ch防火墙技术

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第四章 防火墙技术,第,4,章,防火墙技术,内容提要：,概述,防火墙体系结构,防火墙技术,防火墙的安全防护技术,防火墙应用示例,个人防火墙,防火墙技术发展动态和趋势,小结,4.1,概述,防火墙的定义,防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。,防火墙的五大基本功能,过滤进、出网络的数据；,管理进、出网络的访问行为；,封堵某些禁止的业务；,记录通过防火墙的信息内容和活动；,对网络攻击的检测和告警。,防火墙的局限性,网络的安全性通常是以网络服务的开放性和灵活性为代价,防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失,4.2,防火墙体系结构,防火墙可以在,OSI,七层中的五层设置。,防火墙组成结构图,防火墙的体系结构,目前，防火墙的体系结构一般有以下几种：,（,1,）双重宿主主机体系结构；,（,2,）屏蔽主机体系结构；,（,3,）屏蔽子网体系结构。,4.2.1,双重宿主主机体系结构,围绕具有双重宿主的主机计算机而构筑；,计算机至少有两个网络接口；,计算机充当与这些接口相连的网络之间的路由器；,防火墙内部的系统能与双重宿主主机通信；,防火墙外部的系统（在因特网上）能与双重宿主主机通信。,双重宿主主机体系结构,4.2.2,屏蔽主机体系结构,提供安全保护的堡垒主机仅仅与被保护的内部网络相连；,是外部网络上的主机连接内部网络的桥梁；,堡垒主机需要拥有高等级的安全；,还使用一个单独的过滤路由器来提供主要安全；,路由器中有数据包过滤策略。,屏蔽主机体系结构,4.2.3,屏蔽子网体系结构,1,周边网络,周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露,.,2堡垒主机,堡垒主机为内部网络服务的功能有：,（,1,）接收外来的电子邮件（,SMTP,），,再分发给相应的站点；,（,2,）接收外来的,FTP,连接，再转接到内部网的匿名,FTP,服务器；,（,3,）接收外来的对有关内部网站点的域名服务（,DNS,）,查询。,堡垒主机向外的服务功能按以下方法实施：,（,1,）在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。,（,2,）设置代理服务器在堡垒主机上运行，允许内部网的用户间接地访问外部网的服务器。也可以设置数据包过滤，允许内部网的用户与堡垒主机上的代理服务器进行交互，但是禁止内部网的用户直接与外部网进行通信。,3内部路由器,保护内部的网络使之免受外部网和周边网的侵犯，内部路由器完成防火墙的大部分数据包过滤工作。,4外部路由器,保护周边网和内部网使之免受来自外部网络的侵犯，通常只执行非常少的数据包过滤。,外部路由器一般由外界提供。,4.2.4,防火墙体系结构的组合形式,使用多堡垒主机；,合并内部路由器与外部路由器；,合并堡垒主机与外部路由器；,合并堡垒主机与内部路由器；,使用多台内部路由器；,使用多台外部路由器；,使用多个周边网络；,使用双重宿主主机与屏蔽子网。,4.3,防火墙技术,从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙。这两种类型防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术、,NAT,技术等。,4.3,.1,包过滤技术,包过滤防火墙工作在网络层,利用访问控制列表（,ACL,）,对数据包进行过滤,过滤依据是,TCP/IP,数据包：,源地址和目的地址,所用端口号,协议状态,优点是,逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好,缺点有二，一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及,IP,的端口号都在数据包的头部，很有可能被窃听或假冒。,包过滤模型,：,包检查模块深入到操作系统的核心，在操作系统或路由器转发包之前拦截所有的数据包。当包过滤型防火墙安装在网关上之后，包过滤检查模块深入到系统的网络层和数据链路层之间，即,TCP,层和,IP,层之间。抢在操作系统或路由器的,TCP,层对,IP,包的所有处理之前对,IP,包进行处理。包过滤型防火墙位于软件层次的最底层。,包过滤模型,数据包过滤的主要依据有：,（,1,）数据包的源地址；,（,2,）数据包的目的地址；,（,3,）数据包的协议类型（,TCP,、,UDP,、,ICMP,等）；,（,4,）,TCP,或,UDP,的源端口；,（,5,）,TCP,或,UDP,的目的端口；,（,6,）,ICMP,消息类型；,大多数包过滤系统判决是否传送数据包时都不关心包的具体内容。