第8章 防火墻技術(shù)1

1、網(wǎng)絡(luò)安全與管理,第8章 防火墻技術(shù),本章學(xué)習(xí)目標,防火墻及相關(guān)概念 包過濾與代理 防火墻的體系結(jié)構(gòu) 分布式防火墻與嵌入式防火墻,8.1 防火墻概述,8.1.1 相關(guān)概念8.1.2 防火墻的作用8.1.3 防火墻的優(yōu)、缺點,8.1.1 相關(guān)概念,防火墻的概念防火墻（Firewall）是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，它能擋住來自外部網(wǎng)絡(luò)的攻擊和入侵，保障著內(nèi)部網(wǎng)絡(luò)的安全。,,8.1.1 相關(guān)

2、概念,其它概念:外部網(wǎng)絡(luò)（外網(wǎng)）內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）非軍事化區(qū)（DMZ）包過濾:在網(wǎng)絡(luò)層對數(shù)據(jù)實施有選擇的通過。代理服務(wù)器：代表內(nèi)部用戶向外部服務(wù)器進行連接請求的程序。狀態(tài)檢測技術(shù)：抽取相關(guān)數(shù)據(jù)報之間的關(guān)聯(lián)性，并結(jié)合安全規(guī)則做出允許通過或報警等安全決策。虛擬專用網(wǎng)（VPN）漏洞：安全缺陷數(shù)據(jù)驅(qū)動攻擊：普通數(shù)據(jù)中隱匿的破壞性數(shù)據(jù)，當被激活時進行破壞性活動。IP地址欺騙：入侵者偽裝成可信任的IP地址。,,8.1.1 相關(guān)概

3、念,防火墻安全策略一個防火墻應(yīng)該使用以下兩種基本策略中的一種: 除非明確允許，否則就禁止 除非明確禁止，否則就允許,,8.1.2 防火墻的作用,防火墻的基本功能從總體上看，防火墻應(yīng)具有以下基本功能：可以限制未授權(quán)用戶進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施，對網(wǎng)絡(luò)攻擊進行檢測和告警；限制內(nèi)部用戶訪問特殊站點；記錄通過防火墻的信息內(nèi)容和活動，監(jiān)視Internet安全提供方便。,,防火墻的

4、特性,所有在內(nèi)外網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)都應(yīng)通過防火墻。只用被允許的數(shù)據(jù)才能通過防火墻。防火墻本身足夠強，不受各種攻擊影響。,防火墻和病毒實時檢測和清除系統(tǒng),實時檢測和清除系統(tǒng)：把病毒監(jiān)控程序駐留在內(nèi)存中，隨時檢查系統(tǒng)，查殺本地病毒。防火墻：不對全部應(yīng)用程序監(jiān)控，只對存在網(wǎng)絡(luò)訪問的應(yīng)用程序監(jiān)控，防止黑客入侵，木馬盜取機密。,8.1.3 防火墻的優(yōu)、缺點,1．優(yōu)點 防火墻是加強網(wǎng)絡(luò)安全的一種有效手段，它有以下優(yōu)點：防火墻能強化

5、安全策略，僅允許符合規(guī)則的信息通過；防火墻能有效地記錄Internet上的活動；防火墻是一個安全策略的檢查站。,8.1.3 防火墻的優(yōu)、缺點,2．缺點 有人認為只要安裝了防火墻，所有的安全問題就會迎刃而解。但事實上，防火墻并不是萬能的，安裝了防火墻的系統(tǒng)仍然存在著安全隱患。以下是防火墻的一些缺點：不能防范惡意的內(nèi)部用戶；不能防范不通過防火墻的連接；不能防范全部的威脅；防火墻不能防范病毒；,8.2 防火墻技術(shù)分類

6、,8.2.1 包過濾技術(shù)8.2.2 代理技術(shù)8.2.3 防火墻技術(shù)的發(fā)展趨勢,8.2.1 包過濾技術(shù),包過濾（Packet Filtering）技術(shù)在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每個包，根據(jù)包頭信息來確定是否允許數(shù)據(jù)包通過，拒絕發(fā)送可疑的包。,,包過濾防火墻工作示意圖,包過濾防火墻的工作原理,包過濾模型圖,包過濾防火墻的工作原理,8.2.1 包過濾技術(shù),包過濾防火墻（Packe

