信息安全第11章防火墙.ppt

第11章 防火墙,主要内容,11.1 防火墙的原理 11.2 防火墙的分类 11.3 防火墙技术 11.4 防火墙的体系结构 11.5 防火墙的局限性,Internet,为什么需要防火墙,Internet的开放性导致网络安全威胁无处不在,拒绝服务攻击,ARP攻击泛滥,未授权资源访问,非法资源访问,各种协议漏洞攻击,没有防火墙的 Internet千疮百孔,11.1 防火墙的原理,Willam Cheswick和 steven Beellovin：防火墙是位于两个（或多个）网络间，实施网间访问控制的一组组件的集合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙； 有符合安全政策的数据流才能通过防火墙； 防火墙自身能抗攻击。,防火墙可以是在可信任网络和不可信任网络之间的一个缓冲系统，它可以是一台有访问控制策略的路由器，或者一台多个网络接口的计算机、也可以是安装在某台特定机器上的软件。它被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。,防火墙的基本功能,服务控制：确定哪些服务可以被访问； 方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙； 用户控制：根据用户来控制对服务的访问； 行为控制：控制一个特定的服务的行为。,防火墙在网络中的位置 防火墙多应用于一个局域网的出口处（如图（a）所示）或置于两个网络中间（如图（b）所示）。,防火墙在网络中的位置,安全域为什么需要安全域？,传统防火墙通常都基于接口进行策略配置，网络管理员需要为每一个接口配置安全策略。 防火墙的端口朝高密度方向发展，基于接口的策略配置方式给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率。,教学楼 #1,教学楼 #2,教学楼 #3,服务器群,办公楼 #1,办公楼 #2,实验楼 #1,实验楼 #2,宿舍楼,Internet,配置维护太复杂了！,安全域什么是安全域？,将安全需求相同的接口划分到不同的域，实现策略的分层管理。,防火墙,Trust,Untrust,Internet,教学楼 办公楼 实验楼 宿舍楼,DMZ,Web服务器 FTP服务器 邮件服务器 打印服务器,配置维护简单多了！,1 信赖域和非信赖域 2 信赖主机和非信赖主机 3、DMZ DMZ（Demilitarized zone）称为“隔离区”或“非军事化区”，它是介于信赖域和非信赖域之间的一个安全区域。,Trust,安全域域间策略,市场部门 /16,防火墙,研发部门 /16,域间策略,Untrust,Internet,DMZ,Web Server ,Mail Server ,Trust区域的市场部门员工在上班时间可以访问Internet Untrust区域在任何时候都不允许访问DMZ区域的邮件服务器 Trust区域的研发部门员工在任何时候都可以访问DMZ区域的Web服务器,使用防火墙后的网络组成,防火墙的实施策略,一切未被禁止的就是允许的（Yes规则） 确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。 一切未被允许的就是禁止的（No规则） 确定所有可以被提供的服务以及它们的安全性，然后开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。,11.2 防火墙的分类,根据防火墙形式分类 根据实现原理分类 根据防火墙结构分类 按照防火墙应用部署分类,根据防火墙形式分类,软件防火墙 运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持 硬件防火墙 基于PC架构，运行一些经过裁剪和简化的操作系统，一般至少应具备三个端口 芯片级防火墙 专有的ASIC芯片，速度更快，处理能力更强，性能更高，专用操作系统，价格相对比较高昂,根据实现原理分类,包过滤(Packet Filtering)型 工作在OSI网络参考模型的网络层和传输层，根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。 应用代理(Application Proxy)型 工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。,根据防火墙结构分类,单一主机防火墙 最为传统的防火墙，独立于其它网络设备，位于网络边界。一般都集成了两个以上的以太网卡，连接一个以上的内、外部网络。 路由器集成式防火墙 在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙 分布式防火墙 由多个软、硬件组成的系统。渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ，一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。,按照防火墙应用部署分类,边界防火墙 位于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。一般都是硬件类型 个人防火墙 安装于单台主机中。应用于广大的个人用户，通常为软件防火墙，价格最便宜，在功能上有很大的限制。 混合式防火墙 是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。