包过滤系统只能进行类似以下情况的操作：,不让任何用户从外部网用,Telnet,登录；,允许任何用户使用,SMTP,往内部网发电子邮件；,只允许某台机器通过,NNTP,往内部网发新闻。,不能进行以下情况的操作：,允许某个用户从外部网用,Telnet,登录而不允许其他用户进行这种操作。,允许用户传送一些文件而不允许用户传送其他文件。,包过滤方式优点,仅用一个放置在重要位置上的包过滤路由器就可保护整个网络,包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户作任何操作的前提下完成包过滤。,在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。对包的内容一般并不要多加关心。比如：允许站点接收来自于外部网的邮件，而不关心该邮件是用什么工具制作的。路由器只关注包中的一小部分内容。,包过滤路由器的配置,有关服务翻译成包过滤规则时几个重要概念：,协议的双向性。,“,往内,”,与,“,往外,”,的含义。,“,默认允许,”,与,“,默认拒绝,”,。,包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。,当包到达端口时，对包的报头进行语法分析，大部分的包过滤设备只检查,IP,、,TCP,或,UDP,报头中的字段，不检查数据的内容。,包过滤器规则以特殊的方式存储。,如果一条规则阻止包传输或接收，此包便不允许通过。,如果一条规则允许包传输或接收，该包可以继续处理。,如果一个包不满足任何一条规则，该包被丢弃。,包过滤器操作流程,包过滤器操作流程图,包过滤防火墙的缺陷,不能彻底防止地址欺骗。,无法执行某些安全策略,安全性较差,一些应用协议不适合于数据包过滤,管理功能弱,4.,3.2,代理服务技术,代理防火墙（,Proxy,）,是一种较新型的防火墙技术，它分为应用层网关和电路层网关。,所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的,Proxy,应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。,代理的工作方式,代理防火墙工作于应用层；,针对特定的应用层协议；,代理服务器（,Proxy Server,）,作为内部网络客户端的服务器，拦截住所有请求，也向客户端转发响应；,代理客户机（,Proxy Client,）,负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应；,应用层网关型防火墙,应用层网关防火墙,传统代理型防火墙；,核心技术就是代理服务器技术；,基于软件实现，通常安装在专用工作站系统上；,参与到一个,TCP,连接的全过程；,在网络应用层上建立协议过滤和转发功能；,优点就是安全，是内部网与外部网的隔离点；,最大缺点就是速度相对比较慢。,应用层网关型防火墙,电路层网关,电路层网关防火墙,通过电路层网关中继,TCP,连接,一般采用自适应代理技术,有两个基本要素：,自适应代理服务器（,Adaptive Proxy Server,）,动态包过滤器（,Dynamic Packet Filter,）,电路层网关防火墙,代理技术的优点,代理易于配置,代理能生成各项记录,代理能灵活、完全地控制进出流量、内容,代理能过滤数据内容,代理能为用户提供透明的加密机制,代理可以方便地与其他安全手段集成,代理技术的缺点:,代理速度较路由器慢；,代理对用户不透明；,对于每项服务代理可能要求不同的服务器；,代理服务不能保证免受所有协议弱点的限制；,代理不能改进底层协议的安全性。,4.3,.3,状态检测技术,状态检测技术的工作原理,基于状态检测技术的防火墙是由,Check Point,软件技术有限公司率先提出的，也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测。它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现某个连接的参数有意外变化，则立即将其终止。,状态检测防火墙可提供的额外服务,将某些类型的连接重定向到审核服务中去。例如，到专用,Web,服务器的连接，在,Web,服务器连接被允许之前，可能被发到审核服务器（用一次性口令来使用）；,拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含,ActiveX,程序的,Web,页面。,状态检测技术跟踪连接状态的方式,状态检测技术跟踪连接状态的方式取决于数据包的协议类型：,TCP,包：防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。