网络信息安全第十三章-防火墙技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第四局部平安技术和产品第13章 防火墙技术,1,导读,谈到网络平安，首先想到的一般就是防火墙。防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止不可预测的、潜在破坏性的侵入。防火墙作为网络平安体系的根底和核心控制设备，在网络平安中具有举足轻重的地位。,2,内容,13.1 防火墙的根本概念,13.2 防火墙类型及体系结构,13.3 防火墙的根本技术及附加功能,13.4 防火墙技术的几个新方向,13.5 防火墙产品及应用,3,什么是防火墙?,在电脑中,防火墙是一种设备,可使个别网络不受公共网络的影响.,防火墙是一种必不可少的平安增强点.,防火墙是放置在两个网络之间的一些组件.,防火墙是在内部网和外部网之间实施平安防范的系统.,4,防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界网络的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。,5,防火墙具有的性质:,双向通信必须通过防火墙;,防火墙本身不会影响信息的流通;,只允许本身平安策略授权的通信信息通过.,6,内容,13.1 防火墙的根本概念,13.2 防火墙类型及体系结构,13.3 防火墙的根本技术及附加功能,13.4 防火墙技术的几个新方向,13.5 防火墙产品及应用,7,13.2.1 包过滤防火墙,包是网络上信息流动的根本单位，它由数据负载和协议头两个局部组成。包过滤是基于协议头的内容进行过滤的,8,包过滤防火墙是最快的防火墙,因为它们的操作处于,网络层,并且只是粗略检查特定的连接的合法性,.,在包过滤防火墙中,端点之间可以建立直接连接,.,9,13.2.2 应用代理防火墙,真正可靠的平安防火墙应该禁止所有通过防火墙的直接连接在协议栈的最高层检验所有的输入数据。,10,13.2.3 电路级网关型防火墙,电路级网关型防火墙起一定的代理效劳作用，它监视两台主机建立连接时的握手信息，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据。,11,电路级网关不允许端点到端点的直接连接,具有隐藏内部网络信息的能力,.,电路级网关型防火墙和包过滤防火墙有一个共同的特点,都是依靠特定的逻辑来判断是否允许数据包通过,.,12,13.2.4 状态包检测防火墙,状态包检测模式增加了更多的包和包之间的平安上下文检查，以到达与应用级代理防火墙相类似的平安性能。,13,状态包检测防火墙工作在协议栈的较低层,通过防火墙的所有数据包都在低层处理,不需要协议栈的上层处理任何数据包,减少了高层开销,效率提高,.,状态包检测防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,.,状态包检测防火墙仍然允许外部用户直接访问内网系统和应用程序,.,14,13.2.5 双重宿主主机体系结构(,Dual Homed Host),双重宿主主机体系结构是围绕具有双重宿主的计算机构筑的，该计算机至少有两个网络接口(,NIC)。,15,13.2.6 屏蔽主机体系结构(,Screened Host),屏蔽主机体系结构使用一个单独的路由器来提供外部网络与内部堡垒主机(Bastion Host)连接的效劳。,16,13.2.7 屏蔽子网结构(,Screened Subnet Architectures),屏蔽子网结构通过进一步增加隔离内外网的边界网络(Perimeter Network)为屏蔽主机结构增添了额外的平安层。,17,内容,13.1 防火墙的根本概念,13.2 防火墙类型及体系结构,13.3 防火墙的根本技术及附加功能,13.4 防火墙技术的几个新方向,13.5 防火墙产品及应用,18,13.3.1 包过滤技术,包过滤器是最原始的防火墙。包过滤器根据每个包头部内的信息来决定是否要将包继续传输，从而增强平安性。