身支持多种协议和应用软件，并可以实现应用和服务的扩充。另外状态监测防火墙还可以监测无连接状态的远程过程调用RPC和用户数据报UDP之类的端口信息通过以上的简单介绍，我们可以看出不论是采用哪一种方式的防火墙都具有一定局限性。因此实际上各防火墙厂商真正投入市场的防火墙往往采用的是以上几种工作方式的结合。谢谢！