防火墙 ppt4第四章

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,4,章 防火墙体系结构,4.1,防火墙的体系结构,4.2,包过滤器,4.3,应用级网关,4.4,电路级网关,4.5,状态包检测（,SPI,）,4.6,实施方式,为了满足用户的更高要求，防火墙体系架构经历了从低性能的,x86,，,PPC,软件防火墙向高性能硬件防火墙的过渡。防火墙在经过几年繁荣的发展后，已经形成了多种类型的体系架构，并且这几种体系架构的设备并存互补，并不断进行发展升级。,1.,双重宿主主机体系结构,双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另外一个网络发送,IP,数据包，然而双重宿主主机的防火墙体系结构禁止这种发送。,4.1,防火墙的体系结构,下一页,返回,因此，,IP,数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制，如,图,4-1,所示。,2.,被屏蔽主机体系结构,双重宿主主机体系结构防火墙没有使用路由器，而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如,图,4-2,所示。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。,4.1,防火墙的体系结构,下一页,返回,上一页,这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此，堡垒主机要保持更高等级的主机安全。,3.,被屏蔽子网体系结构,被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是,Internet,）隔离开。被屏蔽子网体系结构的最简单的形式为两个屏蔽路由器，每一个都连接到周边网。,4.1,防火墙的体系结构,下一页,返回,上一页,一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为,Internet,）之间。这样就在内部网络与外部网络之间形成了一个,“,隔离带,”,。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器，如,图,4-3,所示。,4.1,防火墙的体系结构,返回,上一页,4.2.1,包过滤技术分类,在包过滤技术的发展中，出现过两种不同的技术，即静态包过滤和动态包过滤。包过滤技术作为防火墙的应用有三类。,一是路由设备在完成路由选择和数据转发之外，同时进行包过滤，这是目前较常用的方式。,二是在工作站上使用软件进行包过滤，这种方式价格较贵。,三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。,4.2,包过滤器,下一页,返回,防火墙对数据的过滤，首先是根据数据包中包头部分所包含的源,IP,地址、目的,IP,地址、协议类型（,TCP,包、,UDP,包、,ICMP,包）、源端口、目的端口及数据包传递方向等信息，判断是否符合安全规则，以此来确定该数据包是否允许通过。,1.,静态包过滤（,Static packet filter,）,静态包过滤（,Static packet filter,）技术是传统包过滤技术，它根据流经该设备的数据包地址信息决定是否允许该数据包通过，它判断的依据有（只考虑,IP,包）：,数据包协议类型：,TCP,，,UDP,，,ICMP,，,IGMP,等。,源,IP,地址、目的,IP,地址。,4.2,包过滤器,下一页,返回,上一页,源端口、目的端口：,FTP,，,HTTP,，,DNS,等。,IP,选项：源路由、记录路由等。,TCP,选项：,SYN,，,ACK,，,FIN,，,RST,等。,其他协议选项：,ICMP ECHO,，,ICMP ECHO REPLY,等。,数据包流向：,in,（进）或,out,（出）。,数据包流经网络接口。,4.2,包过滤器,下一页,返回,上一页,2.,动态包过滤（,Dynamic packet filter,）,包过滤防火墙是基于路由器来实现的。它利用数据包的头信息（源,IP,地址、封装协议、端口号等）判定与过滤规则是否相匹配来决定舍取。建立这类防火墙应按如下步骤去做：,第,1,步，建立安全策略,写出所允许的和禁止的任务。,第,2,步，将安全策略转化为数据包分组字段的逻辑表达式。,第,3,步，用供货商提供的句法重写逻辑表达式并设置之。,4.2,包过滤器,下一页,返回,上一页,4.2.2,包过滤器的工作层次,包过滤防火墙通常工作在,OSI,的三层及三层以下，由此可以看出，它可控的内容主要包括报文的源地址、报文的目标地址、服务类型，以及第二层数据链路层可控的,MAC,地址等。除此以外，随着包过滤防火墙的发展，部分,OSI,四层的内容也被包括进来，如报文的源端口和目的端口。,4.2,包过滤器,下一页,返回,上一页,4.2.3,过滤器的工作原理,1.,使用过滤器,数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。,数据包过滤是通过对数据包的,IP,头、,TCP,头或,UDP,头的检查来实现的。,在,TCP/IP,中，存在着一些标准的服务端口号，例如，,HTTP,的端口号为,80,。通过屏蔽特定的端口可以禁止特定的服务。,4.2,包过滤器,下一页,返回,上一页,包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接，例如，可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。,2.,过滤器的实现,数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。