对内部主机试图连到外部主机的数据包，防火墙标记该连接包，允许响应及随后在两个系统之间的数据包通过，直到连接结束为止。,UDP,包：,UDP,包比,TCP,包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。对传入的包，若它所使用的地址和,UDP,包携带的协议与传出的连接请求匹配，该包就被允许通过。,状态检测技术的特点,状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处，克服了两者的不足，能够根据协议、端口，以及源地址、目的地址的具体情况决定数据包是否允许通过。,状态检测技术的特点,优点 ：,高安全性,高效性,可伸缩性和易扩展性,不足：,主要体现在对大量状态信息的处理过程可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。,4.3,.4,NAT,技术,NAT,技术的工作原理,它是一个,IETF,（,Internet Engineering Task Force, Internet,工程任务组）的标准，允许一个整体机构以一个公用,IP,地址出现在互联网上。顾名思义，它是一种把内部私有,IP,地址翻译成合法网络,IP,地址的技术。,NAT,技术的类型,静态,NAT,（,Static NAT,）：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。,动态地址,NAT,（,Pooled NAT,）：在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。,网络地址端口转换,NAPT,（,Port,Level NAT,）：把内部地址映射到外部网络的一个,IP,地址的不同端口上。,NAT,技术的优点,所有内部的,IP,地址对外面的人来说是隐蔽的。因为这个原因，网络之外没有人可以通过指定,IP,地址的方式直接对网络内的任何一台特定的计算机发起攻击。,如果因为某种原因公共,IP,地址资源比较短缺的话，,NAT,技术可以使整个内部网络共享一个,IP,地址。,可以启用基本的包过滤防火墙安全机制，因为所有传入的数据包如果没有专门指定配置到,NAT,，那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。,NAT,技术的缺点,NAT,技术的缺点和包过滤防火墙的缺点类似，虽然可以保障内部网络的安全，但也存在一些类似的局限。此外，内部网络利用现流传比较广泛的木马程序可以通过,NAT,进行外部连接，就像它可以穿过包过滤防火墙一样的容易。,4.,4,防火墙的安全防护技术,防火墙自开始部署以来，已保护无数的网络躲过窥探的眼睛和恶意的攻击者，然而它们还远远不是确保网络安全的灵丹妙药。每种防火墙产品几乎每年都有安全脆弱点被发现。更糟糕的是，大多数防火墙往往配置不当且无人维护和监视。,攻击者往往通过发掘信任关系和最薄弱环节上的安全脆弱点来绕过防火墙，或者经由拨号账号实施攻击来避开防火墙。,4.4.1,防止防火墙标识被获取,几乎每种防火墙都会有其独特的电子特征。也就是说，凭借端口扫描和标识获取等技巧，攻击者能够有效地确定目标网络上几乎每个防火墙的类型、版本和规则。这种标识之所以重要，是因为一旦标识出目标网络的防火墙，攻击者就能确定它们的脆弱点所在，从而尝试攻击它们。,防止通过直接扫描获取防火墙标识的对策,防止防火墙标志被获取的对策,防止利用,nmap,进行简单推断获取防火墙标志的对策,4.4.2,防止穿透防火墙进行扫描,透过防火墙从而发现隐藏在防火墙后面的目标，这是网络黑客和网络入侵者梦寐以求的事情。下面讨论一些黑客在防火墙附近徘徊的技巧，并汇集关于穿透和绕过防火墙的各种途径的一些关键信息。,防止利用原始分组传送进行穿透防火墙扫描的对策,防止利用源端口扫描进行穿透防火墙扫描的对策,4.4.3,克服分组过滤脆的弱点,大多数情况下，这些,ACL,规则是精心设计的，难以绕过。然而有些情况下会碰到,ACL,规则设计不完善的防火墙，允许某些分组不受约束地通过。,针对不严格的,ACL,规则的对策,针对,ICMP,和,UDP,隧道的对策,4.4.4,克服分组过滤脆的弱点,针对主机名：,localhost,的对策 ，可以提供一个只允许从某个特定站点访问的限制规则。理想的对策是不允许本地主机（,localhost,）登录。如果需要本地主机登录就需要根据,IP,地址限制允许连接的主机。,针对未加认证的外部代理访问的对策 ，通过把浏览器的代理设置改为指向有嫌疑的代理防火墙，就能检查它是否存在这种脆弱点。,4.5,防火墙应用示例,网络卫士防火墙,3000,系统组成,一套专用防火墙设备（硬件）：具有,3,至,10,个网络接口，标准配置为,3,个网络接口。管理员通过一次性口令认证，对防火墙进行配置、管理和审计。