防火墙技术及应用

防火墙技术及应用防火墙技术概述防火墙的概念防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。

防火墙=硬件+软件+控制策略第2页,共45页，2024年2月25日，星期天防火墙是实现网络和信息安全的基础设施，一个高效可靠的防火墙应用具备以下的基本特性：防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外(inbound)和从外到里(outbound)的所有信息都必须通过防火墙；通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过；防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。

Internet外部(不可信)的网络Intranet内部(受保护)网络不能随便进来，当然也不能随便出去第3页,共45页，2024年2月25日，星期天防火墙的基本功能监控并限制访问控制协议和服务保护内部网络网络地址转换（NAT）虚拟专用网（VPN）日志记录与审计第4页,共45页，2024年2月25日，星期天防火墙的基本原理所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查，而且检查的项目越多、层次越深，则防火墙越安全。由于现在计算机网络结构采用自顶向下的分层模型，而分层的主要依据是各层的功能划分，不同层次功能的实现又是通过相关的协议来实现的。所以，防火墙检查的重点是网络协议及采用相关协议封装的数据。第5页,共45页，2024年2月25日，星期天防火墙提供的机制

-服务控制(servicecontrol)确定可以访问的Internet服务类型(双向的)。防火墙可以基于IP地址、协议和TCP端口号对流量进行过滤；或者提供代理软件，对收到的每个服务请求进行解释，然后才允许通过防火墙用来控制访问和执行站点安全策略的四种通用技术。第6页,共45页，2024年2月25日，星期天防火墙提供的机制

-方向控制(directioncontrol)确定特点服务请求发起和允许通过防火墙的方向。第7页,共45页，2024年2月25日，星期天防火墙提供的机制

-用户控制(usercontrol)根据试图访问服务器的用户来控制服务器的访问权限。通常这个功能应用于在防火墙周界以内的用户(即本地用户)。也可以用于来自外部用户的流量。第8页,共45页，2024年2月25日，星期天防火墙提供的机制

-行为控制(behaviorcontrol)控制特点服务的使用方法。过滤垃圾邮件；控制外部用户只能对本地Web服务器上的部分信息进行访问。第9页,共45页，2024年2月25日，星期天防火墙的基本准则默认丢弃-所有未被允许的就是禁止的

所有未被允许的就是禁止的，这一准则是指根据用户的安全管理策略，所有未被允许的通信禁止通过防火墙。默认转发-所有未被禁止的就是允许的

所有未被禁止的就是允许的，这一准则是指根据用户的安全管理策略，防火墙转发所有信息流，允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址等参数对未授权的用户或不信任的站点进行逐项屏蔽。先否定一切先肯定一切第10页,共45页，2024年2月25日，星期天防火墙的应用防火墙在网络中的位置-多应用于一个局域网的出口处或置于两个网络中间。财务处实验室第11页,共45页，2024年2月25日，星期天使用了防火墙后的网络组成-三部分

防火墙是构建可信赖网络域的安全产品。当一个网络在加入了防火墙后，防火墙将成为不同安全域之间的一个屏障，原来具有相同安全等级的主机或区域将会因为防火墙的介入而发生变化.信赖域和非信赖域信赖主机和非信赖主机DMZ(Demilitarizedzone)称为“隔离区”或“非军事化区”，它是介于信赖域和非信赖域之间的一个安全区域。

第12页,共45页，2024年2月25日，星期天防火墙应用的局限性防火墙不能防范未通过自身的网络连接对于有线网络来说，防火墙是进出网络的唯一节点。但是如果使用无线网络（如无线局域网），内部用户与外部网络之间以及外部用户与内部网络之间的通信就会绕过防火墙，这时防火墙就没有任何用处。第13页,共45页，2024年2月25日，星期天防火墙不能防范全部的威胁防火墙安全策略的制定建立在已知的安全威胁上，所以防火墙能够防范已知的安全威胁。防火墙不能防止感染了病毒的软件或文件的传输