理论上，包过滤器可以被配置为根据协议包头的任何局部进行判断，但是大局部的过滤器被配置成只过滤最有用的数据域，主要是：, IP地址, 协议类型, TCP/UDP头信息, 分片字段,19,包过滤器的使用,20,创立包过滤规那么,在确定包过滤的配置规那么之前，需要作如下决定：, 打算提供何种网络效劳，并以何种方向(从,内部网络到外部网络，或者从外部网络到内,部网络)提供这些效劳。, 是否限制内部主机与因特网进行连接。, 因特网上是否存在某些可信任主机，它们需,要以什么形式访问内部网。,21,对于不同的包过滤产品，用来生成规那么的信息也不同，但通常都包括以下信息：, 接口和方向：包是流入还是离开网络，这些包通过哪种接口。, 源和目的IP地址：检查包从何而来(源IP地址)、发往何处(目的IP地址)。, IP选项：检查所有选项字段，特别是要阻止源路由(Source Routing)选项。, 高层协议：使用IP包的上层协议类型，例如TCP还是UDP。, TCP包的ACK位检查：这一字段可帮助确定是否有，及以何种方向建立连接。, ICMP的报文类型：可以阻止某些刺探网络信息的企图。, TCP和UDP包的源和目的端口：此信息帮助确定正在使用的是哪些效劳。,22,危险效劳, Telnet：如果让一个主机的这个端口翻开，很可能给黑客提供一条访问系统资源的通路。, NetBIOS：如果让Windows或SMB效劳器的这个端口对互联网提供效劳，就等于让黑客像本地用户一样访问你的网络。, 网络文件系统(NFS)：如果允许这种效劳数据通过防火墙，网络外部的某人很有可能会在网络中安装一个文件系统，然后就像是被连接到本地网络一样访问该文件和目录。, 网络信息效劳(NIS)：这种效劳，被人们称为“黄页，会给黑客提供重要的信息，例如网络上的主机名或用户名。, X窗口：使用X客户和效劳器会引发许多平安问题。,23,用于包过滤的,IP,头信息,头部信息中有三种信息在包过滤中很重要：,IP,地址，包括源和目的地址；, 协议类型，例如,TCP、UDP、ICMP；, IP,选项，例如源路由选择。,24,1.,IP,地址,所有防火墙都具有,IP,地址过滤功能。这项任务就是要检查,IP,包头，根据其,IP,源地址和目标地址作出放行/禁止决定。,25,2.协议字段,这一字段定义了包负载所使用的协议。例如，可以是,TCP,和,UDP,两种因特网上常用的协议，也可以是诸如,ICMP,等其它协议。通常，承载,ICMP,数据的包都应丢弃，因为,ICMP,数据将会告知对方本网内部的信息。,26,3.,分片字段,由于,TCP,报头信息只包含在第0个分片中，因此无状态包过滤器通常是让所有非首个分片通过，并且仅在数据包的第0分片上做数据包过滤。,27,用于包过滤的,TCP,头信息,TCP,的可靠性在于它对应用层的3个保证：,目标将按发送的顺序接收应用程序数据,目标将接收所有应用程序数据,目标将不重复接收任何应用程序数据,28,端口和套接字,把地址和端口结合起来，就可以唯一地标识一条连接。这种数字的组合名字我们称为套接字Socket。,在包过滤规那么中使用端口号可以同时拒绝或允许各种网络效劳。,效劳器TCP端口过滤,把IP地址和目标效劳器TCP端口结合起来就可以作为过滤标准来实现可靠的防火墙,客户机的TCP端口,29,端口过滤规那么的创立,控制SMTP连接流入和流出的例子,规那么2和规那么4允许,大于端口1023的所有效劳，不管是流入还是流出方向。,黑客可以利用这一个漏洞去做各种事情。,规则,方向,协议,源地址,目的地址,目的端口,动作,1,流入,TCP,外部,内部,25,允许,2,流出,TCP,内部,外部,=1024,允许,3,流出,TCP,内部,外部,25,允许,4,流入,TCP,外部,内部,=1024,允许,5,*,*,*,*,*,禁止,30,改进以后的例子, 指定了源端口。,规则,方向,协议,源地址,目的地址,源端口,目的端口,动作,1,流入,TCP,外部,内部,=1024,25,允许,2,流出,TCP,内部,外部,25,=1024,允许,3,流出,TCP,内部,外部,=1024,25,允许,4,流入,TCP,外部,内部,25,=1024,允许,5,*,*,*,*,*,*,禁止,31,检查SYN位,提防SYN洪水攻击,检查ACK位,检查ACK位，防火墙只允许内部客户访问外部Web效劳器，反之那么禁止。