7、t Filter）一般由屏蔽路由器（Screening Router）實現(xiàn)。具有明顯的優(yōu)點： 一個屏蔽路由器能保護整個網(wǎng)絡(luò) 包過濾對用戶透明 屏蔽路由器速度快、效率高,8.2.1 包過濾技術(shù),包過濾防火墻的缺點： 它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄 配置繁瑣，沒有一定的經(jīng)驗，是不可能將過濾規(guī)則配置得完美 不能在用戶級別上進行過濾，只能認為內(nèi)部用戶是可信任的、外部用戶是可疑的,

8、8.2.1 包過濾技術(shù),包過濾防火墻的發(fā)展階段 第一代：靜態(tài)包過濾防火墻 第二代：動態(tài)包過濾（Dynamic Packet Filter）防火墻 第三代：全狀態(tài)檢測（Stateful Inspection）防火墻 第四代：深度包檢測（Deep Packet Inspection）防火墻,,靜態(tài)包過濾：根據(jù)事先設(shè)定的過濾規(guī)則決定數(shù)據(jù)允許或拒絕通過。動態(tài)包過濾（Dynamic Packet Filter）：動態(tài)設(shè)置過濾規(guī)則，只

9、有在用戶請求下才打開端口，服務(wù)完畢之后關(guān)閉端口。,全狀態(tài)檢測（Stateful Inspection）,防火墻接收到一個初始化tcp連接的syn包，這個帶有syn的數(shù)據(jù)包被防火墻的規(guī)則庫檢查。決定接受或拒絕該次連接。如果該包被接受，那么本次會話被記錄到狀態(tài)監(jiān)測表里。隨后的數(shù)據(jù)包(沒有帶有一個syn標志)就和該狀態(tài)監(jiān)測表的內(nèi)容進行比較。如果會話是在狀態(tài)表內(nèi)，而且該數(shù)據(jù)包是會話的一部分，該數(shù)據(jù)包被接受。否則該數(shù)據(jù)包被丟棄。這種方式提高了

10、系統(tǒng)的性能，因為每一個數(shù)據(jù)包不是和規(guī)則庫比較，而是和狀態(tài)監(jiān)測表比較。只有在syn的數(shù)據(jù)包到來時才和規(guī)則庫比較。所有的數(shù)據(jù)包和狀態(tài)檢測表的比較都在內(nèi)核模式下進行所以非?？?。,,全狀態(tài)檢測防火墻的工作流程,狀態(tài)檢測防火墻的工作示意圖,全狀態(tài)檢測防火墻的工作流程,,深度包檢測（Deep Packet Inspection）：具有全面檢測包有效載荷的功能。更為有效的辨識緩沖區(qū)溢出攻擊、DOS攻擊以及各種蠕蟲病毒的侵擾。是未來防火墻的發(fā)展方向。,

11、8.2.2 代理技術(shù),所謂代理服務(wù)器，是指代表內(nèi)網(wǎng)用戶向外網(wǎng)服務(wù)器進行連接請求的服務(wù)程序，是一種軟件。代理服務(wù)器運行在兩個網(wǎng)絡(luò)之間，它對于客戶機來說像是一臺真的服務(wù)器，而對于外網(wǎng)的服務(wù)器來說，它又是一臺客戶機。代理服務(wù)器的基本工作過程是：當客戶機需要使用外網(wǎng)服務(wù)器上的數(shù)據(jù)時，首先將請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。,代理防火墻的工作原理,,,8.2.2 代理技術(shù),代理

12、的優(yōu)點代理易于配置代理能生成各項記錄代理能靈活、完全地控制進出信息代理能過濾數(shù)據(jù)內(nèi)容,8.2.2 代理技術(shù),代理的缺點：代理速度比路由器慢代理對用戶不透明對于每項服務(wù)，代理可能要求不同的服務(wù)器代理服務(wù)通常要求對客戶或過程進行限制代理服務(wù)受協(xié)議弱點的限制代理不能改進底層協(xié)議的安全性,8.2.2 代理技術(shù),代理防火墻的發(fā)展階段：應(yīng)用層代理（Application Proxy）電路層代理（Circuit Prox