,一次性口令用户客户端（软件）：凡是需要对其身份进行认证的用户都需使用该软件，例如，管理者需要通过,WWW,页面管理防火墙时，必须先进行一次性口令认证。,网络卫士防火墙,3000,典型应用拓扑图,典型应用的特点,防火墙工作于路由和透明混合的综合模式；,网络,192.168.1.0/24,、,202.99.88.0/24,和,202.99.99.0/24,均用边界路由器作路由；,新增的支干路由器,1,（网络,202.99.99.0/24,）用防火墙作路由；,网络,192.168.1.0/24,和,202.99.88.0/24,透明通过防火墙；,采用严格安全策略。,1,配置防火墙接口地址,（1）,ifconfig eth0 202.99.88.2 255.255.255.0,将,eth0,设置为合法,IP,地址进行,NAT,，,与路由器内部接口的,IP,处于同一网段,（2）,ifconfig eth1 202.99.88.9 255.255.255.248,将接口,E1,配上,IP,地址,202.99.88.9,（3）,ifconfig eth2 192.168.1.1 255.255.255.0,将接口,E2,配上,IP,地址,192.168.1.1,（4）,ifconfig eth2:0 202.99.99.1 255.255.255.0,eth2,接内部网，此处设置为,202.99.99.0/24,这个网段的目的是为了实现对,202.99.97.0/24,和,202.99.98.0/24,做路由用。,2,设置路由表,（1）,eth0,上：,route add 202.99.88.1 255.255.255.255 eth0,添加到边界路由器,202.99.88.1,的单机路由,route add 202.99.88.2 255.255.255.255 eth0,添加到防火墙外接口的单机路由,（2）,eth1,上：,route add 202.99.88.8 255.255.255.248,添加到网络,202.99.88.8,的路由,（3）,eth2,上：,route add 192.168.1.0 255.255.255.0,添加到网络,192.168.1.0,的路由,（4）,eth2:0,上,route add 202.99.99.1 255.255.255.255 eth2:0,添加到,202.99.99.1,的单机路由,route add 202.99.99.2 255.255.255.255 eth2:0,添加到路由器,202.99.99.2,的单机路由,route add 202.99.97.0 255.255.255.0 202.99.99.2,定义到网络,202.99.97.0/24,的路由为内部网路由器,202.99.99.2,route add 202.99.98.0 255.255.255.0 202.99.99.2,定义到网络,202.99.98.0/24,的路由为内部网路由器,202.99.99.2,（5）,eth2:1,上,route add 202.99.88.0 255.255.255.0 eth2:1,添加到,202.99.88.0,的路由,（6）,route add default 202.99.88.1,默认路由指向边界路由器。,3,指定防火墙接口属性,（1）,命令：,fwip add eth0 202.99.88.2 o,指定,E0,为外接口,（2）,命令：,fwip add eth1 202.99.88.9 s,指定,E1,为,SSN,接口，公共服务器所在的网络都是通过此接口出去。,（3）,命令：,fwip add eth2 192.168.1.1 i,指定,E2,为内部接口，,192.168.1.0/24,的用户都是通过此接口到达防火墙。,（4）,命令：,fwip add eth2:0 202.99.99.1 i,指定,eth2:0,为内部接口,（5）,命令：,fwip add eth2:1 202.99.88.3 I,指定,eth2:0,为内部接口,命令：,dns,按照提示输入所在的域以及域名服务器。,4,配置域名服务器,命令：,settrans eth0 eth1 on,settrans eth0 eth2:1 on,5透明设置,命令为,adduser,，,然后按照提示输入用户名，口令，绑定的,IP,（,或子网），用户属性（有效用户或无效用户），修改用户口令需先删掉该用户，再增加该用户。,6,增加用户,打开防火墙的,WWW,页面，进入对象管理,IP,对象，添加,in,对象 。,7,NAT,配置,然后在访问规则中添加一条内网到,any,的,NAT,规则,规则政策中的地址转换，在静态地址转换中添加一条,将主机,192.168.1.144,的,80,端口和,21,端口映射到,202.99.88.2,上。