,普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址，,4.2,包过滤器,下一页,返回,上一页,则发送出去；若路由器不知道如何发送数据包，则通知数据包的发送者,“,数据包不可达,”,。,过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。,“,应该与否,”,是由路由器的过滤策略决定并强行执行的。,4.2.4,包过滤的基本过程,下面对包过滤过程做简单的叙述。,包过滤规则必须被包过滤设备端口存储起来。,当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查,IP,，,TCP,或,UDP,报头中的字段。,4.2,包过滤器,下一页,返回,上一页,包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。,若一条规则阻止包传输或接收，则此包便不被允许。,若一条规则允许包传输或接收，则此包便可以被继续处理。,若包不满足任何一条规则，则此包便被阻塞。,一个包过滤防火墙必须具备两个端口，一个端口连接非信任网络（如,Internet,），一个端口连接可信网络（如内部网络）和一组规则组成。,4.2,包过滤器,下一页,返回,上一页,防火墙配置的规则必须能对从一个非信任端口流向信任端口或是从信任端口流向非信任端口进行控制处理，以此来决定是否让信息流通过，如,图,4-5,所示。,根据上图将可以创建一个典型的网络结构，包括,HTTP,，,DNS,，,SMTP,，内部网络通过包过滤防火墙将其分为服务器区域和子网络区域，包括,Internet,非信任网络。,4.2,包过滤器,返回,上一页,4.3.1,应用级网关的发展,应用级网关防火墙安装在网络应用层上，它在应用层上对信息进行处理，是一种比包过滤防火墙更加安全的防火墙技术。防火墙要支持应用程序，需要提供一个唯一的程序接受客户端应用程序的数据，并且作为中转站将数据发往目标服务器。应用级网关对客户来说是一个服务器，对目标服务器来说是一个客户端，所以它扮演着双重角色。,4.3,应用级网关,下一页,返回,应用级网关使用软件来转发和过滤特定的应用服务，如,Telnet,，,FTP,等服务的连接，这是一种代理服务。它只允许有代理的服务通过，也就是说只有那些被认为,“,可信赖的,”,服务才被允许通过防火墙。另外代理服务还可以过滤协议，如过滤,FTP,连接、拒绝使用,FTP,放置命令等。应用级网关具有登记、日记、统计和报告功能，有很好的审计功能。还可以具有严格的用户认证功能。,4.3,应用级网关,下一页,返回,上一页,4.3.2,应用级网关的工作过程,防火墙会对应用程序的数据进行校验以保证其格式可以接受，能够过滤协议，进行身份验证和记录信息。其工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，由代理服务器根据这一请求向服务器请求数据，然后再由代理服务器将返回的数据转给客户机。,4.3,应用级网关,下一页,返回,上一页,4.3.3,应用级网关的优缺点,应用级网关的安全性高，其不足是要为每种应用提供专门的代理服务程序。,应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏,“,透明度,”,。在实际使用中，用户在受信任的网络上通过防火墙访问,Internet,时，经常会发现存在延迟并且必须进行多次登录（,Login,）才能访问,Internet,或,Intranet,。,4.3,应用级网关,下一页,返回,上一页,应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的,Internet,服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，尤其是，并非所有的,Internet,应用软件都可以使用代理服务器。,4.3,应用级网关,返回,上一页,电路级网关又称线路级网关，它工作在会话层。它在两个主机首次建立,TCP,连接时创立一个电子屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连接时的握手信息，如,SYN,，,ACK,和序列数据等是否合乎逻辑，判定该会话请求是否合法。一旦会话连接有效后，网关仅复制、传递数据，而不进行过滤。,电路级网关用来监控受信任的客户或服务器与不受信任的主机间的,TCP,握手信息，这样来决定该会话（,Session,）是否合法，电路级网关是在,OSI,模型中会话层上来过滤数据包，这样比包过滤防火墙要高两层。,4.4,电路级网关,下一页,返回,它的主要技术特点是不允许直接建立端对端的连接，而是将跨越防火墙的网络通信链路分为两段，通过代理服务器建立两个,TCP,连接，如,图,4-7,所示。,代理服务是运行在网络主机上的一个软件应用程序，它就像外部网和内部网之间的中间媒介，筛选进出的数据。,运行代理服务的网络主机称为代理服务器或网关。,对于外部网络，代理服务器相当于内部网络的一台服务器，实际上，它只是内部网络的一台过滤设备。,4.4,电路级网关,下一页,返回,上一页,代理服务器的安全性除了表现在它可以隔断内部和外部网络的直接连接，还可以防止外部网络发现内部网络的地址。,4.4.1,电路级网关的工作过程,电路级网关工作过程如下：,假定有一用户正在试图和目的,URL,进行连接。,此时，该用户所使用的客户应用程序不是为这个,URL,发出的,DNS,请求，而是将请求发到地址已经被解析的电路级网关（如代理服务器）的接口上。,若有需要，电路级网关提示用户进行身份认证。,4.4,电路级网关,下一页,返回,上一页,用户通过身份认证后，电路级网关为目的,URL,发出一个,DNS,请求，然后用自己的,IP,地址和目的,IP,地址建立一个连接。,电路级网关然后把目的,URL,服务器的应答转给用户。,4.4.2,电路级网关的缺点,大多数的电路级网关都是基于,TCP,端口配