13、y）自適應(yīng)代理（Adaptive Proxy）,應(yīng)用層代理（Application Proxy）防火墻,,,2． 代理防火墻的應(yīng)用特點 代理防火墻具有以下的主要特點： （1） 代理防火墻可以針對應(yīng)用層進行檢測和掃描，可有效地防止應(yīng)用層的惡意入侵和病毒。 （2） 代理防火墻具有較高的安全性。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過代理服務(wù)器的介入和轉(zhuǎn)換，而且在代理防火墻上會針對每一種網(wǎng)絡(luò)應(yīng)用（如H

14、TTP）使用特定的應(yīng)用程序來處理。,（3） 代理服務(wù)器通常擁有高速緩存，緩存中保存了用戶最近訪問過的站點內(nèi)容。 （4） 代理防火墻的缺點是對系統(tǒng)的整體性能有較大的影響，系統(tǒng)的處理效率會有所下降，因為代理型防火墻對數(shù)據(jù)包進行內(nèi)部結(jié)構(gòu)的分析和處理，這會導(dǎo)致數(shù)據(jù)包的吞吐能力降低（低于包過濾防火墻）。,電路層網(wǎng)關(guān)防火墻（Circuit Gateway）,電路層網(wǎng)關(guān)在網(wǎng)絡(luò)的傳輸層上實施訪問策略，是在內(nèi)、外網(wǎng)絡(luò)主機之間建立一個虛擬電路，

15、進行通信，相當于在防火墻上直接開了個口子進行傳輸，不像應(yīng)用層防火墻那樣能嚴密地控制應(yīng)用層的信息。電路層網(wǎng)關(guān)就象電線一樣，只是在內(nèi)部連接和外部連接之間來回拷貝字節(jié)。但由于連接似乎是起源于防火墻，從而隱藏了受保護網(wǎng)絡(luò)的有關(guān)信息。,建立兩個TCP連接，一個是在網(wǎng)關(guān)本身和內(nèi)部主機上的一個TCP用戶之間，一個是在網(wǎng)關(guān)和外部主機上的一個TCP用戶之間。連接建立后，網(wǎng)關(guān)的中繼程序從一個連接向另一個連接轉(zhuǎn)發(fā)TCP報文，而不檢查其內(nèi)容。其安全功能具體體

16、現(xiàn)在決定哪些連接是允許的。,自適應(yīng)代理（Adaptive Proxy）,自適應(yīng)代理防火墻可以根據(jù)用戶定義的安全規(guī)則,動態(tài)“適應(yīng)”傳送中的分組流量。它允許用戶根據(jù)具體需求,自己定義防火墻策略,而不會犧牲速度或安全性。如果安全要求高,那么最初的安全檢查仍在應(yīng)用層進行,保證實現(xiàn)傳統(tǒng)代理防火墻的最大安全性;而一旦代理明確了會話的所有細節(jié),那么其后的數(shù)據(jù)包就可以直接經(jīng)過速度快得多的網(wǎng)絡(luò)層。自適應(yīng)代理防火墻就擁有了和傳統(tǒng)代理防火墻一樣的安全性,

17、同時又具有了分組狀態(tài)檢查防火墻的速度。,8.2.3 防火墻技術(shù)的發(fā)展趨勢,代理服務(wù)器在對應(yīng)用層的數(shù)據(jù)過濾方面能力優(yōu)于包過濾防火墻，但是在性能方面的表現(xiàn)就會大大遜色?？傮w來說，傳統(tǒng)的防火墻已經(jīng)無法滿足人們的安全需求，其功能不足以應(yīng)付眾多的安全威脅。 發(fā)展趨勢： 功能融合:加密技術(shù)、智能化、防病毒等 集成化管理 分布式體系結(jié)構(gòu),8.3 防火墻體系結(jié)構(gòu),8.3.1 屏蔽路由器8.3.2 雙重宿主主機結(jié)構(gòu)8.3.3 屏蔽主

18、機結(jié)構(gòu)8.3.4 屏蔽子網(wǎng)結(jié)構(gòu)8.3.5 防火墻的組合結(jié)構(gòu),8.3.1 屏蔽路由器體系結(jié)構(gòu),屏蔽路由器（Screened Router）可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來充當防火墻。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。但不具備監(jiān)測，跟蹤和記錄的功能。,8.3.2 雙重宿主主機結(jié)構(gòu),雙宿主機（Dual-homed host），又稱堡壘主機（Bastion host），是一臺至少配有兩個網(wǎng)