,8,反向,NAT,配置,（,1,）进入规则政策,地址转换,反向端口映射，添加相关内容,（,2,）在对象管理,IP,对象中添加,FWIP,对象，地址为,202.99.88.2,，掩码为,255.255.255.255,。,8,反向,NAT,配置,（,3,）在对象管理,In,服务对象中添加,renat,对象，见图,4-18,。,（,4,）在访问规则中，需添加目的为防火墙,IP,的,In,规则，方式为反向,NAT,。,8,反向,NAT,配置,（,1,）允许分支网到外部网的所有访问，添加,IP,对象“分支网”,9,访问规则配置,添加,Out,服务对象,none,，见图,4-21,。,添加一条,Out,规则，允许从分支对外部网的所有访问,9,访问规则配置,（,2,）有限访问,SSN,只允许访问,202.99.88.10,的,WWW,服务，,202.99.88.11,的,ftp,服务，,202.99.88.12,的,email,服务（,smtp,和,pop3,）。,首先增加三个,IP,对象：,：,IP,为,202.99.88.10,，掩码为,255.255.255.255,：,IP,为,202.99.88.11,，掩码为,255.255.255.255,email_server,：,IP,为,202.99.88.12,，掩码为,255.255.255.255,增加三个,IN,服务对象：,http,对象,9,访问规则配置,9,访问规则配置,ftp,对象,9,访问规则配置,email,对象,9,访问规则配置,添加三条,IN,规则,9,访问规则配置,（3）禁止SSN访问其余部分，添加一个IP对象：ssn_ip，,9,访问规则配置,插入一条规则,4.6,个人防火墙,个人防火墙其本身是在单台计算机使用的防火墙软件，它不但可以监视计算机在网络上的通信状况，而且同时注重发现网络中存在的威胁，以做出相应的判断，并根据其所设计的安全规则加以匹配，以防止网络有害数据的攻击和破坏。,4.6.1,个人防火墙概述,个人防火墙是一个运行在单台计算机上的软件，它可以截取进出计算机的,TCP/IP,网络连接数据包，并使用预先定义的规则允许或禁止其连接。通常，个人防火墙安装在计算机网络接口的较低级别上，监视传入传出网卡的所有网络通信。,4.6.2,个人防火墙的主要功能,IP,数据包过滤功能,安全规则的修订功能,对特定网络攻击数据包的拦截功能,应用程序网络访问控制功能,网络快速切断,/,恢复功能,日志记录功能,网络攻击的报警功能,产品自身安全功能,4.6.3,个人防火墙的特点,个人防火墙的优点,增加了保护级别，不需要额外的硬件资源；,个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击；,个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，比如,IP,地址之类的信息等。,4.6.3,个人防火墙的特点,个人防火墙的缺点,个人防火墙对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁；,个人防火墙在运行时需要占用个人计算机的内存、,CPU,时间等资源；,个人防火墙只能对单机提供保护，不能保护网络系统。,4.6.4,主流个人防火墙简介,主流个人防火墙产品,Zone Alarm Pro,诺顿个人防火墙,McAfee Desktop Firewall,金山网镖,瑞星个人防火墙,天网防火墙个人版,天网防火墙个人版使用简介,天网防火墙个人版是国内外针对个人用户最好的中文软件防火墙之一，在国内拥有众多的用户。,天网防火墙个人版的安装,天网防火墙个人版的系统设置,天网防火墙个人版的安全级别设置,天网防火墙个人版的,IP,规则设置,天网防火墙个人版的应用程序规则设置,天网防火墙个人版的网络状态监控,4.7,防火墙发展动态和趋势,防火墙的缺陷主要表现在：,不能防范不经由防火墙的攻击。,还不能防止感染了病毒的软件或文件的传输。,不能防止数据驱动式攻击。,在高流量的网络中，防火墙还容易成为网络的瓶颈。,存在着安装、管理、配置复杂的缺点,防火墙的发展趋势,优良的性能,可扩展的结构和功能,简化的安装与管理,主动过滤,防病毒与防黑客,发展联动技术,4.8,小结,防火墙是保证网络安全的一种重要手段。,防火墙的功能是：过滤进、出网络的数据，管理进、出网络的访问行为，封堵某些禁止的业务，记录通过防火墙的信息内容和活动，对网络攻击检测和告警。,目前广泛采用的防火墙的体系结构是双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。,从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙。,防火墙产品固有的安全脆弱点和管理配置上的不当使防火墙有“隙”可寻。,本章到此结束，谢谢！,