即使是最先进的数据包过滤技术在病毒防范上也是不适用的，因为病毒的种类太多，操作系统多种多样，而且目前的病毒编写技术很容易将病毒隐藏在数据中。第14页,共45页，2024年2月25日，星期天防火墙不能防范内部用户的恶意破坏据相关资料统计，目前局域网中有80%以上的网络破坏行为是由内部用户所为(80/20规则)，如在局域网中窃取其他主机上的数据、对其他主机进行网络攻击、散布计算机病毒等。这些行为都不通过位于局域网出口处的防火墙，防火墙对其无能为力。第15页,共45页，2024年2月25日，星期天防火墙本身也存在安全问题防火墙的工作过程要依赖于防火墙操作系统，与我们平常所使用的Windows、Linux等操作系统一样，防火墙操作系统也存在安全漏洞，而且防火墙的功能越强、越复杂，其漏洞就会越多。加密笔记本第16页,共45页，2024年2月25日，星期天防火墙的基本类型包过滤防火墙-CHeckpoint代理防火墙-Cauntlet状态检测防火墙-CiscoPIX分布式防火墙第17页,共45页，2024年2月25日，星期天防火墙的基本类型包过滤(packetfiltering)防火墙包过滤防火墙是最早使用的一种防火墙技术，它在网络的进出口处对通过的数据包进行检查，并根据已设置的安全策略决定数据包是否允许通过。IP分组第18页,共45页，2024年2月25日，星期天IP分组组成=IP头部+高层数据里面有TCP或UDP端口号第19页,共45页，2024年2月25日，星期天包过滤防火墙的工作原理包过滤是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息（如协议、服务类型等）源、目的端口，确定是否允许该数据包通过防火墙。第20页,共45页，2024年2月25日，星期天当网络管理员在防火墙上设置了过滤规则(访问控制列表AccessControlList,ACL)后，在防火墙中会形成一个过滤规则表。当数据包进入防火墙时，防火墙会将IP分组的头部信息与过滤规则表进行逐条比对，根据比对结果决定是否允许数据包通过。

denyiphost00any第21页,共45页，2024年2月25日，星期天过滤规则举例第一条规则：内部主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过（与1、2作为系列规则时该规则无效）。组序号动作源IP目的IP源端口目的端口协议类型1允许***TCP2允许*20*TCP3禁止*20<1024TCP包过滤防火墙的应用特点过滤规则表事先人工设置-根据用户的安全要求来定。进行检查时，首先从第1个条目开始逐条进行，所以条目先后顺序非常重要。由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。第22页,共45页，2024年2月25日，星期天包过滤防火墙在网络层上进行监测-并没有考虑连接状态信息，仅考虑单个IP数据报通常在路由器上实现-实际上是一种网络层的访问控制（ACL）优点：实现简单对用户透明效率高缺点：正确制定规则并不容易不可能引入认证机制举例：ipchainsandiptables基本思想对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包往往配置成双向的(出站和入站)如何过滤如果匹配到一条规则，则根据此规则决定转发或者丢弃,如果所有规则都不匹配，则根据缺省策略第23页,共45页，2024年2月25日，星期天包过滤原理安全网域HostC

HostD

数据包数据包数据包数据包查找对应的规则拆开数据包根据规则决定如何处理该数据包防火墙规则数据包过滤依据主要是单个数据包TCP/IP报头里面的信息，不能对应用层数据进行处理数据TCP头IP头分组过滤判断信息HostA第24页,共45页，2024年2月25日，星期天包过滤防火墙的设置(1)

从内往外的telnet服务往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议，目标端口23源端口>1023连接的第一个包ACK=0，其他包ACK=1往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议，源端口23目标端口>1023所有往内的包都是ACK=1第25页,共45页，2024年2月25日，星期天包过滤防火墙的设置(2)

从外往内的telnet服务往内包的特性(用户操作信息)IP源是外部地址目标地址为本地serverTCP协议，目标端口23源端口>1023连接的第一个包ACK=0，其他包ACK=1往外包的特性(显示信息)IP源是本地server目标地址为外部地址TCP协议，源端口23目标端口>1023所有往的包都是ACK=1第26页,共45页，2024年2月25日，星期天包过滤防火墙的设置规则服务方向包的方向源地址目的地址协议源端口目的端口是否通过A出出内部外部TCP>102323允许B出入外部内部TCP23>1023允许C入入外部内部TCP>102323允许D入出内部外部TCP23>1023允许双向允许规则包的方向源地址目的地址协议源端口目的端口是否通过A出内部外部TCP>102323允许B入外部内部TCP23>1023允许C双向任意任意任意任意任意拒绝只允许出站第27页,共45页，2024年2月25日，星期天针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址对策：在外部接口上禁止内部地址源路由攻击，即由源指定路由（通常针对路由器的攻击）对策：禁止这样的选项小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中,绕过基于TCP头信息的过滤规则对策：丢弃分片太小的分片第28页,共45页，2024年2月25日，星期天Linux中IP包处理的体系结构IP包接收器IP转发器IP本地分发器第29页,共45页，2024年2月25日，星期天Linux中IP包处理的体系结构NetFilter网络过滤器钩子数据报经过协议栈的几个关键点第30页,共45页，2024年2月25日，星期天Linux中IP包处理的体系结构检测IP数据报头处理包选项决定包的路由选择网络设备组装以太帧做准备以太帧协议类型字段为0X0800第31页,共45页，2024年2月25日，星期天Linux内核2.4中网络层的处理流程Prerouting的作用是数据包刚刚到达防火墙时，改变其目的地址，可以在这里定义进行目的NAT的规则，因为路由器进行路由时只检查数据包的目的ip地址，所以为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。Postrouting的作用是数据包就要离开防火前之前改变其源地址；可以在这里定义进行源NAT的规则，系统在决定了数据包的路由以后在执行该链中的规则。第32页,共45页，2024年2月25日，星期天Linux中的包过滤防火墙-NetFilter(iptables)