19、絡(luò)接口的主機，它可以充當與這些接口相連的網(wǎng)絡(luò)之間的路由器，在網(wǎng)絡(luò)之間發(fā)送數(shù)據(jù)包。一般情況下雙宿主機的路由功能是被禁止的，這樣可以隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的直接通信，從而達到保護內(nèi)部網(wǎng)絡(luò)的作用。,,8.3.2 雙重宿主主機結(jié)構(gòu)（Dual-Homed Host Firewall）,又稱堡壘主機，有兩個網(wǎng)絡(luò)接口的計算機系統(tǒng)，一個接口接內(nèi)部網(wǎng)，一個接口接外部網(wǎng)。,,,缺點：堡壘主機的任何安全缺陷，都將直接影響到防火墻的安全性。一旦黑客侵入

20、堡壘主機并使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。設(shè)計原則：堡壘主機盡可能簡單，保留最少服務(wù)，關(guān)閉路由功能。,8.3.2 屏蔽主機結(jié)構(gòu)（Screened Host Gateway）,又稱主機過濾結(jié)構(gòu)，屏蔽主機結(jié)構(gòu)需要配備一臺堡壘主機和一個有過濾功能的屏蔽路由器；屏蔽路由器連接外部網(wǎng)絡(luò)，堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上；通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機成為從外部網(wǎng)絡(luò)唯一可直接到達的主機；入侵者要想入侵內(nèi)部網(wǎng)絡(luò)，

21、必須過屏蔽路由器和堡壘主機兩道屏障，所以屏蔽主機結(jié)構(gòu)比雙重宿主主機結(jié)構(gòu)具有更好的安全性和可用性。,,8.3.2 屏蔽主機結(jié)構(gòu),,,8.3.3 屏蔽子網(wǎng)結(jié)構(gòu),屏蔽子網(wǎng)結(jié)構(gòu)（Screened Subnet），它是在屏蔽主機結(jié)構(gòu)的基礎(chǔ)上添加額外的安全層，即通過添加周邊網(wǎng)絡(luò)（即屏蔽子網(wǎng)）更進一步地把內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開。屏蔽子網(wǎng)結(jié)構(gòu)包含外部和內(nèi)部兩個路由器。兩個屏蔽路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū)”DMZ。,,,8.3.3

22、 屏蔽子網(wǎng)結(jié)構(gòu),屏蔽子網(wǎng)結(jié)構(gòu),,,,8.3.4 防火墻的組合結(jié)構(gòu),建造防火墻時，一般很少采用單一的結(jié)構(gòu)，通常是多種結(jié)構(gòu)的組合。一般有以下幾種形式： 使用多堡壘主機； 合并內(nèi)部路由器與外部路由器； 合并堡壘主機與外部路由器； 合并堡壘主機與內(nèi)部路由器； 使用多臺內(nèi)部路由器； 使用多臺外部路由器； 使用多個周邊網(wǎng)絡(luò)； 使用雙重宿主主機與屏蔽子網(wǎng)。,,,,8.4 內(nèi)部防火墻,8.4.1 分布式防火墻（Distributed

23、Firewall）8.4.2 嵌入式防火墻（Embedded Firewall）8.4.3 個人防火墻,8.4.1 分布式防火墻,分布式防火墻是一種全新的防火墻概念，是比較完善的一種防火墻技術(shù)，它是在邊界防火墻的基礎(chǔ)上開發(fā)的，目前主要以軟件形式出現(xiàn)。分布式防火墻是一種主機駐留式的安全系統(tǒng)，用以保護內(nèi)部網(wǎng)絡(luò)免受非法入侵的破壞。分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為“不友好的”，對所有的信息流進行過濾與限制，無論是來自

24、Internet，還是來自內(nèi)部網(wǎng)絡(luò)。它們對個人計算機進行保護的方式如同邊界防火墻對整個網(wǎng)絡(luò)進行保護一樣。,8.4.1 分布式防火墻,分布式防火墻體系結(jié)構(gòu)分布式防火墻包含以下三個部分：網(wǎng)絡(luò)防火墻（Network Firewall）:內(nèi)外網(wǎng)之間、內(nèi)網(wǎng)中各子網(wǎng)之間主機防火墻（Host Firewall）：服務(wù)器和工作站中心管理（Central Management）：總體安全策略的策劃、管理、分發(fā)及日志的匯總。,分布式防火墻的工