,32,UDP端口过滤,采用代理效劳器的方式,规则,方向,协议,源地址,目的地址,源端口,目的端口,ACK,位,动作,1,流出,TCP,内部,外部,=1024,23,均可,允许,2,流入,TCP,外部,内部,23,=1024,置1,允许,3,*,*,*,*,*,*,*,禁止,33,IMCP包,ICMP数据很有用，但也很有可能被利用来收集网络的有关信息，我们必须加以区别对待。防火墙的一个重要功能就是让外部不能得到网络内部主机的信息。因为这一点，需要阻止以下几种报文类型：, 流入的echo请求和流出的echo响应允许内部用户使用ping命令测试外部主机的连通性，但不允许相反方向的类似报文。, 流入的重定向报文这些信息可以用来重新配置网络的路由表。,流出的目的不可到达报文和流出的效劳不可用报文不允许任何人刺探网络。通过找出那些不可到达或那些不可提供的效劳，黑客就更加容易锁定攻击目标。,34,包过滤器的优点：,包过滤是“免费的。如果己经有了路由器，它很可能支持包过滤。在小型局域网内，单个路由器用作包过滤器足够了。,理论上只需要在局域网连接到因特网或外部网的地方布置一个过滤器。这里是网络的一个扼流点。,使用包过滤器，不需要专门培训用户或使用专门的客户端和效劳器程序。屏蔽路由器或者包过滤主时机为网络的客户端透明地完成各种工作。,35,包过滤器的缺乏之处：,使路由器难以配置，特别是使用大量规那么进行复杂配置的时候。在这种情况下，很难进行完全地测试。,当包过滤器出现故障，或者配置不正确的时候，对网络产生的危害比代理效劳器产生的危害大得多。,包过滤器只对少量数据，如IP包的头部信息进行操作。由于仅使用这些信息来决定是否让这些包通过防火墙，所以包过滤器的工作限制在它力所能及的范围之内。,很多具有包过滤功能的防火墙缺少健壮的日志功能，因此当系统被渗入或被攻击时，很难得到大量的有用信息。,36,13.3.2 堡垒主机,堡垒主机通常是指那些在平安方面能够到达普通工作站所不能到达程度的计算机系统。这样一个计算机系统会最大程度利用底层操作系统所提供的资源保护、审计和认证机制等功能，并且对完成既定任务所不需要的应用和效劳都已从计算机系统中删除，这样就减少了成为受害目标的时机。,37,38,39,13.3.3 应用网关和代理效劳器,代理效劳器工作在应用层，它能提供多种效劳。网络中所有的包必须经过代理效劳器来建立一个特别的连接，因而代理效劳器提供了客户和效劳器之间的通路。,它接收客户的请求，然后代表客户向效劳器发出实际的请求。在客户和效劳器之间没有实际的IP包经过。代理效劳器位于连接的中间，它分别向客户和效劳器通话来保持它们的连接。,40,1.在代理效劳器中禁止路由,当用双宿主机来作为代理效劳器时，应确保关掉这两个网络适配器之间的路由(在缺省情况下这是允许的)。,禁止主机的IP转发或者路由之后，客户/效劳器之间所有的连接都必须流经允许的代理应用程序，否那么就被阻塞。,41,2.使用代理效劳器可以得到如下的好处:, 隐藏受保护网络中客户和效劳器的网络信息。, 代理效劳器是能够对受保护网络和因特网之间的网络效劳进行控制的惟一点(Single Point)。即使代理应用瘫痪，也不能通过设置堡垒主机来允许通信经过。, 代理效劳器可以被设置来记录所提供的效劳的相关信息，并且对可疑活动和未授权的访问进行报警。, 一些代理效劳器可以筛选返回数据的内容，并阻塞对某些站点的访问。它们也能够阻塞包含病毒和其它可疑对象的包。,42,代理效劳器的缺点主要包括:, 尽管代理效劳器提供了一个进行访问控制的惟一点，但它也是导致整个系统瘫痪的惟一点。, 每一个网络效劳都需要它自己的代理效劳程序。虽然存在一般的解决方案，但是它没有提供与代理效劳器相同级别的平安性。, 在客户使用代理效劳器之前可能需要被修改或者重新配置。,43,3.传统代理,FTP使用传统代理以后，要包含以下步骤：,(1) 用户执行FTP客户命令，例如ftp proxyserver.two 。,(2) 代理效劳器提示输入用户名，用户做出响应。,(3) 代理效劳器提示输入口令，用户做出响应。,(4) 用户向代理效劳器指明实际的FTP连接目标，一般的格式是: usernametarget 。这里，username是目标系统中的合法用户名，此处target 是最终的FTP会话目标。