,11.3 防火墙技术,数据包过滤 代理服务,数据包过滤技术,什么是包过滤？ 包过滤是访问控制技术的一种，对于需要转发的数据包，首先获取包头信息（包括源地址、目的地址、源端口和目的端口等），然后与设定的策略进行比较，根据比较的结果对数据包进行相应的处理（允许通过或直接丢弃）。 数据包过滤原理 在网络的适当位置，根据系统设置的过滤规则。对数据包实施过滤，只允许满足过滤规则的数据包通过并被转发到目的地，而其他不满足规则的数据包被丢弃。 包过滤技术出现了两种不同版本，称为“静态包过滤”和“动态包过滤”。,包过滤防火墙工作示意图,静态包过滤类型防火墙,采用数据包过滤技术 根据定义好的过滤规则审查每个数据包，过滤规则基于数据包的报头信息进行制订。 报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。,包过滤防火墙规则示例,1：内部主机任何端口访问任何主机的任何端口，基于TCP协议的数据包 都允许通过。 2：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。 3：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过（与1、2作为系列规则时该规则无效）。,状态监测防火墙,静态包过滤最明显的缺陷是，为了实现期望的通信，它必须保持一些端口永久开放，这就为潜在的攻击提供了机会。为了克服这个弱点，发展出了动态包过滤技术，它根据数据包的头信息打开或关闭端口。,状态检测防火墙的工作示意图,包过滤防火墙的优缺点,优点： 性能优于其他防火墙，因为它执行的计算较少，并且容易用硬件方式实现； 规则设置简单，通过禁止内部计算机和特定Internet资源连接，单一规则即可保护整个网络； 不需要对客户端计算机进行专门配置； 通过NAT（网络地址转换），可以对外部用户屏蔽内部IP 缺点： 无法识别协议层次，也无法对协议子集进行约束，甚至最基本的服务，如ftp中的put和get命令也无法识别； 处理包内信息的能力有限，通常不能提供其他附加服务； 一般无法约束由内部主机到防火墙服务器上的信息，只能控制哪些信息可以通过，从而入侵者可能访问到防火墙主机的服务，带来安全隐患； 由于对众多网络服务的支持所造成的复杂性，很难对规则有效性进行测试。,NAT为什么需要NAT？,NAT（Network Addressing Translation：网络地址转换）,问题,如何应对IPv4地址日益短缺的问题？,如何有效隐藏私网内部结构？,解决之道,NAT,NAT基本原理和实现方式,基本原理 仅在私网主机需要访问Internet时才会分配到合法的公网地址，而在内部互联时则使用私网地址。当访问Internet的报文经过防火墙时，会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录；之后，当报文从Internet侧返回时，防火墙查询原有的记录，将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机。,NAT基本NAT方式,00,8,NAT地址池,NAT转换表项,防火墙,1、只转换IP地址，对TCP/UDP协议端口号不做处理。 2、一个公网IP地址不能同时被多个用户使用。,源 00,目的 00,源 5,目的 5,内网主机,外网服务器,代理服务技术,代理服务原理 代理服务是在防火墙主机上运行的专门的应用程序或服务器程序，这些程序根据安全策略处理用户对网络服务的请求，代理服务位于内部网和外部网之间，处理其间的通信以代替互相的直接通信。,代理防火墙,代理防火墙的工作原理 代理防火墙具有传统的代理服务器和防火墙的双重功能。如图所示，代理服务器位于客户机与服务器,代理防火墙的工作示意图,之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器仅是一台客户机。,应用网关(Application Gateway)型防火墙,一般被配置为双宿主网关，具有两个网络接口卡，跨接内部网和外部网。 缺点：速度相对比较慢 优点：安全性高,电路级网关防火墙,电路级网关是一个通用代理服务器，通常可以认为它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层 电路级网关的实现典型是Socks5协议，支持多种认证方式。,11.4 防火墙的体系结构,堡垒主机（Bastion Host） 物理内部网中唯一可供外界访问到的主机，它通常配置了严格的安全防范措施，堡垒主机为内部网和外部网之间的通信提供一个阻塞点。 DMZ 指供外部网访问的专门区域，用于发布信息、提供服务。通常情况下，外部网和内部网都可以访问这一区域。 防火墙的体系结构一般有双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。,双重宿主主机体系结构,IP数据包从一个网络（例如Internet）并不是直接发送到其它网络（例如内部的、被保护的网络），即内部网络和内部网络不能直接通信，而是由双重宿主主机在中间实现交接过滤。,屏蔽主机体系结构,屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开 任何外部的系统要访问内部的系统或服务都必须先连接到堡垒主机。 内部网也只有堡垒主机可以连接 Internet，堡垒主机实际也就