25、作模式,8.4.1 分布式防火墻,分布式防火墻的主要特點 主機駐留：針對網(wǎng)絡(luò)中的主機設(shè)定安全策略 嵌入操作系統(tǒng)內(nèi)核：直接接管網(wǎng)卡，把所有數(shù)據(jù)進行檢查后再交給操作系統(tǒng)，彌補操作系統(tǒng)存在的缺陷。 類似于個人防火墻：安全策略由整個系統(tǒng)的管理員統(tǒng)一設(shè)置，對用戶透明且不能更改?？杀Ｗo主機，也可控制它對外的訪問。適用于服務(wù)器托管：企業(yè)利用中心管理軟件對服務(wù)器進行遠程監(jiān)控。,服務(wù)器托管,為了提高網(wǎng)站的訪問速度，降低運營成本等目的，將服務(wù)器

26、及相關(guān)設(shè)備托管到具有完善機房設(shè)施、高品質(zhì)網(wǎng)絡(luò)環(huán)境、豐富帶寬資源和運營經(jīng)驗的網(wǎng)絡(luò)數(shù)據(jù)中心IDC內(nèi)，使系統(tǒng)達到安全、可靠、穩(wěn)定、高效運行的目的。托管的服務(wù)器由客戶自己進行維護，或者由其它的授權(quán)人進行遠程維護。 即由用戶自行購買服務(wù)器設(shè)備放到當?shù)仉娦?、網(wǎng)通或其他ISP運營商的IDC機房。,8.4.1 分布式防火墻,分布式防火墻的優(yōu)勢 增強的系統(tǒng)安全性：加強了來自內(nèi)部攻擊的防范。 提高了系統(tǒng)性能：去除單一接入點的瓶頸。 系統(tǒng)的擴展性

27、：網(wǎng)絡(luò)擴展的同時，安全防護能力也在擴展。 應(yīng)用更為廣泛，支持VPN通信：對邏輯上位于內(nèi)部的主機納入到安全管理的范圍。遠程內(nèi)部主機和網(wǎng)絡(luò)內(nèi)部主機可直接通信，不必再繞過防火墻。,8.4.2 嵌入式防火墻,目前分布式防火墻主要是以軟件形式出現(xiàn)的，也有一些網(wǎng)絡(luò)設(shè)備開發(fā)商（如3COM、CISCO等）開發(fā)生產(chǎn)了硬件分布式防火墻，做成PCI卡或PCMCIA卡的形式，將分布式防火墻技術(shù)集成在硬件上（一般可以兼有網(wǎng)卡的功能），通常稱之為嵌入式防火墻。

28、嵌入式防火墻的代表產(chǎn)品是3Com公司的3Com 10/100安全服務(wù)器網(wǎng)卡（3Com 10/100 Secure Server NIC）、3Com 10/100安全網(wǎng)卡（3Com 10/100 Secure NIC）以及3Com公司嵌入式防火墻策略服務(wù)器（3Com Embedded Firewall Policy Server）。,8.4.3 個人防火墻,個人防火墻是安裝在個人計算機里的一段程序，把個人計算機和Internet分隔開。

29、它檢查進出防火墻的所有數(shù)據(jù)包，決定該攔截這個包還是將其放行。在不妨礙正常上網(wǎng)瀏覽的同時，阻止Internet上的其他用戶對個人計算機進行的非法訪問。,8.5 防火墻安全設(shè)計策略,在構(gòu)筑防火墻保護網(wǎng)絡(luò)之前，需要制定一套完整有效的安全策略。一般，防火墻安全策略分為兩個層次：防火墻安全設(shè)計策略和網(wǎng)絡(luò)服務(wù)訪問策略。,（1）防火墻安全設(shè)計策略防火墻一般執(zhí)行以下兩種基本設(shè)計策略中的一種：除非明確禁止，否則允許某種服務(wù)；（寬松的政策）除非

30、明確允許，否則將禁止某種服務(wù)。（限制性政策）一個公司可以把一些必須的而又不能通過防火墻的服務(wù)放在屏蔽子網(wǎng)上，和其他的系統(tǒng)相隔離開。如：Web服務(wù)器，這個服務(wù)器只是由包過濾進行保護，并不放在防火墻后面?，F(xiàn)在的防火墻還逐漸使用加密機制來提高防火墻的安全性。,（2）網(wǎng)絡(luò)服務(wù)訪問策略 網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù)，而且還包括對撥號訪問以及SLIP/PPP連接的限制。