,(5) 代理效劳器将登录信息转发给目标，如果认证成功，那么就通知客户应用程序，现在用户可以执行FTP命令了。,(6) 代理效劳器从用户的客户软件接收FTP命令，并向目标效劳器转发这些命令。,(7) 目标效劳器响应代理效劳器的命令，就像它是实际的客户一样，并将根据用户命令响应的数据返回到代理效劳器。,(8) 代理效劳器将从目标效劳器接收到的数据转发到用户的客户应用软件。,44,透明代理 为了使代理应用程序更易于终端用户的管理和使用，就需要使代理应用程序对用户透明。这就是说，用户不需要敲入额外的命令，甚至根本不需要知道使用了代理效劳器。从用户的观点看，透明代理就像直接连接一样(像一个包过滤器)，用户甚至不需要知道存在代理效劳器。,45,46,4.,网络地址转换,实现,NAT,的地址映射有许多方法：, 使用静态地址分配(,Static Translation，,也称为端口转发，,Port Forwarding)，,它们用,NAT,为内部网络的客户绑定一个固定,IP,地址。, 使用动态地址分配(,Dynamic Translation，,也称为自动模式，隐藏模式或,IP,伪装)的,NAT,为访问外部网络的客户分配一个,IP,地址。在客户会话结束，或者超过某一时限后，合法的外部网络地址会返回到地址池，等待下次分配，实现,IP,地址的复用。,47,1.根本NAT,根本NAT要求给NAT分配一个或多个有效因特网地址，以便用这些地址为内部网络用户建立连接。这意味着在任何时刻，分配给NAT使用的有效IP地址应该不小于连往外部网络的会话数。如果给NAT分配10个可以使用的IP地址，那么在内部网络就只能有10个客户同时向外部网络建立连接。,2.网络地址端口转换,如果同时有许多用户向外部建立连接，而NAT又没有足够多的有效IP地址，那么根本NAT就不行了。IP地址和端口号的组合被用于惟一地表示一个TCP或者UDP通信终端。NAPT效劳器维护一张将客户的连接转换为外部IP地址和为该IP地址分配的惟一端口号的表，这样就可以确定各个用户的连接了。,48,5.,内容屏蔽或阻塞访问,URL,地址阻塞：可以指定哪些,URL,地址会被阻塞(或者允许访问)。, 类别阻塞：这种方法可以指定阻塞含有某种内容的数据包。,嵌入的内容：一些代理软件应用程序能够设置为阻塞,Java、ActiveX,控件，或者其它一些嵌入在,Web,请求的响应里的对象。,49,日志和报警措施,代理效劳器一个不可无视的重要功能就是能够记录用户的各种行为信息。在事先可预测的条件下，一些行为还可以设置为触发一个警报(例如：一封寄给管理员的E-mail；一条在控制台上弹出的消息)。,50,内容,13.1 防火墙的根本概念,13.2 防火墙类型及体系结构,13.3 防火墙的根本技术及附加功能,13.4 防火墙技术的几个新方向,13.5 防火墙产品及应用,51,13.4.1 传统防火墙的缺点,传统防火墙具有以下缺乏：,(1) 高本钱：内部网中需要保护的主机或者资源越多，就需要设置越多的平安检查点。,(2) 高管理负担：管理人员管理好、维护好众多的防火墙设备有很大的难度。,(3) 存在盲点：来自子网内部任何主机的攻击都将成为该防火墙的盲点。,(4) 低性能：造成网络传输延迟，使网络性能降低。,52,13.4.2 自适应的代理效劳防火墙,“自适应代理是较新的一种防火墙设计，它将前几代防火墙的优点合成到一个单一的完整系统中并使它们的弱点缩减到最小。作为自适应代理效劳器，根本的平安检测仍在应用层进行，但一旦平安检测代理明确了会话的所有细节，那么其后的数据包就可以直接经过速度更快的网络层。因此，自适应防火墙根本上和标准代理效劳防火墙一样平安，并且比状态包检测有更快的性能。,53,13.4.3 新型混合防火墙体系结构,54,13.1 防火墙的根本概念,13.2 防火墙类型及体系结构,13.3 防火墙的根本技术及附加功能,13.4 防火墙技术的几个新方向,13.5 防火墙产品及应用,内容,55,1,Check Point Firewall-1,2,AXENT Raptor,3,CyberGuard Firewall,4,Cisco PIX Firewall 520,56,Thank You !,57,