iptables实现的功能

-通过三种表来体现包过滤（packetfilter）-对数据报进行过滤-连接跟踪（新增功能）网络地址转换（NAT）-对需要转发的数据包的目的地址进行地址转换-源NAT（SNAT）、目的NAT（DNAT）、伪装IP透明代理数据报更改处理(Mangle)--可以实现对数据报的修改：服务类型字段、生存时间等。第33页,共45页，2024年2月25日，星期天iptables结构图

-五种内置链(规则)组合成三个表Filter-默认的表包含真正的防火墙过滤规则NAT包含源和目的地址和端口转换的规则mangle包含用于设置特殊的数据包路由标志的规则服务类型字段/TTL等第34页,共45页，2024年2月25日，星期天包进入规则表及规则链图05454第35页,共45页，2024年2月25日，星期天iptables的命令格式一个iptables命令基本上包含如下五部分：希望工作在哪个表上、希望使用该表的哪个链、进行的操作(插入，添加，删除，修改)、对特定规则的目标动作、匹配数据报条件。-基本的语法为：iptables-ttable-Operationchain-jtargetmatch例如：希望添加一个规则，允许所有从任何地方到本地smtp端口的连接：iptables-tfilter-AINPUT-jACCEPT-ptcp--dportsmtp第36页,共45页，2024年2月25日，星期天iptables-ttable-Operationchain-jtargetmatch

iptables-tfilter-AINPUT-jACCEPT-ptcp--dportsmtp基本的Operation-A在链尾添加一条规则-I插入规则；-D删除规则-R替代一条规则；-L列出规则。表tableFilterNATmangle-j基本的target处理动作•适用于所有的链：ACCEPT接收该数据报；DROP丢弃该数据报；QUEUE排队该数据报到用户空间；RETURN返回到前面调用的链所有的规则链chainINPUTOUTPUTFORWARDPREROUTINGPOSTROUTING基本的match•

适用于所有的链：-p指定协议(tcp/icmp/udp/...)；-s源地址(ipaddress/masklen)；-d目的地址(ipaddress/masklen)；-i数据报输入接口；-o数据报输出接口；规则：允许所有从任何地方到本地smtp端口的连接第37页,共45页，2024年2月25日，星期天命令和应用举例将分配给A、B单位的真实IP绑定到防火墙的外网接口，以root权限执行以下命令：ifconfigeth0add00netmaskifconfigeth0add00netmaskInternetWWW服务器A私有IP：00真实IP：00WWW服务器B伪IP：00真实IP：00linux防火墙的ip地址分别为：内网接口eth1：外网接口eth0：第38页,共45页，2024年2月25日，星期天命令和应用举例对防火墙接收到的源ip地址为00和00的数据包进行源NAT(SNAT):iptables-tnat-APOSTROUTING-oeth0-s00-jSNAT--to00iptables-tnat-APOSTROUTING-oeth0-s00-jSNAT--to00InternetWWW服务器A伪IP：00真实IP：00WWW服务器B伪IP：00真实IP：00linux防火墙的ip地址分别为：内网接口eth1：外网接口eth0：第39页,共45页，2024年2月25日，星期天命令和应用举例对防火墙接收到的目的ip为00和00的所有数据包进行目的NAT(DNAT):iptables-tnat-APREROUTING-ieth0-d00-jDNAT--to00iptables-tnat-APREROUTING-ieth0-d00-jDNAT--to00InternetWWW服务器A伪IP：00真实IP：00WWW服务器B伪IP：00真实IP：00linux防火墙的ip地址分别为：内网接口eth1：外网接口eth0：第40页,共45页，2024年2月25日，星期天注意事项-在使用iptables防火墙之前，必须先打开IP转发功能。

#echo1>/proc/sys/net/ipv4/ip_forward-保存到/etc/sysconfig/iptables文件中。-每修改一次iptables文件后，都要重启iptalbes#serviceiptablesrestart第41页,共45页，2024年2月25日，星期天包过滤防火墙规则集的例子SMTP(简单邮件传递协议)-通过TCP协议在主机之间传递邮件的标准协议。在用户代理端和服务器程序间建立一个TCP连接。服务器监视TCP端口25来查看是否有连接请求。假设你要做一个包过滤策略来允许进出的SMTP通信量，并且生成以下规则集。规则包的方向源地址目的地址